ven, 28/03/2014 - 12:28
« Allo ? Ici le commissariat, on vient de fracturer votre bureau, merci de venir vérifier si on ne vous a rien volé, toutes affaires cessantes ». Voilà une manœuvre de diversion classique, qui permet aux cambrioleurs de profiter de votre absence certaine pour pénétrer chez vous et faire main basse sur vos biens les plus précieux.
Un type d'attaque équivalent existe dans le cybermonde. Le DDoS remplace le faux coup de fil en détournant l’attention des professionnels du réseau et de la sécurité qui se précipitent alors pour contrer l'attaque par déni de service.
Les DDoS sont aussi une méthode extrêmement efficace qu’utilisent les états pour masquer leurs intentions réelles. Les exemples sont multiples. Parmi les plus récents, l'Otan a été la cible d'attaques informatiques par DDoS revendiquées par des pirates ukrainiens, suite à plusieurs autres attaques menées contre l'Ukraine où un puissant virus informatique aurait infiltré des ordinateurs, selon un rapport du groupe britannique de défense BAE Systems. Nul ne sait quel était l’objectif réel de ces représailles.
Comment une attaque DDoS peut-elle masquer un vol de données ?
Utiliser le déni de service pour faire diversion est à la fois simple et redoutable. Pendant que l’entreprise est occupée à repousser l’attaque, les cybercriminels ont le loisir de contourner la sécurité affaiblie pour voler des informations monnayables ou stratégiques. Et les cas de diversion se multiplient, tant la méthode est efficace. Lorsqu’une entreprise est attaquée, tous les yeux et toutes les alertes se focalisent sur l'attaque. Il ne reste que peu de personnes et moins de ressources pour maintenir la protection du système d’information. L’attaque distrait les experts de la sécurité, occupe les systèmes de sécurité, différant ainsi l’examen de nouvelles alarmes. Les voleurs ou les pirates ont alors le loisir d’intervenir à partir de comptes à privilèges, par exemple pour détourner des fonds dans une banque, exfiltrer des données ou installer un système espion qui sera utilisé plus tard.
Surveiller les attaques par DDoS
Pour de nombreux observateurs, les outils étant faciles à obtenir sur le marché clandestin du piratage, ce type d’attaque va encore se développer dans les mois qui viennent. Pour les contrer, les entreprises doivent rester vigilantes et accroître leur protection.
L’an dernier, diverses attaques DDoS, dirigées contre les institutions financières ont servi de couverture à des fraudes. Plusieurs banques ont été victimes de virements non autorisés. Les cyber-malfaiteurs prennent le contrôle du système de transfert monétaire, faisant main basse sur les avoirs des clients ou détournant des ordres à leur profit. Une attaque par DDoS est alors lancée, avant ou après le transfert de fonds, empêchant que la banque puisse identifier rapidement la transaction frauduleuse.
Subissant un flot d’attaques, les institutions financières en pointe cherchent à accroître leur protection et unissent leurs efforts pour mieux endiguer le fléau. Face à l’ampleur des attaques par déni de service distribué, les banques n’ont en effet guère le choix. Elles doivent prendre des mesures vigoureuses.
Former le personnel de l’entreprise
C’est un fait malheureusement indéniable : c’est le plus souvent une erreur interne qui permet l’intrusion. Informer les salariés des ruses utilisées par les cyber-délinquants est donc essentiel. Le clic sur un lien ou l’ouverture de la pièce jointe d’un e-mail provenant d’une personne inconnue peut être le point de départ d’un processus qui sera difficilement maîtrisable. Le phishing est aussi un moyen efficace pour une personne mal intentionnée de placer un logiciel malveillant dans un système et de voler des informations. Il faut aussi sécuriser absolument toutes les connexions au réseau de l’entreprise et aux informations de du système depuis un ordinateur, une tablette ou un smartphone personnel... Enfin, il convient de surveiller les comptes à privilèges, les connexions et les activités qui se produisent en dehors des heures de bureau. L’examen des journaux de sécurité permet de déterminer si des activités suspectes ont eu lieu avant, pendant ou après l'attaque.
Mais il faut aller encore plus loin et mettre en place une solution anti-DDoS, contrant les attaques du réseau et éliminant le mauvais trafic avant qu'il n’atteigne d'autres parties de l’infrastructure .
Une première ligne de défense
Les solutions de sécurité traditionnelles comme les pare-feu et les IPS se révèlent malheureusement parfaitement inefficaces face aux cyber-menaces avancées. Elles sont d’ailleurs souvent elles-mêmes la cible d'attaques. C’est pour cette raison qu’il est nécessaire de déployer une première ligne de défense entre Internet et le réseau de l'entreprise, construite pour résister aux cyber-menaces modernes, assurant ainsi la continuité des activités et des services. Les interruptions ou blocages de service que provoquent les attaques peuvent avoir un coût très élevé selon le type d’activité en ligne. Elles occasionnent une perte de productivité mais altèrent aussi fortement l’image de l'entreprise.
La première ligne de défense offre une protection sans interruption contre les cyber-menaces qui évoluent en permanence. Elle arrêtera un large éventail d'attaques DDoS et de cyber-menaces de nouvelle génération, sans dégrader les performances de l’entreprise. Il faut en effet une protection maximale des actifs informatiques critiques tout en autorisant un total accès pour les utilisateurs légitimes et aux applications. En écartant les menaces des DDoS, la sécurité du réseau répond aux exigences de protection de l'entreprise moderne et conserve le patrimoine numérique en évitant les fuites de données. Il est ainsi possible de contrer la cupidité des cybercriminels utilisant les attaques DDoS pour détourner des fonds ou dérober des informations monnayables ou des données sensibles.
La prévention est la vraie bonne méthode
Contrer une attaque identifiée, en analyser les effets, remettre le système affaibli en état de rendre à nouveau les services requis est indispensable, et c’est le rôle des équipes d’experts et de maintenance sécurité. Mais cette intervention technique s’effectue quand le mal est déjà fait, et le ver peut-être dans le fruit. La prévention par la formation, la protection par une ligne de défense qui agit avant que l’attaque n’atteigne son but, laissant aussi les pare-feu et les IPS jouer pleinement leur rôle, voilà sans aucun doute la méthode la plus appropriée. Pour qu’une simple attaque DDoS ne soit pas le début d’une cascade de phénomènes plus graves pour l’entreprise.
A propos de l'auteur
Adrian Bisaz est Vice President Sales EMEA de Corero Network Security. Il travaille depuis plus que 25 ans avec des sociétés de technologies innovantes dans les domaines des opérateurs de télécommunications, des réseaux d’entreprise, de la sécurité et des solutions de mobilité. Basé en Suisse, Adrian Bisaz couvre les territoires francophone et germanophone en Europe pour Corero Network Security.