Imaginez que vous ne puissiez pas accéder à votre compte bancaire ou bien encore l’impossibilité pour votre médecin de consulter votre dossier médical !
Et si vous découvriez que vous ne pouvez pas arrêter la progression d’une campagne de menaces parce que les ressources du réseau ont été épuisées ?

Ce sont là des exemples extrêmes des dommages que peut causer une attaque par déni de service distribué (DDoS).
Les attaques à grande échelle peuvent entraîner une réduction de la capacité ou une perte totale des services essentiels, une atteinte à la réputation, une perte de productivité et des coûts de remédiation importants.

Et ce n’est pas tout ! Si les attaques sont de plus en plus courtes, elles sont aussi de plus en plus fréquentes.
Les attaques fréquentes et courtes peuvent causer plus de dommages que les autres types d’attaques plus longues et moins fréquentes.
La fiabilité d’Internet peut dépendre de fractions de seconde et une plus grande fréquence d’attaques signifie plus de travail pour les administrateurs de réseau et les spécialistes de la cybersécurité.

Les attaques DDoS ne sont peut-être pas la menace la plus sophistiquée du moment, mais elles ne se laissent pas faire et restent toujours très dangereuses !

Sommaire

• DoS and DDoS
• How Does a DDoS Attack Work?
• Attacker Motivations
• The Three Most Common Types of DDoS Attacks
• How do I Know if I’m Under DDoS Attack?
• 8 Ways to Stop DDoS Attacks

DoS et DDoS

Les attaques par déni de service (DoS) ciblent une application ou un site web spécifique dans le but d’épuiser les ressources du système, ce qui rend la cible inutilisable ou inaccessible aux utilisateurs légitimes.
Une attaque DoS devient une attaque DDoS lorsque le “faux trafic” provient de plusieurs adresses IP ou machines uniques.
Il s’agit souvent de milliers de dispositifs infectés qui attaquent en tandem de façon synchroniser.

Comment fonctionne une attaque DDoS ?

Dans un premier temps, les attaquants prennent le contrôle de plusieurs ordinateurs et autres appareils ayant accès à l’Internet des objets (IoT), et installent un type de logiciel malveillant appelé “bot”.
Le bot convertit pour ainsi dire, les machines à la cause de l’acteur de la menace. Collectivement, les machines compromises forment un réseau appelé botnet. L’acteur de la menace dirige le botnet pour submerger le système de la cible visée avec plus de demandes de connexion qu’il ne peut en gérer, et ainsi ce système devient non réactif ou inaccessible aux utilisateurs légitimes.

Botnet
Comme mentionné, une grande variété d’appareils connectés à Internet peuvent constituer un botnet, y compris les appareils IoT.
Selon l’Agence pour la cybersécurité et la sécurité de l’information (CISA), les dispositifs IoT utilisent souvent des mots de passe par défaut et ne bénéficient pas de mises à jour de sécurité régulières, ce qui les rend vulnérables à la compromission et à l’exploitation.
Comme l’infection des appareils IoT passe souvent inaperçue des utilisateurs, un attaquant pourrait facilement assembler un grand nombre d’appareils pour former un formidable botnet.

Par exemple, le “Fodcha DDoS botnet” compte plus de 60 000 nœuds actifs, 40 domaines de commande et de contrôle (C2) et peut générer plus d’un téraoctet par seconde (Tbps).
En une seule journée, ce logiciel malveillant a ciblé 1 396 appareils. Parmi les principales cibles de ce botnet figurent des organismes de santé et des services de police.

Plus le trafic produit par une attaque DDoS est important, plus il est difficile pour une organisation de répondre efficacement à l’attaque et d’y faire face. L’augmentation du trafic rend également plus difficile l’attribution de l’attaque, car la véritable source de l’attaque est plus difficile à identifier.

Les motivations des Attaques DDoS

Les motifs des attaques DDoS peuevent être différents, en passant de l’idéologie, la concurrence sur le marché, le cyber-vandalisme, l’extorsion, la cyberguerre ou encore “smokescreen” (écrans de fumée).
Examinons brièvement chacun de ces motifs.

