Les attaques par déni de service distribué, plus communément appelées « DDoS » (Distributed Denial of Service), font aujourd’hui de plus en plus parler d’elles. Au-delà de leur multiplication – due à une efficacité démontrée, c’est leur diversité qui se voit plus étonnament grandissante.
De nouvelles formes d’attaques
Au fil des années, les débits internet ont augmenté, les performances des équipements et la répartition des charges également ; l’attaque DDoS historique visant à submerger une victime par de multiples requêtes ne suffit plus.
De ce fait, les attaques se diversifient, deviennent « plus intelligentes » et plus complexes à éviter. On distingue alors deux grandes familles :
- Les attaques volumétriques : elles visent à submerger des équipements ou liaisons stratégiques afin de les rendre indisponibles. La nouveauté est qu’elles s’opèrent tant sur la couche réseau (TCP SYN flood…) qu’applicative (par exemple HTTP GET floods…) pour épuiser les ressources des serveurs exposés sur internet.
- Les attaques « par saturation de tables d’état » : plus astucieuses, ces attaques ne requièrent pas nécessairement un grand nombre de ressources attaquantes. Leur principe est d’utiliser les limites des protocoles de communication pour commettre des méfaits. Elles visent également les couches réseau (Slow attacks…) et applicative (Slowloris…). Elles s’avèrent très efficaces et malheureusement difficiles à contrer au vu de leur comportement a priori bénin.
Pour ces deux familles, les attaques visant la couche applicative resteront de loin les plus difficiles à détecter. En effet, considérées comme des flux réseaux légitimes, elles ne pourront pas être arrêtées par les équipements de protection classiques comme les pare-feux. Une sécurité proche de la couche applicative sera donc nécessaire, en utilisant par exemple des équipements de type Web Application Firewall (WAF) ou des solutions spécifiques anti-DDOS…
Des conséquences bien réelles pour les entreprises
En cas d’attaques DDoS, l’entreprise ciblée doit faire face à des conséquences importantes.
À la fois visibles et immédiates, les conséquences directes d’une attaque DDoS recouvrent par exemple l’indisponibilité de services cruciaux (site de vente en ligne, plateforme partenaire…) entrainant une perte financière évidente, le dysfonctionnement des processus métiers mais aussi l’atteinte à l’image due à la médiatisation de l’évènement.
Moins immédiates, les conséquences indirectes n’en sont pas moins importantes : une attaque DDoS peut également être un moyen de diversion permettant d’établir une attaque ciblée plus évoluée. En effet, en jouant un rôle de « bélier » visant la mise à mal des moyens de protection du SI, une intrusion deviendra plus facile… Les attaques commises contre les sociétés RSA ou Sony en sont des exemples criants.
Comment se protéger contre ces attaques de plus en plus courantes ?
Au vu de leurs impacts immédiats et visibles de tous, les DDoS deviennent un des outils attitrés des cybercriminels. Parallèlement, en pleine montée de l’hacktivisme, des outils automatisés et simples d’usage ont fait leur apparition sur Internet (notamment « LOIC », utilisé par les Anonymous). Ces nouveaux services « clé en main », peu coûteux, ont permis une démocratisation des attaques par déni de service ; elles deviennent aujourd’hui accessibles à tout un chacun.
Après les nombreux évènements de l’année 2012 et la récente attaque record contre Spamhaus, les DDoS représentent aujourd’hui une menace évidente. La question de la « protection anti-DDoS » entre donc au cœur des décisions SSI pour l’ensemble des grandes entreprises à risque. Mais comment se protéger ? …