Nous nous entretenons avec Sébastien Cuvelier, associé responsable du M&A chez Connor Group.
Mois de la Cybersécurité : DDoS
En raison de leur complexité technique et de leurs motivations ambiguës, les attaques DDoS peuvent être décrites comme imprévisibles et volatiles, voire anarchiques. Comme l’objectif principal de ces attaques est de créer du désordre, il est difficile de prédire leurs victimes potentielles. Une chose est certaine : elles ne sont pas simplement des désagréments insignifiants, comme nous les considérions auparavant.
L’augmentation de l’ampleur de 865% en un peu plus d’un an témoigne à elle seule de la gravité du problème en cours.
DDoS – Distributed Denial of Service (Déni de Service Distribué) : La perturbation du fonctionnement normal d’un réseau ou d’un site web en le submergeant d’un flux de trafic, le rendant ainsi inaccessible.
Les 28 et 29 août de cette année, Amazon Web Services, Cloudfare et Google Cloud ont chacun observé une puissante attaque de Déni de Service Distribué basée sur le protocole HTTP/2, connue sous le nom de « Rapid Reset Attack », dont l’ampleur était plus importante que toute attaque précédemment enregistrée. Une vulnérabilité de sécurité à l’échelle de l’Internet, à savoir un bug1 dans le protocole HTTP/2, a été exploitée par les attaquants pour inonder les fournisseurs d’infrastructures de cloud et Internet de vagues de trafic atteignant 201 millions de rps (requêtes par seconde) selon Cloudfare, et un étonnant 398 millions de rps selon Google, chaque pic ne durant que quelques minutes. La source de l’attaque est inconnue, comme tout motif ou impact tangible.
Février 2023 marquait le précédent record, avec des dizaines d’attaques détectées et atténuées par Cloudfare, la majorité d’entre elles culminant aux alentours de 50 à 70 millions de rps, peu après la plus grande attaque antérieurement enregistrée en juin 2022, avec 46 millions de rps.
Mais pourquoi ?
Les motivations derrière les attaques DDoS peuvent sembler nébuleuses. Étant donné les innombrables incidents sans objectif spécifique, on peut facilement supposer que les attaquants choisissent arbitrairement leurs cibles (souvent des grandes entreprises) « parce qu’ils le peuvent ». Cela peut entraîner de la confusion quant à la manière d’aborder le problème, qui est après tout, de nature relativement complexe.
Néanmoins, ces attaques ne sont que rarement menées sans aucun agenda, mais sont souvent utilisées comme :
Une technique de diversion : Le Déni de Service Distribué peut être utilisé pour détourner l’attention d’une cyberattaque plus sérieuse. Alors que la victime utilise ses efforts et ses ressources pour atténuer l’attaque initiale, l’acteur menaçant espère gagner suffisamment de temps pour infiltrer son réseau et mener d’autres activités malveillantes.
Un moyen de gagner un avantage concurrentiel : En désactivant les services d’un rival, une organisation concurrente peut gagner un avantage significatif, comme des parts de marché, lorsqu’elle attaque le e-commerce, comme illustration, pendant les périodes de pointe. D’autres impacts comprennent le SEO négatif, la perte de revenues, l’incertitude sur le marché, par exemple juste avant le lancement d’un produit, et la perturbation de la publicité en ligne.
Une déclaration politique ou idéologique : Les attaques DDoS sont de plus en plus motivées par des agendas politiques, des convictions idéologiques et des mouvements activistes. Cela est connu sous le nom de « Hacktivisme » et est exploité par des individus et des organisations pour transmettre un message en perturbant les opérations gouvernementales, corporatives et autres à grande échelle.
Une méthode d’extorsion : L’attaquant peut utiliser ce type de menace pour tenter d’extorquer de l’argent à sa victime en échange de l’arrêt de l’attaque, ou même de son non-lancement en premier lieu. Cela devient de plus en plus évident en tant que motif, considérant l’augmentation du nombre d’attaques DDoS par rançon. Contrairement aux attaques de Rançongiciels, les attaques DDoS par rançon contournent la nécessité d’intrusion dans les systèmes et de stratégies déceptives telles que le phishing, ce qui les rend plus facile et moins coûteuses à exécuter.
