Attaques de déni de service : les comprendre, les éviter

En octobre 2016, une cyberattaque contre le prestataire de services Internet Dyn a rendu inaccessibles de nombreux sites et services Internet, et est considérée comme la plus importante attaque de déni de service jamais effectuée.

Notions de base des communications Internet

La plupart des communications sur Internet sont de type client-serveur. Le navigateur Internet sert souvent de « client », et envoie des requêtes au serveur, pour lui demander d’afficher une vidéo Youtube par exemple.

Chaque serveur possède une adresse IP. Lorsqu’on navigue sur Google, par exemple, il se peut que le serveur qui répond à notre requête soit différent en fonction de notre localisation géographique. Ceci est rendu possible par l’utilisation d’un système de noms de domaine (ou DNS). Ces serveurs DNS vont traduire une adresse faite des mots « www.google.com » en une adresse IP. Cette notion est importante pour la compréhension de l’attaque dont Dyn a été la cible.

Historique des botnets

Un botnet est un réseau d’ordinateurs infectés par un virus, qui les transforme en des entités passives qui restent à l’écoute de futures instructions. La personne qui contrôle le botnet peut ensuite envoyer des commandes à son armée d’ordinateurs infectés. Elle peut, par exemple, demander à ses « robots » d’envoyer des pourriels ou de lancer des attaques de déni de service. Le caractère distribué de cette architecture rend la détection des attaques distribuées difficiles.

Avec la miniaturisation et le coût toujours décroissant des appareils informatiques, de plus en plus d’objets deviennent connectés. Cela crée un réseau toujours plus grand d’imprimantes, d’appareils photos IP et de toutes sortes d’objets qui sont connectés sur Internet. Tous ces objets sont de petits ordinateurs, et comme tous les ordinateurs, ils sont vulnérables aux attaques. De plus, puisque peu de gens prennent le temps de configurer ces objets connectés, la plupart d’entre eux se retrouvent configurés avec les mots de passe par défaut, ce qui rend encore plus simple pour un attaquant de les compromettre et de les infecter par des virus.

Nous nous retrouvons donc dans une situation où de très nombreux objets connectés sur Internet sont infectés par un virus. Et ces objets sont allumés en permanence, contrairement à nos ordinateurs. Lors du plus récent déni de service, ce botnet a réussi à générer jusqu’à 1,2 To de données par seconde! C’est un débit de données qui équivaut à près de 2 000 films de qualité DVD envoyés par seconde!

Pourquoi cette attaque a-t-elle fait si mal?

Les attaques de déni de service visent traditionnellement les serveurs ou les sites Internet de compagnies qui sont ciblés soit pour des raisons d’activisme (« hacktivism »), soit dans le but d’extorquer de l’argent.

Ce qui diffère cette attaque des précédentes, c’est la cible. Pour la première fois, ce ne sont pas les serveurs de sites qui ont été visés, mais les serveurs DNS de la compagnie Dyn.

Les sites de Twitter, Paypal et Netflix, par exemple, étaient pleinement fonctionnels. Mais en nous empêchant de savoir l’adresse des serveurs auxquels se connecter, cette attaque a rendu tous ces sites inaccessibles.

Comment se défendre face à ces attaques?

Les attaques de déni de service suivent souvent un schéma bien établi. Une première façon de se protéger consiste donc à utiliser des systèmes qui vont détecter les signatures de ces attaques.

Une autre façon de se prémunir est d’implémenter de la redondance sur les serveurs. En utilisant des équilibreurs de charge, on peut intelligemment diriger le trafic sur plusieurs serveurs, et ainsi améliorer la résilience du système face à de hauts débits de trafic.

Mais ce n’est pas tout! Il faut également se prémunir contre les infections, pour empêcher que l’un de nos systèmes ne devienne membre d’un botnet. Pour cela, il faut dans un premier temps protéger les ordinateurs avec des logiciels d’antivirus.

Cependant, de nombreux objets connectés sont des systèmes trop simples pour installer un antivirus. Il est donc primordial d’analyser le trafic réseau entrant dans votre réseau d’entreprise, à la fois pour y détecter les menaces connues et les vulnérabilités de type « zero-day ».

Il est possible de minimiser encore les risques d’infection de vos systèmes en effectuant la corrélation et la surveillance des journaux d’événements, comme par exemple, la surveillance de réseau et systèmes en continu.

Enfin, il est très important de garder ses systèmes à jour, afin de minimiser le risque que des vulnérabilités connues soient exploitables et utiliser des mots de passe uniques et complexes. Il existe des logiciels de gestion de mots de passe pour vous faciliter la vie.

Une firme spécialisée en sécurité sera en mesure de vous accompagner dans l’analyse de vos besoins et la sélection des solutions les plus performantes et efficaces pour atténuer les risques d’attaques de type botnet sur vos systèmes.

0

Qu’en pensez-vous?

Sans frais : 1 800 260-3311
info@esitechnologies.com

Sans frais : 1 800 401-TECH (8324)
tech@esitechnologies.com 

1550, rue Metcalfe, bureau 1100
Montréal (Québec) H3A 1X6

11, King St. West, 19e étage
Toronto (Ontario) M5H 4C7

2954, boul. Laurier, bureau 320
Québec (Québec) G1V 4T2