Quotidien Fintech, Blocktech, DeFi, Blockchain
              


Mardi 16 Février 2021

Interview | Le secteur financier, une cible de choix pour les cybercriminels adeptes des attaques DDoS


Entretien avec Philippe Alcoy, Security Technologies chez NETSCOUT.



En 2020, la pandémie a provoqué une augmentation des attaques d'extorsion par déni de service distribué dans le monde entier

Le 20 janvier dernier, le CERT-FR a publié un nouvel avertissement face à une recrudescence des attaques d’extorsion par déni de service distribué (DDoS) depuis août 2020 et a émis des recommandations invitant à ne pas céder au chantage des auteurs de ces attaques.

Pouvez-vous présenter NETSCOUT ?

Nous aidons nos clients à analyser ce qui se passe sur leur réseau pour veiller à ce qu’il fonctionne parfaitement, qu’il ne soit pas ralenti, qu’il ne subisse pas de panne ou ne fasse l’objet d’aucune activité inhabituelle. Nous combinons notre technologie brevetée de données intelligentes à des analyses intelligentes. Nous offrons une visibilité globale et en temps réel, et fournissons les informations dont nos clients ont besoin pour accélérer et sécuriser leur transformation numérique.

Notre approche modifie la façon dont les organisations planifient, fournissent, intègrent, testent et déploient les services et les applications. Nous nous considérons comme les « gardiens du monde connecté ».

Grâce à notre équipe Arbor, dédiée à la détection et à l’atténuation des attaques DDoS, nous contribuons à protéger les entreprises du monde entier contre les risques de perturbation, en leur permettant de résoudre leurs problèmes de performances et de sécurité réseau les plus complexes.

Que sont les attaques DDoS et de quelle manière peuvent-elles nuire aux organisations ?

DDoS est l’acronyme anglais « Distributed Denial-of-Service » qui signifie « attaques par déni de service distribué ». Il s’agit d’un type de cyberattaque qui vise les réseaux, les machines et les infrastructures, et perturbe les activités des utilisateurs en bloquant le trafic, en interrompant les connexions et en empêchant les employés de faire leur travail. En bref, les DDoS sont des attaques qui visent à épuiser les ressources à la disposition d’un réseau, d’une application ou d’un service, de sorte que les utilisateurs légitimes ne puissent plus y accéder. Contrairement aux attaques classiques par déni de service (DoS), les attaques DDoS sont des tentatives coordonnées destinées à perturber la disponibilité et les performances habituelles d’un site web ou d’un service en ligne en l’inondant délibérément de trafic.

À partir de 2010, sous l’impulsion notamment de l’hacktivisme, nous avons assisté à une renaissance des attaques DDoS, qui a abouti à des innovations en matière d’outils, de cibles et de techniques. Aujourd’hui, la définition d’une attaque DDoS se complique toujours davantage. Les cybercriminels utilisent une combinaison d’attaques à très haut volume, ainsi que des infiltrations plus subtiles et difficiles à détecter qui ciblent les applications ainsi que les infrastructures de sécurité réseau existantes tels que les pare-feux et les IPS.

Les DDoS représentent une menace majeure pour la continuité des activités. Dans la mesure où les organisations sont de plus en plus dépendantes de l’internet et des applications et services fondés sur le web, la disponibilité est devenue aussi importante que l’électricité.

Quels sont les différents types d’attaques DDoS ?

Les attaques DDoS présentent des caractéristiques très diverses, et il existe des milliers de façons différentes de mener une attaque (au moyen de vecteurs d’attaque), mais un vecteur d’attaque appartient généralement à l’une des trois grandes catégories suivantes : les attaques volumétriques DDoS, les attaques DDoS par épuisement des tables d’état TCP et les attaques DDoS de couche d’application.
Les attaques volumétriques cherchent à consommer la bande passante soit au sein du réseau/service cible, soit entre le réseau/service cible et le reste de l’internet. Ces attaques visent simplement à provoquer des engorgements.

Les attaques par épuisement des tables d’état TCP cherchent à consommer les tables d’état de connexion qui sont présentes dans de nombreux composants d’infrastructure tels que les répartiteurs de charge, les pare-feux et les serveurs d’application eux-mêmes. Ces attaques peuvent même détruire des dispositifs de grande capacité permettant de maintenir l’état de millions de connexions.

Les attaques de couche d’application visent certains aspects d’une application ou d’un service de la couche 7. Il s’agit des attaques les plus dévastatrices, car elles peuvent se révéler très efficaces avec seulement une machine d’attaque générant un faible débit de trafic (ce qui rend ces attaques très difficiles à détecter et à atténuer de manière préventive). Les attaques de couche d’application ont gagné en importance au cours des trois ou quatre dernières années et les attaques simples par inondation de la couche d’application (HTTP GET flood, etc.) comptent parmi les attaques de déni de service les plus courantes observées dans la nature.

