Cybersécurité - Innovations digitales et numériques

De base, ce dispositif de protection contre la cyber-criminalité est intégré à l'ensemble des nouvelles offres du groupe (OVH.com, So You Start et Kimsufi). "OVH s'engage à vo côtés pour protéger votre projet 24h/24 contre tout type d'attaque DDoS, quelles que soient leur durée et leur taille" précise Octave Klaba, le directeur d'OVH. 

Pour bloquer ces attaques, OVH a mis en place son propre système de mitigation basé sur la technologie VAC (pour vacuum, aspirateur). Celle-ci analyse en temps réel et à haute vitesse tous les paquets, absorbe le trafic entrant sur chaque serveur et le mitige en identifiant les paquets IP non légitimes. Ce qui permet aussi de parer à d’éventuels dommages collatéraux qui affecteraient non seulement la victime de l’attaque, mais également les serveurs voisins, voire un sous-réseau ou un routeur, au sein du même datacenter. 

Cette mitigation automatique est activée entre 15 et 120 secondes après le début de l’attaque et répliquée dans trois datacentres d’OVH sur deux continents (BHS en Amérique du Nord, RBX et SBG en Europe).

Avec une capacité totale de mitigation de 480 Gbps (3 x 160 Gbps) OVH est capable de bloquer les plus fortes attaques recensées actuellement.

Notez que sur les offres de la marque OVH.com, l'option "Anti-DDoS Pro" permet aux clients d’aller plus loin avec la possibilité de personnaliser leurs paramètres de protection, de bénéficier du Firewall Network de Cisco et d'une API listant l'ensemble des actions possibles.

Tom Scott, du projet Computerphile, prend le temps d'expliquer dans cette vidéo les origines des attaques dites de "déni de service" (DoS) et de leurs déclinaisons, les DDoS (pour Distributed Denial of Service) qui sont régulièrement utilisées sur la toile, mais aussi les attaques par DDoS amplifié, et notamment celles utilisant le NTP (Network Time Protocol) à des fins d'amplification. Cette méthode n'était pas inconnue jusqu'ici, mais son utilisation par les criminels est en plein essor, et l'entreprise spécialisée dans la sécurité CloudFare a enregistré le mois dernier une attaque record contre ses serveurs employant un débit de 400 Gbit/s.

La dangerosité de ce nouveau type d'attaque réside dans le fait que l'agresseur peut créer de plus grosses attaques avec un nombre beaucoup moins élevé de ressources. Tom Scott n'hésite d'ailleurs pas à évoquer un crash d'Internet si une attaque suffisamment importante était mise en œuvre...

Après avoir découvert cette faille, le développeur a recherché, à l'aide du moteur Google bien sûr, d'autres incidents de ce type, et il en a trouvé 2 autres. Interrogé sur les exploitations détournées de sa plate-forme d'indexation de sites web, Google a simplement répondu que ce n'était pas une vulnérabilité dans sa sécurité mais une forme d'attaque par déni de service. Heureusement pour bloquer ces attaques, il suffit d'insérer les balises permettant de bloquer l'indexation réalisée par le robot de Google.

Les entreprises se soucient fortement de la sécurité de leurs données, mais paradoxalement elles ne semblent pas se soucier assez de leur réseau DNS : partie la plus fragile d'un réseau et pourtant contenant les informations les plus critiques. Par ailleurs, une attaque informatique sur un réseau DNS a également des conséquences importantes au niveau financier, les coûts liés à une faille de sécurité pouvant se compter en millions de dollars. La sensibilisation à l'importance du réseau DNS est donc la première étape dans les bonnes pratiques à appliquer en entreprise.

Le coût global des cyberattaques a été estimé à 300 milliards d’euros pour les entreprises en 2013. ITespresso.fr a dégagé dix tendances sur la cyber-sécurité et la cyber-criminalité qui se sont propagées courant 2013 et que l’on retrouvera inéluctablement sur 2014.

Première conclusion : le nombre, la fréquence et la virulence des attaques DDoS (« Distributed Denial of Service ») sont en forte augmentation. Les utilisateurs finaux restent les plus touchés (dans 64% des cas), mais l’infrastructure réseau est aussi régulièrement prise pour cible (46% des sondés le déclarent), tout comme les services (44% évoquent DNS ; autant mentionnent les e-mails). En revanche, moins de 20% des répondants ont repéré des attaques contre leur infrastructure cloud – les offres IaaS étant les plus visées, devant le SaaS.

Reflétant l’adoption croissante des services cloud, les data centers deviennent des cibles de choix. Parmi les 69% de sondés qui opèrent au moins un centre de données, 70% rapportent avoir subi au moins une attaque en 2013. Près de 10% ont subi, en moyenne, plus de 100 assauts DDoS par mois.

