Protéger vos services contre les attaques DDoS

Quelles sont les principales menaces que vous avez pu identifier en 2023 ?

Emmanuel Besson :

En 2023, les attaques par déni de service distribué (DDoS) présentent de nouvelles caractéristiques et une évolution dans la stratégie des attaquants. Les ressources de ces derniers, et notamment les infrastructures de botnets construites pour lancer des attaques ont été mobilisées sur des cibles plus institutionnelles qu'auparavant. Elles sont en effet logiquement plus motivées par des raisons idéologiques liées au contexte géopolitique et ciblent des institutions françaises ayant des liens avec l'État, comme l'Assemblée nationale, le Sénat, Météo-France, l'Insee, la CAF et la RATP. Ces attaquants se concentrent notamment sur les infrastructures DNS de ces entités, qui sont moins protégées et souvent gérées par des prestataires externes. Plutôt que de demander une rançon ou de causer d'autres dommages, l’objectif des hacktivistes est d'obtenir une visibilité médiatique et de faire passer un message au grand public.

Bien que les sites institutionnels n'aient pas une importance opérationnelle vitale, leur perturbation a un fort impact symbolique en termes d'image et de confiance, montrant la potentielle vulnérabilité des sites gouvernementaux. Par exemple, la cyberattaque contre Météo-France a rendu ses sites et son application inaccessibles pendant près de 24 heures, perturbant également les extranets des clients institutionnels et commerciaux ainsi que les outils de télétravail des employés. Cependant, la chaîne de prévision météorologique n'a pas été affectée, évitant ainsi des conséquences plus graves pour des services essentiels tels que les aéroports, les compagnies aériennes ou encore l'agriculture.

Quelles sont les particularités des attaques DDoS qui visent le service DNS ?

Emmanuel Besson :

Les attaques DDoS ciblant les services DNS vont s'appuyer sur des méthodes spécifiques, par distinction avec les attaques volumétriques plus traditionnelles. Elles rendent indisponibles non seulement les sites web liés aux serveurs DNS, mais aussi d'autres sites qui en dépendent. Cette approche permet aux attaquants d'avoir un impact plus large avec moins de ressources, offrant un meilleur retour sur investissement.

Ces attaques exploitent les caractéristiques spécifiques des services DNS. En effet, les serveurs DNS, en particulier ceux qui font autorité pour un domaine ciblé, ont souvent des capacités de traitement limitées et des bandes passantes étroites, ce qui facilite leur perturbation avec moins de puissance.

Le protocole DNS (Domain Name System) est un élément essentiel de l'infrastructure d'Internet, mais il présente certaines vulnérabilités qui le rendent propice aux attaques malveillantes. Les services DNS sont accessibles depuis Internet via des protocoles non connectés, ce qui facilite l'utilisation de techniques d'attaques s'appuyant sur l'usurpation de sources. Par ailleurs, ces services devant être ouverts pour répondre à l'ensemble des clients légitimes, il est généralement impossible d'envisager des approches par filtrage géographique des sources. Cela permet donc à quiconque dans le monde d'envoyer des paquets malveillants. Peu de changements structurels et globaux ont été apportés au protocole DNS pour le rendre plus résistant aux attaques. Par conséquent, certaines vulnérabilités persistent, notamment la possibilité de manipulation des paquets DNS afin de créer de fausses demandes et de rediriger les réponses légitimes vers une cible spécifique. Cela peut entraîner une surcharge de réponses malveillantes, submergeant ainsi la cible et affectant sa disponibilité.

Aussi, les attaques sur les services DNS peuvent exploiter des vulnérabilités au niveau applicatif, nécessitant des mesures de protection agiles pour distinguer les requêtes légitimes des requêtes malveillantes. Cette distinction complexe demande une inspection approfondie du contenu applicatif en raison de la subtilité et de la spécificité des attaques liées au protocole DNS.

