jeu, 18/04/2013 - 12:00
Dire que les attaques par DDoS (Déni de Service Distribué) sont de plus en plus fréquentes et de plus en plus graves est une lapalissade. La menace est diffuse, souvent discrète, mais bien réelle. La gravité du phénomène est difficile à cerner avec précision, mais on peut affirmer que la plupart des grandes entreprises et administrations ont subi des intrusions. Plusieurs études révèlent en effet que 65 à 70 % des entreprises ont été victimes de cyber-attaques ciblées en 2012. Une enquête de Ponemon Institute aux Etats-Unis dévoile que l’année dernière, les deux tiers des banques et entreprises du secteur financier ont été frappées par des attaques DDoS. Pourtant, seules 17% d’entre elles se disent bien protégées. Par Emmanuel Le Bohec, Regional Manager chez Corero Network Security.
L’alerte est donnée
Autrefois, servant exclusivement dans les tentatives d’intrusion pour désactiver des équipements réseau ou sécurité, puis plus récemment utilisées comme moyen d’expression idéologique par les Anonymous – bien que ce but annoncé puisse parfois laisser dubitatif – les cyber-attaques apparaissent désormais comme un problème beaucoup plus grave et plus global, devenu surtout géopolitique et économique. Bien que peu d’entreprises admettent encore publiquement en être la cible, certains éléments montrent qu’il s’agit d’un phénomène généralisé. La question est assez préoccupante pour que l’administration américaine ait donné l’alerte et milite activement pour une meilleure protection des infrastructures du pays
En effet, les États-Unis, particulièrement concernés, prennent la chose très au sérieux. Les responsables des services de renseignement ont récemment fait part au Sénat de la vulnérabilité de la nation face au cyber-espionnage, au cyber-crime et à la destruction des réseaux informatiques, à la suite d’attaques menées par certains états, par les cyber-terroristes, les cybercriminels ou encore les hacktivistes.
En France, on note un certain retard de prise de conscience de la menace malgré l’alerte donnée par Jean-Marie Bockel et la montée en puissance de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), appartenant aux services du Premier Ministre. Dans son rapport, le sénateur critique les moyens alloués par l'Etat pour se défendre contre des attaques informatiques de grande ampleur et contre une cyber-guerre. On ne peut que s’inquiéter de cette situation. Bercy, l’Elysée - tout comme des institutions publiques de plusieurs pays - n’ont-ils pas déjà été l’objet d’attaques ?
Le risque du chaos
La lutte contre les cyber-attaques s’inscrit dans une conception globale de défense. Elle est aujourd’hui devenue prioritaire, au même titre que la lutte contre le terrorisme ou la prolifération nucléaire, et tout ce qui risque de mettre en cause la sécurité nationale. La remise prochainement au gouvernement du Livre blanc « Sécurité & Défense 2013 » insiste bien, à la fois sur cette nécessité et sur le retard pris parla France. Desmesures de protection propres aux activités socio-économiques doivent être prises, tout comme elles le sont pour la sécurité du territoire ou la garantie des institutions. Cela devrait se traduire en particulier par la prise de dispositions rendant obligatoire la mise en place d’outils de sécurité sur les systèmes d'information. L’attaque des systèmes d’information ne pourrait-elle pas conduire à la prise de commande des organes vitaux de la Nation, via les fameux Opérateurs d’Importance Vitale (OIV), menant au chaos dans les transports, l’énergie, la distribution, les médias et la finance ?
Cette éventualité est prise très au sérieux et ne relève pas d’un scenario de film catastrophe.
Mensonge ou aveuglement ?
Devons-nous craindre un manque de moyens de défense face à la multiplication des agressions subies par les entreprises ? On observe une lente mobilisation des Etats et une prise de conscience encore très limitée des entreprises dans le monde. Beaucoup, lorsqu’elles n’y sont pas obligées, ne signalent pas les attaques qu’elles subissent, craignant pour leur image. Ce qui est potentiellement dangereux pour leurs clients, leurs partenaires… et tous ceux qui échangent régulièrement avec elles. La prise de conscience n’est pas partagée par tous et le déni des attaques s’apparente à l’aveuglement, allant même jusqu’au mensonge sur la gravité des faits.
