Quelques mesures pour se protéger contre les attaques DDoS et l’armée Botnet

Pratique
Par Ingo Schneider (Alcatel Lucent Enterprise) · 04/08/2017

Le grand public a pris conscience des attaques DDoS (déni de service distribué), l’année dernière, à la suite de plusieurs cas très médiatisés. Parmi eux, l’attaque contre la société Dyn (1) en octobre 2016. Bien qu’il ne s’agisse pas nécessairement d’une menace nouvelle – le phénomène existe en réalité depuis la fin des années 90 -, l’attaque contre Dyn est un exemple intéressant dans la mesure où des périphériques IoT (Internet of Things) mal sécurisés ont été utilisés pour la coordonner.

Si l’on considère, comme le prédit Gartner, que l’Internet des Objets, en pleine croissance, devrait inclure quelque 20 milliars de dispositifs connectés d’ici 2020, il devient évident que la nécessité de mettre en œuvre des procédures et des outils réseau capables de sécuriser comme il se doit tous ces dispositifs ne cessera de se faire plus pressante.

Internet des objets, nouveau champ de bataille: l’essor des Rent-a-bot

Si on schématise, les attaques DDoS se produisent lorsqu’un attaquant tente de rendre une ressource réseau indisponible pour les utilisateurs légitimes, en inondant le réseau visé de trafic superflu jusqu’à ce que les serveurs soient submergés et que le service soit déconnecté. Des milliers d’attaques de ce type sont répertoriées chaque année.

Cherche botnet efficace, pas cher, discret… (Source: Sleeping Computer)

Leur nombre et leur ampleur ne font qu’augmenter. Selon certains rapports, l’année 2016 a vu une augmentation de 138 % du nombre total d’attaques supérieures à 100 Gbps par rapport à l’année précédente (source: Akamai).

L’attaque contre Dyn s’est servie d’un botnet piloté par le maliciel Mirai. Ce botnet exploite des “objets intelligents” IP mal protégés pour multiplier son armée de dispositifs périphériques infectés. Il est programmé pour rechercher des dispositifs IoT qui ne sont encore protégés que par des paramètres configurés par défaut en usine ou par des noms d’utilisateur et mots de passe codés en dur. Une fois infecté, le dispositif devient membre d’un botnet composé de plusieurs dizaines de milliers d’équipements IoT qui peuvent alors bombarder une cible sélectionnée avec du trafic malveillant.

Poursuivant des visées lucratives, des cybercriminels proposent ce botnet et d’autres du même type en location sur Internet. Plus leurs fonctionnalités et capacités augmentent et se perfectionnent, plus les objets connectés seront en danger.

Alors, quelles mesures les entreprises peuvent-elles prendre pour se protéger dès maintenant et à l’avenir ?

Première mesure: confinement de la menace

L’essor de l’IoT est au cœur de la transformation numérique des entreprises. L’IoT est un véritable levier pour l’émergence de certains progrès technologiques majeurs, par exemple le big data, l’automatisation, l’apprentissage machine (machine learning) et la visibilité globale en entreprise. Les nouvelles méthodes de gestion des réseaux et de leur maillage de dispositifs connectés s’évertuent à ne pas se laisser distancer.

Le confinement de l’IoT est un élément-clé de cette évolution. Cette méthode permet de créer des environnements virtuels isolés à l’aide de techniques de virtualisation de réseau. L’idée est de regrouper, au sein d’un “conteneur” IoT unique, les appareils connectés présentant une fonctionnalité spécifique et les utilisateurs autorisés correspondants. Tous les utilisateurs et équipements d’une entreprise demeurent connectés physiquement à une seule infrastructure réseau convergée mais ces contenurs les isolent de manière logique.

Carte mondiale des “objets connectés” infectés par des bonnets. Situation à fin 2016. Source: Incapsula.

Prenons un exemple: une équipe de sécurité dispose de dix caméras de surveillance IP sur un site. En créant un conteneur IoT pour le réseau de l’équipe de sécurité, le personnel informatique peut générer un réseau virtuel isolé inaccessible pour les personnes non autorisées ou invisible pour les autres équipements se trouvant en dehors de l’environnement virtuel. Si une partie quelconque du réseau située en dehors de cet environnement est compromise, le problème ne se propagera pas au reste du réseau de surveillance. Cette méthode peut être appliquée aux systèmes de paie, R&D ou toute autre équipe au sein de l’entreprise.

