Archives de catégorie : Patch

Faille de taille pour Internet Explorer 11

Une faille vise le navigateur de Microsoft, Internet Explorer 11. Un XSS qui permet d’injecter des cochonneries numériques lors de votre visite d’un site piégé.

Les Cross-sites scripting, le site zataz.com vous en parle malheureusement très souvent. Cette vulnérabilité, baptisée XSS, permet de modifier une page d’un site web lors de la visite de ce dernier via un url particulièrement formulé, d’injecter un code malveillant dans l’ordinateur d’un internaute et de nombreuses autres possibilités aussi malveillantes les unes que les autres.

Aujourd’hui, c’est au tour du navigateur de Microsoft, Internet Explorer 11, de souffrir du problème. Un pirate peut contourner le « same-origin » du navigateur. Bilan, comme l’explique sur SecList l’inventeur de la faille, David Leo, un pirate peut diffuser ce qu’il veut dans le navigateur d’un visiteur ainsi piégé. Une démonstration a été faite dans les pages du journal britannique Daily Mail. Microsoft a confirmé la faille.

Pour « corriger » ce problème, il suffit aux webmasteurs de modifier leurs pages web, et de passer l’en-tête X-Frame-Options avec la valeur ‘deny’ ou ‘same-origin’. Bilan, plus aucune possibilité de CSS. A noter que la firme de Redmond a été alertée en octobre 2014 et n’a toujours pas patché son navigateur.

Nouvelle vulnérabilité zero-day dans Adobe Flash

Trend Micro, éditeur de logiciel et solutions de sécurité, a identifié le week-end dernier une nouvelle vulnérabilité 0day affectant Adobe Flash Player, la troisième depuis le début de l’année ! Confirmée par Adobe mais pas encore patchée, cette faille expose plus d’un milliard d’ordinateurs utilisant la dernière version d’Adobe Flash.

Dans un post publié hier sur leur blog, les chercheurs de Trend Micro expliquent que cette vulnérabilité est semblable à celle de la semaine dernière, qui affectait les produits Flash pour Windows. Les attaques sont en effet menées via des publicités en ligne malveillantes, une technique appelée « malvertising ».

L’attaque révélée hier est en cours depuis le 14 janvier et s’est intensifiée à partir du 27 janvier. 3 294 compromissions ont déjà été détectées par les chercheurs sur l’un des sites concernés. Dailymotion.com est l’un des premiers sites où ces attaques ont été détectées.

« Il s’agit de la troisième vulnérabilité découverte depuis le début de l’année dans ce logiciel très répandu chez les particuliers et au sein des entreprises ! Un incident qui rappelle l’importance du Virtual Patching », commente à DataSecurityBreach.fr Loïc Guézo, de chez Trend Micro. « Cette démarche est essentielle pour compenser le temps nécessaire à l’éditeur concerné pour publier son patch correctif. Des délais parfois très longs ! De plus, certains patches sont incorrects, comme c’est arrivé avec Heartbleed, ou n’arrivent tout simplement jamais si les systèmes ne disposent plus de support, comme c’est le cas pour les anciennes versions de Windows. »

Il est recommandé aux entreprises ne disposant pas d’un système de sécurité adéquat de désactiver Adobe Flash Player en attendant qu’un patch de sécurité soit disponible. Data Security Breach en profite pour vous rappeler de vous méfier des fausses mises à jour [lire].

Selon Cisco – 100% des réseaux analysés contiennent des malwares

Le principal enjeu des équipes en charge de la sécurité des systèmes d’information est de faire face à des attaques de plus en plus ciblées et de mieux comprendre la menace pour détecter les signaux faibles sur leurs réseaux. Selon Cisco – 100% des réseaux analysés contiennent des malwares. Vous avez dit inquiétant ?

