Pour des objectifs souvent très différents, de courtes attaques DDoS jouent un rôle de profilers réseau. Observant la stratégie de défense et de sécurité du réseau de leur cible, les DDoS - éclaireurs collectent des renseignements qui permettront à des attaques ciblées complexes et sophistiquées de contourner les outils de cyber-sécurité de l'entreprise visée. DDoS et APT, même combat.

Le paysage des menaces DDoS change. Historiquement, DDoS (distributed  denial of service attack) était le nom donné aux attaques qui bloquaient ou ralentissaient l'accès aux sites web ou aux solutions basées sur le web. Bien que ce soit encore vrai dans bien des cas, les entreprises subissent aujourd’hui un nouveau type d’attaque par DDoS. Celles-ci sont désormais opportunistes (i.e. les attaques qui ont suivi les événements de janvier 2015 en France) et ciblées. Les motivations sous-jacentes sont multiples : cyber-terrorisme, politique et idéologie, fraude, rançon, appât du gain, exfiltration de données et même avantage compétitif… Avec autant d’intérêts en jeu, les attaques sont nombreuses et la menace croît.

Par exemple, au dernier trimestre 2014, Corero Network Security a observé que ses clients, hébergeurs, data centers, FAI et entreprises en ligne, tous professionnels expérimentés, ont subi en moyenne près de 4 tentatives journalières d'attaques par DDoS ! En particulier, un seul et même client, dans un environnement de multi-data center, a supporté 12 attaques/jour, en moyenne, pendant trois mois.

Les fournisseurs de mitigation des DDoS publient aussi des informations à ce sujet, bien sûr axées sur le cloud. Très intéressants en ce qui concerne les attaques DDoS à grande échelle, ces rapports ne parlent cependant que d’une fraction du trafic DDoS auquel chaque entreprise doit faire face quotidiennement.

Les nouvelles attaques DDoS risquent de passer inaperçues ! Mais le mal est fait

Les attaques DDoS font régulièrement la une des journaux. La majorité des non-spécialistes pensent qu'il n’existe qu’un seul type d'attaque par DDoS. Pour eux, DDoS est synonyme de volume important et de longue durée. C’est malheureusement faux. Certaines attaques dont ont été victimes les hébergeurs, les data centers, les FAI et les entreprises en ligne évoqués dans notre propos, ont duré moins de cinq minutes et 96% d’entre elles ont été inférieures à 30 minutes ! Ce qui remet en cause ce que l’on savait sur le sujet. De toute évidence, cette nouvelle tendance constitue un changement radical. Nous avons désormais affaire à de courtes explosions de trafic et de moins en moins à des attaques prolongées.

Une seconde tendance est synonyme de plus grand danger encore. Nous assistons actuellement à des attaques par saturation partielle des liaisons et non plus par inondation totale du réseau. Si l’on se réfère à l’exemple des clients de Corero, 87% des tentatives d'attaques utilisaient moins de 1 Gbps de bande passante. L'attaque est conçue pour laisser suffisamment de bande passante disponible pour d’autres attaques qui sont très sophistiquées et multi-vectorielles avec comme objectif principal l’exfiltration de données. C’est une méthode furtive où l’on vole sous la couverture radar. Si ce type d'attaque DDoS n’est pas atténué ou bloqué au niveau du réseau, il peut ne pas être remarqué par les solutions de sécurité traditionnelles et passer complètement inaperçu. L’attaque DDoS visible est en réalité un subterfuge, une intox qui masque la réalité : une autre attaque, discrète et dangereuse se prépare à partir des renseignements obtenus sur la stratégie de sécurité de la cible grâce à ce déni de service.

Des attaques DDoS multi-vectorielles et adaptables à leur cible

Les DDoS sont historiquement considérés comme des attaques volumétriques. Ce n’est pas surprenant. Les attaques avec une consommation élevée de la bande passante sont plus facilement identifiables par les solutions de défense sur site ou basées dans le cloud ou par la combinaison des deux. Mais les choses changent et les attaques s’affinent. La tendance qui se profile montre que les attaquants mettent en œuvre des méthodes multi-vecteur qui s’adaptent à leur cible afin de profiler la défense du réseau visé. Fort des renseignements obtenus,  ils lancent ensuite une seconde voire une troisième attaque qui contournera les couches de protection de l'entreprise. Si les attaques volumétriques demeurent encore le type d'attaque le plus courant, les attaques adaptatives sont de nouvelles menaces dont il faut tenir compte et qui ciblent de plus en plus d’entreprises(1).

Quelle défense adopter ?

Les entreprises ont besoin de moyens de défense supplémentaires pour se prémunir contre un tel risque. A peine de courtes rafales de trafic illégitime sont-elles observées qu’il faut décider de la nécessité d’une intervention. Va-t-on basculer ou non vers le service anti-DDoS basé dans le Cloud ? Le temps de détection du trafic illégitime additionné au temps de lancement des mesures de mitigation peut durer plus d'une heure. Compte tenu, nous l’avons déjà dit, que 96% des attaques DDoS ont une durée de 30 minutes ou moins, le temps que la défense à la demande soit engagée, le mal est fait. De plus, ce n’est pas une surprise, le coût substantiel d’une approche de défense à la demande pour chaque attaque DDoS de courte durée à saturation partielle devient un vrai problème.

Défense anti-DDoS en temps réel

L'exécution précise de la politique de mitigation contre le trafic des attaques DDoS doit s’accomplir avec une efficacité maximum et conserver une haute disponibilité des réseaux. Sur site ou en ligne, la technologie est conçue pour gérer les différents types de DDoS en temps réel. Du fait de leur capacité en bande passante et de leur volume de clients, les attaques DDoS et les cyber-menaces constituent un important challenge pour les fournisseurs de service internet, particulièrement visés.

Les solutions en ligne de protection préventive contre les DDoS et les cyber-menaces permettent aux  hébergeurs, aux data centers et aux FAI de répondre au défi des DDoS. Ils protègent non seulement leur infrastructure mais aussi celle de leurs clients des DDoS. Les fournisseurs des services internet peuvent ainsi étendre leur offre en proposant des services de sécurité à valeur ajoutée contre les menaces à leurs clients hébergés.

Dans l'entreprise, une solution sur site de protection contre les DDoS devra être déployée en complément des pare-feu traditionnels ou de nouvelle génération, des IPS, des ADC et de tous les dispositifs de sécurité des infrastructures. Il est en effet indispensable d’empêcher que le trafic non désiré des attaques accède au réseau. Les risques sont alors réduits et les interruptions de service du site web à la suite d'une attaque DDoS diminuées.

Les attaques par déni de service sont une réelle menace. Elles deviennent de plus en plus sophistiquées depuis quelques années. Les attaques deviennent multi-vectorielles  et intelligents ; elles débordent les mécanismes traditionnels de défense et les contre-mesures. Comme l’expérience de certains fournisseurs l’indique, la régularité de la progression et de la virulence de ces attaques souligne simplement le besoin croissant d’une protection adaptée pour les vaincre à la périphérie du réseau. Tout le monde sur ce sujet est d’accord : rien n’est plus important que d’assurer la fluidité de l’accès à l'entreprise connectée à Internet ou aux fournisseurs d'accès Internet eux-mêmes.

(1) Pour consulter le rapport trimestriel complet Tendances et analyse des DDoS, cliquez sur : http://www.corero.com/DDoS_Trends_Report_Q4_2014.