Overblog Suivre ce blog
Editer l'article Administration Créer mon blog
Au top des ventes IT

Au top des ventes IT

Blog sur la vente IT aux grands comptes et mid-market.

Les attaques DDoS, ou comment ruiner une entreprise en quelques heures

Les attaques DDoS, ou comment ruiner une entreprise en quelques heures

 

Les attaques par déni de service distribué (DDoS) deviennent de plus en plus intenses et élaborées à mesure que les entreprises utilisent des applications Web pour leurs activités commerciales quotidiennes.

 

 

Au cours des derniers mois, ces attaques sont devenues l’arme de choix des cybercriminels aux quatre coins du monde car elles ne manquent quasiment jamais leur(s) cible(s). Pour poursuivre l’analogie, je dirais que ces attaques insidieuses sont aussi précises et impitoyables qu’un fusil de sniper entre les mains d’un mercenaire expérimenté.

Les attaques DDoS sont un cauchemar même pour les administrateurs IT les plus expérimentés, en raison de leur caractère décentralisé, précisé par leur nom. Cela signifie qu’une multitude de systèmes compromis (réseaux « botnet ») submergent l’hôte cible par des requêtes simultanées via une brèche dans le système, lequel devient saturé et inaccessible pour l’utilisateur. En raison de cette surcharge de trafic, le système cible est pratiquement obligé de s’éteindre. Les dénis de service peuvent cibler les réseaux lorsque le flux de paquets consomme trop de bande passante et rend l’hôte inaccessible, ou peuvent se produire au niveau des applications, lorsque plusieurs appels d’applications sont effectués simultanément.

Parmi les techniques de DDoS fréquentes actuellement, l’on peut en mentionner deux : le type volumétrique « big & dumb » généralement considéré comme étant plus facile à repérer puisqu’il est soudain et agressif ainsi que les méthodes « slow Loris » et « headless browser » qui sont plus discrètes et plus difficiles à détecter. Elles peuvent facilement faire des ravages dans les entreprises dans lesquelles aucune stratégie de sécurité n’existe ou dans lesquelles les systèmes de protection sont inefficaces. Dans tous les cas, il est difficile de distinguer une attaque du trafic légitime.

L’avènement des technologies basées dans le cloud a poussé les attaquants à diversifier leurs méthodes et à affiner leurs techniques au point de pouvoir présenter un risque pour l’ensemble de votre entreprise, s’ils parviennent à s’y introduire. Cela est vrai de tout type de menace capable de passer outre vos pare-feux et contrôles de sécurité. Cependant, en cas d’attaque distribuée, les choses peuvent tourner très mal en quelques heures, et la correction du problème peut être extrêmement difficile, en particulier la remontée jusqu’à la source de la brèche. Vous devenez alors moins bien placé dans les résultats de recherche, perdez de l’argent et surtout, la confiance de vos clients qui sera difficile à restaurer.

Les fournisseurs de services cloud prennent ces menaces très au sérieux. Ainsi, il y a quelques mois, Amazon a signalé à ses clients une vulnérabilité dans Elasticsearch v1.1 qui, lorsqu’elle était exploitée, permettait d’accéder aux instances AWS EC2 sous-jacentes. Les attaquants utilisaient une version du botnet Backdoor.Linux.Mayday.Aqu’ils exécutaient sur les instances ciblées, à partir d’une machine distante.

En tant que MSP ou entreprise confrontée au cloud, il n’est généralement pas conseillé de considérer que votre fournisseur d’hébergement protégera vos serveurs Web contre les menaces DDoS. C’est comme compter sur votre propriétaire pour sécuriser vos biens personnels au sein de votre immeuble. Le fournisseur de services cloud peut évidemment émettre des recommandations dans ce domaine et vous indiquer les solutions ou les partenaires correspondant le mieux à vos besoins en sécurité. Le fournisseur de services est chargé d’assurer la protection nécessaire au niveau de l’infrastructure, de même qu’il vous incombe de protéger les biens de votre entreprise le mieux possible. La gestion des identités et des accès fait partie des concepts fondamentaux de la sécurité cloud qui devrait être essentielle à pratiquement toute opération informatique. Ce concept existe désormais depuis des années, mais ce qui change désormais, avec les plateformes complexes et hautement distribuées, c’est le besoin d’une approche centralisée. Des outils tels que l’authentification à double facteur limitent le risque d’usurpation d’identité alors que des pratiques courantes comme la répartition des tâches permettent aux administrateurs de déléguer des opérations du système en fonction de droits d’accès granulaires (comme le type de compte basé sur les rôles IAM dans AWS).

