Transformation in die Cloud - welche Cloud darf es sein?
Sécurité Industrielle

Les attaques par DSD, autant d’arrêts cardiaques pour les systèmes informatiques

8 déc. 2016

Les attaques par déni de service distribué peuvent faire chanceler les serveurs, Amazon et Twitter en sont des exemples de premier ordre. Le nombre d’attaques croît rapidement. Comment les sociétés peuvent-elles se protéger ?
Hackers use DDoS attacks to crash websites. How can companies protect themselves?
Amazon et Twitter, le blog de l’expert en sécurité Brian Krebs et le site de la chancellerie allemande... La liste des victimes des attaques par déni de service distribué (DSD) croît en permanence, et le nombre d’attaques de ce type est à la hausse. 
Selon une enquête d’IDG Connect DdoS, les entreprises subissent jusqu’à 15 attaques par DSD chaque année, les systèmes étant par conséquent hors-ligne 17 heures en moyenne.

Des conséquences terribles pour les entreprises

Le principe des attaques par DSD est aussi simple qu’efficace et douloureux pour les victimes. Les cybercriminels canalisent des quantités de données vers une adresse IP donnée, quantités supérieures à ce qu’ils sont en mesure de traiter. C’est ainsi qu’ils paralysent les serveurs. En septembre 2016, les pirates ont dirigé environ un téraoctet de flux de données par seconde vers un serveur localisé en France, battant ainsi tous les records.
Les conséquences d’une attaque par DSD peuvent être particulièrement douloureuses. Des magasins en ligne inaccessibles, des serveurs de courriers électroniques incapables d’envoyer ou de recevoir des messages et des employés injoignables.  Des pertes financières, des images de marque ternies, soit autant de dommages parfois irréparables pour les entreprises victimes et leurs clients. Les attaques par DSD peuvent parfois être suivie de tentatives de chantage, les assaillants pouvant tout bonnement menacer de ré-attaquer les systèmes.

Les appareils connectés imbriqués dans les attaques par DSD

Tandis qu’il peut être difficile d’inonder une cible avec de grandes quantités de données, les appareils connectés dans l’internet des objets semblent maintenant donner aux pirates des possibilités d’ attaques par DSD totalement nouvelles. Les caméras vidéo, le contrôle du chauffage ou des récepteurs, chaque appareil connecté à internet contient aussi un petit processeur. Si les appareils individuels ne sont pas particulièrement puissants, les pirates peuvent les empaqueter et les diriger vers des réseaux de zombies, qui bombardent ensuite les serveurs de dizaines de milliers de transmissions par seconde. Les criminels n’ont même pas besoin d’aptitudes informatiques avancées pour mener une telle attaque. Les outils servant aux attaques par DSD s’achètent sur la Toile.

Différentes méthodes pour empêcher les attaques DSD

Plus d’un tiers des 250 décideurs et consultants du monde des techniques informatiques qui ont été entendus dans le cadre d’une étude menée par Link11 et TeleTrusT ont été victimes d’attaques DSD. Que pourrait-on faire pour protéger les systèmes ? De nombreux départements informatiques se voient comme impuissants face à de telles attaques, étant donné que même les pare-feu spéciaux ne peuvent les arrêter. Ils pourraient être capables d’empêcher une attaque d’atteindre les serveurs. Pour ce faire cependant, il faut fermer les ports et bloquer l’accès à toute la circulation de la Toile.

Filtrer la circulation des données dans le réseau fédérateurs

Les fournisseurs peuvent proposer une alternative. Ils peuvent analyser les flux de données dans le réseau fédérateur et stopper la circulation lorsque des volumes anormalement importants sont dirigés vers une même adresse IP. Le fournisseur peut coordonner de près les méthodes utilisées avec l’entreprise visée. Avec la technique du trou noir par exemple, les experts éliminent tous les flux de données en déplacement vers une adresse IP non utilisée par le client et libèrent ainsi la connexion. Les listes de filtrage s’avèrent également efficaces. La société indique quels émetteurs ont la permission d’accéder à la connexion, tandis que toutes les autres requêtes sont considérées indésirables. Il existe aussi une machine virtuelle qui marque et disqualifie les paquets IP dangereux dans les flux de données du client, s’assurant ainsi que seules les entités sûres parviendront jusqu’au système du client et que l’entreprise pourra continuer à travailler sans interruption.

Surveiller la connexion et réagir aux attaques

Une société ayant remarqué une attaque DSD devrait contacter son fournisseur aussi tôt que possible de manière à ce que des mesures défensives puissent être prises et que les dégâts puissent être minimisés. Les experts surveillent la connexion le temps que dure l’attaque, ce qui peut signifier plusieurs semaines. Ceci leur permet d’adapter leurs méthodes quand les cybercriminels changent de tactique. 
Une fois l’attaque atténuée, le fournisseur peut revenir au routage précédent, après quoi le client retrouve une connexion internet transparente. Les listes de filtrage peuvent rester en vigueur.
Le fournisseur ne peut contrer un assaut par DSD que si la connexion est déjà attaquée. Le BSI (Bundesamt für Sicherheit in der Informationstechnik – office fédéral à la sécurité des informations) suggère une mesure préparatoire. Il s’agit que la société et les fournisseurs échangent des numéros d’urgence et discutent à l’avance des méthodes à utiliser. Le BSI propose quelques pistes et conseils en matière de mesures anti-DSD.