Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

DDoS : à nouveaux enjeux, nouvelle approche

DDoS : à nouveaux enjeux, nouvelle approche
2011-12-212013-02-11DDoS/Botnetsfr
Il suffit de suivre l'actualité de la sécurité des systèmes d'information (Printemps arabe, Renault, Sony...etc.) pour se rendre compte que la sécurité des systèmes d'information constitue de plus en plus un levier de performance pour les directions des systèmes d'information ... Je...
Publié le 21 Décembre 2011 par Ayoub Figuigui dans DDoS/Botnets
stop

Il suffit de suivre l'actualité de la sécurité des systèmes d'information (Printemps arabe, Renault, Sony…etc.) pour se rendre compte que la sécurité des systèmes d'information constitue de plus en plus un levier de performance pour les directions des systèmes d'information. Ceci afin de protéger le patrimoine informationnel des entreprises et définir un moyen pour garantir la disponibilité de l'information et la continuité des services offerts aux utilisateurs finaux.

entrons dans le vif du sujet !

Ces dernières années la communauté des pirates a développé des capacités d'attaque permettant de nuire aux plus grandes entreprises au monde. Ceci me ramène à une conclusion : Internet, ce gigantesque système d'information, peut jouer et joue un rôle primordial dans le changement du visage du monde.

Je m'intéresserai exclusivement dans cet article à proposer une réponse pour maîtriser un risque dont une entreprise peut souffrir, celui des dénis de service distribués (DDoS), c'est-à-dire être inondée de requêtes simultanées qui paralysent le système d'information et empêche la continuité de son fonctionnement. L’objectif ici, est de montrer les enjeux derrière ce risque et formaliser une nouvelle approche pour adresser ce problème.

nouveaux enjeux ?

L’intérêt porté pour cette problématique vient du contexte mondial actuel qui montre que les attaques DDoS connaissent une évolution inquiétante pour les entreprises. La simplicité du concept de ces attaques, leur efficacité et la multitude des sources de motivation (hacktivisme, extorsion de fonds, avantage concurrentiel…) font de ce type d’attaque un des plus utilisé dans le panorama du monde « underground » de la sécurité des systèmes d’information.

En effet, cette diversité des sources de motivation offre aux cybercriminels une multitude de raisons pour se prendre aux ressources et au patrimoine informationnel des organisations. Ainsi, plusieurs groupes de hackers ont vu le jour au cours des deux dernières années (2010-2011). « LulSec » et « Anonymous » restent les plus connus de ces groupes par leurs actions au cours de l’année 2011contre les sites gouvernementaux (États-Unis d'Amérique, Angleterre, Espagne …etc.) mais aussi contre les entreprises du secteur privé.

Le cas Sony reste de loin l'exemple le plus extrême en termes d'impacts financiers et d'impacts sur l'image de marque suite à l'attaque DDoS subit par cette dernière en Avril 2011 et dont le résultat s'est traduit par 70 millions de comptes utilisateurs du service PSN (PlayStation Network) publiés et accessibles sur Internet et une perte financière estimée à quelques dizaines de millions d'euros.

DDoS : légende ou réalité ?

Pour ceux d'entre vous qui se posent encore la question. Les statistiques présentées par le " Kaspersky Lab " au cours du deuxième semestre 2011 montrent que 89% du trafic DDoS est généré par 23 pays. Cette répartition à été faite sur la base de données d'attaques DDoS collectées à l'échelle mondiale.

La collecte de ces données d'attaque DDoS s'est basée sur l'utilisation des techniques de filtrage et de géo-localisation permettant d'identifier la source géographique des attaques.

Ces statistiques mettent les États-Unis et l'Indonésie au sommet des pays générateurs du trafic DDoS. Ceci peut s'expliquer par le fait du nombre important d'ordinateurs aux États-Unis. Par contre pour le cas indonésien, cette étude révèle une absence des mesures de sécurité sur le segment réseau de ce pays et par conséquent l'identifie comme une cible privilégiée des pirates informatique pour déployer leurs réseaux Botnet.

attaque en déni de service (DDoS)

Source : http://www.securelist.com/en/analysis/204792189/DDoS_attacks_in_Q2_2011

Des statistiques plus alarmantes consistent à présenter l'évolution de la consommation de la bande passante réseau par ce type d'incidents. Par exemple " Arbor Networks " le leader mondial des solutions anti-DDoS présente dans son livre blanc "Anatomy of a botnet whitepaper" l'évolution des attaques DDoS pour les 9 dernières années.

attaque en déni de service (DDoS)

Face à cette situation il est de plus en plus important de trouver une nouvelle approche pour maîtriser ce risque et fournir une réponse à chaud pour réduire son impact sur la disponibilité et la continuité du business.

nouvelle approche ?

Dans une perspective de prise de conscience du danger que représentent les dénis de service sur les infrastructures réseau des entreprises. Il est clair que la formalisation d'une nouvelle approche pour maîtriser ce type d'attaques s'impose.

Ceci me ramène à une réflexion sur la manière de concevoir une solution anti-DDoS dans le Cloud (Tout le monde parle du Cloud aujourd'hui. Pourquoi ne pas disperser le monstre DDoS dans les nuages ?). Le principe est de fournir une solution qui peut être qualifiée comme un service " Anti-DDoS as a Service " (ADaaS) ou, dit autrement, une solution de mitigation des DDoS dans le nuage. Qui dit nuage, dit parachute pour nous ramener sur la terre ferme ou un Umbrella pour atterrir en douceur. Cette solution se base sur un mécanisme de centre de nettoyage déployé sur le réseau d'un FAI pour limiter voire annihiler l'impact de ce type d'attaques sur l'infrastructure ciblée.

un centre de nettoyage !?

