Les premières attaques par déni de service (DoS) submergeaient les serveurs de demandes de connexion TCP ou UDP (attaques dites volumétriques) au niveau des couches réseau et de transport (couches 3 et 4). De nos jours, cependant, de plus en plus d’attaques DoS emploient des requêtes HTTP/HTTPS ou des appels d’API pour s’en prendre à la couche d’application (couche 7). Les cybercriminels lancent également des attaques par déni de service distribué (DDoS) en créant un botnet composé de nombreux ordinateurs qui envoient des requêtes.

Avec les attaques DDoS, le nombre potentiel de requêtes est plus élevé. Et compte tenu de la nature distribuée des attaques, il est plus difficile d’identifier la source des requêtes et de les bloquer.

Les attaques DoS progressent partout dans le monde et compromettent l’expérience utilisateur :

* Les attaques DoS sont parmi les plus répandues, notamment en raison de la prolifération des API.

* Les attaques de la couche 7 ont bondi de 20 % ces dernières années, tandis que leur ampleur et la gravité de leur impact ont augmenté de près de 200 %

* En 2020, le virage numérique encouragé par la pandémie de Covid‑19 a entraîné une recrudescence des attaques DDoS.

L’incidence des attaques de la couche 7 sur les applications, les API et d’autres ressources applicatives nuit à l’expérience utilisateur et empêche les entreprises de percevoir des revenus. Une protection DoS efficace est donc essentielle pour permettre aux utilisateurs de bénéficier d’un accès ininterrompu aux services dont ils ont besoin.

Des cyberattaques d’un nouveau genre

Les cyberattaques de la couche 7 ont évolué pour s’adapter à la complexité croissante d’Internet et à des architectures applicatives plus sophistiquées. Les attaques volumétriques des couches 3 et 4, telles que les attaques par réflexion UDP ou par saturation ICMP/SYN, ne sont plus aussi répandues qu’auparavant. Pourquoi ? Parce que les ingénieurs en infrastructure ont eu des années pour mettre au point des mécanismes de défense. Ces attaques étant plus longues et plus coûteuses à élaborer, les cybercriminels sont passés à autre chose.

Les attaques de la couche 7 sont plus compliquées à concevoir que les attaques réseau, mais bon nombre d’outils capables de gérer les attaques des couches 3 et 4 ne protègent pas les architectures applicatives modernes. Les attaques DDoS de la couche 7 sont plus difficiles à détecter, car les bots et l’automatisation aident les cybercriminels à faire passer leurs activités pour du trafic légitime, en particulier lorsqu’ils utilisent des outils d’intrusion sophistiqués. Si un pirate parvient à constituer un botnet (c’est-à-dire des milliers de machines compromises sous son contrôle), il lui est facile de lancer des attaques à très grande échelle.

Lorsque la plupart des attaques ont lieu au niveau de la couche applicative, un suivi régulier du comportement des applications est nécessaire pour établir une base de référence qui permettra de déterminer si le trafic est malveillant ou non, et ce, sans surcharger l’équipe de sécurité.

Aujourd’hui, le développement d’appareils et d’applications croît à une vitesse sans précédent. À mesure que les environnements se transforment, de nouvelles vulnérabilités et opportunités d’attaques font leur apparition.

Par exemple, les appareils du quotidien sont de plus en plus intelligents. Selon Omdia, le nombre total d’appareils de l’Internet des objets (IoT) a atteint 23,5 milliards en 2020 et s’élèvera probablement à 27,8 milliards fin 2021. Plus il y a d’appareils, plus le nombre de vulnérabilités exposées augmente. Alors que les téléphones, les téléviseurs et les réfrigérateurs se transforment en dispositifs IoT connectés, les contrôles de sécurité sont souvent négligés, ce qui facilite l’exploitation de ces appareils dans des botnets. Avec les nouvelles innovations et les fonctionnalités 5G des appareils mobiles, les attaques DoS ont considérablement augmenté.

