Evolution des attaques DDoS

//Evolution des attaques DDoS

Evolution des attaques DDoS

Par | 2018-06-06T16:12:57+02:00 juin 6th, 2018|Blog|

 

 

Si les pirates informatiques ont aujourd’hui de multiples types d’attaques et procédés malicieux à leur actif, l’attaque par Déni de Service Distribué (DDoS) est restée, depuis sa première apparition, un élément phare de leur arsenal, suscitant l’inquiétude dans nombre d’entreprises et organisations.

Nous le verrons dans cet article, les attaques DDOS gagnent aujourd’hui en popularité, mais le fait le plus marquant et inquiétant se trouve dans la diversité des formes et la multiplicité de procédés des « nouvelles » attaques DDOS recensées, et à leur évolution presque constante pour échapper aux cyberdéfenses.

Mais alors qu’est-ce qu’une attaque DDOS ? Quelles ont pu être les évolutions visibles de ces cyberattaques ? Les pirates ont-ils toujours les mêmes motivations qu’auparavant ? Mais surtout, comment se protéger de ces tentatives malicieuses qui semblent ne jamais vraiment être stoppées ?

 

  • Qu’est-ce qu’une attaque DDOS ?

Une attaque par déni de service distribué (ou DDoS) est une attaque durant laquelle un ou plusieurs pirates tentent de rendre impossible la prestation d’un service, ou de le perturber. Cette attaque empêche l’accès aux serveurs, appareils, services, réseaux, applications et même des transactions spécifiques au sein d’applications. Une attaque par déni de service peut ainsi, par exemple, bloquer un serveur de fichiers, rendre impossible l’accès à un serveur web ou empêcher la distribution de courriel dans une entreprise.

Une attaque DDoS provient de plusieurs systèmes qui, après avoir été infectés (sans que leur propriétaire ne s’en aperçoive), agissent comme des « zombies » ou soldats, répondant aux ordres des pirates, et attaquant de manière groupée des cibles désignées.

Généralement, ces attaques fonctionnent en « inondant » un système avec des demandes de données : par exemple, sous la forme d’un envoi à un serveur web avec tellement de requêtes pour consulter une page qu’elle crashe sous la demande, ou bien il peut s’agir d’une base de données frappée par un volume élevé de requêtes. Le résultat est une bande passante Internet disponible, la capacité du CPU et de la RAM étant submergée.

Aujourd’hui plus simples à mettre en place, bon marché, généralement anonymes et plus accessibles que jamais auparavant, ce type d’attaques vise de plus en plus d’entreprises et organisations, comme nous l’avons vu ces derniers mois à travers les affaires très médiatisées de Github ou Mirai.

 

  • Evolutions visibles :

Le nombre d’attaques DDoS a augmenté au fil de ces derniers mois, et les motivations des pirates à mettre en place de telles attaques sont devenues multiples – dépassant la simple volonté de nuisance et perturbation. Nous verrons ici en quoi ces attaques ont évolué tant dans leurs procédés que dans leurs proportions :

 

Procédés

  • Les attaques DDoS de type « extorsion de fonds » :

Ces attaques ont un procédé très singulier et étonnant : en effet, et ce avant même qu’une attaque ne soit lancée, les pirates vont tenter d’atteindre leur but (financier) en menaçant les victimes d’une future mise en place d’acte malveillant – sauf si une rançon est payée en amont (en bitcoin le plus souvent).

Ce nouveau type de procédé témoigne du fait que les motivations derrière ces attaques ont également changé. Pour de nombreux cybercriminels, les attaques DDoS ne sont plus seulement un moyen de perturber certains services – ils utilisent les attaques pour extorquer de l’argent, ou comme une distraction pour cacher d’autres activités malveillantes.

 

  • Les attaques DDoS « Dark » :

Exemple parfait de l’évolution de ces techniques, les pirates derrière les attaques DDOS dites « dark » profitent du fait que la plupart des services informatiques ne peuvent détecter que des attaques supérieures à 1 Go par minute.

Les cybercriminels envoient donc des rafales constantes à faible volume sur une période plus longue que la moyenne, pour que les solutions de sécurité informatiques déployées par la victime ciblée ne soient pas en mesure de les détecter.

 

  • Les attaques DDoS « As-A-Service » :

La simplicité de déploiement d’une attaque DDoS est démontrée par sa disponibilité sur les marchés en ligne. Auparavant uniquement disponible sur le Dark Web, les services de piratage peuvent maintenant être achetés pour une somme modique, ce qui explique aussi en partie la croissance exponentielle du nombre de ces attaques.

Ces services vendent l’accès aux botnets que les acteurs malveillants peuvent utiliser pour lancer anonymement des attaques DDoS contre les cibles de leur choix, tout en réduisant considérablement les risques d’attribution.

 

Proportions :

L’année 2017 a marqué une étape importante pour les attaques DDoS, lorsque – pas seulement une, mais deux fois – les attaques ont franchi le seuil de bande passante de 1 Tbps. Nous pouvons d’ailleurs, grâce à ces exemples, affirmer que les attaques DDoS sont aujourd’hui entrées dans une nouvelle dimension – et c’est bien là le fait le plus marquant de ces cyber-péripéties.

Si ce type d’attaques DDoS n’était pas le premier en son genre (prenez par exemple le cas Mirai), ces dernières attaques restent tout de même les attaques les plus puissantes jamais répertoriées à ce jour, se chiffrant en Terabits, et devenant donc à elles seules une toute nouvelle génération de cyberattaques. A la différence des attaques DDoS de la génération précédente, ces deux offensives calibrées en Tbps n’ont, en effet, plus besoin du soutien d’un ou plusieurs botnets.

Les térabits risquent donc bel bien de devenir la nouvelle unité de mesure quand nous parlerons d’attaques DDoS. La nouvelle technique sur laquelle s’appuient les hackers à la base de ces dernières attaques risque de faire des émules parmi les pirates, et donc beaucoup de dégâts, et qui sait, pourrait devenir ces prochains mois la méthode d’amplification la plus importante jamais utilisée jusqu’à présent.

 

C’est un fait, les attaques DDoS continuent d’évoluer et demeureront une menace majeure pour la plupart des organisations.  Nous l’avons vu, une combinaison de facteurs est à l’origine de cette tendance, comme par exemple la disponibilité des attaques DDoS As-A-Service ou encore l’augmentation du nombre de pirates cherchant à monétiser ces attaques.

Il est donc essentiel que les entreprises soient équipées pour contrer adéquatement ces diverses menaces. Pour se prémunir de ce type d’attaques, il existe des solutions de sécurité dédiées à cet effet : par exemple, ITrust, grâce à son savoir-faire, a intégré dans son SOC Reveelium des mesures pour prévenir de ces attaques en temps réel, alertant le système d’information et les contacts privilégiés en cas d’attaque.