Le Rapport Annuel sur la Sécurité 2015 de Cisco révèle que 40 % des failles de sécurité en entreprise ne sont pas corrigées. Les résultats du Rapport Cisco soulignent que, malgré une prise de conscience de la menace et un nombre croissant d’attaques ciblées médiatisées, les entreprises n’utilisent pas forcément l’ensemble des outils disponibles, simples à mettre en œuvre, pour contrer les cyberattaques. L’étude Cisco a été menée auprès de 1700 entreprises dans 9 pays.

Le Rapport permet de tirer plusieurs conclusions majeures :
La menace est réelle et permanente : 100 % des réseaux analysés contiennent des malwares. Ces résultats sont identiques au Rapport 2014. En 2014, 1 % des vulnérabilités connues (43 sur 6756) ont été exploitées par les cybercriminels. D’une part, cela signifie que les entreprises doivent prioriser 1 % des vulnérabilités exploitées dans le cadre de leur politique globale de correction. D’autre part, même si les technologies atteignent de hauts niveaux de performance, il est nécessaire de comprendre les menaces pour lutter contre les vulnérabilités. Les kits d’exploits largement utilisés sont rapidement détectés par les solutions de sécurité – ce qui signifie que les cybercriminels préfèrent disposer  du 4ème ou 5ème kit d’exploits le plus utilisé, pour ne pas trop attirer l’attention. Même si les kits d’exploits ont diminué de 88 % entre mai et novembre 2014, ils restent un outil utilisé à un rythme soutenu par les cybercriminels, aux conséquences sérieuses pour les entreprises. Les failles Java sont en baisse de 34 % et les attaques Flash de 3 % alors que les failles Silverlight ont augmenté de 228 % et les failles PDF de 7 %.

Les malwares Flash peuvent désormais interagir avec JavaScript pour cacher des vulnérabilités en partageant un exploit entre deux fichiers distincts : un Flash et un JavaScript. L’activité malveillante est alors plus difficile à détecter et à analyser et prouve la sophistication des attaques et la professionnalisation des hackers.

L’industrie pharmaceutique et la chimie sont les secteurs les plus touchés par la cybercriminalité. Les médias, l’industrie, le transport et la logistique et l’aviation complètent le top 5 des secteurs les plus touchés. L’an dernier, seuls l’industrie pharmaceutique et la chimie et l’aviation figuraient parmi les secteurs les plus concernés par les attaques. Le volume de spam a augmenté de 250 % en 2014. Plus ciblé et plus dangereux, envoyé à plus faible volume à partir d’un grand nombre d’adresses IP pour échapper aux outils de détection, un nouveau type de spam est en train d’émerger (Snowshoe). Les spammeurs adaptent les messages à leur cible (phishing), de façon à contourner les filtres anti-spam pour mieux tromper leurs victimes. Le malvertising (publicités malicieuses) est une nouvelle technique utilisée par les cybercriminels en 2014 qui permet de diffuser des malwares au travers des navigateurs, tout en ne nécessitant pas de moyens importants mais permettant aux cybercriminels de gagner beaucoup d’argent. Adobe et Internet Explorer sont les éditeurs les plus vulnérables avec respectivement 19 % et 31 % des attaques observées.

Grâce à l’évolution des technologies de sécurité, les attaques directes et massives sont de plus en plus difficiles à mettre en œuvre. Les cybercriminels font désormais preuve de plus de créativité pour tromper l’utilisateur afin que celui-ci installe lui-même le logiciel malveillant. Ils profitent également de la faiblesse des entreprises en matière de mise à jour des vulnérabilités connues sur leurs systèmes : Alors que la faille Heartbleed a été découverte il y a plus de 6 mois, et qu’elle a permis de révéler une faille dans OpenSSL, 56 % des versions OpenSSL ont plus de 4 ans et sont toujours vulnérables car elles n’ont pas été mises à jour depuis la sortie du patch. Internet Explorer est le navigateur le moins mis à jour avec seulement 10 % des versions installées mises à jour avec la dernière version connue, la version la plus courante datant de 31 mois par rapport à la version la plus récente. Au contraire, 64 % des versions de Chrome sont à jour.

