Par Soline DUCANTER
Les attaques par déni de service (DDoS ou Distributed Denial of Service attack) rendent indisponible un service proposé par la saturation du réseau et/ou le blocage de ses serveurs. Des machines vont ainsi se retrouver inondées de données et voir leur fonctionnement perturbé ou paralysé. Ce type d’attaque peut donc bloquer un serveur de fichiers, voire empêcher l’accès à un serveur web ou la distribution de courriels à une entreprise… ou bloquer les données de milliers d’utilisateurs… Ne reculant devant aucune innovation, les attaquants ont développé un nouveau ransomware qui propose de fusionner sa malveillance avec des attaques de Dénis Distribués de Services (DDoS) : Cerber ! Comment appréhender ces attaques à l’heure de la multiplication des objets connectés ?
Profondément simples et en croissance considérable !
Ce qui caractérise ces attaques est la simplicité avec laquelle elles peuvent être réalisées. Nul besoin d’un matériel compliqué ou sophistiqué, ni d’un savoir-faire technique très pointu : un hacker équipé d’un simple ordinateur et d’un modem de base peut bloquer des machines isolées ou des réseaux. Il existe deux types d’attaques : la plus simple cherche à saturer la bande passante entre, par exemple, un site marchand et ses clients en envoyant un nombre de requêtes important. À titre indicatif, une récente attaque a suscité un débit de 570 Gb/s… La seconde est de type applicatif et vise plutôt les serveurs en s’attaquant directement à ses applications.
L’étude réalisée par la société américaine Akamei, qui propose des analyses et des informations sur ces activités malveillantes, indique que les caractéristiques de ces attaques ont évolué avec notamment une augmentation de 125 % des attaques DDoS l’année dernière. Loin d’être anecdotiques, ces menaces ne sont pas près de disparaître ! En effet, chaque trimestre, le nombre d’attaques visant des clients d’Akamai continue d’augmenter. « Le nombre d’attaques d’applications Web a fait un bond de 28 % tandis que les attaques DDoS ont augmenté de 40 % par rapport au 3e trimestre », a déclaré Stuart Scholly, Senior Vice President et General Manager, Security Business Unit d’Akamai. « Et les cybercriminels ne sont pas près de s’arrêter. Ils visent inlassablement les mêmes cibles, en espérant pouvoir exploiter une faille éventuelle. »
6,3 milliards de smartphones d’ici 2021
La technique est, on le voit, assez simple. Elle consiste à utiliser une machine zombie, le “botnet”, qui va se connecter sur un serveur afin de le rendre inutilisable. Auparavant, seuls les ordinateurs étaient utilisés pour réaliser ces attaques. Aujourd’hui, ces machines zombies ne sont autre chose que nos objets connectés. Selon Akamai, les objets connectés sont aujourd’hui à l’origine de 21 % des attaques DDoS. Et ces derniers continuent de se développer activement car tout est désormais sujet à la “connectivité” : réfrigérateur, voiture, prise commandée, imprimante, montre, etc. Tous ces équipements connectés et interconnectés influent incontestablement sur la diffusion et donc la force de l’attaque avec des conséquences plus ou moins importantes.
Avec la multiplication des objets connectés, on peut facilement imaginer l’amplification du futur nombre de connexions à Internet. Le smartphone devra et sera capable de communiquer avec une bande passante beaucoup plus puissante qu’actuellement. Avec l’augmentation en parallèle du nombre de téléphones portables (plus de 6,3 milliards d’ici 2021 d’après Ericsson), les hackers vont pouvoir s’en donner à cœur joie !
Des attaques à visée économique et politique
Le cabinet de recherche américain Gartner estime à 5 milliards le nombre de dispositifs connectés cette année. D’ici quatre ans, ce sont plus de 21 milliards d’objets connectés qui devraient être déployés… Ces objets connectés sont fréquemment déployés avec des vulnérabilités et une sécurité toute relative qui en font un vecteur de choix pour les attaques DDoS et les campagnes d’attaques avec Botnet. Mais quelles sont les raisons qui poussent les cyber-agresseurs à lancer ces attaques ? Elles peuvent être politiques ou économiques.
