Les attaques par déni de service distribué (DDoS) contre le fournisseur de services de système de noms de domaine (DNS) Dyn récemment médiatisées ont impliqué un botnet fondé sur des objets connectés. Ces attaques puissantes ont entraîné la mise hors service temporaire de nombreux sites Web connus comme Twitter, Spotify ou Netflix.

Contrairement à ce que l’on pourrait penser, des rapports récents suggèrent que cette attaque pourrait avoir été menée à bien par des hackers amateurs, et non par des individus aux compétences avancées. Cette opération a été rendue possible par un développeur anonyme, auteur du logiciel malveillant Mirai, qui a récemment publié le code source sur le darknet. Il existe un véritable marché noir sur le Web, où les cybercriminels les plus doués partagent du contenu et des innovations, développent leur savoir-faire et mettent leur expertise et leur code malveillant à la disposition de personnes moins compétents.  Les cybercriminels n’ont même plus besoin de savoir coder. Tout un système de support a été mis en place pour que n’importe quel amateur averti et désireux de le faire puisse réaliser des attaques lourdes. Cette attaque DDoS basée sur Mirai nous rappelle de la plus brutale des manières de ne jamais baisser la garde concernant notre modèle de sécurité.

Il est évident que cet environnement de menaces a un effet important sur notre gestion des risques de sécurité et questionne la vulnérabilité des appareils IoT.  D’après les estimations, le nombre d’appareils connectés à des réseaux IP serait trois fois supérieur à la population humaine mondiale d’ici 2017.  À l’heure actuelle, plus de 9 milliards d’appareils sont déjà connectés à Internet.  D’ici 2020, ce nombre aura encore augmenté et atteindra entre 20 et 50 milliards (avec près de 2 milliards d’objets vendus en France), d’après des rapports de Gartner, d’IDC et d’autres bureaux d’études.

Nous devons donc anticiper l’existence d’un réseau extrêmement complexe d’appareils tels que les « wearables », les modules de domotiques, les unités de vente et toutes sortes d’appareils intelligents susceptibles de nous entourer à la maison, dans les espaces publics, dans les espaces commerciaux et au travail.  N’oublions pas que la grande majorité de ces appareils ne sont pas spécifiquement conçus selon les bonnes pratiques en vigueur pour garantir la sécurité.  En réalité, nombreux sont ceux qui présentent des vulnérabilités, pouvant être facilement exploitées par des logiciels malveillants tels que Mirai.  Les dirigeants doivent commencer à se poser les questions suivantes: Combien de ces appareils peuvent être connectés à votre réseau ? Dans quelle mesure votre entreprise risque-t-elle déjà d’être exposée aux attaques ?

Ne nous leurrons pas, les méthodes d’attaque évoluent en permanence et très vite.  Les attaques basées sur l’IoT sont l’un des vecteurs d’attaque DDoS les plus fréquents et qui se développent le plus rapidement en 2016.  De nombreuses organisations éprouvent des difficultés à déterminer leur profil de risque, les risques sur lesquels se concentrer et les points sur lesquels renforcer la sécurité, les effectifs et les ressources allouées pour mieux sécuriser leur environnement contre divers types de cyberattaques.  Contrairement aux logiciels de rançon ou aux menaces 0-day, les attaques DDoS sont souvent utilisées à des fins d’extorsion.  Même si le motif principal derrière l’attaque contre Dyn n’est pas encore clairement établi, il est plausible que l’argent en soit la finalité.  Tout comme Dyn et d’autres organisations confrontées à d’éventuelles attaques basées sur Mirai à l’avenir, il ne serait pas étonnant que les victimes reçoivent un avertissement avant une attaque DDoS imminente si la demande d’argent n’a pas été satisfaite.  Ne vous contentez pas d’attendre les résultats de votre modèle de sécurité actuel : suivez les quatre étapes clés ci-dessous pour réduire dès maintenant les risques.

Changez de perspective : de la sécurité au risque

Que répondriez-vous à quelqu’un qui vous demande si votre entreprise est sécurisée ?  Dans le monde d’aujourd’hui, la réponse serait « non ».  A la lumière de ce qui s’est passé pour Dyn, je vous incite à vous interroger sur vos programmes de sécurité : sont-ils toujours aussi efficaces et vous maintiennent-ils réellement en sécurité ?  En réalité, nous sommes exposés à des risques imprévisibles. Vous demander si vous êtes en sécurité ou non n’est pas la question idéale.  La réflexion adéquate porterait sur le risque.  Le fait de connaître vos champs de risque et d’identifier les domaines de risque intolérables vous permet d’évaluer de manière réaliste et précise votre modèle de sécurité et de déterminer les aspects de votre environnement qui méritent une surveillance continue.

