Support technique
Documentation
Connexion
Nous contacter
Combattre le déni de service à la source
Joao Correia
27 février 2023 - Évangéliste technique
Les attaques par déni de service (DoS) constituent un type particulier de menace de cybersécurité. L'attaquant n'a pas besoin de pirater vos systèmes ou de trouver une faille dans votre dispositif de sécurité. Il n'a même pas besoin de disposer de connaissances ou de ressources substantielles pour lancer une attaque par déni de service efficace. Il lui suffit de payer 30 USD par mois pour louer un botnet et priver d'Internet le réseau d'une petite ou moyenne entreprise pendant un certain temps.
Les attaques par déni de service (DoS) - non, pas MS-DOS, le vénérable système d'exploitation d'autrefois - se divisent en deux grandes catégories : un trafic réseau écrasant qui empêche effectivement le trafic légitime d'atteindre vos systèmes et des demandes écrasantes qui mobilisent une quantité considérable de ressources pour répondre et empêchent les demandes légitimes d'être traitées par vos systèmes. Il existe d'autres scénarios limites qui relèvent du déni de service au sens large (par exemple, endommager physiquement un serveur ou une ligne de communication), mais il s'agit de cas particuliers plutôt que de la norme.
Il existe également une distinction entre une attaque par déni de service lancée par un seul individu et un seul système source, ou avec un nombre réduit de systèmes sources, et celles lancées par des centaines de milliers de systèmes simultanément contre un système ou un réseau cible (attaque par déni de service distribué, ou DDoS).
En 2020, Amazon a annoncé avoir réussi à se défendre contre la plus grande attaque DDoS publiquement connue à l'époque : 2,3 Tbps de trafic frappait le réseau AWS, ciblant un petit sous-ensemble de services hébergés. Cela représente 2,3 térabits de trafic par seconde, chaque seconde, pendant un certain temps. C'est près de 300 gigaoctets par seconde, ou, en chiffres de vieux, 67 DVD de données par seconde, chaque seconde (si vous n'êtes pas familier, un DVD est comme Netflix, mais sans la partie "net", et ne contient qu'un seul film).
Mais c'était en 2020. En 2018, github s'était défendu contre une autre attaque à grande échelle d'une taille à peu près équivalente - 1,3 Tbps. Il s'agit toujours d'une quantité stupéfiante de données, mais en termes actuels, c'est comme une peinture rupestre comparée à la Joconde.
Avance rapide jusqu'en 2023, et CloudFlare vient d'annoncer qu'ils avaient arrêté une attaque DDoS de 71 millions de requêtes par seconde.. Bien que nous ne puissions pas exactement comparer les chiffres, car AWS a présenté ses résultats en termes de trafic réseau et Cloudflare en termes de demandes par seconde (ou encore, l'attaque d'AWS était du type inondation du réseau et celle de CloudFlare du type épuisement des ressources), il s'agit tout de même d'un chiffre incroyablement élevé.
Comment est-il possible de lancer des attaques de cette ampleur ?
Plusieurs facteurs contribuent à la croissance apparente de l'échelle que connaît DoS. Tout d'abord, et c'est assez important, les fournisseurs de nuages à très grande échelle disposent des plus grandes connexions réseau de l'Internet, de sorte que le trafic de cette ampleur sera en mesure d'atteindre leurs réseaux et services hébergés. Deuxièmement, le lancement d'une attaque DoS ne dépend pas "uniquement" des ressources propres de l'attaquant.
Pour lancer des attaques DoS réussies, il faut généralement exploiter les vulnérabilités d'une multitude de systèmes involontaires. Une tactique courante consiste à trouver un type de service qui répond à une requête avec plus de données que celles qui lui ont été envoyées - par exemple, une requête DNS pour google.com répond avec beaucoup plus de caractères que ceux qui ont été initialement envoyés dans la requête. Si vous pouvez également trouver un moyen de tromper le serveur DNS pour qu'il envoie la réponse à votre cible, vous venez de trouver les pions dont vous avez besoin pour effectuer un DoS. C'est ce qu'on appelle un " DoS d'amplification ".
