Comment les entreprises peuvent se protéger des attaques DDoS
Dans le cas d’un déni de service distribué (DDoS), un système ou un réseau est inondé de trafic en ligne provenant de plusieurs sources dans le but de le rendre indisponible. Les cybercriminels profitent des vulnérabilités des protocoles ou des serveurs DNS qu’ils exploitent pour lancer des attaques. De plus, dans le cas d’attaques à plus grande échelle, ils peuvent utiliser des malwares qui infectent des milliers d’hôtes destinés à bloquer la cible, tous avec des adresses IP différentes, ce que l’on appelle un botnet. Il est donc impossible d’arrêter l’attaque une fois qu’elle a commencé en bloquant simplement une seule source.
Certaines attaques DDoS ne sont que du cyber-activisme temporaire contre des entreprises jugées avoir commis des actes illégitimes, mais il existe aussi des cas plus graves de cyberguerre ou d’activité criminelle ordinaire, comme des tentatives de chantage. Dans ce cas, comme pour les attaques par ransomware, les pirates informatiques demandent une récompense en cryptomonnaie pour débloquer le service en ligne. Il est par ailleurs possible d’acheter une campagne d’attaque par DDoS sur le marché noir pour mettre hors service un service en ligne pendant une semaine, pour seulement 150 dollars.
Plusieurs térabits par seconde
Étant donné la facilité de mise en œuvre, les attaques DDoS sont de plus en plus fréquentes : une étude de Meril Research estime qu’elles représentent déjà jusqu’à un tiers de tous les incidents entraînant une interruption.
Nous avons assisté à des cyberattaques majeures comme celle dont a été victime Google en 2017. L’attaque contre ses serveurs a duré six mois, avec un pic de trafic de 2,5 Tb/s, et l’on soupçonne qu’elle est l’œuvre de pirates informatiques parrainés par un État.
Une autre victime a été Amazon Web Services (AWS), le concurrent de Google sur le marché du Cloud. Là encore, AWS a réussi à mitiger la cyberattaque afin qu’elle n’affecte pas les performances de ses serveurs, qui assurent l’hébergement de milliers d’entreprises et représentent un tiers du marché des services Cloud. Cependant, toutes les grandes attaques DDoS n’ont pas été mitigées avec succès.
Les infrastructures critiques sont elles aussi visées
Il y a quelques semaines, les réseaux de plusieurs entreprises de télécommunications britanniques ont été attaqués par une campagne d’attaque DDoS coordonnée. Les autorités britanniques ont considéré qu’il s’agissait d’une attaque contre des infrastructures dites critiques, car elles fournissent des services à des organisations clés telles que le National Health System (NHS).
Une attaque lancée en Belgique en mai dernier a eu un impact encore plus grave. Elle a ciblé un Fournisseur d’Accès à Internet (FAI) qui offre une connexion aux établissements scolaires, aux universités et aux instituts de recherche scientifique du pays. Au total, les sites Web de plus de 200 entreprises ont été bloqués.
En outre, certains analystes en cybersécurité ont suggéré que la panne subie il y a quelques semaines par Facebook et d’autres services de l’entreprise comme WhatsApp pourrait être due à une attaque DDoS en réaction aux mauvaises pratiques commerciales dont la société a été accusée récemment.
Firewalls on premise, équipement spécialisé et mitigation par le biais de tiers
Les cas évoqués précédemment démontrent la virulence et le danger que représentent des attaques DDoS, y compris à l’encontre des services critiques pour un pays, comme la santé et l’éducation. Il est donc essentiel que les entreprises prennent les mesures nécessaires en amont pour y faire face lorsqu’elles surviennent et que les MSP mettent en œuvre un portefeuille de solutions qui soit à même de réduire la probabilité que des attaques DDoS bloquent ou affectent la connectivité de leurs clients.
- Utiliser des firewalls on premise : avec les appliances de sécurité réseau Firebox, il est possible de bloquer des adresses IP et des ports, et de définir des seuils de trafic prédéterminés pour les serveurs et le client.
- Répartiteurs de charge : une solution de répartition de charge peut être mise en œuvre pour les connexions à Internet par l’intermédiaire d’un FAI afin que le trafic soit réparti entre différentes destinations, pour éviter qu’un serveur ne soit submergé.
- Mitigation prise en charge par les FAI et autres tiers : lors d’attaques à grande échelle, il est impératif que les FAI et les fournisseurs de services Cloud de l’entreprise mettent en œuvre des solutions de mitigation et agissent de façon coordonnée, afin de faire face à de tels incidents.