« La sécurité du système d’information est une affaire d’équipe : elle ne pourra être optimale que si le RSSI et l’équipe informatique, les dirigeants de l’entreprise, les directeurs métier, etc. travaillent ensemble pour mieux comprendre la menace et faire face aux cyberattaques. Les cybercriminels travaillent de mieux en mieux pour dissimuler leurs traces. L’ensemble des parties prenantes doit donc répondre à des questions majeures : est-ce que l’entreprise dispose des outils qui lui permettront non seulement d’identifier les attaques avérées, mais également de déterminer où se situent les vrais vulnérabilités de son informatique ? Comment l’entreprise peut être certaine que ses utilisateurs sont en sécurité, et cela même lorsqu’ils travaillent en dehors du périmètre du réseau de l’entreprise ? » explique à DataSecurityBreach.fr Christophe Jolly, Directeur Sécurité Cisco France. « Face à l’évolution de la menace, les entreprises doivent mettre en œuvre un ensemble de mesures de sécurité pour leur permettre de répondre aux défis liés à la cybercriminalité et au cyberespionnage industriel et pour mieux comprendre la cybersécurité du monde d’aujourd’hui ».

Retrouvez le Rapport Annuel sur la Sécurité 2015 de Cisco en intégralité ici : www.cisco.com/go/asr2015

Protéger son site face aux cyber attaques

L’actualité récente a suscité une recrudescence des tentatives de piratage des sites internet. L’hébergeur Oceanet Technology vient de communiquer auprès de ses clients afin de sensibiliser ces derniers aux bonnes pratiques du web.

« Lorsque nous assurons l’administration système de votre serveur, nous mettons en œuvre les bonnes pratiques d’hébergement permettant de limiter les risques d’intrusion au niveau du système d’exploitation, explique l’entreprise Nantais. Toutefois, ces mesures ne sont pas suffisantes pour protéger l’application ou le site web hébergé.« 

Beaucoup de webmasters pensent que l’hébergeur est le rempart, la protection. C’est oublié les outils installés par les administrateurs des sites. Sont particulièrement visés les sites internet qui s’appuient sur des gestionnaires de contenu (CMS) tels que Joomla, WordPress, Drupal ou l’un des nombreux autres outils de ce type. En effet, lorsque ces outils ne sont pas maintenus à jour, les pirates peuvent profiter de failles connues pour déposer un contenu indésirable sur le site.

Comment le protéger

– En appliquant l’ensemble des mises à jour disponibles pour votre CMS
Cette opération est la plus simple et la plus pérenne. Elle vous immunise contre les failles connues et corrigées et vous permet de continuer à utiliser votre site dans les meilleures conditions. Si vous ne maîtrisez pas ces questions, n’hésitez pas à vous rapprocher du prestataire qui a réalisé votre site et pourra réaliser pour vous cette vérification.

– Par placement en lecture seule
Cette opération interdira toute modification du contenu de votre site, que ce soit par vous ou par un pirate éventuel. Naturellement, cette solution est peu souhaitable puisque vous ne pourrez plus modifier le contenu de votre site. Toutefois, s’il s’agit d’un site ancien dont le contenu n’évolue plus, cette solution vous permet de garantir que votre site demeurera en l’état. Si Oceanet Technology administre votre système, nous pouvons réaliser cette opération sur simple demande au support.

Lorsqu’un site est piraté, il arrive que celui-ci serve de pont pour porter atteinte à d’autres utilisateurs que ce soit au travers de campagnes de mails indésirables ou d’opérations de dénis de service. « Dans de telles circonstances, indique Oceanet Technology, nous n’avons d’autre choix que de suspendre l’activité du site compromis. » Bref, les mesures de prévention proposées ci-dessus sont donc importantes pour garantir la disponibilité de votre site.

