Les principales menaces en entreprise : #2 le déni de service


Pour le mois de septembre, F-Secure décrypte chaque semaine pour vous les principales menaces auxquelles sont exposées les entreprises. Cette semaine ce sont les attaques par déni de service !

Bonnes Pratiques, Confidentialité // 08/09/2015

EN QUOI CA CONSISTE ?

Il ne reste plus grand-chose à dire sur les célèbres attaques par Déni de Service (aussi connues sous le nom d’attaques DDoS) si ce n’est qu’elles sont les grands parents de la grande famille des attaques informatiques. Elles ont vu le jour dans les années 1980 et même si elles ont évolué en plusieurs décennies, le principe reste toujours le même : saturer un serveur ou un routeur à distance par l’envoi de plusieurs milliers, voire plusieurs millions, de requêtes en même temps.  Bien que ce type d’attaques soit ancien et connu de tous, ça n’a pas empêché des sociétés comme Facebook  ou plus récemment Sony d’en faire les frais. C’est presque même devenu une tendance d’utiliser des attaques informatiques démodées car plus personne ne s’en méfie et les entreprises deviennent de moins en moins vigilantes (comprenez : de plus en plus vulnérables !).

QUELLES FORMES PREND-ELLE ?

Comme évoqué précédemment, il s’agit d’une attaque assez basique qui a beaucoup évolué au fil du temps. Elle a donc connu de nombreuses déclinaisons (et de nombreuses dénominations) qui reposaient plus ou moins sur le même fonctionnement. La plus emblématique de la fin des années 1990 était très certainement le Ping’O Death ou Ping de la Mort dans la langue de Molière. Un Ping a pour particularité d’être une requête informatique qui réclame une réponse du serveur interrogé. L’attaque consistait donc à envoyer plusieurs milliers ou millions de Ping en même temps pour que le serveur ne soit plus en mesure de répondre à aucune requête.

Actuellement, la forme d’attaque par Déni de Service la plus répandue consiste à installer des botnets à l’insu des utilisateurs sur leur ordinateur pour en faire des « PC Zombie ». Une fois que suffisamment d’ordinateurs sont infectés, le cybercriminel déclenche ces botnets pour que chacun envoie une requête vers un même serveur. Il est très difficile de détecter ce type d’infection car le virus est dormant avant qu’il ne soit déclenché. Il est donc indétectable, d’où l’appellation de « zombie ». Pour installer ces botnets, les pirates se contentent d’exploiter des vulnérabilités sur les logiciels/applications/services qui ne sont pas à jour.

DANS QUEL BUT ?

Le but premier des hackeurs aujourd’hui est de gagner de l’argent par le biais de leurs attaques : soit par une demande de rançon soit par la revente de données sur le marché noir. Et c’est probablement la raison pour laquelle les attaques DDoS ont beaucoup moins la cote. Elles ne permettent pas de récolter de l’argent mais simplement d’handicaper une entreprise en mettant un terme momentanément à son activité. Même si les hackeurs de Lizard Squad s’en sont plutôt bien tirés en fin de compte.

Le but peut être aussi de porter préjudice à un concurrent lorsque la compétition fait rage sur le secteur d’activité.

QUELLES SONT LES CONSEQUENCES ?

En revanche, les conséquences peuvent être financières pour les entreprises. Les interruptions de service peuvent être très coûteuses entre le manque à gagner et la mobilisation des équipes techniques pour tout remettre en ordre. Jusqu’à un million de dollars pour 15 minutes d’interruption dans certains cas. Récemment, c’est même Amazon qui en a fait les frais.

C’est d’ailleurs ce qui amène la deuxième conséquence : l’impact sur la réputation et sur l’image d’une entreprise. Et sur ce point, les entreprises américaines et françaises ne jouent pas à armes égales. Les entreprises américaines, ou résidant sur le territoire américain, sont obligées de communiquer en cas d’attaque informatique (même si les entreprises françaises devront bientôt s’y mettre). L’impact peut donc être désastreux surtout s’il s’agit d’un secteur concurrentiel. Reprenons l’exemple de Sony : Microsoft et Sony ont été attaqués simultanément. A la différence près que Microsoft s’en est rapidement remis alors que Sony s’est embourbé dans cette attaque ne réussissant qu’à rouvrir un service en ligne pleinement fonctionnel un mois plus tard. Dans un contexte de fêtes de fin d‘années, alors que la Xbox One (Microsoft) cherche à écraser la PlayStation 4 (Sony) et inversement, cet incident tombait au plus mauvais moment.

COMMENT S’EN PREMUNIR ?

Le premier bon réflexe consiste à faire de la veille active sur les nouvelles attaques et notamment par Déni de Service. Les cybercriminels sont des gens très compétents et très intelligents qui trouveront toujours le moyen d’améliorer leurs attaques (par exemple commencer à gagner de l’argent en pratiquant des attaques DDoS) en d’en créer de nouvelles pour prendre de court les entreprises qu’ils souhaitent pénaliser.

Deuxièmement, cela ne vous empêchera pas de subir une attaque par Déni de Service directement mais il s’agit plutôt d’une bonne pratique à démocratiser sur le long terme pour qu’au final, il devienne de plus en plus difficile d’installer des botnets à l’insu des utilisateurs. Il s’agit de mettre en place une politique de Patch Management pour gérer les correctifs à apporter aux logiciels, applications tierces ou services en ligne que les entreprises utilisent. Puisque les botnets s’installent en exploitant des failles logicielles, si celles-ci n’existent plus les botnets non plus. Et si la mise en place d’une politique de gestion des correctifs est trop contraignante, il existe des outils pratiques pour le faire à votre place.

Enfin, il existe des solutions matérielles pour contrer ces attaques comme la mise en place d’un Loud Balancer, d’un Plan de Continuité d’Activité,  d’un Firewall ou d’un Honeypot – Il s’agit d’un faux serveur installé en amont de l’infrastructure qui sert à analyser les requêtes et éventuellement les bloquer. L’avantage c’est que ce dernier est reconnu par les cybercriminels comme étant le serveur principal de données.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s