Début des années 2000 : Sous le feu des projecteurs
Bien qu’on ne puisse pas dire avec certitude quand la première attaque DDoS s’est produite, la première attaque distribuée (DDoS) de grande envergure a eu lieu en 1999, contre le serveur IRC de l’Université du Minnesota. 227 systèmes ont été touchés et l’attaque a rendu le serveur de l’université inutilisable pendant deux jours.
En Février 2000, de nombreux sites Web populaires tels que Yahoo!, eBay, CNN, Amazon.com, ZDNet.com ont été paralysés pendant des heures. Yahoo! a subi une perte de 500,000$ durant ses trois heures d’inaccessibilité, le volume d’activité du site CNN.com a chuté de 95% et ZDNet était pratiquement inaccessible. La perte due à cette inaccessibilité a été énorme.
Un Canadien âgé de 15 ans connu sous le nom de “Mafiaboy” a été arrêté et inculpé pour les attaques. Sa motivation? Le défi. Cet adolescent voulait juste dévoiler ses talents. Pour ce faire, il a scanné un réseau pour trouver un certain nombre d’hôtes vulnérables; a compromis les hôtes en exploitant une vulnérabilité connue; a déployé un logiciel transformant l’hôte en un “zombie”; et ensuite a propagé l’attaque de sorte que chaque zombie compromette à leur tour de nouvelles cibles, en suivant le même procédé.
2005 : Une attaque lucrative
Au début des années 2000, pour créer un botnet visant à lancer une attaque DDoS, le pirate devait suivre les mêmes étapes que celles utilisées par Mafiaboy. Avec l’avènement des vers Internet, ces étapes sont devenues automatisées, permettant au pirate de déclencher des attaques de grande envergure. En Août 2005, Farid Essabar âgé de 18 ans, qui n’avait jamais étudié la programmation informatique, a été arrêté pour la propagation du ver MyTob. Le ver ouvrait une porte dérobée de l’hôte MS Windows infecté, se connectait à un serveur IRC à distance et attendait les instructions. Il s’auto-propageait au redémarrage en se répliquant sur les partages réseaux, ouvrait la porte à des attaques DDoS massives avec tous les hôtes compromis par le ver et exécutait les instructions envoyés sur l’IRC. L’épidémie a été retransmise en direct sur CNN car le réseau d’ordinateurs de la chaine TV était lui-même infecté.
Quelles étaient les intentions cette fois-ci? En réalité, le but n’était pas de perturber les réseaux des entreprises, mais d’extorquer aux entreprises des milliers de dollars en les menaçant d’attaquer leurs réseaux par des attaques DDoS. Les entreprises ciblées payaient au plus vite les extorqueurs plutôt que de faire face aux conséquences d’une attaque DDoS.
2010 : DDoS et hacktivisme
En 2010, les attaques DDoS ont été largement médiatisées par la presse pour des questions politiques ou idéologiques telle que l’affaire Wikileaks/Anonymous. Cette année-là, les assaillants ont considérablement augmenté les volumes d’attaques, et, ont lancé pour la première fois des attaques franchissant le cap des 100Gbps, ce qui représente environ 22 000 fois la bande passante moyenne d’un Internaute aux Etats-Unis en 2010.
En Décembre, Wikileaks a subi de fortes pressions pour cesser de publier des documents classifiés de l'armée US. En réponse, le groupe Anonymous les a soutenu, et a qualifié par l’Operation Payback (Opération Représailles en français) la série d’attaques DDoS qu’il a mené contre Amazon, PayPal, MasterCard et Visa en représailles du comportement anti-Wikileaks. Ces attaques ont fait tomber les sites Web MasterCard et Visa le 8 Décembre.
L’outil derrière les attaques Anonymous/Wikileaks est appelé Low Orbit Ion Cannon (LOIC). Bien qu’il soit à l’origine un outil de test de charge open-source, conçu pour effectuer des tests de résistance pour les applications web, il a été dans ce cas utilisé comme un outil DDoS.
2012 et au-delà : L’accélération des attaques visant la couche applicative
Bien qu’il existe de nombreuses méthodes d’attaques différentes, les attaques DDoS peuvent être classées en deux catégories :
- Les attaques volumétriques: les attaques par inondation saturent la bande passante du réseau et l’infrastructure (exemple: UDP, TCP SYN, ICMP).
