Motifs des attaques DDoS
Le DDoS Protection Service de Swisscom déjoue quotidiennement des attaques DDoS ciblant les clients ou la propre infrastructure de l’entreprise. Un membre de l'équipe de sécurité donne des informations sur les motivations des pirates, les cibles qu'ils ont en vue et comment les entreprises peuvent sortir de leur ligne de mire.
Texte: Felix Raymann, Images: iStock by Getty Images, 14 novembre 2018, Mis à jour le 21 juin 2021
Swisscom a-t-elle déjà fait l’objet d’une attaque DDoS aujourd’hui?
Oui, même quelques-unes. Il est à peine midi, et comme chaque jour, nous avons déjà une liste complète d'attaques que nos systèmes ont automatiquement détectées et déjouées.
Swisscom est-elle une cible particulièrement attrayante pour les pirates informatiques?
Comme tout fournisseur de services, nous subissons souvent des attaques, mais toute entreprise présente sur le web, ou dont les services sont exposés, peut être attaquée, quel que soit son secteur d'activité?
«Tout service proposé au public ou toute application web peut devenir la cible d'une attaque DDoS.»
Y a-t-il des secteurs et des entreprises que les pirates informatiques ciblent en particulier?
Si l’on en juge les statistiques, ce sont les sociétés du secteur des jeux et de la finance qui sont le plus souvent victimes d’attaques DDoS. C’est parce que les services que ces entreprises offrent doivent être hautement disponibles et que même une brève interruption peut causer des dommages importants.
Y a-t-il des cibles particulièrement lucratives pour les pirates de DDoS?
Lorsque c'est de l’argent que les pirates veulent et qu’ils demandent une rançon à leurs victimes, les sociétés de services constituent une cible intéressante, car elles sont contraintes d’assurer une disponibilité de tous les instants à bon nombre d’utilisateurs. C’est notamment le cas de banques, d'autorités publiques, d'hôpitaux ou d’opérateurs d'électricité, mais aussi de toute entreprise qui dispose d'un site web public et dont les services doivent être accessibles aux utilisateurs à tout moment. Les cybercriminels visent les cibles qui offrent le moins de résistance et le plus de gains.
Les attaques dites de R-DDoS (DDoS en combinaison avec des rançongiciels) constituent une autre nouvelle tendance. Cette pratique consiste à lancer des attaques DDoS dont l’effet est de crypter les données des entreprises prises pour cible. Pour presque toutes les entreprises, des données cryptées et une surcharge du système sont lourdes de conséquences.
Quelles sont les motifs autres que l'argent des attaques DDoS ?
Les motifs varient grandement d’un acteur à l’autre. Il existe des cas où une entreprise veut nuire à ses concurrents et embauche des pirates informatiques pour le faire. Ces pirates font alors en sorte qu’un service spécifique ne puisse plus être rendu.
Les entreprises recourent-elles à des moyens illégaux pour nuire à leurs concurrents?
Oui, par exemple, dans le commerce international, où il peut arriver que des personnes qui possèdent les connaissances nécessaires soient payées pour faire du tort aux entreprises.
Comment en avez-vous eu connaissance?
Nous observons très près la scène pirate. Sur les forums et les lieux de commerce illégaux que nous suivons, on peut voir le jeu de l’offre et de la demande des compétences et de toute la panoplie des services d'attaque DDoS et des logiciels malveillants.
Ces personnes n’évoluent-elles pas dans l’illégalité et se gardent bien d’être visible sur la Toile?
Oui, certes, mais elles doivent se faire un nom et une réputation afin de pouvoir offrir leurs services. Par conséquent, il est possible de les repérer et de les suivre. Nous pouvons ainsi identifier les dernières tendances et les logiciels malveillants en circulation, les vulnérabilités exploitées, etc. Nous surveillons les développements afin de pouvoir réagir le plus tôt possible et de manière spécifique. Bien entendu, nous collaborons également avec des éditeurs de logiciels de sécurité ou avec le Centre national pour la cybersécurité NCSC sur ce terrain.
Toutes les entreprises ne se verront sans doute pas confronter à une concurrence criminelle. Les opérateurs qui déploient leurs services web dans un contexte «inoffensif» ne sont-ils pas plus à l’abri d’attaques DDoS?
Nullement. La plupart des attaques ciblent une entreprise précise ou une plate-forme web spécifique. Bref, tous les sites web accessibles au public et les services vulnérables (par exemple les plates-formes de jeux), insuffisamment protégés et que les acteurs ciblent en fonction de leurs motivations, sont menacés. Comme je l’ai déjà mentionné, les pirates intéressés par l'argent ne sont pas difficiles, ils prennent pour cible toutes les victimes qu’ils trouvent.
«Seules les entreprises qui n'exploitent pas de services exposés au public, sont à l'abri des attaques DDoS.»
En espérant pouvoir obtenir une rançon suite à une attaque réussie?
Exactement. Mais les motivations peuvent aussi être d’autre nature. Par exemple, des clans opposés s'affrontent dans ce qu'on appelle des «guerres de territoire» où les pirates surenchérissent les uns sur les autres par des attaques de plus en plus grandes.
Quelles sont les autres motivations des pirates informatiques et comment les entreprises peuvent-elles se mettre à l'abri?
Il y a, par exemple, les hacktivistes, qui adoptent une approche plus ciblée et choisissent leurs victimes en fonction de l'idéologie qu'ils représentent. Il peut s'agir d'acteurs qui se positionnent politiquement, éthiquement ou idéologiquement d'une manière ou d'une autre. Ainsi, les organisations qui ne s'exposent pas par des contenus controversés ou politiques n'entrent pas dans la ligne de mire de ces pirates. Et puis il y a les pirates à motivation politique qui, au nom des gouvernements, essaient de paralyser des organisations ou des institutions publiques à l'aide d'attaques DDoS. D'autres, comme les Script Kiddies, veulent paralyser les systèmes juste pour le fun ou par challenge. Parfois, les attaques DDoS ne sont qu'une tactique de diversion. Par exemple, pour détourner l’attention du Computer Emergency Response Team, l'équipe d'intervention en cas d'incident, afin d’installer un logiciel malveillant ou voler des données par une autre voie.
Est-il possible de connaître, à partir des seules attaques, les auteurs et leurs motivations?
Certaines attaques sont géographiquement localisables. S’il s’agit toutefois d’un réseau Botnet implanté aux quatre coins de la planète, une telle localisation n’est pas possible. L’emploi de la télémétrie, qui n'est pour l’essentiel accessibles qu’aux éditeurs d’antivirus, permet, sous certaines circonstances, de circonscrire le périmètre des acteurs envisageables. Si, par exemple, les mêmes adresses IP sont utilisées dans une attaque DDoS et dans une tentative d'installation d’un maliciel, on peut en tirer des conclusions sur les acteurs et leur motivation. Cependant, notre mission n’est pas de déterminer les auteurs et les motivations des attaques. Nous utilisons ces informations pour protéger au mieux nos infrastructures et celles de nos clients.
La Swisscom Security Team analyse et neutralise quotidiennement des attaques DDoS (Distributed Denial of Service). Les collaborateurs assurent le bon fonctionnement des mécanismes de protection du DDoS Protection Service et les perfectionnent en permanence. Ils surveillent également de près la scène pirate afin de pouvoir réagir aux dernières menaces et tendances et protéger ainsi l'infrastructure informatique des clients et de Swisscom.
Newsletter
Vous souhaitez recevoir régulièrement des articles et Whitepapers passionnants sur des activités TIC actuelles?
En savoir plus sur ce thème