Origine des menaces de déni de service
Dans les attaques par déni de service classiques, le pirate transmet plusieurs requêtes à la machine ou au service cible avec des adresses de retour fictives du protocole Internet (IP). Lorsque le serveur tente d'authentifier ces adresses, il rencontre une vague de codes d'erreur, ce qui déclenche une chaîne récurrente de trafic SMTP qui peut rapidement saturer le serveur. De même, dans le cas d'une attaque Smurf, le pirate diffuse des paquets à plusieurs hôtes avec une adresse IP usurpée appartenant à ces machines cibles. Lorsque les machines hôtes destinataires répondent, elles s'inondent elles-mêmes du trafic de paquets de réponse.
Dans le cas d'une inondation SYN, un attaquant profite du processus de la poignée de main à trois voies de TCP (SYN, SYN-ACK, ACK) pour mettre un service hors ligne. Dans la poignée de main à trois voies, le serveur A envoie un message TCP de demande de synchronisation au serveur B. À la réception de la demande, l'hôte B (la machine cible) envoie un paquet SYNchronize-ACKnowledgement au serveur A. C'est à ce moment-là que l'attaque par déni de service se produit. Lors d'un échange légitime visant à établir une connexion par socket TCP, l'étape suivante consisterait pour l'hôte A à renvoyer un message ACKnowledge à l'hôte B, mais lorsque le pirate informatique contrôlant l'hôte A empêche cette opération, la poignée de main ne peut être menée à son terme. Le résultat est que l'hôte B a un port connecté qui n'est pas disponible pour des demandes supplémentaires. Lorsque l'attaquant envoie des requêtes répétées de cette nature, tous les ports disponibles sur l'hôte B peuvent rapidement se bloquer et devenir indisponibles.
Évolution des menaces de déni de service
Les inondations SYN, les attaques bananes et d'autres types de piratages DoS conventionnels sont encore utilisés aujourd'hui - et bien sûr, les attaques DDoS alimentées par des réseaux de zombies restent une menace constante. Mais ces dernières années, les pirates informatiques malveillants ont élargi le nombre de machines et de services qu'ils ciblent et ont considérablement étendu la surface de la menace. Les entreprises sont de plus en plus souvent la cible d'attaques de moindre intensité, dites de "dégradation de service", qui provoquent des ralentissements coûteux sans mettre les ressources totalement hors service. Cette méthode d'attaque est devenue de plus en plus courante, car de plus en plus d'organisations s'appuient sur Amazon Web Services (AWS) et d'autres offres similaires cloud pour alimenter leurs opérations web.
Lorsqu'un grand détaillant, un prestataire de services financiers, une marque grand public ou une entreprise commerciale similaire héberge son site web sur AWS, Microsoft Azure ou un autre opérateur cloud, l'accord est régi par un contrat de niveau de service. En effet, l'opérateur cloud promet, pour un prix donné, de mettre à disposition les ressources de traitement, la largeur de bande et l'infrastructure de soutien nécessaires pour que ce site web supporte un trafic web de X, X étant mesuré en gigaoctets de données, en nombre de transactions de détail, en heures de disponibilité et autres paramètres connexes. Si les charges de trafic dépassent les niveaux convenus, ce qui est positif si le trafic est légitime, le propriétaire du site web est facturé à un taux plus élevé. Ce processus est souvent entièrement automatisé, comme dans le cas d'Amazon CloudWatch, qui dispose de fonctions de mise à l'échelle automatique permettant d'augmenter ou de réduire dynamiquement les ressources de traitement en fonction des besoins.
Dénigrement coûteux du service
Comme on peut l'imaginer, des acteurs malveillants peuvent s'immiscer dans ces relations en dirigeant un trafic illégitime vers un site web cible, et augmenter facilement le coût des activités d'une organisation cible. Les serveurs "zombies" qui envoient des salves de trafic intermittentes sont fréquemment utilisés dans ce type d'attaque. Comme les charges de trafic en question sont occasionnelles et ne proviennent pas manifestement d'une source malveillante, elles ressemblent beaucoup à du trafic légitime, ce qui signifie qu'il peut être extrêmement difficile pour le personnel de Cybersécurité de les découvrir et de les arrêter.
Un autre ensemble d'outils utilisés dans ce type d'incident de déni de service ou de dégradation de service sont les applications dites "stresser" qui ont été conçues à l'origine pour aider les propriétaires de sites web à identifier les points faibles de leur infrastructure web. Faciles à obtenir et à utiliser, ces applications, dont WebHive, peuvent être installées sur plusieurs instances cloud afin de constituer de formidables capacités DDoS. Coordonnés de cette manière, ces outils d'attaque peuvent mettre hors ligne de grands sites commerciaux pendant de longues périodes.
Principaux enseignements sur le déni de service
Les attaques par déni de service ont évolué et changé au fil des ans, mais les dommages causés continuent d'augmenter. Une enquête de l'institut Ponemon auprès de grandes entreprises de divers secteurs d'activité a révélé que l'entreprise type subit quatre incidents de déni de service par an et que le coût total annuel moyen de la lutte contre les dénis de service s'élève à environ 1,5 million de dollars. La mise en place d'une architecture de sécurité vous permettant de détecter, de prévenir et de répondre aux attaques DoS est une étape essentielle de tout programme efficace de cybersécurité.
Commentaires