Comprenez qui vous attaque

Il est primordial de comprendre la position de votre adversaire et les méthodes d’attaque susceptibles d’être utilisées en particulier contre votre entreprise, ainsi que de veiller à ne pas uniformiser la sécurité, car cela fragilise la protection aux points où elle devrait être renforcée. L’attaquant vise-t-il vos données ou cherche-t-il à interrompre le service ?  Cherchez à millimétrer la sécurité sur les domaines de risque pour lesquels vous avez une faible tolérance, voire une tolérance zéro, tout en étant moins strict dans les domaines où votre degré de tolérance est plus élevé.  En résumé, vous devez définir précisément les domaines visés par vos adversaires et ceux sur lesquels concentrer vos collaborateurs et vos technologies.

Définissez et préparez un plan de réaction et de remise en service

Nous devons accepter que la question n’est pas de savoir si oui ou non nous allons être attaqués, mais plutôt de savoir quand.  C’est pourquoi, établir un solide plan de réaction et/ou de réparation réutilisable est crucial pour rétablir une capacité optimale et préserver votre image de marque.  Lorsque vous mettez en place un processus et un plan approuvés pour garder le contrôle si la situation se dégrade, tous les membres de l’équipe d’intervention sont prêts et connaissent leur rôle comme leur mission en cas d’attaque.  Vous devez tester votre plan régulièrement, effectuer des simulations à la manière d’un exercice d’incendie et améliorer le processus. De plus, les premiers intervenants doivent être efficaces et bien préparés afin d’exécuter les plans de réparation tels qu’ils ont été conçus.  Il peut s’agir d’une reprise après sinistre de l’environnement, du verrouillage rapide des domaines où la sécurité est compromise ou de l’activation des ressources secondaires.  Ainsi, chacun connaît sa fonction et sait ce qu’il doit faire.  Par ailleurs, vous devez impliquer le personnel non technique, à savoir les équipes RP, marketing et du service juridique pour déterminer comment réagir et communiquer au nom de l’entreprise pour conserver la confiance des clients et éviter tout risque réglementaire.  Tous ces aspects doivent être prévus à l’avance.

Réduisez les opportunités d’attaque

Les attaques flood DDoS visent majoritairement le protocole UDP. Il s’agit de l’un des processus de flood les plus courants actuellement. En général, les hackers utilisent des ports UDP aléatoires pour atteindre leur victime. Les protocoles NTP, DNS ou SNMP sont plus sensibles car ce sont les plus utilisés.  Les floods UDP utilisent des mécanismes ciblés sophistiqués visant à épuiser les ressources d’un groupe/d’un ordinateur cible au point que le périphérique ne soit plus en mesure de prendre en charge le trafic légitime. L’absence de mécanisme d’établissement de liaison comme TCP (pour les connexions légitimes) fait que le protocole est choisi en priorité par les attaquants pour usurper l’adresse IP source et rediriger les réactions face à l’attaque vers n’importe quelle destination. Les attaques peuvent être amplifiées lorsque des réactions importantes sont redirigées vers une cible, comme les attaques par amplification DNS contre Dyn.

Il existe des mécanismes de protection contre les attaques flood sur les pare-feu permettant de réduire les opportunités d’attaque via UDP, SYN et ICMP.

Le mécanisme de flood UDP peut permettre d’atténuer ces attaques en définissant une valeur de seuil de référence pour les menaces venant de l’extérieur comme de l’intérieur. Bien sûr, si le hacker a utilisé une anomalie dans le protocole pour lancer une attaque, le moteur DPI suffirait à protéger de l’attaque. Pour les floods SYN et ICMP, des seuils de référence peuvent être définis également. Vous pouvez définir des limites de connexion IP source et de destination dans les règles d’accès afin de restreindre le nombre de connexions à une destination spécifique. Ces limites peuvent être associées à Geo-IP et à Bot-Net (centres de contrôle et de commandement) pour ajouter un mécanisme de protection supplémentaire.

____________
Florian Malecki est Directeur Marketing Produit SonicWall