- Les attaques visant la couche applicative: Ces attaques sont conçues pour cibler des services spécifiques et épuiser leurs ressources (HTTP, DNS). Parce qu’elles utilisent moins de bande passante, elles sont plus difficiles à détecter. La situation idéale pour les attaques DDoS visant la couche applicative est lorsque tous les autres services restent intacts tandis que le serveur web est totalement inaccessible. Le logiciel Slowloris est né de ce concept, et est donc relativement très furtif par rapport à la plupart des outils d’inondation.
D’après Stratecast, les attaques DDoS ont augmenté de 20% - 45% par an, avec des attaques DDoS applicatives qui connaissent une croissance à trois chiffres. La tendance des attaques DDoS visant la couche applicative est claire, et ne risque probablement pas de s’inverser. Cependant, cette tendance ne démontre pas que les attaques volumétriques sur les flux ou sur le réseau cesseront. Au contraire, les deux types d’attaques vont s’associer pour être plus puissantes. Le rapport annuel Verizon sur la Violation des Données (2012 Verizon Data Breach Investigations) révèle que plusieurs attaques DDoS visant la couche applicative, qui cachent des attaques volumétriques, ont été utilisées pour voler des données, ce qui prouve que les attaques multivectorielles sont dorénavant utilisées pour dissimuler la véritable cible de l’attaque.
Les attaques DDoS gagnent en fréquence et en intensité tandis qu’en parallèle, les moyens de lancer une attaque sont simplifiés et la disponibilité des outils pour l’assaillant augmente. En outre, la complexité de ces attaques est en hausse en raison de leur nature polymorphe ainsi que le développement de nouveaux outils pour dissimuler leur véritable nature. En conséquence, les méthodes traditionnelles de détection sont souvent inutiles et l’atténuation devient plus difficile. Avec une telle évolution, il est essentiel que les organisations révisent leur posture de sécurité et s’assurent d’avoir les moyens de défense adéquats pour se protéger des attaques DDoS. Le principal défi est d’avoir une visibilité et un environnement suffisant pour détecter un large éventail de types d’attaques sans ralentir le flux et le traitement du trafic légitime; et ensuite atténuer l’attaque de la manière la plus efficace. Une stratégie de défense multi-couches est donc indispensable pour permettre un contrôle précis et une protection de tous les composants qui sont au coeur des activités en ligne.
Par K. de Ponteves, analyste AV de l’équipe FortiGuard chez Fortinet
Bien qu’on ne puisse pas dire avec certitude quand la première attaque DDoS s’est produite, la première attaque distribuée (DDoS) de grande envergure a eu lieu en 1999, contre le serveur IRC de l’Université du Minnesota. 227 systèmes ont été touchés et l’attaque a rendu le serveur de l’université inutilisable pendant deux jours.
En Février 2000, de nombreux sites Web populaires tels que Yahoo!, eBay, CNN, Amazon.com, ZDNet.com ont été paralysés pendant des heures. Yahoo! a subi une perte de 500,000$ durant ses trois heures d’inaccessibilité, le volume d’activité du site CNN.com a chuté de 95% et ZDNet était pratiquement inaccessible. La perte due à cette inaccessibilité a été énorme.
Un Canadien âgé de 15 ans connu sous le nom de “Mafiaboy” a été arrêté et inculpé pour les attaques. Sa motivation? Le défi. Cet adolescent voulait juste dévoiler ses talents. Pour ce faire, il a scanné un réseau pour trouver un certain nombre d’hôtes vulnérables; a compromis les hôtes en exploitant une vulnérabilité connue; a déployé un logiciel transformant l’hôte en un “zombie”; et ensuite a propagé l’attaque de sorte que chaque zombie compromette à leur tour de nouvelles cibles, en suivant le même procédé.
2005 : Une attaque lucrative
Au début des années 2000, pour créer un botnet visant à lancer une attaque DDoS, le pirate devait suivre les mêmes étapes que celles utilisées par Mafiaboy. Avec l’avènement des vers Internet, ces étapes sont devenues automatisées, permettant au pirate de déclencher des attaques de grande envergure. En Août 2005, Farid Essabar âgé de 18 ans, qui n’avait jamais étudié la programmation informatique, a été arrêté pour la propagation du ver MyTob. Le ver ouvrait une porte dérobée de l’hôte MS Windows infecté, se connectait à un serveur IRC à distance et attendait les instructions. Il s’auto-propageait au redémarrage en se répliquant sur les partages réseaux, ouvrait la porte à des attaques DDoS massives avec tous les hôtes compromis par le ver et exécutait les instructions envoyés sur l’IRC. L’épidémie a été retransmise en direct sur CNN car le réseau d’ordinateurs de la chaine TV était lui-même infecté.