Idéologie
Les hacktivistes, comme le groupe Killnet, utilisent les attaques DDoS pour cibler des organisations; gouvernements, politiciens, entreprises, etc. , qu’ils désapprouvent sur le plan idéologique.
D’une manière générale, les hacktivistes ne sont pas forcément les plus doués sur le plan technique et ils s’appuient souvent sur des outils prêts à l’emploi.
Ils peuvent néanmoins avoir un impact sur vos opérations. Les attaques collectives notoires d’Anonymous ou les attaques hacktivistes ponctuelles liées à la pandémie en sont des exemples.

Concurrence commerciale
Lorsque le motif de l’attaque DDoS est une compétition commerciale, elle est souvent exécutée par des acteurs professionnels de la menace.
Dans ce cas, l’objectif de l’attaque DDoS est de perturber le site web d’un concurrent par exemple, ce qui peut inciter ses clients à se tourner vers l’entreprise de l’auteur de l’attaque, tout en causant des dommages financiers mais également de réputation.

Selon un rapport, à la suite d’une attaque DDoS réussie, les petites entreprises peuvent être amener à payer plus de 100 000 dollars pour se rétablir ; les grandes entreprises peuvent encourir des coûts allant jusqu’à 2 millions de dollars par incident.

Le cyber-vandalisme
Les cyber-vandales sont des individus ou des groupes qui exécutent des cyber-attaques sans motif criminel, politique ou idéologique évident.
Ce groupe utilise également des outils prêts à l’emploi – le Low Orbit Ion Cannon par exemple, en plus des services de DDoS.

Extorsion
Dans ce cas, les cybercriminels utilisent les attaques DDoS ou la menace d’une telle attaque, pour extorquer de l’argent à leurs cibles.

La cyber-guerre
Les menaces persistantes avancées et les acteurs de la menace liés à des États-nations lancent généralement ce type d’attaque DDoS.
Elles visent souvent les infrastructures critiques d’un pays, notamment les services financiers, de santé, de transport et de communication.

Smokescreen
Les acteurs de la menace sophistiqués utilisent parfois les attaques DDoS pour distraire les équipes de sécurité et les équipes informatiques ou affaiblir les systèmes de sécurité. Cela leur permet de créer artificiellement des vulnérabilités pour une campagne d’attaque potentiellement plus importante, comme l’infiltration de réseaux, le vol de données et l’infection par des logiciels malveillants.

Les 3 plus grand types d’attaques DDoS

1. Application-Layer Attacks

L’objectif d’une attaque de la couche application, ou “overflow” HTTP, est d’épuiser les ressources du réseau et de créer une situation de déni de service.
Les attaquants ciblent la couche serveur où les pages web sont générées et délivrées en réponse aux requêtes HTTP.
Ils inondent ensuite le serveur de nombreuses demandes, le surchargeant, ce qui entraîne un déni de service.

Exemple

2. Protocol Attacks

Les attaques de protocole, ou attaques par épuisement, provoquent un déni de service en surconsommant les ressources du serveur ou du réseau.
Par exemple, l’attaquant envoie de nombreuses demandes de connexion initiales.
Ensuite, l’ordinateur cible attend la dernière étape de connexion TCP. Mais la connexion n’est jamais finalisée, et les ressources de la cible sont épuisées.

Exemple

3. Volumetric Attacks

Dans une attaque volumétrique, l’attaquant crée une congestion du réseau en consommant la bande passante disponible entre les appareils et l’Internet.
De grandes quantités de données sont ensuite envoyées à la victime à l’aide d’un botnet.
Ce type d’attaque est également appelé attaque par amplification DNS ou par amplification de réflexion.
Selon le CISA, les acteurs utilisent un serveur tiers (le “réflecteur”) comme intermédiaire qui héberge et répond à l’adresse IP source usurpée donnée.

Exemple

Comment puis-je savoir si je suis victime d’une attaque DDoS ?

