Attaques DDOS : pourquoi tout le monde en (re)parle ?

Internet est un vecteur majeur dans la diffusion d’informations. Ce mode de diffusion est essentiel pour les entreprises pour communiquer, s’informer, promouvoir et commercialiser ses produits ou services. Internet est en outre une véritable vitrine qui représente l'image d'une société, son credo et sa plus-value sur son secteur de marché. Le phénomène est aujourd'hui amplifié avec la mode du "toujours connecté" initiée notamment par des terminaux et réseaux mobiles de plus en plus performants. Internet représente ainsi une part non négligeable des revenus directs ou indirects d'une entreprise. Il est alors aisé d'en déduire qu'une interruption de ces services puisse avoir de graves conséquences sur le métier et le business d'une entreprise. Tel est l'objectif des attaques par Dénis de Service et a fortiori des attaques par Dénis de Service Distribués (DDOS) lorsque plusieurs machines sont impliquées. Les machines à l'origine des attaques DDOS font le plus souvent partie de réseaux botnets. Ces derniers sont composés de machines infectées au préalable par un malware et sont ainsi contrôlables à distance depuis le serveur de commande et de contrôle (C&C). A titre d'exemple le botnet "Mariposa" démantelé en 2010 comptait plus de 15,5 millions de machines infectées. Pour utiliser ces botnets un pirate n’a pas besoin d'avoir infecté en amont des milliers ou des millions de machines. En effet Internet a permis l'émergence "d'agences de locations de botnets" qui peuvent ainsi être acquis pour une somme allant de 5 à 200 $ par heure selon la taille et la durée de l'attaque souhaitée. Même si l'objectif final est identique, à savoir la perturbation de la présence d'une entreprise ou d'un organisme sur Internet, les attaques DDOS sont motivées par des raisons diverses.

• Tout d'abord nous retrouvons l'appât du gain résultant de malveillances entre concurrents ou encore d'extorsions. Ces dernières font généralement suite à une attaque préliminaire visant à intimider la cible.
• Viennent ensuite les "hacktivistes" désirant manifester leur désaccord suite à une décision politique ou économique ; les cas les plus célèbres font état des actions des "Anonymous" auprès d'organismes tels que le FBI, l'Elysée, l'Express ou encore Paypal et Sony.
• Une attaque DDOS peut enfin servir à faire diversion et ainsi cacher le véritable objectif du pirate qui viserait notamment à extraire des informations sensibles à l'aide d'une attaque ciblée, dite APT (Advanced Persistent Threat). L'équipe informatique interne étant en alerte à cause de la saturation des ressources (site Web, lien Internet…), la fuite de donnée peut être effectuée de manière furtive.

Concrètement une attaque DDoS vise à rendre indisponible un ou plusieurs services ou à perturber son fonctionnement nominal. Pour cela elle utilisera une combinaison des attaques suivantes :

1. Attaques volumétriques (ou flood) qui visent à saturer la cible de sorte à ce qu'elle ne puisse plus traiter de flux légitimes ;
2. Attaques appelées "low and slow" consistant à envoyer du trafic en apparence légitime avec un faible débit de sorte à être le plus invisible possible mais dont l'impact est similaire aux attaques volumétriques ;
3. Attaques applicatives basées l'exploitation de vulnérabilités de la cible.envo

Aujourd'hui certains opérateurs et CDN (Content Delivery Network) proposent des offres comprenant une protection DDOS afin de délivrer aux entreprises un lien Internet "propre". Cette première barrière permet de protéger la liaison Internet des attaques volumétriques sans toutefois pouvoir agir efficacement sur les attaques "low and slow" et applicatives étant donné que ces dernières nécessitent une configuration plus fine et une connaissance du contexte approfondie que ne possède pas l'opérateur. Ainsi les éditeurs de protection DDOS ont émis des gammes de solutions orientées vers les entreprises de sorte à détecter et bloquer les attaques DDOS plus subtiles. Ces équipements se distinguent des équipements de sécurité périmétrique tels que les firewalls de par leur fonctionnement : ces derniers se basent en effet sur des tables de connexions qui se révèlent être une cible idéale pour les attaquants rendant ainsi les firewalls vulnérables aux attaques DDOS. Une solution de protection DDOS complète se positionne donc côté opérateur et en frontal du Système d'Information d'une entreprise afin de protéger les applications mais également les équipements réseaux en place : firewalls, routeurs, load-balancers… La comparaison du chiffre d'affaires généré par le marché de la protection DDOS et celui du firewall (275 Millions $ contre 7 Milliards $ en 2012) nous confirme que la mise en place de protection DDOS ne s'est pas démocratisée de la même manière. Toutefois celui-ci est en pleine expansion avec une augmentation de 30% par rapport à 2011 et la dernière étude du cabinet d'étude Infonetics Research prévoit un chiffre d'affaire de 530 Millions $ d'ici 2017. Depuis un changement de stratégie en 2012 des éditeurs de protection DDOS qui à consister à cibler davantage les entreprises, la répartition des revenus montre un équilibre entre ce secteur et celui des opérateurs.