Quelle que soit la motivation, ces attaques peuvent provoquer d’importantes perturbations et dommages aux réseaux, services ou sites web, entraînant souvent des graves pertes financières telles que des revenus, la détérioration de réputation en raison de l’inconvénient pour les utilisateurs, des dommages à l’infrastructure, des défaillances de hardware et la dégradation de performance. De plus, il est souvent impossible de détecter la source de l’attaque, ce qui rend improbable de traduire en justice les parties responsables.
Comment fonctionnent-elles ?
Prenons l’exemple de l’attaque « Rapid Reset ». Dans cet incident, les auteurs ont exploité une vulnérabilité « zero-day » dans le protocole HTTP/2, essentiel au fonctionnement efficace d’Internet et de la majorité des sites web. Il détermine la manière dont les navigateurs interagissent avec un site web, par exemple en permettant à un utilisateur de faire de multiples demandes différentes, telles que la visualisation d’images, de texte et de vidéos sur n’importe quel site web, aussi complexe soit-il, sans délai. En d’autres termes, il réduit le temps de chargement des pages, améliorant ainsi l’expérience utilisateur et l’efficacité globale de la communication web.
Dans une attaque Rapid Reset, l’attaquant automatisera le processus de réalisation de centaines de milliers, voire de millions de demandes à la fois, puis les annulera immédiatement. Ce schéma de « demande, annulation, demande annulation » à une telle échelle inonde les sites web de trafic indésirable et est capable de désactiver les services de tout ce qui utilise HTTP/2, soit environ 60% de toutes les applications web.
Une manière plus connue d’effectuer une attaque DDoS est à l’aide d’un botnet. Un grand nombre d’appareils, qu’il s’agisse d’ordinateurs individuels ou des serveurs, souvent appelés « bots » ou « zombies », sont infectés par du malware, permettant à l’attaquant de prendre le contrôle sur eux. Ce réseau d’appareils compromis est appelé un « botnet ». L’attaquant peut désormais contrôler à distance la puissance collective dudit botnet pour envoyer un vaste volume de demandes ou de données au serveur ou au réseau cible, submergeant ses ressources sous un flot de trafic. Les services de la victime deviennent lents ou non réactifs, empêchant ainsi les utilisateurs légitimes d’y accéder.
Un botnet peut se composer d’une série d’appareils appartenant à un individu et tous interconnectés. On parle de l’Internet of Things (IoT). Cela peut inclure votre ordinateur à domicile, votre smartphone, votre smartwatch, votre smart TV, vos assistants personnels digitaux comme Alexa et Siri, ainsi que vos appareils ménagers connectés tels que vos enceintes, votre thermostat, voire même votre réfrigérateur. Ces dispositifs sont régulièrement utilisés pour lancer des attaques DDoS, ce qui s’est même étendu à l’utilisation dans la cyber-guerre.
Ce qui rend ces attaques particulièrement difficiles à combattre, c’est qu’elles ne durent souvent que quelques minutes, voire quelques secondes, ce qui, comme le déclare Cloudfare dans son rapport sur les menaces DDoS pour le T2 de 2023, « ne laisse pas suffisamment de temps à un être humain pour réagir. Avant même que l’alerte PagerDuty ne soit envoyée, l’attaque peut être terminée et les dégâts faits. Se remettre d’une attaque DDoS peut prendre beaucoup plus de temps que l’attaque en soi, tout comme un boxeur peut avoir besoin d’un certain temps pour récupérer d’un coup au visage qui ne dure qu’une fraction de seconde. »
Le nombre d’attaques DDoS ne cesse d’augmenter, avec près de 7,9 millions d’incidents enregistrés au S1 2023, ce qui représente une augmentation de 31% par rapport à l’année précédente, selon le rapport de renseignement sur les menaces DDoS de Netscout. Dans le but de les prévenir, de nombreuses tactiques peuvent être adoptées collectivement, notamment l’investissement dans la protection DDoS basée sur le cloud, le développement d’une stratégie d’atténuation, la mise en place de limites de taux pour le trafic entrant, l’utilisation de firewalls, et bien d’autres encore. Mais tout d’abord et surtout : de rester informé, de former les employés et de développer un plan d’intervention en cas d’incident.Top of Form
1 Référence à l'identifiant de vulnérabilité CVE-2023-44487
Sources: Cloudfare , Dark Reading , Qualys , Netscout
