Lors des derniers Luxembourg Internet Days, l’Etat luxembourgeois déclarait mettre en œuvre un nouvel arsenal contre les attaques DDoS. D’une part, le CIRCL annonçait la création d’un projet – baptisé D4, pour « Distributed Denial of Service Detection Devices » – dont la finalité vise à mieux comprendre et détecter les attaques de type déni de service sur les réseaux. D’autre part, le Premier ministre Xavier Bettel informait de la création d’un centre national de filtrage des attaques DDoS au sein de LU-CIX pour, notamment, mieux protéger les infrastructures réseau à l’échelle nationale. Ces deux démarches doivent permettre de renforcer la position de Luxembourg comme « Digital Trusted Platform » au cœur de l’Union européenne. Se protéger contre les attaques DDoS est en effet devenu essentiel.

 

Pertes subies ou demande de rançon

Pour rappel, une attaque dite de déni de service distribuée est une manœuvre menée par des cybercriminels qui consiste à envoyer de gros volumes de trafic illégitime sur un réseau ou des serveurs. Une fois saturé, l’environnement système est paralysé. L’entreprise touchée n’est plus en mesure de répondre à des sollicitations légitimes tout au long de l’attaque. Une attaque DDoS peut viser un réseau national comme une entreprise ou des administration. Les cybercriminels mettent en place ces attaques pour causer des pertes, certainement, mais souvent aussi pour exercer un chantage, en proposant de libérer les systèmes contre le paiement d’une rançon. En 2017, en moyenne, les cybercriminels ont provoqué des pertes directes et indirectes de l’ordre de 400.000 euros par entreprise touchée. Rien qu’au Benelux, plusieurs institutions bancaires ont fait l’objet de telles attaques ces derniers mois. Début 2017, les sites de l’Etat luxembourgeois avaient été la cible d’une telle attaque durant de longues heures.

 

Plus puissantes, plus nombreuses

D’une part, les attaques se multiplient. D’autre part, elles évoluent. La prolifération des objets connectés non sécurisés et l’augmentation de la bande passante des accès internet des usagers ne font qu’accroître la puissance de ces attaques, d’année en année. Une attaque d’un Térabit par seconde sur le Luxembourg serait de nature à paralyser l’ensemble du réseau national. Par ailleurs, il n’a jamais été aussi simple d’acheter les services d’un attaquant sur Internet. Il suffit de taper les mots-clés « booter DDoS » dans un outil de recherche Internet pour trouver des tutoriels et des sites qui vous permettent d’acheter une attaque en louant le réseau de robots préprogrammés d’un cybercriminel. Pour une vingtaine d’euros, on peut très facilement envoyer 30 gigas de trafic illégitime pendant une heure vers la cible de son choix.

Ces évolutions justifient aujourd’hui la création d’un centre national de filtrage. Il faut, à l’échelle du pays, une infrastructure suffisamment armée, capable d’absorber tout ce trafic illégitime. 

 

Personnaliser la réponse

Si l’Etat met en œuvre les moyens utiles pour faire face à ce genre d’attaques, les entreprises elles-mêmes doivent apprendre à mieux se protéger face à cette menace.

Beaucoup d’acteurs auront d’abord tendance à se tourner vers leur opérateur. La plupart du temps, les fournisseurs de services de connectivité proposent désormais des solutions permettant de filtrer le trafic illégitime en cas d’attaque. Le problème est que, dépendant des opérateurs, ces services offrent de plus ou moins grandes possibilités de personnalisation. Car, dans le contexte d’une attaque DDoS, la difficulté reste de distinguer le trafic légitime de celui qui ne l’est pas.

 

Caractériser un trafic légitime…

Aussi, même si la solution de filtrage du trafic est confiée à un prestataire tiers, il est important que l’entreprise soit sensibilisée au risque. Consciente d’être une cible potentielle, l’organisation va mener une analyse de son trafic, pour définir ce qui constitue une activité normale et identifier ce qui n’en relève pas. Pour mieux lutter contre la menace, il est essentiel de bien la comprendre. Cette connaissance doit idéalement être développée en interne et s’inscrire dans une approche globale de la cybersécurité. Sur ces bases, on peut alors considérer les solutions techniques à disposition pour contrôler le trafic, détecter les anomalies et filtrer ce flux. Une analyse permanente du trafic, à l’échelle de l’entreprise, doit permettre à l’entreprise de s’inscrire dans une démarche d’amélioration continue de sa défense face à la menace. L’analyse du trafic, en outre, ne peut pas toujours être confiée à des tiers. Il faut considérer les problématiques de confidentialité.

 

… pour mieux écarter le trafic illégitime

Aujourd’hui, on voit aussi émerger des solutions indépendantes des opérateurs associées à des services de monitoring du trafic qui, selon les besoins de l’entreprise, permettent de détecter des attaques et de rediriger le trafic illégitime bien en amont de l’infrastructure ou du service visé. Au moment où l’attaque survient, la réponse vise à mitiger le trafic, à détourner les sollicitations illégitimes tout en garantissant l’accès aux demandes légitimes.