Quels sont les scenarios et schémas des attaquants ?

Aurélien Bouzon :

Les attaques DDoS peuvent prendre différentes formes et suivre divers schémas, en fonction des objectifs et des motivations des attaquants. Voici quelques scénarios que l’on rencontre couramment :

Le 1er scenario est celui des attaques volumétriques par déni de service. Les attaquants cherchent à saturer les ressources réseau en générant un débit élevé. Ils utilisent souvent des techniques d'amplification pour maximiser l'impact. Ces attaques visent à rendre un service cible indisponible en consommant toute de bande passante réseau disponible.

Le 2e scenario vise à s’attaquer, non pas à la bande passante, mais à la capacité de traitement de tout système qui véhicule ou traite les demandes de service. Dans ce cas-là, un volume bien plus faible de bande passante est requis pour rendre un service indisponible. Les demandes sont spécifiquement conçues pour que chaque requête impacte fortement les systèmes qui effectuent leur traitement. Elle s’appuie sur le fait que généralement une simple requête implique la mobilisation de beaucoup plus de ressources pour lui apporter une réponse.

Les 2 scénarii précédents s’appuient sur des botnets pour la mise en œuvre de l’attaque. Il s’agit de la manière première de l’attaquant pour mener une attaque par déni de service distribué. Le botnet est actionné de sorte à l’engager dans l’attaque à la proportion suffisante pour produire l’impact souhaité. La totalité du botnet n’est pas systématiquement engagé. En effet, sa capacité d’attaque n’est pas gaspillée inutilement. Il peut être engagé pour d’autres attaques qui peuvent avoir lieu au même moment. La synchronisation d’une architecture aussi vaste qu’un botnet pour mener une attaque n’est pas simple. Mener une attaque requiert donc toujours à l’heure actuelle de l’expertise de la part des gestionnaires de botnet qui peuvent louer leurs infrastructure pour des activités de Ddos.

Certains attaquants adoptent des scenarii plus subtiles et ciblés. En cherchant à perturber spécifiquement un service sans générer un débit réseau élevé, cela permet de détourner l'attention des responsables de sécurité et facilite d'autres activités malveillantes, telles que des tentatives d'intrusion ou le dépôt de logiciels malveillants sur le système cible. Ces attaques exploitent des vulnérabilités au niveau des serveurs en les surchargeant de sessions et de demandes légitimes en apparence, mais qui nécessitent des ressources importantes pour être traitées.

Une autre catégorie d’attaquants plus chevronnés utilisent les attaques DDoS comme moyen de diversion. Ils cherchent à détourner l'attention des responsables de sécurité en menant des activités de cybercriminalité, telles que le vol de données ou le chiffrement de données en échange d'une rançon. Ces attaques ciblent souvent des secteurs où les données sont sensibles, tels que le domaine de la santé ou le secteur bancaire.

Quelles sont les méthodes disponibles pour se protéger des dénis de service ?

Aurélien Bouzon :

Pour contrer les attaques DDoS et assurer une protection efficace, il existe plusieurs approches à prendre en compte.

Tout d'abord, il est possible d'ajuster la configuration des équipements existants, tels que les pare-feux et les serveurs, afin de limiter les effets néfastes des attaques. Cela implique la mise en place de bonnes pratiques et de configurations visant à gérer au mieux les phénomènes de pic, sans pour autant empêcher totalement les attaques elles-mêmes.

Il n'existe pas de solution magique pour se protéger complètement contre les attaques DDoS. Sur Internet, il est toujours possible pour des attaquants de mener des attaques massives en envoyant un grand nombre de demandes vers des serveurs. L'objectif de la protection est donc de minimiser les effets néfastes de ces attaques, plutôt que de les empêcher totalement.

