Ces derniers mois, trois types de cyber-affaires ont été très relayées par les média : le piratage de Sony, la vague d’attaques après les attentats de janvier 2015 en France et très récemment, l’interruption de la diffusion de la chaîne de télévision TV5 Monde durant près de 20 heures, avec des effets collatéraux difficilement chiffrables. Bien que techniquement différentes, ces attaques ont révélé des intrusions, dans le cas Sony et de TV5 Monde, dont l’objectif était d’exfiltrer des informations. Dernière en date, l’attaque du groupe TV5 Monde, vraisemblablement coordonnée et très bien exécutée, a été revendiquée par une organisation terroriste. D’abord silencieuse et furtive, cette attaque en plusieurs phases a développé un potentiel de nuisance important.
Les cyberattaques évoluent
La cyberattaque contre TV5 Monde n’a certainement pas eu la « puissance inouïe » annoncée mais se révèle cependant inquiétante quand on entend la direction expliquer que la chaîne disposait de « dispositifs anti-intrusions performants » c’est-à-dire de firewalls. Les cyberattaques ont aujourd’hui atteint un tel niveau de complexité que la technologie des firewalls reste impuissante. Les pare-feu ont été conçus pour – et ils le font encore très bien – protéger les réseaux de certaines menaces comme notamment le contrôle des accès des utilisateurs. Mais, il existe des trous de sécurité béants dès lors qu’il s’agit de DDoS et d’attaques malveillantes visant les serveurs. Pour remédier à la vague grandissante de cyber-offensives par déni de service, seule une nouvelle approche de la défense – fonctionnant de concert avec les pare-feu existants – permet d’accroître la sécurité du réseau. Cette solution est simple. Il suffit de disposer, en complément du pare-feu, une unité de défense dédiée, éliminant les attaques qui dégradent ou désactivent les matériels de sécurité en place et l’infrastructure IT entière, avant qu’elles ne parviennent jusqu’au réseau de l’entreprise. Une telle ligne de défense éradique les DDoS et les attaques ciblées malveillantes par le filtrage du trafic. Le trafic de l’attaque est supprimé sans que le trafic légitime soit ralenti ou bloqué. L’ensemble de l’infrastructure IT fonctionne alors plus efficacement, optimisant les performances des unités de sécurité, des applications et des serveurs réseau et assurant la continuité des activités.
Interrogée sur des signes avant-coureurs de l’attaque, la direction de TV5 Monde reconnaît avoir subi une légère attaque, facilement repoussée, 15 jours auparavant. Cette piste doit être sérieusement examinée. Bien que peu d’informations aient été publiées sur le déroulement de l’attaque et que le DDoS n’ait pas été annoncé comme l’instrument de cette cyber-bataille, il faut cependant rappeler que ce vecteur d’attaque est souvent utilisé pour détourner l’attention d’autres menaces plus graves et plus dommageables. Les attaques DDoS multi-vectorielles et inductives sont des outils de plus en plus couramment utilisés pour profiler la sécurité et les points de défense du réseau de la victime. Par la suite, les pirates lancent une deuxième, voire une série d’attaques, dont le but est l’exfiltration de données, à la lumière des informations recueillies lors de la première attaque. L’attaque contre TV5Monde, très médiatisée, est un des nombreux exemples confirmant cette nouvelle tendance.
Le DDoS (distributed denial of service attack) était à l’origine le terme consacré pour désigner une attaque qui déniait l’accès aux sites web ou aux solutions basées sur le web. Bien que ce soit encore le cas en certaines circonstances, les organisations sont désormais visées par un nouveau type de trafic d’attaque par DDoS. Dans sa récente analyse trimestrielle des tendances, établie à partir des données provenant de ses clients du monde entier – hébergeurs, data centers, FAI et entreprises en ligne – le Security Operations Center de Corero Network Security a observé une évolution des attaques par DDoS. La nouvelle tendance ? Ce sont des attaques par saturation partielle des liaisons avec de courtes explosions du trafic au lieu d’une inondation complète du réseau qui se transforme en épisode qui se prolonge, comme le terme déni de service l’évoquait historiquement.
Les agresseurs démultiplient les attaques multi-vectorielles. Ils les adaptent à leur cible, profilant la stratégie de sécurité du réseau de leur victime. Ils lancent ensuite de nouvelles attaques qui contournent les outils de cyber-sécurité de l’organisation. Les malwares installés pourront alors agir, en toute discrétion.
Quelques recommandations simples
Il est nécessaire de rappeler certaines mesures à prendre (ligne de défense en profondeur, surveillance des comptes à privilèges, audits réguliers…), afin de substantiellement réduire la surface d’attaque du Système d’Information. L’éventualité d’une crise doit demeurer présente à l’esprit de tous les responsables. En ce sens, les événements marquants de TV5 Monde pourraient se révéler positifs, en sensibilisant les directions d’entreprises qui n’avaient peut-être pas encore toutes pris la pleine mesure des risques et des solutions à mettre en œuvre.
On est en droit de se demander pourquoi TV5 Monde et les autorités nationales paraissent surprises des récents événements. Annoncée depuis plusieurs années, la cyberguerre s’intensifie et ces agressions étaient malheureusement prévisibles ! En dépit de la mise en garde des Rapports Lasbordes de 2006, Romani de 2008 et Bockel de 2012 sur la cyberdéfense, toutes les dispositions n’ont pas été prises ou étaient parfois inadaptées lorsqu’elles ont été mises en place. Les attaques par déni de service ont été la menace principale pour la bonne gestion des applications web dans la dernière décennie. Aujourd’hui, ces attaques, plus sophistiquées et multi-vectorielles, débordent les mécanismes traditionnels de défense ou les contre-mesures réactives. Leur régularité et leur efficacité souligne le besoin d’une protection adaptée pour vaincre les attaques DDoS à la périphérie du réseau et assurer l’accessibilité nécessaire à l’entreprise connectée à Internet ou aux fournisseurs d’accès Internet eux-mêmes. Pour dire les choses simplement, les attaques évoluent et la défense doit suivre.
Cette attaque récente contre le système d’information – les réseaux sociaux, la page Facebook, le compte Twitter et la chaîne de télévision – de TV5 Monde souligne encore une fois, quelle que soit la motivation – cyber-terrorisme, représailles, incitation à la haine raciale ou religieuse, radicalisation – que les conflits modernes se livrent autant dans le cybermonde que le monde réel. Nous sommes dans un monde numérique, avec les risques associés à la technologie. Il n’y a pas eu de conséquences catastrophiques pour la France, mais l’attaque terroriste contre TV5 Monde a réussi. Tout laisse à penser que d’autres actions du même type auront lieu. Si certaines visent des secteurs d’activité d’importance vitale comme la santé, la gestion de l’eau ou l’alimentation, quelles seront alors les conséquences de tels actes de cyberguerre ?
A propos de l’auteur
Adrian Bisaz est Vice President Sales EMEA de Corero Network Security. Il travaille depuis plus que 25 ans avec des sociétés de technologies innovantes dans les domaines des opérateurs de télécommunications, des réseaux d’entreprise, de la sécurité et des solutions de mobilité. Basé en Suisse, Adrian Bisaz couvre les territoires francophone et germanophone en Europe pour Corero Network Security. Il peut être contacté par e-mail sur adrian.bisaz@corero.com.