Utilisateur de Firefox et Thunderbird, un keylogger activé dans le nouvel OS d’Apple, Yosemite

Voilà qui n’est pas amusant, mais alors pas du tout. Le chercheur en sécurité Kent Howard a rapporté à Apple un problème présent dans OS X 10,10 (Yosemite). Une fonctionne sauvegarde les informations tapées dans les produits Mozilla !

Des fichiers journaux sont créés par le CoreGraphics d’OS X dans le répertoire local /tmp. Ces fichiers journaux contiennent un enregistrement de toutes les entrées dans les programmes Mozilla (Firefox, Thunderbird) pendant leur fonctionnement. Dans les versions de Mac OS X (à partir des versions 10.6, 10,9, ndlr datasecuritybreach.fr) les CoreGraphics avaient cette capacité d’enregistrement mais le « keylogger » avait été désactivé par défaut. Dans OS X 10,10, cette journalisation a été activée de nouveau, par défaut, pour certaines applications qui utilisent une mémoire personnalisée, comme jemalloc.

Sur les systèmes vulnérables, la faille peut entraîner l’interception des données privées telles que noms d’utilisateur, mots de passe et autres données sauvegardées par ce fichier journal mal venu. Ce problème n’affecte pas les utilisateurs d’OS X avant la version 10.10. Les utilisateurs de l’OS X 10.10 doivent aller dans le dossier /tmp, supprimer les fichiers avec des noms commençant par « CGLog_ » suivie du nom d’un produit Mozilla, tels que « CGLog_firefox ». (Alerte Mozilla/Metabaron)

 

Logiciels espions dans la derniere mise à jour Galaxy Note de Samsung

Mais que viennent donc faire là Cookie Jam, Drippler et RetailMeNot dans la nouvelle mise à jour de T-Mobile concernant les Galaxy Note 4 de chez Samsung. Les applications sont avides d’informations… sans que les propriétaires des smartphones soient alertés.

Voilà qui commence à faire beaucoup. Après la disparation de musique non acquise sur iTunes dans des iPod, Apple ayant décidé de faire le ménage sans que les utilisateurs ne puissent rien dire, voici le débarquement de logiciels « sniffeurs » d’informations dans les Galaxy Note 4 Samsung commercialisés par T-Mobile.

Une mise à jour, imposée par l’opérateur, en a profité pour installer sans que personne ne puisse dire « non », trois applications avec des autorisations incroyables… sans que le propriétaire du téléphone ne le sache. Cookie Jam, Drippler et RetailMeNot se sont retrouvés dans les smartphones. Les utilisateurs peuvent pas les effacer, ils se réinstallent dans la foulée.

Les logiciels malveillants ont été installés automatiquement après la mise à jour de T-Mobile. Parmi les autorisations autorisées, mais non validées par les clients : lire l’état du téléphone, l’identité, modifier, lire et supprimer le contenu de votre périphérique de stockage USB, modifier les paramètres de sécurité du système, télécharger des fichiers sans notification, voir toutes sortes de connexions et avoir accès complet au réseau… (Rick Farrow)

Marché de la cybersécurité du secteur financier américain: une hausse de 23%

La rédaction de DataSecurityBreach.fr a reçu les résultats d’une nouvelle étude qui examine l’évolution rapide du marché de la cybersécurité dans le secteur des services financiers américains. Selon l’étude HSRC, le marché de la cybersécurité des services bancaires et financiers aux États-Unis devrait atteindre 9,5 milliards de dollars en 2015, suite à une hausse annuelle record de 23%.

Faisant suite à la flambée des cyber-attaques «réussies», les organismes financiers américains constitueront le plus important secteur non-gouvernemental du marché de la cybersécurité. Selon la nouvelle étude Banking & Financial Services Cybersecurity: U.S. Market 2015-2020, publiée par Homeland Security Research Corp. (HSRC): la multiplication et la sophistication des cyber-attaques «réussies» contre les grandes chaînes de vente au détail, les banques et les entreprises de services financiers l’année dernière (au cours de laquelle des relevés bancaires de plus de 500 millions de clients et des cartes bancaires ont été compromis) ont  incité les conseils d’administration des institutions financières américaines à l’action. Du fait de la remarquable croissance annuelle de 23%, le marché de la cybersécurité des services financiers américains atteindra 9,5 milliards de dollars en 2015 et deviendra ainsi le marché le plus important du secteur privé en matière de cybersécurité.

