Analyse des récentes attaques DDoS subies par des fournisseurs de services internet | par Mathieu Rigotto, Responsable Pôle Cyber sécurité d’IMS Networks

 

Les attaques informatiques se multiplient ces derniers temps, en particulier à l’encontre de sites de messagerie sécurisée. Elles prennent la forme d’attaques DDoS, visant à saturer les serveurs afin qu’ils ne puissent plus répondre aux requêtes des internautes. Derrière ces manœuvres se cachent souvent des réseaux de malfaiteurs qui agissent à des fins de rançonnage mais aussi à des fins d’espionnage industriel et/ou Etatique. 100Gbps : c’est le débit de l’attaque Web subie par ProtonMail, tandis que 4 millions de clients du fournisseur d’accès à internet britannique TalkTalk ont été affectés par une attaque DDoS (1). Décryptage de ces deux cas qui ne sont pas isolés.

Le 23 octobre dernier, le fournisseur d’accès à internet britannique TalkTalk a été victime d’une attaque DDoS significative et durable qui a abouti à un vol de données touchant potentiellement l’intégralité de ses 4 millions de clients. Et pas des moindres : cartes bancaires, noms, adresses, dates de naissance, numéros de téléphone, détails bancaires etc. ont été dérobés. La société a également fait l’objet d’une demande de rançon. Le coût de cette attaque est estimé à 49 millions d’euros.

La solution Protonmail met à disposition des utilisateurs un moyen d’échanger des courriers électroniques qui sont chiffrés avant d’être envoyés aux serveurs en Suisse. Le 6 novembre dernier, le fournisseur de services sécurisés a lui aussi fait l’objet d’une attaque DDoS de très grande ampleur et lourde de conséquences. Protonmail a été contraint de mettre ses services hors ligne temporairement, l’attaque a paralysé des centaines de compagnies ayant recours au même Datacenter que Protonmail et les pertes directes et indirectes liées à cette attaque n’ont pas encore été estimées.

Malgré le paiement de la rançon de 6000 $ dont elle faisait l’objet (2), l’attaque n’a pas cessé.

Ces deux récents exemples montrent que les attaques par déni de service distribué (Distributed Denial of Service ou DDoS) sont toujours d’actualité et n’ont rien perdu de leur attrait, notamment du fait de la relative simplicité de leur mise en œuvre, et de leur efficacité contre une cible non préparée.

Les deux sociétés dont l’activité dépend d’une infrastructure réseau connectée à Internet ont subi des pertes financières non négligeables par la mise hors ligne de leurs services, l’effondrement de l’action en bourse pour TalkTalk ou encore indirectement, par l’atteinte portée à leur image et la perte de confiance de leurs utilisateurs.

Dès lors, quelles sont les contremesures face à ces attaques DDoS ?

Pour mettre fin à une attaque, l’exemple de Protonmail prouve que payer la rançon exigée, n’a pas été la solution.

Différentes solutions de protection peuvent être mises en œuvre afin de lutter contre ce type d’attaque. Mais, toutes les solutions anti-DDoS se valent-elles ?

Protonmail a opté pour une solution de protection DDoS d’un éditeur anglo-saxon. Rappelons que la raison d’être de Protonmail est de proposer une solution de chiffrement permettant aux utilisateurs d’échapper aux services de renseignement de type NSA. Soit en quelque sorte l’équivalent de la solution qui a permis à Edward Snowden de révéler en toute sécurité la coopération existante entre les entreprises du secteur IT et les services de surveillance de la NSA et de ses alliés dont le GCHQ (agence de renseignement britannique).

Or, en adoptant une solution anti DDoS développée par un éditeur anglo-saxon et dont le centre de nettoyage est  hébergé en Angleterre, Protonmail expose potentiellement ses utilisateurs au risque de surveillance de la part des services de renseignement anglais et américain.

En effet, la solution de filtrage DDoS retenue renvoie les flux de données dans un centre de nettoyage positionné sur des serveurs localisés en Angleterre. Ces communications vers l’Angleterre peuvent faire l’objet d’écoute sur le système appelé « Black Hole » et géré par le GCHQ, dont les liens étroits avec la NSA ont été prouvés.

Pourtant ProtonMail a pour but d’échapper à cette grande conspiration d’espionnage étatique. Leur messagerie s’appuie sur une solution de chiffrement dont les serveurs basés en Suisse « échapperaient » à la législation américaineC’est là qu’est tout le paradoxe. Même si les flux sont chiffrés, les communications sont détournées pour passer par l’Angleterre et donc par le « Black-Hole » du GCHQ. Aujourd’hui nous ne savons pas si la NSA et le GCHQ ont la possibilité de déchiffrer ces flux mais le doute subsiste. C’est donc toute la raison d’être du service de ProtonMail qui est remise en cause. Nous ne pouvons que constater le manque de préparation du fournisseur face à une manœuvre mettant en péril la confiance de ses utilisateurs et l’inviter à repenser plus globalement son dispositif de protection contre les attaques DDoS.

Alors quelles solutions adopter ?

Pour se prémunir d’attaques DDoS et de leurs conséquences, il appartient d’être particulièrement vigilant sur le choix d’une solution de filtrage du trafic. Dans un souci de confiance et afin d’assurer l’intégrité et la confidentialité des données stratégiques des acteurs économiques et des données personnelles des utilisateurs, il est crucial de prendre en compte la problématique de l’itinéraire des flux de données et des risques d’exposition au cyber espionnage par des Etats étrangers.