Quelles étaient les intentions cette fois-ci? En réalité, le but n’était pas de perturber les réseaux des entreprises, mais d’extorquer aux entreprises des milliers de dollars en les menaçant d’attaquer leurs réseaux par des attaques DDoS. Les entreprises ciblées payaient au plus vite les extorqueurs plutôt que de faire face aux conséquences d’une attaque DDoS.
2010 : DDoS et hacktivisme
En 2010, les attaques DDoS ont été largement médiatisées par la presse pour des questions politiques ou idéologiques telle que l’affaire Wikileaks/Anonymous. Cette année-là, les assaillants ont considérablement augmenté les volumes d’attaques, et, ont lancé pour la première fois des attaques franchissant le cap des 100Gbps, ce qui représente environ 22 000 fois la bande passante moyenne d’un Internaute aux Etats-Unis en 2010.
En Décembre, Wikileaks a subi de fortes pressions pour cesser de publier des documents classifiés de l'armée US. En réponse, le groupe Anonymous les a soutenu, et a qualifié par l’Operation Payback (Opération Représailles en français) la série d’attaques DDoS qu’il a mené contre Amazon, PayPal, MasterCard et Visa en représailles du comportement anti-Wikileaks. Ces attaques ont fait tomber les sites Web MasterCard et Visa le 8 Décembre.
L’outil derrière les attaques Anonymous/Wikileaks est appelé Low Orbit Ion Cannon (LOIC). Bien qu’il soit à l’origine un outil de test de charge open-source, conçu pour effectuer des tests de résistance pour les applications web, il a été dans ce cas utilisé comme un outil DDoS.
2012 et au-delà : L’accélération des attaques visant la couche applicative
Bien qu’il existe de nombreuses méthodes d’attaques différentes, les attaques DDoS peuvent être classées en deux catégories :
- Les attaques volumétriques: les attaques par inondation saturent la bande passante du réseau et l’infrastructure (exemple: UDP, TCP SYN, ICMP).
- Les attaques visant la couche applicative: Ces attaques sont conçues pour cibler des services spécifiques et épuiser leurs ressources (HTTP, DNS). Parce qu’elles utilisent moins de bande passante, elles sont plus difficiles à détecter. La situation idéale pour les attaques DDoS visant la couche applicative est lorsque tous les autres services restent intacts tandis que le serveur web est totalement inaccessible. Le logiciel Slowloris est né de ce concept, et est donc relativement très furtif par rapport à la plupart des outils d’inondation.
D’après Stratecast, les attaques DDoS ont augmenté de 20% - 45% par an, avec des attaques DDoS applicatives qui connaissent une croissance à trois chiffres. La tendance des attaques DDoS visant la couche applicative est claire, et ne risque probablement pas de s’inverser. Cependant, cette tendance ne démontre pas que les attaques volumétriques sur les flux ou sur le réseau cesseront. Au contraire, les deux types d’attaques vont s’associer pour être plus puissantes. Le rapport annuel Verizon sur la Violation des Données (2012 Verizon Data Breach Investigations) révèle que plusieurs attaques DDoS visant la couche applicative, qui cachent des attaques volumétriques, ont été utilisées pour voler des données, ce qui prouve que les attaques multivectorielles sont dorénavant utilisées pour dissimuler la véritable cible de l’attaque.
Les attaques DDoS gagnent en fréquence et en intensité tandis qu’en parallèle, les moyens de lancer une attaque sont simplifiés et la disponibilité des outils pour l’assaillant augmente. En outre, la complexité de ces attaques est en hausse en raison de leur nature polymorphe ainsi que le développement de nouveaux outils pour dissimuler leur véritable nature. En conséquence, les méthodes traditionnelles de détection sont souvent inutiles et l’atténuation devient plus difficile. Avec une telle évolution, il est essentiel que les organisations révisent leur posture de sécurité et s’assurent d’avoir les moyens de défense adéquats pour se protéger des attaques DDoS. Le principal défi est d’avoir une visibilité et un environnement suffisant pour détecter un large éventail de types d’attaques sans ralentir le flux et le traitement du trafic légitime; et ensuite atténuer l’attaque de la manière la plus efficace. Une stratégie de défense multi-couches est donc indispensable pour permettre un contrôle précis et une protection de tous les composants qui sont au coeur des activités en ligne.
Par K. de Ponteves, analyste AV de l’équipe FortiGuard chez Fortinet