Regin: Un outil d’espionnage de pointe pour une surveillance furtive

Un malware complexe, connu sous le nom de Regin, a été utilisé dans le cadre de campagnes d’espionnage systématique envers des cibles internationales depuis au moins 2008. Trojan de type backdoor, Regin est un malware complexe dont la structure suppose des compétences techniques rarement vues.

Avec un grand nombre de fonctionnalités qui s’adaptent selon la cible, il permet à ses commanditaires d’opérer une surveillance massive et a été utilisé dans des opérations contre des organisations gouvernementales, des opérateurs d’infrastructures, des entreprises, des scientifiques et des individus. Il est probable que son développement ait pris plusieurs mois, voire plusieurs années, et ses auteurs ont tout fait pour assurer sa discrétion. Ses capacités ainsi que le niveau de ressources derrière Regin indiquent qu’il s’agit de l’un des principaux outils de cyber espionnage utilisé par un état.

Comme décrit dans le livre blanc publié par Symantec, Backdoor.Regin est une menace en différentes phases, chacune d’entre elles étant dissimulée et chiffrée, à l’exception de la première. L’exécution de la première étape génère un effet domino de déchiffrement et de chargement de la phase suivante. Chaque étape individuelle fournit peu d’informations sur l’ensemble de la menace. Seule la réalisation de l’ensemble permet l’analyse et la compréhension de la menace.

Les cinq étapes de Regin

Regin utilise également une approche modulaire, lui permettant de charger des fonctionnalités adaptées selon la cible. Cette approche modulaire a déjà été vue dans des familles de malwares sophistiqués tels que Flamer et Weevil (TheMask), alors que l’architecture en plusieurs étapes est similaire à celle observé dans Duqu/Stuxnet.

Déroulé et profil des cibles
Les infections par Regin ont été observées dans différents types d’organisations entre 2008 et 2011, date à laquelle il a été brutalement retiré. Une nouvelle version du malware a refait surface à partir de 2013. Les cibles incluent des entreprises privées, des organisations gouvernementales et des instituts de recherche. Alors que près de la moitié des infections concerne des adresses appartenant à des fournisseurs de services Internet, les cibles de ces infections étaient les clients de ces sociétés plutôt que les sociétés elles-mêmes. De la même manière, les attaques contre des entreprises de télécommunications visaient l’accès aux appels passant par leurs infrastructures.

La géographie des infections est également diverse, et concerne principalement dix pays.

Vecteur d’infection et charges utiles
Le vecteur d’infection varie selon les cibles et aucun vecteur reproductible n’a été identifié à l’heure où ce rapport a été rédigé. Symantec estime que certaines cibles ont été leurrées vers la visite de fausses versions de site Internet bien connus, et que la menace s’est installée via un navigateur web ou lors de l’exploit d’une application. Sur un ordinateur, les fichiers log montraient que Regin venait de Yahoo ! Instant Messenger via une faille non confirmée.

Regin utilise une approche modulaire, donnant ainsi une certaine flexibilité à ses commanditaires et opérateurs qui peuvent ainsi adapter ses fonctionnalités selon les cibles individuelles et les besoins. Certaines charges utiles sont particulièrement avancées et laissent supposer un haut degré d’expertise dans des secteurs bien précis: une preuve supplémentaire du niveau de ressources dont ont bénéficié les auteurs de Regin.
Regin comporte des douzaines de charges utiles. Ses capacités de base incluent plusieurs fonctionnalités de Remote Access Trojan (RAT), telles que la capture d’écrans, la prise de contrôle de la souris, le vol de mots de passe, la surveillance du trafic réseau et  la restauration de fichiers supprimés.
Des modules de charge utile plus spécifiques et avancés ont également été découverts, tels que le monitoring de trafic de serveur web Microsoft IIS et l’aspiration du trafic des contrôleurs des stations de téléphonie mobile.
Furtivité.