Aujourd’hui, les attaquants chevronnés combinent les attaques volumétriques, les attaques par épuisement des tables d’état et les attaques de couche d’application en une seule attaque massive contre les dispositifs d’infrastructure. Ces cyberattaques sont populaires parce qu’elles sont difficiles à déjouer et souvent très efficaces.

Le problème ne s’arrête pas là. Selon Frost & Sullivan, les attaques DDoS sont « de plus en plus utilisées pour faire diversion lors d’attaques persistantes ciblées ». Les attaquants ont recours aux outils DDoS pour distraire les équipes chargées du réseau et de la sécurité, tout en essayant simultanément de faire pénétrer dans le réseau des menaces persistantes avancées telles que des logiciels malveillants, dans le but de voler la propriété intellectuelle et/ou des informations clients ou financières critiques.

La COVID-19 a-t-elle eu un impact sur le volume de ces attaques ?

Dans un monde où le numérique se généralise, la pandémie de Covid-19 a poussé les sociétés à se tourner davantage vers les services en ligne, ce qui a donné l’occasion aux cybercriminels de frapper fort. Si le nombre total d’attaques DDoS a augmenté de façon spectaculaire dans le monde entier l’année dernière pour atteindre 10 millions en 2020, soit une hausse de 18 % par rapport à 2019, la stratégie des attaquants a également évolué. Les cybercriminels ont assailli leurs cibles avec des attaques d’extorsion DDoS et, pour la première fois, NETSCOUT a identifié une campagne ciblant de nouveau le secteur financier.

Les services financiers sont-ils particulièrement ciblés ? Et pourquoi ?

Comme l’a également mentionné le CERT-FR, en août 2020, il existait des signes évidents qu’une campagne mondiale d’extorsion DDoS était menée contre le secteur financier. Cette action faisait partie d’une campagne plus vaste lancée en octobre 2019. Parmi ces cibles figuraient des organisations telles que des banques régionales, des bourses de valeurs et de devises et, dans certains cas, leurs fournisseurs de transit internet en amont. Il est possible de distinguer les attaques d’extorsion par DDoS des autres types d’attaques DDoS, puisqu’il s’agit d’une attaque DDoS de démonstration lancée par l’acteur de la menace contre des parties de l’infrastructure en ligne de l’organisation, avant ou après l’envoi d’un courrier électronique à l’organisation exigeant un paiement en cryptomonnaie de type Bitcoin.

La plupart du temps, si les demandes d’extorsion des cybercriminels ne sont pas satisfaites, l’attaque DDoS redoutée n’a pas lieu et l’attaquant passe à la cible suivante. Cependant, NETSCOUT a récemment relevé une évolution majeure en ce qui concerne ces attaques d’extorsion par DDoS. Nous constatons aujourd’hui que les cybercriminels recommencent à s’attaquer à d’anciennes cibles, en particulier dans le secteur financier. Les infrastructures critiques de ces organisations seraient prises à nouveau pour cible parce qu’elles donnent accès à de grandes quantités de données et d’argent.

Pouvez-vous expliquer ce que vous entendez par « prises à nouveau pour cible » ou « reciblage » ?

Cette stratégie de reciblage a pour particularité que les cybercriminels envoient une nouvelle demande d’extorsion, qui reprend les détails de la demande précédente. Ils lancent alors généralement leur dernière attaque DDoS au même moment où la nouvelle demande d’extorsion est envoyée. Les victimes de ces nouvelles attaques, qui se déroulent des semaines voire des mois après l’incident initial, sont les entreprises qui, au départ, ont réussi à ne pas céder aux exigences des attaquants et à empêcher les premières vagues d’attaques DDoS de paralyser leurs services en ligne.

Qui sont les acteurs présumés de la menace ?

Le groupe à l’origine de cette campagne actuelle a affirmé être lié à des groupes d’attaque bien connus dont on parle régulièrement dans les médias du secteur et a été assimilé à des groupes tels que « Armada Collective », « Fancy Bear » et « Lazarus Group ». Ce faisant, il essaie de se faire passer pour une menace crédible aux yeux des entreprises visées par les attaques d’extorsion. Étant donné que l’attaquant se fait passer pour ces groupes de menace, NETSCOUT lui a attribué le surnom de « Lazarus Bear Armada » (LBA).

L’un des éléments marquants de la campagne d’extorsion menée par LBA est que ce dernier a de toute évidence procédé à des recherches approfondies avant de lancer ses attaques. Lors des précédentes campagnes d’extorsion par DDoS, l’attaquant avait sélectionné une adresse électronique générique ou incorrecte, ce qui signifie que les demandes d’extorsion n’ont jamais été reçues par leurs cibles. Cependant, dans le cadre de la campagne LBA, les attaquants semblent avoir fait preuve d’une grande diligence, en identifiant les boîtes de réception susceptibles d’être régulièrement consultées par les personnes habilitées au sein des entreprises visées.