L’un des principaux problèmes auxquels sont confrontés les défenseurs face aux attaques DDoS est la séparation des fausses demandes de connexion des demandes légitimes.
Les outils de télémétrie avancés comme ceux de CylanceGUARD® de BlackBerry par exemple, peuvent aider à repérer les signes d’une attaque DDoS.
Si des signes spécifiques existent, ils varient en fonction du type d’attaque.
Toutefois, voici quelques signes généraux à rechercher :

– Des performances réseau anormalement lentes pour ouvrir des fichiers ou accéder à des sites Web.
– Indisponibilité ou inaccessibilité des sites Web.
– Quantités irrégulières de trafic en provenance d’une seule adresse IP ou plage d’adresses IP.
– Lenteur des performances des applications.
– Utilisation élevée du processeur et de la mémoire.
– Une augmentation anormale du nombre de demandes adressées à une page ou à un point d’accès unique.
– Des schémas de trafic étranges, tels que des pics à des heures inhabituelles de la journée ou des schémas qui ne semblent pas naturels.
– Une quantité anormale de trafic provenant d’utilisateurs qui partagent un même profil comportemental.
Par exemple : type d’appareil, géolocalisation ou version du navigateur web.

8 façons d’arrêter les attaques DDoS

1. Améliorer votre cyber résilience avec une solution avancée ZTNA

Selon le BDIR 2022 de Verizon, les DDoS étaient la forme d’attaque la plus répandue. Lorsque l’accès réseau au zero trust (ZTNA) est adopté, il peut constituer une atténuation efficace contre ces attaques.
Une solution ZTNA native du cloud qui intègre de solides capacités de protection des terminaux, comme CylanceGATEWAY™ peut fournir une protection, de détection et de prévention contre les attaques DDoS.

Protection du réseau : Une solution ZTNA appropriée pour atténuer les attaques DDoS protège le réseau car elle ne nécessite pas l’ouverture de ports, car elle achemine le trafic par proxy vers le réseau de l’entreprise.
Les organisations sont donc fondamentalement protégées contre les attaques DDoS.

Détection des menaces : La solution ZTNA utilise des systèmes de détection d’intrusion pour détecter le trafic malveillant sur la base de modèles de flux réseau à trois couches indépendantes : Système de nom de domaine (DNS), Protocole de message de contrôle Internet (ICMP) et Sécurité de la couche de transport (TLS).

De plus, le trafic réseau est évalué en permanence et les facteurs de risque sont calculés sur plusieurs vecteurs. Les solutions avancées combinent l’apprentissage automatique, la réputation des IP et l’évaluation des risques pour créer une liste noire dynamique des destinations Internet à bloquer.

Prévention : Les tentatives d’intrusion malveillantes telles que l’injection SQL, l’usurpation du protocole de résolution d’adresse (ARP), Man in The Middle (MiTM) et les points d’accès Wi-Fi malveillants sont autant d’indices d’attaques DDoS.
En plus du fait qu’il s’agit d’un tunnel multicouche tenant compte de l’identité, doté d’une authentification et d’une autorisation permanentes, une solution ZTNA adaptée aux attaques DDoS facilite également la mise en œuvre d’un contrôle d’accès au réseau segmenté, ce qui permet d’éviter l’usurpation du protocole ARP.
L’usurpation ARP est un passage obligé pour le MiTM et donc est également évitée.

Enfin, les communications de la couche 3 doivent être entièrement cryptées, ce qui réduit la possibilité de réussite d’une tentative d’intrusion malveillante par tunnel, comme l’injection SQL, les points d’accès Wi-Fi malveillants, etc.

En savoir plus concernant CylanceGATEWAY; CylanceGATEWAY documentation

2. Blackhole Routing 

Bien qu’il soit parfois considéré comme redondant si vous utilisez une solution ZTNA avancée, une alternative à envisager en fonction des contraintes budgétaires est le routage par “Blackhole”. Avec cette stratégie, le trafic réseau est acheminé dans un “trou noir” et devient alors perdu. L’inconvénient de cette méthode est qu’en l’absence de critères de restriction appropriés, le trafic légitime et illégitime est rejeté du réseau. L’attaque DDoS est ainsi couronnée de succès puisque le réseau est désormais inaccessible.