Les développeurs de Regin ont fourni des efforts considérables pour le rendre indétectable. Son caractère discret semble indiquer une utilisation lors de campagnes d’espionnage qui ont duré plusieurs années. Même lorsque sa présence est détectée, il est très difficile de déterminer précisément ses actions. Symantec n’a été en mesure d’analyser les charges utiles qu’après déchiffrement des échantillons de fichiers.

Regin présente plusieurs fonctionnalités de furtivité, notamment des capacités anti-forensics, un système de fichiers virtuel chiffré unique, un chiffrement alternatif sous la forme d’une variante de RC5, qui n’est pas communément utilisé. Regin utilise de multiples moyens sophistiqués pour communiquer avec l’attaquant, notamment via ICMP/ping qui intègre des commandes dans les cookies http, via des protocoles TCP et UDP sur mesure.

Regin est une menace hautement complexe qui a été utilisée dans la collecte systématique de données ou lors de campagnes de renseignements. Le développement et l’opération de ce malware ont certainement demandé des investissements financiers et en temps importants, laissant supposer qu’un état en est le commanditaire. Sa conception en fait un outil hautement adapté pour des opérations de surveillance persistantes et à long terme contre ses cibles.

La découverte de Regin met en lumière l’importance des investissements pour le développement d’outils informatiques à des fins de renseignement. Symantec estime que de nombreuses composantes de Regin restent à découvrir et que des fonctionnalités et des versions supplémentaires existent. Symantec continue son travail d’analyse et publiera les mises à jour de ses recherches. (Par Symantec Security Response)

Objets connectés : Le mot de passe reste la meilleure sécurité, si on s’en sert !

Un pirate a récemment mis en ligne sur un site russe des liens qui permettent de regarder en direct les vidéos de milliers webcams de particuliers et d’entreprises, dans plus de 250 pays. En se connectant au site, on peut voir en direct ce qui se passe dans une chambre d’enfants à Birmingham ou dans un magasin de vêtements à Aix En Provence. Comment cela est-il possible ? Une grande partie de ces utilisateurs auraient tout simplement oublié de changer le mot de passe par défaut permettant d’accéder au flux vidéo de leur webcam.

Ce nouveau piratage illustre les nouveaux défis de sécurité qui sont induits par le développement des objets connectés. Ces derniers, souvent regroupés sous l’appellation « Internet des objets » connaissent une croissance fulgurante. Le Gartner prévoit ainsi qu’en 2015 4,9 Milliards d’objets connectés seront en circulation. Qu’il s’agisse de votre maison (domotique), de votre corps (capteur d’activité, montres connectées, appareils médicaux), de votre voiture ou de vos vêtements, de nouveaux objets et services connectés sont inventés tous les jours. Ils collectent des données de votre quotidien, les interprètent via des logiciels en ligne et vous aident à améliorer différents aspects de votre vie : confort, santé, dépenses, performance, productivité…

Ces données qui partent dans le Cloud
Pour pouvoir vous aider au mieux et pour stocker toutes ces données collectées sur votre quotidien, ces objets communiquent généralement avec des logiciels hébergés sur des serveurs sur Internet, « dans le Cloud », accessibles via des identifiants et mots de passe, comme n’importe quel site web. Mais cela n’est pas sans danger car si les français digitalisent leur vie quotidienne, ils n’adoptent pas pour autant les comportements de sécurité en ligne qu’ils ont dans la vie réelle. L’étude IFOP réalisée pour Dashlane en 2012 l’avait montré : Alors que 100% des français mettent leur ceinture de sécurité en voiture, 42% utilisent encore le même mot de passe sur plusieurs sites. Et pourtant, c’est une règle de base que d’utiliser un mot de passe différent par site web…