Related Topics
Author
By
@coesteve1
Related Posts

Readers Comments


Add Your Comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

In The News

Analyse des récentes attaques DDoS subies par des fournisseurs de services internet | par Mathieu Rigotto, Responsable Pôle Cyber sécurité d’IMS Networks

24th novembre, 2015

 

Les attaques informatiques se multiplient ces derniers temps, en particulier à l’encontre de sites de messagerie sécurisée. Elles prennent la forme d’attaques DDoS, visant à saturer les serveurs afin qu’ils ne puissent plus répondre aux requêtes des internautes. Derrière ces manœuvres se cachent souvent des réseaux de malfaiteurs qui agissent à des fins de rançonnage mais aussi à des fins d’espionnage industriel et/ou Etatique. 100Gbps : c’est le débit de l’attaque Web subie par ProtonMail, tandis que 4 millions de clients du fournisseur d’accès à internet britannique TalkTalk ont été affectés par une attaque DDoS (1). Décryptage de ces deux cas qui ne sont pas isolés.

Le 23 octobre dernier, le fournisseur d’accès à internet britannique TalkTalk a été victime d’une attaque DDoS significative et durable qui a abouti à un vol de données touchant potentiellement l’intégralité de ses 4 millions de clients. Et pas des moindres : cartes bancaires, noms, adresses, dates de naissance, numéros de téléphone, détails bancaires etc. ont été dérobés. La société a également fait l’objet d’une demande de rançon. Le coût de cette attaque est estimé à 49 millions d’euros.

La solution Protonmail met à disposition des utilisateurs un moyen d’échanger des courriers électroniques qui sont chiffrés avant d’être envoyés aux serveurs en Suisse. Le 6 novembre dernier, le fournisseur de services sécurisés a lui aussi fait l’objet d’une attaque DDoS de très grande ampleur et lourde de conséquences. Protonmail a été contraint de mettre ses services hors ligne temporairement, l’attaque a paralysé des centaines de compagnies ayant recours au même Datacenter que Protonmail et les pertes directes et indirectes liées à cette attaque n’ont pas encore été estimées.

Malgré le paiement de la rançon de 6000 $ dont elle faisait l’objet (2), l’attaque n’a pas cessé.

Ces deux récents exemples montrent que les attaques par déni de service distribué (Distributed Denial of Service ou DDoS) sont toujours d’actualité et n’ont rien perdu de leur attrait, notamment du fait de la relative simplicité de leur mise en œuvre, et de leur efficacité contre une cible non préparée.

Les deux sociétés dont l’activité dépend d’une infrastructure réseau connectée à Internet ont subi des pertes financières non négligeables par la mise hors ligne de leurs services, l’effondrement de l’action en bourse pour TalkTalk ou encore indirectement, par l’atteinte portée à leur image et la perte de confiance de leurs utilisateurs.

Dès lors, quelles sont les contremesures face à ces attaques DDoS ?

Pour mettre fin à une attaque, l’exemple de Protonmail prouve que payer la rançon exigée, n’a pas été la solution.

Différentes solutions de protection peuvent être mises en œuvre afin de lutter contre ce type d’attaque. Mais, toutes les solutions anti-DDoS se valent-elles ?

Protonmail a opté pour une solution de protection DDoS d’un éditeur anglo-saxon. Rappelons que la raison d’être de Protonmail est de proposer une solution de chiffrement permettant aux utilisateurs d’échapper aux services de renseignement de type NSA. Soit en quelque sorte l’équivalent de la solution qui a permis à Edward Snowden de révéler en toute sécurité la coopération existante entre les entreprises du secteur IT et les services de surveillance de la NSA et de ses alliés dont le GCHQ (agence de renseignement britannique).

Or, en adoptant une solution anti DDoS développée par un éditeur anglo-saxon et dont le centre de nettoyage est  hébergé en Angleterre, Protonmail expose potentiellement ses utilisateurs au risque de surveillance de la part des services de renseignement anglais et américain.

En effet, la solution de filtrage DDoS retenue renvoie les flux de données dans un centre de nettoyage positionné sur des serveurs localisés en Angleterre. Ces communications vers l’Angleterre peuvent faire l’objet d’écoute sur le système appelé « Black Hole » et géré par le GCHQ, dont les liens étroits avec la NSA ont été prouvés.

Pourtant ProtonMail a pour but d’échapper à cette grande conspiration d’espionnage étatique. Leur messagerie s’appuie sur une solution de chiffrement dont les serveurs basés en Suisse « échapperaient » à la législation américaineC’est là qu’est tout le paradoxe. Même si les flux sont chiffrés, les communications sont détournées pour passer par l’Angleterre et donc par le « Black-Hole » du GCHQ. Aujourd’hui nous ne savons pas si la NSA et le GCHQ ont la possibilité de déchiffrer ces flux mais le doute subsiste. C’est donc toute la raison d’être du service de ProtonMail qui est remise en cause. Nous ne pouvons que constater le manque de préparation du fournisseur face à une manœuvre mettant en péril la confiance de ses utilisateurs et l’inviter à repenser plus globalement son dispositif de protection contre les attaques DDoS.

Alors quelles solutions adopter ?

Pour se prémunir d’attaques DDoS et de leurs conséquences, il appartient d’être particulièrement vigilant sur le choix d’une solution de filtrage du trafic. Dans un souci de confiance et afin d’assurer l’intégrité et la confidentialité des données stratégiques des acteurs économiques et des données personnelles des utilisateurs, il est crucial de prendre en compte la problématique de l’itinéraire des flux de données et des risques d’exposition au cyber espionnage par des Etats étrangers.

By
@coesteve1
backtotop