Comment les organisations peuvent-elles se protéger contre les attaques ?

Les organisations ciblées, qui se sont préparées de manière appropriée à défendre leur infrastructure en ligne, ont connu très peu de problèmes liés à cette campagne d’extorsion de DDoS actuellement menée. Même si les attaquants ont démontré qu’ils avaient procédé à une reconnaissance diligente avant l’attaque, les vecteurs d’attaque DDoS et les méthodes de ciblage qu’ils ont utilisés jusqu’à présent sont bien connus et peuvent être facilement atténués, grâce à l’utilisation de la protection DDoS standard.
L’une des mesures de lutte contre les DDoS que les organisations devraient déployer consiste à disposer de capacités d’atténuation des DDoS en amont basées sur le cloud, combinées à des services intelligents d’atténuation des DDoS sur site – une protection hybride efficace contre les DDoS. Celle-ci offrira une certaine souplesse et permettra au fournisseur de protection DDoS de réagir rapidement en cas d’attaque contre une organisation.

En outre, il est essentiel que les défenses DDoS de l’infrastructure en ligne d’une organisation soient déployées de manière adaptée à la situation, puisque les circonstances et les organisations peuvent varier d’un cas à l’autre. Des essais devraient également être réalisés à intervalles semi-réguliers pour s’assurer que toute modification de l’infrastructure d’une organisation est prise en charge dans sa stratégie de défense contre les attaques DDoS et que tous les composants de l’infrastructure en ligne sont protégés contre celles-ci. Par exemple, si les serveurs web d’une organisation sont correctement protégés, mais que ses serveurs d’applications sont négligés, l’entreprise reste vulnérable aux attaques.

Il est également indispensable que les organisations prennent connaissance des caractéristiques des précédentes campagnes d’extorsion de DDoS très médiatisées. Il s’agit notamment de se familiariser avec la campagne d’extorsion menée par le groupe DD4BC (« DDoS for Bitcoin »), qui a débuté en 2014 et a ciblé plus de 140 entreprises dans des secteurs tels que les jeux en ligne et les services financiers sur une période de deux ans.

Comment aidez-vous vos clients à prévenir de telles attaques ?

Depuis plus de 20 ans, nous développons des outils conçus pour détecter et prévenir les activités inhabituelles et/ou malveillantes. À cette fin, nos solutions Arbor Smart DDoS Protection assurent la détection automatisée des attaques DDoS et l’atténuation des attaques DDoS complexes et multi-vecteurs. Chacun sait qu’il est impossible de gérer ou de protéger ce dont on n’a pas connaissance et ce qu’on ne peut pas voir. La protection contre n’importe quel type d’attaque repose d’abord sur l’évaluation de vos actifs, la compréhension de ce qui se passe sur votre réseau et dans vos systèmes, qui accède à quoi, quand et comment. À partir de là, il devient plus facile de repérer les problèmes techniques ou de sécurité. Nous leur facilitons la tâche.

Nous nous adaptons aux besoins de nos clients, à leur maturité numérique et à leurs infrastructures. Ces dix dernières années, et dans le contexte d’une pandémie, les entreprises n’ont jamais été aussi connectées et dépendantes de la disponibilité des sites web et des services en ligne. Ainsi, en cette période où la disponibilité n’a jamais été aussi importante, les attaques DDoS sont devenues de plus en plus innovantes, dynamiques et efficaces – avec une sophistication, une ampleur et une fréquence incontestablement croissantes – et il appartient aux entreprises et aux professionnels de la sécurité de suivre le rythme.

Nous sommes convaincus que la meilleure façon de protéger les ressources contre les attaques DDoS modernes est de déployer, à plusieurs niveaux, des solutions d’atténuation des DDoS spécialement conçues à cet effet. C’est la raison pour laquelle nous avons développé une défense multicouche étroitement intégrée pour aider nos clients à se protéger contre tout le spectre des attaques DDoS, tout en s’adaptant à leurs besoins spécifiques. Ainsi, notre solution Arbor Cloud offre une protection DDoS multicouche étroitement intégrée, notre outil Arbor Edge Defense soutient les entreprises sur site et notre Arbor SP/Threat Mitigation System fournit une solution sur site à haute capacité pour les grandes organisations.

Grâce à nos produits, nous offrons à nos clients une vue micro de leur propre réseau, combinée à une vue macro du trafic Internet mondial, via Cyber Threat Horizon.

Bien que la plupart des organisations du secteur financier disposent des ressources nécessaires pour se protéger efficacement contre les attaques d’extorsion DDoS, il demeure essentiel de prendre au sérieux la menace posée par la campagne d’extorsion DDoS actuelle, en particulier si un système de défense DDoS adéquat n’est pas mis en place. Il est donc judicieux pour les entreprises du secteur financier, un secteur fortement ciblé, d’investir dans une protection efficace contre les DDoS.



Finyear: latest news, derniers articles

Inscription à la newsletter

Flux RSS