Un bon dimensionnement des infrastructures doit permettre de répondre aux charges normales, tout en étant préparé à des pics de demande. Il est recommandé d'avoir une légère surcapacité pour faire face à ces situations. Cependant, il est déconseillé de s'engager dans une course à l'armement en construisant des infrastructures surdimensionnées qui coûteraient cher pour des attaques qui surviennent rarement.

L'utilisation de dispositifs de protection tels que les boîtiers de filtrage est une solution efficace. Ces boîtiers, tels que ceux de 6Cure, offrent une variété de modules qui permettent de filtrer le trafic en fonction des caractéristiques des attaques. Ils peuvent être configurés pour détecter et bloquer les attaques en se basant, par exemple, sur des critères tels que les seuils, les volumes, les adresses IP sources et les emplacements géographiques. Dans tous les cas, les experts cybersécurité vont chercher à trouver le juste équilibre dans le processus de filtrage, car une mauvaise configuration peut entraîner des effets indésirables, voire pénaliser les clients légitimes tout autant que si il n’y avait pas de filtrage.

Pour le déploiement de ces dispositifs de protection il est préférable d’adopter une approche opérateur plutôt que "on premise". Cela garantit une protection plus efficace, car les boîtiers de filtrage sont déployés en cœur de réseau, où les débits sont élevés et les risques de congestion en amont des boitiers de protection sont réduits.

Malgré toutes ces mesures de protection, les attaques DDoS plus subtiles peuvent être plus difficiles à détecter. Adopter une approche globale de surveillance et de détection des anomalies, en utilisant un service de Cyber SOC (Security Operations Center), permet de renforcer la capacité à identifier et à répondre à ces attaques plus insidieuses.

Quelle technologie utiliser pour se protéger des attaques en déni de service ?

Emmanuel Besson :

Les attaques volumétriques sont généralement plus faciles à repérer en observant l'occupation des liens réseau, qui peut être rapidement identifiée comme anormale lorsque les pourcentages d'occupation atteignent des niveaux élevés, qui excèdent la norme observable, et dépasse par exemple  80 à 90% de la capacité. Les attaques volumétriques sont donc visibles et ont un impact notable sur les réseaux.

En revanche, les attaques plus subtiles, qui ont un impact sur le processing des serveurs, sont plus difficiles à détecter. Elles peuvent prendre différentes formes. Les attaques multivectorielles, c'est-à-dire combinant plusieurs méthodologies d'attaques, représentent aujourd'hui plus de 80% des DDoS observés. L'objectif derrière ces attaques est de mettre à l'épreuve les systèmes de protection en ayant plus de chances de succès pour l'attaquant.

Nous avons également observé une évolution dans les attaques au fil des années. Auparavant, les attaques volumétriques duraient plusieurs jours avec un débit important, mais elles étaient relativement faciles à bloquer une fois que les systèmes de protection appropriés étaient mis en place. Aujourd'hui, nous rencontrons des attaques plus courtes et répétitives, avec des séquences d’une minute entrecoupées d’une pause d’une minute par exemple. Cela permet de mobiliser moins de ressources, mais l'effet sur le service est le même. Lorsque l'attaque cesse, les utilisateurs essaient de se reconnecter, et rencontrent alors un deuxième pic d'attaque et un effondrement du service. Ces attaques sont plus difficiles à bloquer car elles nécessitent une approche plus fine et réactive.

Dans ce cas de figure, la réactivité en matière de protection doit être optimale c’est-à-dire inférieure à la minute pour faire face efficacement à la dynamique que l'attaque. Sinon, on se retrouve toujours en train de courir après l'attaquant.

Dans le cas des attaques multivectorielles, chaque pic peut utiliser des méthodes différentes et des adresses IP sources différentes. Il n'est alors pas possible de mettre en place une seule règle de protection qui fonctionnerait pour tous les pics d'attaque après avoir analysé le premier.

