Eric Michonnet (Arbor Networks) : « Les attaques DDoS se combinent de plus en plus avec les attaques applicatives »

CloudSécurité

Dans son septième rapport annuel sur les attaques des opérateurs, Arbor Networks met en évidence la multiplication des attaques DDoS qui se combinent désormais aux attaques applicatives, plus difficiles à gérer.

Fournisseur mondial de solutions de gestion de la sécurité pour les opérateurs et datacenters, Arbor Networks équipe les principaux opérateurs de télécommunication dans le monde. La société américaine vient de publier son septième rapport de sécurité réalisé à partir de mesures réelles et de témoignages recueillis entre octobre et novembre 2011 auprès de ses clients opérateurs et grandes entreprises, ainsi qu’auprès de leurs clients. Soit un total de 114 personnes interrogées dont 54 % d’opérateurs, parmi lesquels, 15 % sont des fournisseurs Tiers I. Il ressort du rapport que les attaques propres à l’« hacktivisme » sont en augmentation. Le point avec Éric Michonnet, directeur d’Arbor Networks pour l’Europe du Sud.

Quelles sont les grandes tendances 2011 ?

En 2011, les attaques DDoS (Distributed Denial of Service, NDLR) ont été plus fréquentes qu’en 2010. Tous les opérateurs sont touchés. Nous constatons de plus en plus d’attaques qui continuent de croître en taille et en intensité. Plus de 40 % des attaques dépassent le gigabit et 13 % plus de 10 Gbit/s. Non seulement les attaques augmentent en volume, mais elles se combinent avec les attaques applicatives, lesquelles sont plus difficiles à détecter.

Le hit-parade reste inchangé avec 80 % des attaques en HTTP, 67 % sur les serveurs DNS. En revanche, l’on constate quelques petits événements qui arrivent sur l’IPv6. Ce qui signifie que, lorsque l’IPv6 sera généralisé, les attaques se poursuivront sur ce protocole.

Chose notable, de plus en plus d’attaques sont orientées vers des sites marchands et autres plates-formes de ventes en ligne.

Connaît-on l’objet des attaques ?

Selon notre hit-parade, la plupart des attaques étaient liées à des raisons idéologiques et politiques (35 %) notamment liées au printemps arabe et aux discussions permanentes de la situation au Moyen-Orient avec des attaques du monde arabe contre Israël et inversement.

Ensuite, 31 % des attaques présentent des caractères divertissants, pour le « fun ». C’est, par exemple, le site d’un Conseil général qui se fait attaquer sans revendications derrière. Dans 29 % des cas, se sont les sites de jeux suivis de 25 % des attaques de réseaux sociaux qui servent, généralement, au hacker à démontrer son savoir-faire. Un peu moins de 25 % proviennent « d’attaques internes » involontaires, issues d’une mauvaise configuration des systèmes qui génèrent du trafic interne.

On constate que les sites de presse sont clairement attaqués, en fonction de la ligne éditoriale généralement. Quant aux sites de jeux, ils sont attaqués pour plusieurs raisons, selon la manière dont ils fonctionnent. Mais s’ils concentrent environ 30 % des attaques, on ne sait probablement pas tout, notamment face à des situations de racket où les menaces d’attaques ne sont pas forcément mises à exécution.

Mais la conséquence est que les entreprises demandent toutes à leurs opérateurs de protéger leur ligne.

Quelles solutions préconisez-vous ?

L’offre s’articule en deux parties : une solution implantée dans le réseau de l’opérateur afin que l’opérateur/fournisseur de service puisse protéger ses points de peering (portes d’entrée du trafic Internet partagées par les opérateurs). Il va également protéger ses serveurs DNS et, en sortie, en surveillant les services délivrés à ses clients. Ensuite une solution implantée sur le site client qui communique avec les équipements implantés chez l’opérateur pour offrir une protection maximale. Le site ne pourra pas être impacté par une attaque volumétrique qui sera traitée au niveau du réseau de l’opérateur. La réaction face aux attaques est accélérée par les informations transmises aux équipements côté opérateur par les équipements clients qui effectuent des filtrages dès leur apparition. Nous proposons des solutions qui permettent aux opérateurs de créer des offres de services managés à leurs clients. En cas de détection d’une attaque, nous passons le trafic à travers une unité de filtrage pour laisser passer les requêtes saines. C’est un service managé classique même si certains ne l’offrent toujours pas.

Cette offre permet de maintenir le site à flot alors que, précédemment, les opérateurs proposaient la technique du backhauling consistant à router le trafic vers un « trou noir » le temps que la tempête se calme. Ce qui revient à donner à l’attaquant ce qu’il attend, c’est-à-dire à rendre le site indisponible.

Mais nous ne sommes pas à l’abri d’une attaque foudroyante, au niveau applicatif. Les hackers ont repéré une vulnérabilité dans le firewall, ou la plate-forme qui l’héberge, et s’attachent à le faire planter ou le saturer. Si le pare-feu reste nécessaire, il n’est plus suffisant, car ne sait pas faire la différence dans certains cas entre une requête valide et illégitime.

Nous mettons, dans nos équipements, des dispositions qui permettent d’arrêter des attaques grâce à leurs signatures sur laquelle nous basons en partie nos filtres. Les opérateurs ont également les moyens d’établir des profils d’entreprises en fonction de leur potentialité d’être attaquées. En cas d’attaque, le filtrage personnalisé permet de traiter 80 % à 90 % du problème. En fonction de la durée de l’attaque, l’opérateur peut affiner le filtrage. C’est une question de services et de coûts.

D’où viennent les attaques ?

Toujours des botnets de PC zombies, mais aussi, désormais, des botnets installés dans les datacenters, notamment low cost, qui disposent d’une large bande passante (plusieurs dizaines de gigabit par seconde). Et comme la législation n’impose pas aux fournisseurs de datacenter de faire le ménage, c’est une solution de choix pour les attaquants.

Concernant l’origine géographique, on a posé la question. Les trois quarts des sondés regardent d’où viennent les attaques pour mieux les filtrer d’une manière plus prosaïque. Schématiquement, un site marchand français, qui vend essentiellement à des consommateurs situés en France, aura toutes les raisons de s’inquiéter d’un trafic massif provenant d’un autre continent et couper ce trafic.

Où se situe la France dans tout ça ?

Il n’y a pas particulièrement d’exception française en la matière. La France reste toujours présente, comme ces trois dernières années, dans le top 10 de départ des attaques. Probablement à cause de l’offre en matière de datacenters qui s’est bien développée. Ce n’était pas le cas il y a 5-6 ans.

(Propos recueillis le 13 février 2012. Article mis à jour le 14 février.)


Lire la biographie de l´auteur  Masquer la biographie de l´auteur