Des infrastructures attaquées

Qu’est-ce qui différencie une attaque DDoS d’un piratage de données courant ? La réponse est contenue dans son nom : DoS, pour déni de service. Ce type d’attaque a pour but de bloquer la fourniture de services en ligne dont les utilisateurs dépendent. Les sites web d’établissements financiers, de jeux et d’e-commerce font partie des principales cibles des attaques DDoS, de même que les opérateurs cloud qui hébergent des sites ou des applications pour leurs clients professionnels. Même une brève interruption du service peut coûter à une entreprise des millions en manque à gagner, sans parler des répercussions en termes de perte de clients et d’atteinte à sa réputation.

Du fait de la différence de nature entre les attaques DDoS et les piratages de données, les composantes classiques de l’infrastructure servant à combattre ces derniers – firewalls périmétriques, systèmes de détection/prévention d’intrusions (IDS/IPS), etc. – manquent comparativement d’efficacité pour la neutralisation des attaques DDoS. Ces produits de sécurité ont certes leurs places dans une stratégie de défense à plusieurs niveaux, en contribuant à préserver la confidentialité et l’intégrité des données. Toutefois, ils ne répondent pas au problème fondamental des attaques DDoS, à savoir la disponibilité du réseau.

En fait, firewalls périmétriques, systèmes de détection/prévention d’intrusions (IDS/IPS), load balancers sont eux-mêmes de plus en plus la cible d’attaques DDoS visant à les paralyser. La 13ème étude annuelle sur la sécurité des infrastructures IP mondiales (WISR, Worldwide Infrastructure Security Report), réalisée auprès de professionnels de sécurité chez des opérateurs et dans des entreprises, révèle une nette augmentation du nombre des attaques DDoS contre les infrastructures par rapport à l’année précédente. Parmi les entreprises participantes, 61 % ont subi des assauts sur leur infrastructure réseau tandis que, dans 52 % des cas, des firewalls ou systèmes IPS ont connu une défaillance ou contribué à une coupure du service pendant une attaque DDoS. Les infrastructures sont moins souvent visées chez les opérateurs, dont les clients demeurent les premières victimes des attaques DDoS. Néanmoins, 10 % des assauts contre des opérateurs ont ciblé des infrastructures réseau et 15 % des infrastructures de services.

Dans le même temps, les opérateurs de datacenters interrogés indiquent que 36 % des attaques entrantes ont été dirigées contre des routeurs, firewalls, répartiteurs de charge et autres équipements de leur infrastructure. Environ 48 % d’entre eux ont enregistré une panne d’un firewall, système IDS/IPS ou répartiteur contribuant à une coupure de service pendant une attaque DDoS, soit une proportion en hausse de 43 % comparée à 2016.

Les composants d’infrastructure sont particulièrement vulnérables aux attaques de type TCP State Exhaustion, qui tentent de saturer les tables d’état de connexion (enregistrements de sessions) utilisées par les répartiteurs de charge, firewalls, IPS et serveurs d’applications pour identifier le trafic légitime de paquets. Ces attaques peuvent même asphyxier des équipements de haute capacité (en mesure de gérer plusieurs millions de connexions). Dans la dernière enquête WISR, la catégorie TCP State Exhaustion représente près de 12 % de l’ensemble des attaques signalées.

En dépit de leur vulnérabilité, les firewalls, IPS et répartiteurs de charge restent en tête de liste des dispositifs de sécurité que les entreprises disent déployer pour neutraliser les attaques DDoS. Chez les opérateurs, les firewalls sont la deuxième solution de neutralisation DDoS la plus citée tandis que, du côté des entreprises, ils arrivent au premier rang pour 82 % des participants à l’enquête. Il est quelque peu décourageant de constater que les mesures de neutralisation DDoS les plus répandues sont aussi les moins efficaces, étant donné la facilité avec laquelle une attaque contre les tables d’état peut les neutraliser facilement.

Il faut cependant noter un point positif : la fréquence accrue des attaques DDoS observée dans l’édition 2016 de notre enquête paraît avoir suscité une adoption plus large des systèmes de neutralisation DDoS intelligents (IDMS) en 2017. Environ la moitié des participants indiquent qu’une solution IDMS fait désormais partie de leur protection périmétrique, un chiffre en forte progression par rapport à l’année précédente, où il n’était que de 29 %.

Toute entreprise qui propose des services sur le Web a besoin d’une protection robuste et spécialisée contre les attaques DDoS. Les experts en sécurité ne cessent de préconiser comme meilleure pratique une solution hybride associant des défenses sur site et des capacités de neutralisation dans le cloud. En particulier face aux attaques contre les infrastructures réseau, une appliance DDoS dédiée sur site doit être déployée en frontal des composants d’infrastructure afin de les protéger contre ces assauts et de leur permettre d’accomplir leur tâche sans entrave.

Eric Michonnet, Directeur Régional Europe du Sud, Europe centrale et Afrique du Nord NETSCOUT Arbor

Go to Source


bouton-devis