Les attaquants s'adaptent constamment aux mesures de protection en place. C'est un jeu du chat et de la souris. Si une protection est mise en place, les attaquants chercheront à contourner cette protection, et ainsi de suite. Pour adresser les attaques plus complexes de type hybride, il existe un mix de méthodes de protection actionnables dans le dispositif 6cure.

Pour faire aux attaques volumétriques, ou applicatives, ou encore aux attaques basées sur l'accumulation de connexions, vous pouvez activer simultanément toutes ces couches de protection, capables de filtrer progressivement l'attaque. Certaines parties de l'attaque seront éliminées par les couches dédiées à l'anti-flooding ou à l'anti-volumétrique, tandis que d'autres parties seront éliminées par la protection applicative, et ainsi de suite.

Du côté de la réactivité des couches de protection, le délai d'activation est très majoritairement inférieur à la seconde et n'excède jamais 5 secondes sur les boîtiers anti-DDoS  6cure. Cela devient donc difficile pour les attaquants de coordonner des actions dans un laps de temps aussi court. Par exemple, il est presque impossible pour un attaquant d’avoir ce scénario : "Je vais effectuer des pics de 2 secondes, puis attendre 5 secondes, puis refaire des pics de 2 secondes". C'est une tâche ingérable pour un attaquant, car il doit coordonner des actions à travers le monde, il devient impossible de synchroniser vers la cible des vagues de paquets de données issus de multiples parties du globe du fait des délais d'acheminement. En comparaison, notre réactivité de l'ordre de la seconde assure une protection optimale.

Et quel est le rôle du SOC IMS dans la protection et la détection ?

Aurélien Bouzon :

Du côté du service SOC, nous apportons plusieurs éléments de protection et de détection. Tout d'abord, il y a la phase de communication avec le client pour comprendre les services à protéger et ce qui se cache derrière ces services.

Ensuite, il y a toute la phase de configuration. Une phase de préparation en amont permet de définir des seuils correspondant aux services à protéger. Les boîtiers sont particulièrement efficaces pendant une attaque sur Internet, et il peuvent aussi s’avérer utiles pour filtrer des scans et des micro-attaques qui se produisent en permanence. Certains clients préfèrent que la protection ne soit activée qu'en cas d'attaque avérée, tandis que d'autres adoptent une approche plus proactive avec un filtrage permanent. Il y a donc différentes postures qui peuvent être adoptées en fonction du contexte.

Lorsqu'une attaque se produit, nous évaluons la protection en fonction de l'évolution de l'attaque. Selon les résultats de nos investigations et nos analyses du fonctionnement de l'attaque, nous pouvons réajuster les seuils de protection pour filtrer le trafic de manière efficace. En éliminant une part significative du trafic indésirable nous redonnons de l'air aux infrastructures que l’attaque cible. La recherche du meilleur compromis, entre être trop restrictif ou pas assez dans la mise en œuvre du filtrage permet de minimiser les impacts pour les clients légitimes.

Pour cela, il existe de nombreux paramètres et seuils qui peuvent être configurés dans différents modules. Il est par exemple possible de prendre en compte le nombre de connexions par adresse IP source, de définir des fenêtres de temps, etc. La compréhension des vecteurs d'attaque utilisés par les attaquants et des critères sur lesquels nous pouvons les bloquer, nous permet de trier efficacement les connexions légitimes des connexions malveillantes.

Pour bien se préparer, nous pouvons envisager différents scénarios d'attaque et créons plusieurs profils de protection sur les boîtiers. Ainsi, nous avons la capacité de réagir rapidement en appliquant le profil approprié selon l'évolution de l'attaque. Nos équipes observent et analysent en continu les impacts pour déterminer les critères de blocage et les mettre en œuvre.

Certaines choses peuvent être anticipées, tandis que d'autres nécessitent une réaction en temps réel. Il faut être prêt à réagir et à ajuster la protection en fonction de ce que nous observons. Il s'agit d'un travail constant d'identification, d'analyse et d'adaptation pour assurer une protection et une détection efficaces.