Fabrice Clerc, 6cure – Sécurité : Focus sur la disponibilité des données et des Systèmes d’Information

La cyber-menace n’a sans doute jamais été aussi présente qu’en 2013, et a donné lieu à une prise de conscience accélérée de la part des entreprises et des organisations sur la nécessité de se protéger.  Elle a aussi donné l’occasion à de nombreux experts de s’exprimer sur le sujet

Fabrice CLERC, Président de 6cure

La cyber-menace n’a sans doute jamais été aussi présente qu’en 2013, et a donné lieu à une prise de conscience accélérée de la part des entreprises et des organisations sur la nécessité de se protéger.  Elle a aussi donné l’occasion à de nombreux experts de s’exprimer sur le sujet

Toutefois, alors que la confidentialité des données fait l’objet de toutes les préoccupations, illustrée notamment par l’affaire PRISM et les révélations d’ Edward Snowden, que les problématiques de contrôle d’accès, de gestion des identités et des droits numériques, d’intégrité des informations sont également mis en lumière,  il reste un sujet injustement méconnu, mais tout aussi important : celui de la disponibilité de ces données ou des Systèmes d’Information qui les gèrent. En effet, à quoi bon se préoccuper de garder des données confidentielles ou intègres, si elles deviennent aussi inaccessibles à leur utilisateur légitime ?

La disponibilité des données ou des systèmes d’information a été détectée très vite comme un nouvel Eldorado par les cybercriminels. En effet, si l’objectif est par exemple d’extorquer de l’argent à des utilisateurs en exerçant un chantage sur eux, pourquoi se compliquer la vie à voler des données, si le simple fait de les rendre inaccessibles est plus rentable ? Les phénomènes de « Ransomware », très médiatisés actuellement, en sont une illustration. Mais d’autres principes d’attaques bloquantes, existant déjà depuis plusieurs années et utilisés jusqu’ici plutôt à des fins  idéologiques ou contestataires, ont été remis au goût du jour et modernisés : il s’agit des attaques par Déni de Service.

Les attaques par Déni de Service (« Denial of Service » ou « DoS ») s’appuient sur un principe simple : saturer les capacités de traitement du Système d’Information visé et le mettre hors service, par exemple en le submergeant par une très grande quantité de données ou des transactions, en apparence légitimes. Dans ce cas, ce n’est pas la teneur de l’information qui constitue la nocivité, mais l’abondance artificielle de cette information. Dès lors, les systèmes de sécurité traditionnels conçus pour détecter, bloquer ou éliminer les contenus malveillants et les tentatives d’intrusion, sont totalement inefficaces face à des attaques qui obéissent à une logique différente. Pire, ces systèmes de protection peuvent se révéler des complices involontaires de telles attaques, en bloquant les accès à un système ou en constituant un goulet d’étranglement dans le traitement sécurisé de certaines informations.

Ces attaques par Déni de Service (« DoS ») sont donc difficiles à détecter et à neutraliser « intelligemment » (c’est-à-dire sans bloquer ou ralentir le système, ni détruire des données ou transactions véritablement légitimes). Si, de plus, elles deviennent « Distribuées » (« DDoS »), c’est-à-dire que la charge de leur réalisation est répartie sur un grand nombre d’attaquants, elles constituent un vrai problème pour les infrastructures à défendre : non seulement l’attaque voit son importance décuplée, mais en plus elle provient simultanément d’une multitude d’assaillants, ce qui complique considérablement sa neutralisation.

La situation est aggravée par le déséquilibre croissant entre les pertes financières occasionnées par de telles attaques, qui ne peuvent que croître compte tenu de l’importance grandissante de la cyber-économie, et le coût de revient de moins en moins élevé de telles attaques. En effet, la prolifération des logiciels malveillants destinés à prendre le contrôle des ordinateurs à l’insu de leur utilisateur légitime a permis aux cyber-criminels de constituer des réseaux coordonnés d’attaquants (les « botnets ») à moindre frais, et de lancer ainsi des attaques aussi surpuissantes que peu coûteuses.

Ce type d’attaque existant malgré tout depuis plusieurs années, quelques parades ont été trouvées pour les neutraliser. Malheureusement, elles ont généralement été conçues à une période où la stratégie des attaquants était relativement rudimentaire, et basée exclusivement sur une saturation « massive » des cibles. Elles reposent donc essentiellement sur une logique « volumétrique » destinée à enrayer des agressions de très grande envergure. Elles s’appuient également souvent sur une stratégie du « moindre mal »  du point de vue de l’opérateur Internet qui voit souvent l’attaque traverser son infrastructure, s’autorisant par exemple la destruction d’une quantité significative de données légitimes, si c’est le prix à payer pour neutraliser l’attaque ciblant un client de l’opérateur et récupérer la disponibilité opérationnelle pour d’autres clients du réseau protégé.

Or, les stratégies sous-jacentes à la recherche du blocage d’un Système d’Information ciblé se sont considérablement diversifiées et sophistiquées : elles sont devenues plus discrètes, multi-formes, multi-couches donc plus difficiles à détecter, utilisant des vecteurs d’attaques moins facilement identifiables, exploitant des dispositifs de défense en les retournant contre leur cible, etc…  Ces évolutions ont démontré rapidement que la plupart des parades dédiées qui ont été élaborées sont désormais dépassées ou imparfaites, et parfois à peine plus utiles que les dispositifs de protection traditionnels décrits précédemment.

Un nouveau cycle semble donc se mettre en place : les attaques DDoS de nouvelle génération ayant vu le jour, elles démontrent simplement la nécessité de mettre au point des dispositifs plus avancés de détection et de neutralisation de ces attaques.