On parle d’attaque par déni de service (DoS) lorsqu’un service habituellement opérationnel devient indisponible. Il peut y avoir plusieurs raisons à cela, mais cette indisponibilité s’explique souvent par l’incapacité pour l’infrastructure de faire face à une surcharge d’activité.
Nous parlerons aujourd’hui plus spécifiquement des attaques par déni de service distribué (DDoS). Ces attaques sont provoquées par une multitude de systèmes qui s’en prennent à une seule cible. Elles utilisent souvent un réseau de machines zombies (botnet) programmées (souvent à l’insu du propriétaire) pour envoyer simultanément une requête de service.
À la différence des attaques de type phishing ou des attaques par force brute, les DoS n’ont généralement pas pour but de s’emparer d’informations ou de provoquer une faille de sécurité. Il n’en reste pas moins que les conséquences financières pour l’entreprise victime d’une atteinte à sa réputation peuvent être lourdes et chronophages. Par crainte d’autres problèmes de sécurité et d’indisponibilité de leurs services, les clients décident souvent de changer de fournisseur. Pour les activistes et maîtres chanteurs, le DoS représente l’attaque idéale - ce qui est loin d'être la situation rêvée des entreprises.
Comment les attaques par déni de service peuvent-elles avoir de telles répercussions sur l’Internet des Objets ?
L’Internet des Objets englobe une grande variété d’appareils intelligents tous concernés par les problématiques de protection de la vie privée. Devant la diversité des équipements existants, les fabricants et les propriétaires brandissent souvent l’argument de l’hétérogénéité pour justifier l’absence de contrôles de sécurité suffisants.
Dans une attaque DDoS, une même cible est attaquée par différentes sources. Et à l’heure de l’Internet des Objets, les hackers sont un peu comme des enfants lâchés dans un magasin de jouets, avec des millions d’équipements qui demeurent trop souvent et trop longtemps sans protection et sans surveillance. L’essor de l’Internet des Objets contribue à faire exploser ces attaques dans des proportions jusqu’alors inédites.
Lorsque des chercheurs d’Akamai déclarent que les objets connectés sont aujourd’hui à l’origine de 21 % des attaques DDoS, cela n’est pas tellement surprenant. D’après nos prévisions, la tendance devrait d’ailleurs s’intensifier au cours des prochaines années.
Autrefois, les attaques DDoS ne ciblaient que les ordinateurs et les machines connectés à Internet avec en général un niveau de protection raisonnable. L’Internet des Objets expose à de potentielles attaques un large éventail d’équipements : imprimantes, caméras, réfrigérateurs, thermostats, capteurs et routeurs, pour n’en nommer que quelques-uns. Non seulement leur nombre est considérable, mais ces appareils sont souvent insuffisamment, voire pas du tout, protégés. Bilan : il est bien trop facile d’exploiter leurs faiblesses et de lancer des attaques d’envergure à l’insu des propriétaires de ces objets.
Si les équipements connectés peuvent être utilisés pour lancer des attaques, ils peuvent également en devenir la cible. Un réfrigérateur connecté qui s’arrête de fonctionner pendant un certain temps peut causer des désagréments à son propriétaire. Certes. Mais, pensez à tous ces équipements pouvant avoir de lourdes conséquences vitales pour de nombreuses personnes tels que les vannes de commande des centrales électriques, les capteurs utilisés pour les observations météorologiques, les serrures de portes de prison ou la signalisation routière dans les « villes intelligentes ».
GCN rapporte que le moteur de recherche Shodan s’est spécialisé dans la localisation d’objets connectés et facilite considérablement la tâche des pirates à la recherche de cibles potentielles. Une nouvelle qui fait froid dans le dos.
Retour sur les attaques DoS les plus connues et les plus spectaculaires de ces dernières années
En 2013 : 39 attaques de plus de 100 Gbit/s (gigabits par seconde), avec des débits en augmentation constante au fil du temps.
Mars 2013 : Lors de l’attaque par DDoS de Spamhaus, le trafic déversé sur le réseau de Spamhaus a atteint des débits de 120 Gbit/s dans l’une des plus grandes attaques menées jusqu’à mars 2013
Août 2013 : Une partie de l’Internet chinois est tombé à l’occasion de l’une des plus grandes attaques par DDoS. Malgré l’un des systèmes de sécurité les plus sophistiqués au monde et un gouvernement capable de mener lui-même des cyberattaques, la Chine n’a pas été en mesure de se défendre.
Été 2014 : Une gigantesque attaque par DDoS déversant un flot de 300 Gbit/s a exploité les failles non corrigées de 100 000 serveurs au moyen d’un botnet. Un centre de données anonyme a été confronté à une attaque DDoS d’une ampleur sans commune mesure.
Décembre 2014 : Un fournisseur de services Internet anonyme fait les frais d’une attaque DDoS sur le NTP (Network Time Protocol) d’une puissance de 400 Gbit/s jusqu’alors inédite. À l’époque, c’est la plus grosse attaque DoS dans l’histoire.
Printemps 2015 : Un opérateur de téléphonie basé au Royaume-Uni, Carphone Warehouse, est la cible d’une attaque DDos, pendant que les pirates dérobent des millions de données clients
Juillet 2015 : Le New York Magazine est frappé par une attaque DDoS juste après la publication des entretiens de 35 femmes accusant Bill Cosby d’agression sexuelle.
Décembre 2015 : Les menaces d’une attaque DDoS sur le service Xbox Live de Microsoft prétendent faire tomber pendant une semaine le réseau XBox Live et PlayStation pendant les fêtes de Noël. Les attaquants tentent d’attirer l’attention sur la sécurité insuffisante des services Microsoft.
Janvier 2016 : Plusieurs clients HSBC ont perdu l’accès à leurs comptes bancaires en ligne deux jours avant la date limite de paiement de l’impôt au Royaume-Uni, à l’occasion de la dernière grande attaque DdoS sophistiquée en date.
Digitaltrends indique qu’au cours du dernier trimestre, les attaques DDoS ont augmenté de 7 %, soit une augmentation de 132 % par rapport à 2014. Avec l’accroissement des capacités techniques et des équipements susceptibles d’être utilisés pour ces attaques, les DDoS ne sont pas prêts de disparaître. Nous nous attendons également à assister à des attaques d’une ampleur croissante, dont le trafic devrait atteindre des niveaux encore inconnus, et qui cibleront des secteurs vulnérables comme les jeux d’argent et les télécommunications.
Vous retrouverez sur notre site web plus d’informations sur l’émergence de l’Internet des Objets et les façons de sécuriser les terminaux mobiles et autres objets connectés. Notre webinaire « PKI pour l'Internet des objets » montre par ailleurs comment identifier les équipements, chiffrer les communications et assurer l’intégrité des données à l’aide d’une technologie qui a déjà fait ses preuves.