L'ère des simples attaques par déni de service (DDoS) est révolue.
Abstract
À mesure que les systèmes d'information se sophistiquent, les méthodes employées par les attaquants évoluent également. Les acteurs criminels et étatiques ont depuis longtemps compris l'intérêt des attaques par déni de service (DoS), capables de perturber gravement l'activité de toute organisation connectée à Internet. L'ampleur de ces attaques a augmenté avec la multiplication des appareils connectés et le développement du télétravail au sein des organisations. Ce document analyse les motivations des attaques par déni de service distribué (DDoS), présente plusieurs exemples historiques et détaille des recommandations stratégiques et tactiques que les professionnels de l'informatique et de la sécurité des systèmes d'information peuvent mettre en œuvre au sein de leurs organisations afin de limiter l'impact de ces attaques perturbatrices.
Préface
Avec la sophistication croissante des systèmes informatiques, les tactiques, techniques et procédures (TTP) employées par les cybercriminels se perfectionnent également. Si les attaques DDoS à motivation financière sont utilisées depuis la fin des années 1990, les attaques par déni de service avec rançon (RDoS) sont largement répandues chez les cybercriminels depuis 2015. Ces attaques sont généralement initiées par des lettres d'extorsion envoyées par courriel à des destinataires occupant différents postes au sein des organisations. Le courriel menace de saturer le réseau de la victime avec du trafic non sollicité dans un délai déterminé et annonce une attaque de faible envergure pour prouver la crédibilité de l'attaquant. Si la victime ne paie pas la rançon, généralement en bitcoins, le montant de la rançon augmente chaque jour. En l'absence de réponse de la victime, l'attaquant lance souvent des attaques RDoS de suivi, plusieurs semaines voire plusieurs mois après la première.
Les attaques par déni de service (DoS) ont pris de l'ampleur avec la multiplication des objets connectés (IoT) et le renforcement des systèmes de connectivité à distance par les entreprises pour compléter leurs infrastructures existantes. En 2020, face à l'essor du télétravail lié à la pandémie de COVID-19 et aux mesures de distanciation sociale, les cybercriminels ont cherché à exploiter cette situation. Quelle que soit leur taille, les entreprises négligent souvent les bonnes pratiques de gestion des actifs et des stocks, pourtant essentielles à une compréhension approfondie de leur surface d'attaque. De plus, les objets connectés utilisent fréquemment des mots de passe par défaut et leur sécurité est souvent insuffisante, ce qui les rend vulnérables aux compromissions et aux exploitations. L'infection de ces objets passe souvent inaperçue, et un attaquant peut facilement en compromettre des centaines de milliers pour mener une attaque de grande envergure.