En attendant que la lumière soit faite sur les auteurs, on ne peut que conseiller aux éditeurs de jeux en ligne de se prémunir contre le risque de rupture de la continuité de service de leur portail de jeux avec une solution active 24 heures sur 24 et 7 jours sur 7. L’idéal est une solution technologique de prévention d’intrusion et de défense anti-DDoS, située en périphérie du SI, afin de contrer, avant qu’elles n’y pénètrent, les attaques destinées à perturber le jeu en ligne. Cette première ligne, outre la lutte contre les DDoS, permet de lutter contre les intrusions sur le réseau, en détectant et bloquant de nombreuses autres attaques, comme des injections SQL ou un cross-site scripting, dont le but est d’exploiter les applications de jeux et compromettre les bases de données. Une Première Ligne de Défense met aussi un terme à toutes sortes de hacks exécutés par certains joueurs pour tricher en ligne, tout en assurant la fluidité de jeu indispensable. Une réelle qualité de service doit être assurée ! Cette disponibilité permanente, cette réactivité totale est le cœur de métier de ces prestataires. Pour ce faire, il faut disposer d’une prévention totale contre les intrusions par attaque malveillante utilisant le contenu comme vecteur. Il faut aussi éviter que des données personnelles soient compromises au cours des attaques. C’est tout l’intérêt d’une Première Ligne de Défense qui protégera les actifs tout en assurant la continuité des activités. Au-delà du service lui-même, c’est en effet le contenu et l’activité des serveurs (gestion, paiement, archives…) qui peut se trouver affecté, volé ou détruit. Pour une entreprise de jeu en ligne, c’est la mort annoncée.

Ceci dit, « Prolexic ne faisait pas beaucoup parler d’elle en France jusqu’ici », explique Arnaud Cassage. Contrairement à d’autres fournisseurs comme Arbor Network, Corero, F5, Radware ou encore Juniper. Les entreprises françaises externalisent peu leur sécurité. Elles préfèrent se protéger avec un boitier installé en interne que de passer par un prestataire externe. « Pour repérer une attaque DDOS, il vaut mieux bien connaître les applications de l’entreprises, argumente Arnaud Cassagne. Et avec ses 120 collaborateurs, Prolexic ne convainc pas nécessairement. » Et comparé au rachat de Sourcefire par Cisco celui de Prolexic fait pâle figure. Plus de 2 milliards de dollars dépensé dans le premier cas contre 370 millions dans le deuxième.

Shylock, l’un des tous derniers malwares bancaire est capable de voler de l’argent automatiquement lorsque qu’une victime infectée accède à son compte bancaire en ligne. Un utilisateur infecté ne peut pas savoir que son argent a été dérobé, car il voit de fausses données sur la page Web du site bancaire, modifiée via des webinjects. Plus de 24 banques sont touchées par le mawares ! Shylock a des capacités furtives hors du commun. N’hésitez pas à appeler votre banque en cas de doute.

Enfin, c’est une évidence mais l’ENISA le confirme tout de même : le téléphone mobile est désormais concerné par la plus part des menaces (botnets mobiles, attaques ciblées, scarewares, SMS surtaxés, etc…).

Selon un expert de la sécurité interviewé par le New York Times, nombreuses sont les start-up qui cèdent au chantage et versent la rançon réclamée, en espérant que les cybercriminels les laisseront tranquilles. D'autres se résignent à se tourner vers des prestataires technique pour réduire les risque de voir leur site tomber, comme Cloudfare ou Akamai. Le FBI, qui enquête sur ces attaques pense qu'elles pourraient toutes venir de la même personne ou du même groupe.

Le spécialiste de l’équipement réseau F5 Networks a récemment annoncé la disponibilité d’une nouvelle solution de sécurité. Une offre avant tout taillée pour répondre aux attaques DDoS (Distributed Denial of Service) tant par débordement ICMP (protocole de monitoring du réseau) et DNS (serveur de noms de domaines) qu’au niveau applicatif.

« Notre solution anti-DDoS vise à protéger les entreprises contre les attaques DDoS et les approches complexes en termes de protocoles à gérer, HTTP et DNS, déclare Vincent Lavergne, directeur avant-vente pour la zone EMEA. Elle s’appuie sur le traitement matériel ainsi que sur l’évolution de F5 Synthesis. »

Il lui suffit de trouver un bon gros fichier à télécharger sur le site de la victime... Un PDF par exemple. Puis de l'appeler comme si on appelait une image, directement dans Google Spreadsheet (le tableur).

Sur la base de tests effectués avec Ixia/BreakingPoint, par exemple, un dispositif F5 VIPRION 4800 équipé de 8 lames peut gérer jusqu’à 470 Gbps de trafic SYN flood - jusqu’à 10 fois ce dont sont capables les solutions DDoS concurrentes – tout en continuant à traiter 160 Gbps de trafic réseau légitime sans dégradation des performances. Avec la plate-forme matérielle flexible de F5, des fonctionnalités DDoS supplémentaires pourront être incorporées au matériel à chaque nouvelle version.

Pour parvenir à leur fins, les pirates n'auraient pas submergé les cibles de requêtes, selon la méthode habituelle, mais les auraient attaquées indirectement en passant par le Network Time Protocol.

Aujourd’hui, c’est au tout de Google de répliquer, avec une solution qui sera bientôt proposée à tous les internautes. Les détails techniques ne sont pas encore connus, mais elle s’appuie apparemment sur une technologie anti-DDoS développée par la firme et sur son PageSpeed Service. Pour joindre le programme, les éditeurs de sites n’auront qu’à remplir un simple formulaire, accessible à cette adresse. Parmi les différentes informations demandées, ils devront indiquer entre autres choses le nombre moyen de requêtes reçues chaque seconde par leur site. Google, de son côté, pourra ainsi identifier toute hausse anormale et déployer son bouclier afin de protéger le site et son serveur.