Un effet dévastateur pour les entreprises

Ces mesures auraient pu faire la différence pour Code Spaces, un fournisseur de services de gestion de projets et d’hébergement de code présent depuis sept ans sur le marché, contraint à mettre la clé sous la porte par une attaque « DDoS bien orchestrée » en moins d’une journée. Ce qui a commencé comme une attaque DDoS typique (et sans doute gérable) suite à une vulnérabilité sur leurs serveurs a conduit au désastre 12 heures plus tard, après une tentative de chantage. L’auteur de l’attaque (qui ne semble pas être un employé) est parvenu à accéder au « panneau de contrôle » d’Amazon EC2 de Code Spaces (qui contenait peut-être plus de données que la console de gestion d’AWS) et a tenté d’extorquer une importante somme d’argent à l’entreprise, en échange de la  résolution de l’attaqueDDoS. Quand Code Spaces a essayé de contre-attaquer, l’intrus avait déjà une longueur d’avance et commençait à effacer des pools de ressources de manière aléatoire. Lorsqu’ils ont repris le contrôle, il était déjà trop tard puisque de nombreuses « données, sauvegardes, configurations de machines et sauvegardes hors site » avaient disparu.

Après la malheureuse expérience de Code Spaces,  d’importantes attaques ont fait la une des journaux et suscité l’inquiétude du public. Trois d’entre elles sont présentées ci-dessous :

  • Une attaque présumée contre le site Web de la BBC et l’iPlayer a rendu certaines sections de contenu inaccessibles aux internautes pendant plus de 48 heures, obligeant la BBC à revenir à la version simplifiée de la page Web. Des soupçons d’attaques DDoS sont apparus lorsque les « ingénieurs ont remarqué une charge importante sur les serveurs supportant le système de vidéos à la demande ».
  • Une attaque perpétrée par un hacker de 17 ans en Norvège a ciblé d’importantes institutions financières en exploitant une vulnérabilité dans la fonctionnalité « pingback » de WordPress . Ce qui semblait être à première vue un hoax d’un adolescent destiné à secouer la cyber communauté s’est vite avéré être un violent « signal d’alarme » pour les entreprises victimes. Cela a en effet été perçu comme l’une des plus violentes attaques que la Norvège ait jamais connues. La prétendue appartenance de l’attaquant au groupe « hacktiviste » des Anonymous s’est révélée fausse et le pirate, arrêté par la police, a déclaré regretter son acte.
  • Des attaques DDoS ultérieures ont paralysé les services Web Feedly et Evernote et ont été suivies, peu après, par des tentatives de  chantage réclamant de l’argent pour mettre un terme à l’attaque. L’agrégateur de flux RSS Feedly a été la cible de deux attaques, deux jours de suite, alors que le service de prise de notes Evernote était rendu indisponible par une autre attaque DDos pendant presque 5 heures, la veille de l’attaque contre Feedly.

Code Spaces ayant fermé boutique en juin, l’identité de l’attaquant demeure toujours inconnue et aucun fait nouveau ne contribue à clarifier l’affaire. Certains ont reproché à Code Spaces l’inutilité de son « plan de restauration complet dont l’efficacité a été vérifiée dans la pratique », qui était le slogan qu’ils employaient sur leur site Web…

Nous ne savons toujours pas ce qui s’est réellement passé ce triste jour, ni quelles mesures ont été prises pour éviter une telle attaque, cependant une chose est certaine : la sécurité des données (dans toutes ses formes) est essentielle au fonctionnement de toute entreprise dans le cloud public ; elle ne doit pas être négligée  et un budget suffisant doit lui être alloué. Lorsqu’elle est associée à un plan de restauration fiable, cela pourrait faire la différence entre une interruption de service temporaire et permanente.

Télécharger « AWS et l'utilisationdes stratégies de jeu : imitation et réalité »

Cet article a été rédigé par Denisa Dragomir.

Partager cet article

Repost 0
Pour être informé des derniers articles, inscrivez vous :

Commenter cet article