3. Social Media Intelligence

Surveillez les médias sociaux, en particulier Twitter, à la recherche de menaces, de conversations et de fanfaronnades qui pourraient indiquer que vous avez été pris pour cible.

Voici une ressource gratuite qui pourrait vous être utile : Outils et bibliothèques de la v2 de Twitter

4. Rate Limiting

Limiter le nombre de requêtes qu’un serveur accepte pendant une certaine période de temps. Cette mesure à elle seule est généralement insuffisante pour se défendre contre des attaques plus complexes, mais elle constitue un bon élément d’une stratégie d’atténuation à plusieurs volets.

5. Web Application Firewall (WAF)

Assurez-vous de bien comprendre vos actifs et services critiques. Établissez des priorités en fonction de la criticité de la mission et du besoin de disponibilité, et assurez-vous que le WAF couvre ces éléments essentiels.

Un WAF peut contribuer aux efforts d’une organisation pour atténuer les attaques de la couche application. Une façon simplifiée d’imaginer un WAF est de le comparer à un “contrôleur”. Il se place entre les utilisateurs d’Internet et les serveurs de l’organisation et contrôle les demandes d’accès.

De plus, les organisations peuvent créer des règles pour leur WAF qui filtrent les demandes entrantes. Ces règles peuvent ensuite être adaptées pour contrer les modèles observés d’activités suspectes menées par un DDoS.

6. Penetration Testing

Envisagez de faire appel à un service tiers de tests de pénétration ou de “pen testing” pour simuler une attaque contre votre infrastructure informatique à l’aide de scénarios réels afin de vous préparer à la réalité.

En pratiquant régulièrement le plan de réponse aux attaques DDoS de votre organisation avec toutes les parties prenantes internes et externes, vous pourrez identifier les lacunes et les problèmes, vous assurer que tous les participants comprennent leurs rôles et responsabilités pendant une attaque DDoS et renforcer la confiance dans le plan de réponse aux attaques DDoS.

En savoir plus concernant : BlackBerry® Penetration Testing Service.

7. Méthode de diffusion du réseau Anycast

L’Anycast est une méthode de routage réseau qui répartit les requêtes entrantes entre plusieurs serveurs.
L’idée est qu’en cas d’attaque DDoS, le trafic supplémentaire est réparti et absorbé par le réseau.
L’efficacité de cette approche dépend de la taille de l’attaque DDoS ainsi que de la taille et de la compétence du réseau.

8. S’inscrire à un service de protection DDoS

Un guide conjoint de la CISA, du Federal Bureau of Investigation (FBI) et du Multi-State Information Sharing and Analysis Center (MS-ISAC) recommande aux organisations de s’inscrire à un service de protection DDoS dédié.
Bien que de nombreux fournisseurs de services Internet (FAI) disposent de protections DDoS, elles peuvent être insuffisantes pour résister aux attaques DDoS à grande échelle ou avancées.
Un service de protection DDoS, tel qu’AWS Shield , peut surveiller le trafic, confirmer une attaque, identifier la source et atténuer la situation en redirigeant le trafic malveillant loin de votre réseau. CylanceGATEWAY intègre AWS Shield comme couche de protection supplémentaire.

Il est également recommandé aux organisations de discuter avec un fournisseur de services gérés (MSP) des services gérés spécifiques qui protègent contre les attaques DDoS.
Les MSP proposant différentes technologies en « périphérie » peuvent aider à personnaliser les défenses en périphérie du réseau.

Les services de défense Edge peuvent réduire les temps d’arrêt causés par les attaques DDoS.
Les services de défense, de détection et d’atténuation Edge réduisent le risque que le trafic malveillant atteigne sa cible et augmentent considérablement les chances que des utilisateurs légitimes atteignent vos sites Web/applications Web.

Source : BlackBerry

Plus d’informations concernant les solutions :