En créant un environnement IoT virtuel, il est également possible de garantir les conditions adéquates permettant à un groupe d’équipements de fonctionnement correctement. Au sein d’un même conteneur, il est possible d’appliquer des règles de qualité de service (QoS), de réserver ou de limiter la bande passante, de donner la priorité au trafic critiques et de bloquer les applications indésirables. Par exemple, les caméras de surveillance en flux continu nécessitent parfois une dose réservée de bande passante tandis que les appareils de soins intensifs des hôpitaux doivent bénéficier de la plus haute priorité. La meilleure manière de mettre en oeuvre ce principe QoS est de recourir à des commutateurs pouvant procéder à une inspection approfondie des paquets. Ils “visualisent” en effet les paquets qui transitent sur le réseau ainsi que les applications qui sont utilisées – ce qui permet par exemple de savoir si quelqu’un accède au système CRM, aux flux de sécurité ou regarde tout simplement Netflix.

Deuxième mesure: protection au niveau du commutateur – une approche en trois volets

Les entreprises devraient s’assurer que les fournisseurs de commutateurs prennent la menace au sérieux et mettent en place des procédures qui permettent d’optimiser la protection du matériel. Une bonne approche prend la forme d’une stratégie en trois volets.

  • Une deuxième paire d’yeux: assurez-vous que le système d’exploitation des commutateurs soit vérifié par des experts de la sécurité venus de l’extérieur. Certaines sociétés préfèrent éviter de partager le code source et refusent de laisser des spécialistes métier le vérifier mais il est important de s’intéresser aux fabricants qui ont des collaborations durables avec les principaux experts en sécurité du secteur.
  • Un code de brouillage implique qu’un commutateur ne peut pas compromettre l’ensemble du réseau. L’utilisation d’un code en source libre dans les systèmes d’exploitation est chose fréquente dans l’industrie, mais elle n’est pas sans risques puisque le code est “de notoriété publique”. En brouillant le code objet dans la mémoire du commutateur, un pirate pourrait certes toujours identifier des portions locales de code source ouvert au sein d’un commutateur mais ce code étant brouillé de manière unique, la même attaque ne fonctionnerait pas sur d’autres commutateurs.
  • Le mode de livraison du système d’exploitation de commutateur. Le secteur informatique est organisé selon une chaîne d’approvisionnement mondiale puisque la fabrication, l’assemblage, l’expédition et la distribution des composants s’effectuent selon un schéma couvrant l’ensemble de la planète. Ceci signifie que le commutateur risque d’être compromis avant son arrivée chez le client final. L’équipe d’installation du réseau devrait toujours télécharger directement les systèmes d’exploitation officiels sur le commutateur à partir des serveurs sécurisés du fournisseur, avant l’installation.

Troisième mesure: faire simple

Il est étonnant de constater qu’un grand nombre d’entreprises ignorent quelques mesures pourtant fort simples. A savoir:

  • modifier le mot de passe par défaut: c’est là une procédure très simple et souvent négligée ; dans le cas de Dyn, le virus a recherché les paramètres par défaut des dispositifs IP pour en prendre le contrôle
  • mettre à jour le logiciel: alors même que la bataille qui oppose les cybercriminels aux experts de la sécurité fait rage, il est essentiel de toujours disposer des dernières mises à jour et correctifs de sécurité ; faites-en une habitude
  • éviter la gestion à distance: désactivez les protocoles de gestion à distance du genre que telnet ou http qui autorisent une prise de contrôle à partir d’un autre endroit ; les protocoles sécurisés de gestion à distance conseillés sont SSH ou https.

Développez votre réseau

L’Internet des Objets offre un grand potentiel de transformation aux entreprises dans tous les secteurs, depuis l’industrie manufacturière jusqu’à l’enseignement en passant par la santé et les transports. Mais toute nouvelle vague d’innovation technique s’accompagne de nouveaux défis. Nous sommes au début de l’ère IoT. C’est pourquoi il est important de mettre en oeuvre les prérequis réseau de base, non seulement pour faire face à l’augmentation du volume de données qui transitent sur nos réseaux, mais aussi pour appliquer les règles QoS et réduire les risques liés aux cyber-attaques.

__________

(1) Dyn est un prestataire de services qui gère le DNS de nombreux sites Internet, dont certains parmi les plus emblématiques. Citons par exemple Twitter, Netflix, Spotify, Airbnb, Paypal, Playstation Network ou encore les médias Wired, The Verge… [ Retour au texte ]

Ingo Schneider

directeur Business Development & Data Network Infrastructure

Alcatel-Lucent Enterprise (région EUNO – Europe du Nord, Centrale et de l’Est)