Et alors ?
Beaucoup minimisent sans doute le risque : on pense que lorsque l’on se fait pirater son compte email ou sa carte bancaire,  il y a toujours un moyen de réinitialiser son compte ou d’annuler les transactions frauduleuses réalisées avec la carte. Il n’y a pas « mort d’homme ». Maintenant imaginez-vous ce que peut être un piratage à l’heure de l’Internet des objets : une webcam pour surveiller vos enfants qui s’éteint toute seule, une voiture automatisée qui ne s’arrête plus, des données médicales modifiées qui conduisent à un traitement inapproprié, un pacemaker ou une pompe à insuline qui se mettent à fonctionner anormalement… Ce ne sont plus uniquement nos comptes en banque ou notre vie privée qui sont menacés, c’est notre intégrité physique et celle de nos proches.

Certains prennent ces menaces très au sérieux. Par exemple l’ancien Vice-Président américain Dick Cheney est en effet allé jusqu’à se faire opérer pour retirer les possibilités de connexion sans fil de son Pacemaker, par crainte d’un piratage potentiellement mortel. Solution radicale mais qui a le mérite d’être efficace. La sécurité en ligne n’est plus uniquement une question d’argent ou de confidentialité. Avec l’explosion des objets connectés c’est maintenant une question qui va concerner nos proches, notre intimité, notre santé, notre vie quotidienne dans toutes nos activités.

La nature du risque a changé. Il y a encore quelques années, pour les consommateurs, les risques associés au monde digital étaient limités à cet objet encombrant posé sur leur bureau, l’ordinateur. On se protégeait de ces risques à l’aide d’antivirus, d’anti spam, de firewall….Aujourd’hui, le risque s’est déplacé vers le Cloud : nos données personnelles y sont stockées et c’est aussi par-là que des hackers peuvent prendre le contrôle des objets connectés. Le seul rempart qui protège nos données et nos objets dans le Cloud, ce sont nos mots de passe. Ne l’oublions pas ! (Par Emmanuel Schalit, CEO de Dashlane)

Pour une approche mixte de la protection des données contre les attaques DDoS à venir

Pour de nombreuses entreprises qui veulent mettre en œuvre une stratégie de défense anti-DDoS, se pose le dilemme d’une réelle efficacité : doivent-elles déployer des appliances sur site ou s’abonner à un service cloud anti-DDoS ? Cette décision ne peut pas être prise à la légère ni sans analyser le vaste champ des nouvelles menaces DDoS.

Les plus visibles sont les attaques volumétriques par force brute qui cherchent à saturer le réseau et perturber les services et les opérations, tandis que les attaques ‘low et slow’ qui s’en prennent à la couche applicative, sont plus difficiles à détecter. Quelle que soit la taille ou la complexité de l’attaque, l’arrêt de l’activité provoqué par un DDoS entraîne d’importantes baisses d’activité et des pertes de revenus. On estime qu’un incident peut coûter plusieurs centaines de milliers d’euros. Sans parler des conséquences et du nécessaire examen des faits pour déterminer quelles infractions ont eu lieu et comment gérer les dommages survenus auprès des clients.

Solution cloud anti-DDoS
Les attaques volumétriques massives se produisent quand l’agresseur sature la  bande passante du réseau en envoyant énormément de trafic. Les attaques par saturation sont largement médiatisées et le plus souvent associées à un DDoS,  car elles sont le plus évident et le plus manifeste exemple de ces vecteurs d’attaque de plus en plus subtils. Avec un service cloud de défense à la demande contre les DDoS qui se trouve hors site, l’intervention humaine joue un rôle-clé. Lorsqu’une attaque est détectée, le Responsable de la Sécurité doit prendre la décision d’activer la bascule vers le fournisseur Cloud de service anti-DDoS. Le temps moyen entre la détection et la mitigation d’une attaque est variable et peut atteindre une heure. Or, la majorité des attaques volumétriques consommant une grande quantité de bande passante ne dure pas plus d’une demi-heure : le temps que la défense à la demande se mette en place, l’attaque est terminée et le mal est fait.