Les environnements modernes exigent des solutions modernes.

Des cyberattaques peu couteuses à réaliser, mais lourdes de conséquence

Dans un monde qui est resté confiné durant la majeure partie de l’année 2020, les consommateurs ont acheté davantage de produits en ligne, si bien que les entreprises ont dû accélérer leur transformation numérique pour répondre à la demande. Malheureusement, les cyberattaquants ont exploité cette dépendance accrue à Internet, et les attaques DDoS ont elles aussi explosé.

Si les attaques de la couche 7 sont peu coûteuses à réaliser, limiter leur impact pèse lourd sur le budget du propriétaire du site. Sans protection, des jours, voire des semaines, sont nécessaires pour se remettre d’une attaque.

À la base, une entreprise a besoin d’un outil à même de détecter les attaques en cours sur son site et de distinguer le trafic légitime du trafic malveillant. Cela vaut pour les environnements traditionnels, avec leur structure plus unifiée, mais également pour les architectures applicatives modernes et distribuées qui utilisent des microservices et Kubernetes. Avec l’abandon des applications monolithiques, il convient d’adopter une nouvelle approche aussi adaptative et dynamique que les environnements modernes qu’elle protège.

Une solution de protection contre les attaques DoS doit fonctionner dans les environnements à la fois actuels et futurs. Les cybercriminels modifient sans cesse leurs stratégies. C’est pourquoi les mécanismes de prévention des attaques doivent pouvoir observer l’évolution du comportement des utilisateurs et des services, et s’y adapter en permanence.

Les équipes ont essentiellement besoin d’une protection puissante et adaptable, axée sur la sûreté, la sécurité et la rapidité. Elle doit présenter les caractéristiques suivantes :

* Intégration transparente. Il est essentiel de mettre en place des contrôles de sécurité robustes qui s’intègrent parfaitement avec les architectures d’infrastructure modernes.

* Hautes performances. Les performances de la solution doivent avoir un impact minime, voire nul, sur l’expérience client et l’application elle-même, tant dans des conditions normales d’exploitation que lors d’une attaque. Une protection contre les attaques de type « zero day » reposant sur une surveillance continue et des signatures en temps réel permettra d’optimiser les performances applicatives et de limiter efficacement l’impact des attaques.

* Sécurité agile. La solution doit être incorporée aux pipelines d’intégration et de développement continus afin d’éliminer les inefficacités opérationnelles grâce à l’établissement automatique d’une base de référence et au passage en mode « blocage » dès que du nouveau code est déployé. La sécurité peut alors être automatisée pour l’intégrer « en tant que code » avec les outils DevOps et éviter ainsi qu’elle ne ralentisse le développement de nouvelles applications.

* Prévention des attaques. Les cyberattaquants peuvent adapter leurs tactiques, d’où la nécessité d’une solution dynamique. Grâce à des outils intégrés permettant de tirer des enseignements du comportement des utilisateurs et des services, la sécurité de la couche 7 réagit aux attaques avant qu’elles ne causent des dommages. Des contre-mesures sont automatiquement appliquées dès qu’une anomalie comportementale est détectée.

* Vitesse à coût réduit. L’approche CI/CD décharge les développeurs du déploiement pour qu’ils se consacrent à la fourniture rapide de fonctionnalités. Elle permet également aux équipes DevSecOps émergentes d’intégrer la sécurité dans la distribution automatisée des applications. La configuration sans intervention assure une protection à grande échelle économique des environnements d’applications et d’API distribués tels que les microservices, tout en éliminant les frictions entre les équipes DevOps et SecOps.

En matière de protection contre les attaques DoS au niveau de la couche 7, il est essentiel d’intégrer des produits flexibles et adaptatifs, capables de prendre en charge des environnements modernes en constante évolution. Les chefs d’entreprise doivent avoir l’assurance qu’à chaque évolution numérique, leur site reste accessible, rapide et sûr.
___________________

Par Arnaud Lemaire, directeur technique, F5