Il y a un an, deux experts en sécurité informatique, Charlie Miller et Chris Valasek, ont réussi à prendre le contrôle d’un véhicule connecté à partir d’un simple ordinateur. Ces deux chercheurs ont, par leur action, simplement voulu montrer au grand public, avec la complicité du magazine Wired, le danger que représente la multiplication des objets connectés à Internet à bord des voitures. Le conducteur de la Jeep Cherokee de la société Chrysler a ainsi vu brusquement le volume de son autoradio augmenter puis ses essuie-glaces s’actionner tout seuls. Plus inquiétant, les pirates ont réussi à couper le moteur et les freins, le tout depuis un simple ordinateur… Or, toujours selon le cabinet d’analyse Gartner, ce sont près de 250 millions de voitures qui seront connectées d’ici 2020…
Les scenarii les plus fous peuvent donc être imaginés. Pour l’instant, la motivation première de ces attaques est financière et va ainsi viser les entreprises. Même dans le doute de la véracité de l’attaque, les entreprises n’hésitent pas à payer par précaution afin de protéger leurs données et/ou leur image. « C’est le genre d’attaques qui ne peut exister que s’il existe un moyen de paiement complètement anonyme », explique Éric Michonnet, directeur régional pour l’Europe du Sud et l’Afrique du Nord chez Arbor Networks, et de poursuivre : « On voit actuellement se dessiner des attaques DDoS sans cesse plus importantes et une intensification des attaques sur la couche 7. »
Les pays politiquement exposés représentent une cible de choix. La France fait ainsi partie depuis trois ans du trio de tête avec les États-Unis et la Grande-Bretagne. D’un point de vue cyberdéfense, nous sommes donc en guerre. À titre d’exemple, la tentative récente de coup d’État en Turquie a engendré un pic d’attaques par déni de service…
Caméras de vidéoprotection piratées
Matthew Bing, analyste chez Arbor Networks, revient sur le piratage de centaines de caméras dans plusieurs pays pour les transformer en botnet et mener des attaques DDoS. « Le botnet utilise LizardStresser, le code open source écrit par Lizard Squad, pour s’en prendre à divers sites, de la banque aux fournisseurs d’accès à Internet, en passant par les jeux vidéo et les gouvernements. Le collectif Lizard Squad a piraté ces caméras en profitant de la vulnérabilité de ces appareils : une technologie limitée des caméras nécessitant de passer par des versions simplifiées de systèmes d’exploitation, la faiblesse dans la diffusion des patchs de sécurité pour améliorer la solidité des appareils de vidéosurveillance et des mots de passe rarement modifiés… »
Ces caméras piratées sont en mesure de submerger un site avec près de 400 Go de données par seconde. Impossible pour un site lambda de tenir la charge. « Le Brésil a été particulièrement touché par ces attaques puisque deux banques du pays ont été visées, ainsi que deux agences gouvernementales et deux fournisseurs d’accès », souligne Matthew Bing qui évoque également trois grandes entreprises de jeux vidéo basées aux États-Unis.
Que faire ?
Il est un besoin impérieux d’avoir à disposition « des outils qui permettent de mieux voir ce qui se passe dans les réseaux, de mitiger rapidement les attaques DDoS, de détecter rapidement les infections de malwares… en résumé, tout ce qui peut permettre aux entreprises et aux ISP de rapidement traiter les problèmes pour éviter les situations catastrophiques », répond Éric Michonnet, directeur régional pour l’Europe du Sud et l’Afrique du Nord chez Arbor Networks, qui animera par ailleurs une conférence sur ce sujet lors des assises de la sécurité début octobre à Monaco.
La sécurité des objets connectés est donc un enjeu technologique et économique majeur. 70 % d’entre eux sont susceptibles d’être attaqués aujourd’hui ! Le secure by design est au cœur des échanges tout comme la prévention. Faut-il rappeler que la vulnérabilité commence souvent par un simple mot de passe trop facilement décodable ou une mise à jour non effectuée…