De plus, avec une solution Cloud anti-DDoS hors site, la visibilité de l’attaque et l’analyse correspondante commencent seulement après que le trafic ait été re-routé vers le service de nettoyage, ce qui fournit très peu d’informations sur l’événement de sécurité. Certaines entreprises qui subissent des attaques volumétriques* à grande échelle, souscrivent à un service cloud anti-DDoS continu. Cette solution apporte évidemment plus de sécurité, mais elle génère des coûts très importants.

Défense sur site en temps réel
Les solutions de défense DDoS sur site, conçues à cet effet, sont des produits de sécurité des réseaux basés sur des appliances déployées entre Internet et le réseau de l’entreprise. Cette approche crée une première ligne de défense qui empêche les pannes de réseau et de service provoquées par les attaques DDoS. Comment ? En inspectant la fréquence du trafic de la ligne et en bloquant les attaques en temps réel, tout en laissant circuler les « bons » flux, sans les interrompre. La défense sur site a comme avantage de procurer une visibilité complète et sophistiquée, tout en fournissant les renseignements de sécurité sur l’attaque DDoS (et toutes les autres cyber-menaces) qui ciblent les services exposés à Internet.

Une fois connue la nature du déploiement, l’exécution de la politique de mitigation contre le trafic dû aux attaques doit être réalisée sans faux-positifs, avec un niveau de débit performant et une efficacité maximale en termes de sécurité. La technologie sur site est conçue pour gérer les attaques volumétriques du réseau par DDoS, de type SYN Flood, les attaques par réflexion et usurpation amplifiées** frauduleuses, utilisant par exemple les protocoles DNS et NTP ou les attaques de la couche applicative qui sont presque impossibles à détecter avec les solutions hors site de mitigation des attaques DDoS.

L’ approche mixte est sans doute la solution
Comme l’a mentionné récemment le SANS Institute, « des solutions anti-DDoS composées d’équipements sur site, d’équipements des fournisseurs d’accès à Internet et/ou d’architectures de mitigation sont près de quatre fois plus efficaces que les solutions sur site seules ou les solutions de services seuls. La sophistication croissante des attaques DDoS et le caractère sensible de la perturbation des services marchands exigent à la fois une protection locale et une protection en amont, travaillant en totale synchronisation « . L’expérience des entreprises qui ont mis en place avec leur fournisseur de service à la demande un système assis sur la visibilité des attaques apportée par les solutions sur site montrent toute la pertinence de cette analyse
Autre avantage d’une telle approche : le dispositif local réduit considérablement la fréquence de passage à la mitigation cloud, ce qui allège les coûts associés à ces basculements et fournit toujours une protection contre toutes les formes d’attaques par DDoS.

Cette nouvelle stratégie de lutte contre les DDoS fournit aux entreprises le meilleur des deux mondes, en combinant la résilience et la dimension des solutions du cloud computing avec la protection en temps réel, la visibilité sophistiquée et l’inspection granulaire du trafic des solutions sur site. Ce type d’approche constitue une véritable ligne de défense avancée contre la panoplie des menaces DDoS qui évoluent en permanence. (Par Adrian Bisaz, Vice President Sales EMEA de Corero Network Security))

*Les attaques à volume important représentent moins que 20% des attaques par déni de service. La plupart sont inférieures à la bande passante de l’accès.
**En quoi consiste une attaque par réflexion ? C’est une attaque où le pirate ment sur son adresse IP. Il envoie des paquets avec une adresse IP source qui n’est pas la sienne. Les réponses à ces paquets mensongers sont envoyées à l’adresse IP source indiquée, c’est-à-dire celle de la victime. Le trafic reçu par la victime peut être énorme en raison de l’amplification. Les attaques par déni de service par réflexion utilisent un protocole comme DNS ou NTP.