Rassurez-vous, je ne ferai pas du réseau un car wash ou une laverie, quoique le principe s'approche de cette vision. Ce principe permet de faire le tri du trafic malicieux (linge de couleur) du trafic normal (linge clair) à destination de l'infrastructure réseau ciblée. L'objectif est de maîtriser tout décollage du trafic pour le faire atterrir en douceur à l'arrivée à sa destination.

attaque en déni de service (DDoS)

Bien sûr il existe d'autres approches pour protéger l'infrastructure destinataire du trafic (CDN, Peering, Blackholing, redimensionnement de la bande passante, etc.), Cependant toutes ces solutions peuvent avoir des impacts en termes de coût ou d'accessibilité des infrastructures face à des attaques de plus en plus violentes et consommatrices des ressources réseau.

un mot pour la fin

La période des fêtes de fin d'année constitue une date privilégiée des pirates pour lancer des attaques DDoS qui en addition des montées de charge du trafic réseau peuvent constituer un énorme problème pour garantir la disponibilité des sites e-commerce.

L'objectif ici, n'est pas de vous raconter des cauchemars (Surtout que le contexte de cette période festive ne nous le permet pas), cependant il faut savoir que cette réalité met de plus en plus de pression sur les plateformes d'achat en ligne. De ce fait, l'adoption de cette nouvelle approche peut être un moyen pour garantir l'accessibilité de ces plateformes afin de donner le sourire aux enfants (Toujours en attente des cadeaux que leurs offre généreusement le père Noël).

Bonnes fêtes à tous et si vous vous posez encore (dans ce monde ou le cloud fait foi) la fameuse question : " where is my Umbrella ? " la réponse est claire " ask for a Cleaning Center ".

Ayoub

6 Commentaires

  • 23 Décembre 2011
    2011-12-23
    par
    Bonjour,
    Bien que fortement médiatisées, les attaques de très fortes volumétries ne sont pas forcément représentatives de ce type de menace. De nombreuses attaques - dont le débit est inférieur à 1Gbps par exemple - engendrent bien souvent une indisponibilité des services de la victime.
    Le positionnement de la protection DDoS chez les opérateurs permet néanmoins de pouvoir encaisser des débits très élevés.
    L'approche via la sécurisation du poste client est purement illusoire à plusieurs titres :
    - cela nécessiterait une mobilisation globale de tous les FAI (bullet-proof compris !), difficilement applicable sans législation « mondiale » qui n'existe pas
    - le bridage du nombre de connexions/seconde ne limitera ni les attaques volumétriques en paquets/seconde, ni les attaques de type « slow loris »
    - le poste client n'est qu'un des éléments constitutifs des botnets, il faut notamment y ajouter les serveurs infectés qui ont eux besoin de ressources réseaux importantes par définition
  • 22 Décembre 2011
    2011-12-23
    par
    Willy
    Bonjour,

    ces approches de nettoyage en mode cloud ont déjà fait leur apparition. Regardez d'ailleurs ce que fait Prolexic sur ce sujet. Toutefois, je pense que cette course est perdue pour les années à venir à cause de la croissance au moins quadratique sinon exponentielle du débit des attaques. Aujourd'hui, il est illusoire de se pointer chez un quelconque provider de cloud en imaginant pouvoir encaisser une charge de 100 Gbps. Et en 2012, on sera peut-être à 200 Gbps. La bonne approche serait plutôt de sécuriser là où le mal se trouve, donc côté client. On ne peut pas compter sur les clients pour sécuriser leur poste, mais on pourrait sans doute demander aux fournisseurs d'accès de limiter le nombre de connexions par seconde émises par chaque client, quitte à couper l'accès une journée sur dépassement soutenu. Un particulier a rarement besoin d'initier 100 connexions par seconde de manière soutenue !

  • 21 Décembre 2011
    2011-12-23
    par
    Bonjour Victor,

    Merci pour la remarque (je l'ai prise en compte pour corriger l'article :) ). Ceci dit, effectivement les attaques ont été lancées en Avril mais l'histoire remonte à Mars suite à la bataille juridique lancée par Sony contre toute personne qui contribue au piratage de la console PS3. Telle chose a attiré l'attention des Anonymous qui ont lancé l'opération Sony en Avril 2011 comme signe de protestation contre l'artillerie juridique mise en place par Sony à l'encontre du hacker "GeoHotz" et du groupe "Fail0verflow". Sinon je suis tout à fait d'accord sur le fait que les attaques DDoS ne constituent pas le moyen principal utilisé pour voler les comptes PSN, cependant elles ont contribué de manière indirecte en attirant l'attention du personnel de la sécurité chez Sony pour essayer de se protéger de ce type d'attaque et baisser la garde sur d'autres vulnérabilités qui ont permis de récupérer les comptes PSN.

    Ayoub,
  • 21 Décembre 2011
    2011-12-23
    par
    Bonjour Franck,

    Certes la manière dont le sujet est abordé laisse penser que c'est une conclusion personnelle. Néanmoins je ne fait que rapporter l'information publiée par le "Kaspersky lab" et je vous invite à jeter un coup d'œil sur le lien de l'étude pour de plus amples informations.

    Merci et bonnes fêtes,
  • 21 Décembre 2011
    2011-12-23
    par
    Victor
    Une petite boulette dans l'article :
    - Pour le cas de Sony, ça s'est
    passé en Avril et non en Mars. De plus, ce n'est pas une attaque de type
    DDoS qui a permis de voler les comptes du PSN. Ce sont deux choses bien
    différentes malgré que cela soit arrivé à quelques jours d'intervalle.

Pages

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage