La première attaque DDoS remonte à 20 ans. C'est ce que nous avons appris depuis.

Mme Tech ; ordinateur : Wikimedia commons





Le 22 juillet 1999 est une date inquiétante dans l'histoire de l'informatique. Ce jour-là, un ordinateur de l'Université du Minnesota a soudainement été attaqué par un réseau de 114 autres ordinateurs infectés par un script malveillant appelé Trin00.

Ce code a amené les ordinateurs infectés à envoyer des paquets de données superflus à l'université, submergeant son ordinateur et l'empêchant de traiter les demandes légitimes. De cette façon, l'attaque a mis hors service l'ordinateur de l'université pendant deux jours.

Il s'agissait de la première attaque par déni de service distribué (DDoS) au monde. Mais il n'a pas fallu longtemps pour que la tactique se répande. Dans les mois qui ont suivi, de nombreux autres sites Web ont été victimes, notamment Yahoo, Amazon et CNN. Chacun était inondé de paquets de données qui l'empêchaient d'accepter du trafic légitime. Et dans chaque cas, les paquets de données malveillants provenaient d'un réseau d'ordinateurs infectés.



Depuis lors, les attaques DDoS sont devenues courantes. Les acteurs malveillants font également un commerce lucratif en extorquant de l'argent de protection aux sites Web qu'ils menacent d'attaquer. Ils vendent même leurs services sur le dark web. Une attaque DDoS 24 heures sur 24 contre une seule cible peut coûter aussi peu que 400 $.

Mais le coût pour la victime peut être énorme en termes de perte de revenus ou de réputation endommagée. Cela a créé à son tour un marché de la cyberdéfense qui protège contre ce type d'attaques. En 2018, ce marché pesait 2 milliards d'euros. Tout cela soulève la question importante de savoir si davantage peut être fait pour se défendre contre les attaques DDoS.

Aujourd'hui, 20 ans après la première attaque, Eric Osterweil de l'Université George Mason en Virginie et ses collègues explorent la nature des attaques DDoS, leur évolution et s'il existe des problèmes fondamentaux avec l'architecture réseau qui doivent être résolus pour la rendre plus sûre. Les réponses, disent-ils, sont loin d'être simples : le paysage des bots bon marché et compromettables n'a fait que devenir plus fertile pour les mécréants et plus dommageable pour les opérateurs de services Internet.



Tout d'abord un peu de contexte. Les attaques DDoS se déroulent généralement par étapes. Dans un premier temps, un intrus malveillant infecte un ordinateur avec un logiciel conçu pour se propager sur un réseau. Ce premier ordinateur est appelé maître, car il peut contrôler tous les ordinateurs suivants infectés. Les autres ordinateurs infectés effectuent l'attaque proprement dite et sont connus sous le nom de démons.

Les victimes courantes de cette première étape sont les réseaux informatiques universitaires ou collégiaux, car ils sont connectés à un large éventail d'autres appareils.

Une attaque DDoS commence lorsque l'ordinateur maître envoie une commande aux démons qui inclut l'adresse de la cible. Les démons commencent alors à envoyer un grand nombre de paquets de données à cette adresse. L'objectif est de submerger la cible de trafic pendant toute la durée de l'attaque. Les attaques les plus importantes envoient aujourd'hui des paquets de données malveillants à un débit de térabits par seconde.



Les attaquants font souvent des efforts considérables pour cacher leur emplacement et leur identité. Par exemple, les démons utilisent souvent une technique appelée usurpation d'adresse IP pour cacher leur adresse sur Internet. Les ordinateurs maîtres peuvent également être difficiles à tracer car ils n'ont besoin d'envoyer qu'une seule commande pour déclencher une attaque. Et un attaquant peut choisir d'utiliser des démons uniquement dans des pays difficiles d'accès, même s'ils peuvent eux-mêmes être situés ailleurs.

Se défendre contre ce type d'attaques est difficile car cela nécessite des actions concertées de la part de plusieurs opérateurs. La première ligne de défense consiste à empêcher la création du réseau démon en premier lieu. Cela nécessite que les administrateurs système mettent régulièrement à jour et corrigent les logiciels qu'ils utilisent et encouragent une bonne hygiène parmi les utilisateurs de leur réseau, par exemple en changeant régulièrement les mots de passe, en utilisant des pare-feu personnels, etc.

Les fournisseurs de services Internet peuvent également fournir une certaine défense. Leur rôle est de transmettre des paquets de données d'une partie d'un réseau à une autre, en fonction de l'adresse dans l'en-tête de chaque paquet de données. Cela se fait souvent avec peu ou pas de considération pour l'origine du paquet de données.



Mais cela pourrait changer. L'en-tête contient non seulement l'adresse cible mais également l'adresse source. Donc, en théorie, il est possible pour un FAI d'examiner l'adresse source et de bloquer les paquets contenant des sources manifestement usurpées.

Cependant, cela est coûteux en temps de calcul et en temps. Et comme les FAI ne sont pas nécessairement les cibles d'une attaque DDoS, ils sont peu incités à utiliser des procédures d'atténuation coûteuses.

Enfin, la cible elle-même peut prendre des mesures pour atténuer les effets d'une attaque. Une étape évidente consiste à filtrer les mauvais paquets de données à mesure qu'ils arrivent. Cela fonctionne s'ils sont faciles à repérer et si les ressources informatiques sont en place pour faire face au volume de trafic malveillant.

Mais ces ressources sont coûteuses et doivent être continuellement mises à jour avec les dernières menaces. Ils restent inutilisés la plupart du temps, n'entrant en action que lorsqu'une attaque se produit. Et même alors, ils peuvent ne pas faire face aux plus grosses attaques. Ce type d'atténuation est donc rare.

Une autre option consiste à sous-traiter le problème à un service basé sur le cloud qui est mieux équipé pour gérer ces menaces. Cela centralise les problèmes d'atténuation DDoS dans les centres de nettoyage, et beaucoup s'en sortent bien. Mais même ceux-ci peuvent avoir du mal à faire face aux attaques les plus importantes.

Tout cela soulève la question de savoir s'il est possible d'en faire plus. Comment notre infrastructure réseau peut-elle être améliorée pour répondre aux principes qui permettent le problème DDoS ? demandez à Osterweil et co. Et ils disent que le 20e anniversaire de la première attaque devrait offrir une bonne occasion d'étudier le problème plus en détail. Nous pensons que ce qu'il faut, ce sont des enquêtes sur les principes fondamentaux qui permettent et exacerbent les attaques DDoS, disent-ils.

Une observation importante à propos des attaques DDoS est que l'attaque et la défense sont asymétriques. Une attaque DDoS est généralement lancée à partir de nombreux démons partout dans le monde, et pourtant la défense se déroule en grande partie à un seul endroit : le nœud qui est attaqué.

Une question importante est de savoir si les réseaux pourraient ou devraient être modifiés pour inclure une sorte de défense distribuée contre ces attaques. Par exemple, une solution pourrait être de permettre aux FAI de filtrer plus facilement les paquets de données usurpés.

Une autre idée consiste à rendre les paquets de données traçables lorsqu'ils voyagent sur Internet. Chaque FAI pourrait marquer un échantillon de paquets de données - peut-être un sur 20 000 - au fur et à mesure qu'ils sont acheminés afin que leur parcours puisse être reconstitué ultérieurement. Cela permettrait à la victime et aux forces de l'ordre de suivre la source d'une attaque, même après sa fin.

Ces idées et d'autres ont le potentiel de faire d'Internet un endroit plus sûr. Mais ils nécessitent un accord et une volonté d'agir. Osterweil et co pensent que le moment est venu d'agir : Ceci est un appel à l'action : la communauté de la recherche est notre meilleur espoir et la mieux qualifiée pour répondre à cet appel.

Réf : arxiv.org/abs/1904.02739 : 20 ans de DDoS : un appel à l'action

cacher