De nombreux services se sont révélés vulnérables à l'amplification, c'est-à-dire susceptibles d'être exploités par un attaquant pour inonder une cible, comme les services suivants serveurs DNS BIND ou serveurs LDAP exposés à l'Internet. Ainsi, un seul attaquant sirotant un café à la maison pourrait compiler une liste de serveurs DNS (et il y en a des milliers), écrire un script simple et, ta-da ! - Une attaque DDoS prête à être lancée.
Si un attaquant ne veut pas se donner la peine d'effectuer une simple recherche Shodan pour ces serveurs DNS, il dispose peut-être de 30 USD pour s'abonner à une offre DoS-as-a-service. Oui, c'est bien cela. Avec seulement 30 dollars par mois, vous pouvez "louer" un botnet prêt et disposé à participer à de telles entreprises. Payez plus pour avoir plus de bots ou des périodes de disponibilité plus longues pour vos attaques.
Qu'est-ce qu'un botnet, vous demandez-vous ? Eh bien, il s'agit d'un groupe de postes de travail ou de serveurs, généralement d'entreprise, dotés d'un logiciel caché qui leur permet d'être contrôlés à distance - et donc de devenir des armes - par un acteur ou un groupe de menaces malveillant.
Et quel est l'intérêt d'une attaque DoS ?
Le gain financier ou le préjudice financier sont généralement les motivations. Il peut s'agir de prendre une organisation en otage en la menaçant de "nous payer un montant X en bitcoins ou vos systèmes seront déconnectés", ou de causer un préjudice financier direct en mettant hors service les systèmes qui permettent à une entreprise de faire des affaires ou des ventes.
Quel que soit le choix de l'attaquant, la victime perd.
Comment pouvez-vous le combattre ?
À part demander à votre fournisseur d'accès de filtrer le trafic ou faire appel à un service de protection comme Cloudflare, vous ne pouvez pas faire grand-chose. Et même dans ce cas, vous ne "résolvez" pas le problème, vous ne faites qu'ajouter un tampon (en espérant qu'il soit suffisamment grand) entre votre réseau et l'attaquant. Au moment où votre pare-feu de périmètre ou d'application coupe le trafic DoS, il est déjà trop tard - le tuyau est déjà bouché et il importe peu que vous bouchiez l'évier ou non. Et, même si vous parvenez à éviter que le trafic n'atteigne votre réseau, il peut être d'une telle ampleur qu'il inonde le réseau de votre fournisseur d'accès et finit par affecter votre disponibilité, quels que soient vos efforts.
Et c'est là qu'une attaque DoS se distingue des autres menaces de cybersécurité classiques, comme les ransomwares ou un pirate informatique qui s'introduit dans un système. L'attaquant n'a pas besoin d'une connaissance approfondie de vos systèmes, ni de compétences en matière de piratage, et même si vous avez appliqué des correctifs à temps pour satisfaire aux exigences de conformité, cela ne fait pas vraiment de différence.
Pour lutter efficacement contre les attaques par déni de service, il faut déployer des efforts plus importants pour combattre directement les réseaux de zombies et les services d'amplification des correctifs, plutôt que d'opérer au niveau des cibles. En quelque sorte, il s'agit d'éliminer les armes plutôt que de protéger les cibles.
Les réseaux de zombies sont créés lorsque des systèmes sont infectés, et c'est l'approche traditionnelle - phishing, vulnérabilités non corrigées, mauvaises configurations - qui peut effectivement être corrigée efficacement. Les services d'amplification sont généralement le résultat de bogues au niveau de la conception ou de la mise en œuvre de ces services - et cela peut également être corrigé. Cela ne fait que renforcer la nécessité d'appliquer des correctifs appropriés à tous vos systèmes. Non pas parce que vous êtes la victime d'un DoS, mais parce que vos systèmes peuvent être l'arme qui vise les systèmes de quelqu'un d'autre.
La meilleure option pour lutter contre ce problème est de s'attaquer à la source, et la "source" est tout système infecté ou non patché. Comme il n'est pas possible de deviner quel service va se révéler vulnérable pour être utilisé comme amplificateur dans une telle attaque, le meilleur conseil est de simplement patcher tout ce que vous pouvez, partout où vous le pouvez, et de le faire tout le temps. Si cette solution vous semble trop contraignante parce qu'elle est perturbatrice, recherchez des options non perturbatrices, telles que le patch en direct.
En assurant la sécurité de vos propres systèmes, vous contribuez également à assurer la sécurité des systèmes des autres.