Aux Etats-Unis, les 27 plus grandes entreprises américaines cotées en bourse, ont nié avoir enregistré des pertes financières importantes à cause des attaques subies. Cela est contraire aux affirmations des autorités fédérales américaines pour lesquelles des milliards de dollars de secrets confidentiels ont été dérobés par ce biais. Le décalage s’explique. Les sociétés déclarent qu’elles ont été attaquées mais minimise les conséquences. Le rapport Bockel préconise également l'obligation de déclarer les attaques importantes du système d'information. Informer qu’on a été attaqué est sans aucun doute une démarche responsable. Bien qu’elles soient encore trop peu, on note que de plus en plus d’entreprises prennent vraiment conscience des dangers du piratage informatique, en révélant les tentatives des hackers pour infiltrer leurs réseaux et dérober des données sensibles. C’est le cas par exemple d’EADS et ThyssenKrupp, qui selon Der Spiegel ont été les cibles, l'année dernière, de cyber-attaques venues de Chine. Officiellement, EADS confirme qu’il s’agit d’une "attaque standard" sans conséquence. Mais pour l’hebdomadaire allemand, la cyber-attaque a été jugée suffisamment importante pour que le groupe aéronautique et aérospatial civil et militaire alerte le gouvernement allemand.
Le cyber-espionnage s’amplifie
Les attaques DDoS augmentent en fréquence mais aussi en gravité. Au-delà des attaques impliquant un très gros débit, ce sont surtout les attaques par déni de service applicatif qui ont le vent en poupe. Plus faciles à mettre en œuvre, plus discrètes, elles n’en sont pas moins dévastatrices et représentent désormais entre 60 et 80% des attaques, selon les études. Et la tendance ne semble pas prête à s’inverser. Mais le plus important est de comprendre que les attaques par déni de service, quel que soit leur type, ne sont que la partie émergée de l’iceberg. L’attaque vise en réalité à pénétrer le réseau de l’entreprise-cible. D’ailleurs, les entreprises sont les premières visées car détentrices de brevets, de données personnelles, financières, géographiques, météorologiques, sanitaires… Et, chaque attaque par déni de service majeure a donné lieu par la suite, à une seconde vague prenant la forme d’une divulgation d’informations volées au moment de l’attaque. Comme si, au cas où les effets du DDoS n’auraient pas été suffisamment remarqués et la réputation de l’entreprise entachée, l’attaquant voulait s’assurer que ses actions éclatent bien au grand jour et soient révélées au plus grand nombre.
Chaque entreprise, PME ou grand compte, est une cible potentielle pour les criminels informatiques. A la demande de Corero Network Security, le Ponemon Institute a mené une enquête. 650 professionnels de l'informatique et de la sécurité, représentant 351 banques dont les plus importantes au monde, ont été interrogés. Il s’avère que 64% des professionnels sondés révèlent que leur banque a subi de multiples attaques DDoS en 2012 et 78% d’entre eux s’attendent à ce que le phénomène persiste voire s’amplifie. Les attaques DDoS et les attaques zero-day - qui exploitent une vulnérabilité jusqu'alors inconnue - sont les menaces les plus graves. On observe d’ailleurs de plus en plus la combinaison des deux. Une personne sur deux interrogées dans le cadre de l’enquête, déclare que la pénurie de personnels compétents, le manque de technologies de sécurité efficaces et l’insuffisance de ressources budgétaires sont les obstacles majeurs qui empêchent de contrer les attaques par déni de service distribué.
Toute entreprise connectée à Internet peut subir une attaque DDoS. Pourtant, on s’aperçoit avec inquiétude que la grande majorité des organisations compte sur des solutions inefficaces (parce que non conçues pour cela) comme les anti-virus et les pare-feu pour se protéger contre ces attaques par DDoS.
Chaque technologie doit pouvoir jouer son rôle
Face à ce danger omniprésent, l’inquiétude est légitime. Nos entreprises sont-elles bien préparées à contrer les attaques de nouvelle génération ? Font-elles les bons choix techniques et stratégiques de défense ? Des solutions nouvelles existent pour résister à la déferlante des attaques DDoS, des attaques ciblées, des botnets, des attaques force-brute et empêcher la fuite et le vol de données. Il s’agit d’unités qui filtrent les flux et éliminent le trafic de l'attaque avant qu'il ne frappe le réseau et sans que le trafic légitime ne soit ralenti ou bloqué.
Parce que les attaques DDoS visent de plus en plus fréquemment la couche applicative du système d’information, une nouvelle approche est nécessaire pour se défendre. La technologie traditionnelle des pare-feu, proxies et IPS détectant sur signatures, n'a pas été conçue pour arrêter les attaques visant la couche applicative et cherchant à simuler des acteurs légitimes. Les attaquants le savent.
De plus, l'attaque par DDoS n’est parfois qu’une diversion pour pénétrer sur le réseau et effectuer une invasion plus insidieuse. Pour ce faire, les pirates ciblent le pare-feu, mis en place par l’organisation pour se protéger et qu’ils utilisent contre elle ! Aussi convient-il de disposer une première ligne de défense - moyen simple pour bloquer le trafic indésirable avant qu'il n’atteigne le pare-feu et l’IPS - laissant ces derniers faire le travail pour lequel ils ont été conçus. Pourquoi s’en priver ? Les attaques n’arrivent pas qu’aux autres.
Emmanuel Le Bohec, Regional Manager chez Corero Network Security
A propos de l'auteur