Récemment, nous avons été témoins d’un flux quasi ininterrompu d’attaques par déni de service distribué (DDoS) et nous avons protégé notamment des sites de commerce en ligne mais aussi des banques, des éditeurs de jeux, des administrations, des établissements d’enseignement. La menace DDoS a considérablement évolué ces dernières années, avec des changements significatifs dans la fréquence et l’ampleur des attaques ainsi que dans les motivations des cybercriminels. Durant la même période, nombre d’organisations et d’entreprises sont devenues très dépendantes de la disponibilité des services Internet pour la continuité de leur l’activité.

2014 a vu une recrudescence spectaculaire des attaques DDoS, et certainement la vague d’attaques volumétriques la plus intense jamais enregistrée sur Internet. La majorité d’entre elles a utilisé une technique d’amplification de trafic par réflexion utilisant le protocole NTP (Network Time Protocol).

L’amplification par réflexion est une technique qui permet aux auteurs d’une attaque à la fois d’amplifier le volume du trafic généré et d’en masquer les sources. Cette technique exploite deux failles : d’une part, la moitié des opérateurs n’ont pas mis en place de filtres à la périphérie de leur réseau pour bloquer le trafic dont l’adresse IP source est falsifiée (spoofing) ; d’autre part, il existe sur Internet quantité d’équipements mal configurés et mal protégés fournissant des services UDP qui offrent un facteur d’amplification important : pour une requête qui leur est envoyée ils renvoient beaucoup de ‘réponses’.

Les serveurs DNS étaient jusqu’à présent le plus fréquemment employés par les attaques utilisant des mécanismes d’amplification par réflexion. L’attaque la plus importante jamais observée sur Internet avant 2014 (309 Gbit/s) dirigée contre Spamhaus en mars 2013 a fait appel à cette technique. Toutefois, au second semestre 2013 et au cours des mois de février et mars 2014, les mécanismes NTP ont été à l’origine d’un très grand nombre d’attaques.

Le rôle des serveurs NTP est normalement de synchroniser les horloges des équipements connectés à Internet. Cette synchronisation génère en elle-même très peu de trafic. Cependant certains serveurs NTP ont des fonctions d’administration accessible facilement à travers leur connexion internet qui permettent aux attaquants de bénéficier de facteurs d’amplification très élevés de l’ordre de plusieurs centaines de fois entre le nombre de requêtes qu’ils envoient au serveur et le nombre de réponses générées par ces serveurs. Des attaques mettant à profit cette faille ont été détectées depuis un certain nombre d’années à petite échelle. Depuis fin 2013 on note une forte recrudescence de ces attaques. Divers sites de jeu en ligne ont alors été visés et la nouvelle s’est répandue comme une traînée de poudre, donnant lieu à une abondante couverture médiatique relatant les dommages causés et mettant en lumière la méthode employée. Des outils d’attaque exploitant cette faille ont rapidement circulé dans le milieu des pirates, accompagnés des listes de serveurs utilisables qui offrent de bons facteurs d’amplification. Des services DDoS ont même commencé à proposer l’amplification par réflexion NTP parmi leurs options.

L’observatoire ATLAS d’Arbor Networks, qui surveille les événements de plus de 300 opérateurs réseau à travers le monde, a détecté une nouvelle attaque DDoS record – 325 Gbit/s, contre un éditeur de jeux en février 2014 – mais c’est le nombre même des attaques de grande ampleur qui est intéressant. Du premier au troisième trimestre 2013, Arbor Networks avait observé 11 attaques à plus de 100 Gbit/s ; au cours de la même période en 2014, ce chiffre est monté à 133. On note également une progression étonnante des attaques de volume moindre : ATLAS a détecté, durant le seul premier trimestre 2014, 1,5 fois plus d’attaques supérieures à 20 Gbit/s qu’il n’en avait recensées sur toute l’année 2013.

Cependant, le nombre des attaques d’amplification par réflexion NTP a commencé à reculer en avril 2014 et, bien qu’encore non négligeable, il n’atteint plus ses niveaux antérieurs. Il apparaît que les attaquants sont désormais passés au protocole SSDP (Simple Service Discovery Protocol). Alors qu’au deuxième trimestre, seule une poignée d’événements utilisant SSDP pour l’amplification par réflexion avait été détectée (Arbor ATLAS en a observé près de 30 000 au troisième trimestre).

L’utilisation d’attaques DDoS de grande envergure pour saturer la connexion Internet d’une cible a été une tendance majeure depuis deux ans, tendance qui semble devoir se poursuivre en 2015. Ces attaques vont probablement continuer à gagner en ampleur et en fréquence et, malheureusement, de nombreuses entreprises n’y sont toujours pas préparées. Toutes celles qui, d’une manière ou d’une autre, sont tributaires d’Internet pour leurs activités au quotidien sont menacées. La diversité des motivations de ces attaques ainsi que la facilité avec laquelle elles peuvent être menées en font un problème universel.

Les entreprises doivent mettre en œuvre des solutions de protection DDoS à plusieurs niveaux, faisant appel à des équipements sur site associés à des services dans le cloud. Les solutions de protection DDoS sur site sont à même de détecter proactivement et de neutraliser tous les types d’attaques, y compris les attaques applicatives les plus sournoises (qui représentent un cinquième du total des attaques) mais elles ne peuvent pas faire face aux attaques volumétriques de grande envergure qui saturent les connexions Internet. Ces attaques volumétriques doivent être traitées par des services cloud, mais ceux-ci sont souvent trop lents pour réagir aux attaques applicatives et de type « state exhaustion ». Il est donc crucial de les renforcer par l’implémentation d’une protection sur site. Les deux niveaux de protection doivent opérer de concert et ce n’est qu’à cette condition que les entreprises peuvent se protéger totalement de la menace DDoS.