Jeux olympiques de Rio : Médaille d’or avec des attaques DDoS soutenues de 540 Gbit/s !

1
144

Lors de l’organisation d’un événement médiatisé aussi important que les Jeux olympiques, il existe toujours des risques que tout ne se passe pas comme prévu. Les cyberattaques se sont rapidement jointes à la fête.

Article réalisé par Roland Dobbins, ingénieur en chef, et Kleber Carriello, ingénieur-conseil senior de l’équipe ASERT – C’est propre à la nature humaine, nous avons tendance à tout simplement considérer comme normal le bon déroulement des événements et à n’insister que sur les challenges posés par leur organisation. Nombre d’articles et de commentaires ont abordé les défis rencontrés par les organisateurs, les sponsors et les participants des Jeux olympiques de Rio 2016. Après réflexion, nous pourrions probablement identifier des milliers de risques et de difficultés éventuels associés à tout événement de cette complexité.

jo-rio-ddos-record

Une réussite qui va de soi

Nous percevons aujourd’hui les applications et services Web plus ou moins de la même façon. Lorsqu’ils fonctionnent bien, nous ne remarquons même pas à quel point il est incroyable de pouvoir visionner instantanément une vidéo des épreuves olympiques en direct, en accédant simultanément aux résultats et aux commentaires des spécialistes, où que nous nous trouvions dans le monde, ou presque, à partir de notre ordinateur, de notre smartphone ou de notre tablette. Mais si nous ne parvenons pas à accéder immédiatement, pour une raison quelconque, aux contenus et aux informations les plus récents et les plus intéressants (et à les partager et à en discuter en ligne avec nos amis), notre frustration est intense et nous sommes extrêmement mécontents. La disponibilité constante, sans interruption, des informations, des applications, des données et des contenus en ligne est aujourd’hui indispensable à tout événement sportif, quelle que soit sa taille, mais néanmoins proportionnelle à son ampleur. Ce constat est manifestement vrai pour les Jeux olympiques.

Oui, pendant les Jeux olympiques de Rio, des défis importants qui semblaient parfois quasiment insurmontables ont émergé, et ont été largement relevés. De nombreux problèmes, dont certains étaient factuels, d’autres moins, ont été identifiés, débattus et disséqués en long et en large.

Avant même le début de la cérémonie d’ouverture, les sites Web en contact avec le grand public et les organismes affiliés aux Jeux olympiques ont été ciblés par des attaques DDoS soutenues, sophistiquées et de grande ampleur allant jusqu’à 540 Gbit/s. Tandis que nombre de ces attaques ont été menées sur plusieurs mois avant le début des Jeux, les attaquants ont considérablement intensifié leurs efforts pendant les Jeux olympiques, en lançant la campagne d’attaques DDoS soutenues de plus de 500 Gbit/s la plus longue jamais observée.

Et personne ne l’a remarqué !

Préserver la disponibilité à grande échelle, même sous le feu d’une attaque sophistiquée et déterminée est le pilier de la défense DDoS. À l’instar de la liste interminable des services sur lesquels nous comptons tous les jours comme l’électricité, l’eau potable, les transports et les services d’urgence, le meilleur indicateur de réussite dans lutte contre le DDoS est le suivant : le grand public doit pouvoir vaquer à ses occupations et suivre l’actualité sans jamais avoir connaissance ou devoir se préoccuper des luttes virtuelles titanesques qui se déroulent en coulisses.

Quel que soit l’indicateur étudié, les Jeux olympiques ont placé la barre très haut en matière de neutralisation rapide, efficace et professionnelle des attaques DDoS sous les regards les plus attentifs jamais portés à ce jour sur un événement international de premier plan. Avons- nous précisé que certaines attaques ont atteint une taille de 540 Gbit/s ?

Une campagne d’attaques continue et étendue

arbord-rio-ddos-attaque

Une vue en profondeur des événements intervenus sur les réseaux au cours des derniers mois montre que plusieurs organismes affiliés aux Jeux olympiques ont subi des attaques DDoS volumétriques de grande ampleur, allant de dizaines de gigabits par seconde à des centaines de gigabits par seconde. Une large proportion d’entre elles s’est appuyée sur des vecteurs d’attaque par réflexion/amplification UDP tels que DNS, chargen, ntp et SSDP, et sur des attaques UDP Flood directes, SYN Flood et au niveau de la couche applicative ciblant des services Web et DNS. Le botnet IoT utilisé dans la plupart de ces attaques ayant précédé les JO a été analysé en détail dans un récent article de blog publié par notre collègue de l’équipe ASERT d’Arbor, Matt Bing. Ce même botnet, et quelques autres, ont également servi à générer les attaques DDoS de très grand volume dirigées à l’encontre d’une longue liste de cibles tout au long des Jeux olympiques 2016 (mais n’ayant pas eu beaucoup d’impact, grâce aux efforts des équipes de défense !).

Dimension caractéristique de la sécurité de l’information en général, et de la défense DDoS en particulier : les nouvelles techniques d’attaque lancées par des attaquants chevronnés et utilisées de manière sporadique pendant de nombreuses années (et parfois des décennies) sont ensuite converties en armes de guerre et diffusées à plus grande échelle pour être mises à disposition d’attaquants novices via l’automatisation. Nous avons identifié plusieurs types d’attaques par réflexion/amplification de grand volume/de grande portée depuis la fin des années 1990. Trois ans et demi plus tard, ces dernières se sont largement imposées en raison de leur introduction à l’arsenal de services de botnets DDoS à louer et de services appelés « booter/stresser ». Ce contexte donne naissance à un environnement de menaces extrêmement asymétrique qui favorise jusqu’aux attaquants les moins expérimentés, car ces « armes de perturbation massive » Web sont désormais accessibles par le grand public via quelques clics et une petite quantité de bitcoins. Nous avons vu ce schéma se répéter encore et encore, avec des groupes disparates de cybercriminels totalement coupés les uns des autres qui remettent au goût du jour, chacun de leur côté, un nombre de mécanismes d’attaque plus sophistiqués et les transforment en armes de guerre dotées d’interfaces agréables, voire d’une assistance « client » en ligne disponible 24 h/24, 7 j/7 !

Réapparition d’anciennes techniques

Pour un nombre relativement restreint de personnes qui sont animées par le besoin de réfléchir au véritable fonctionnement d’Internet, les seuls protocoles qui tendent à rester dans les esprits sont les protocoles TCP, UDP et ICMP. Ces protocoles représentant de loin la plus grande part du trafic sur Internet, peu voire pas d’attention n’est accordée aux autres protocoles IP.

Il existe en réalité 256 protocoles Internet, numérotés de 0 à 255. TCP est le protocole 6, UDP, le protocole 17 et ICMP, le protocole 1. En IPv4, seuls 254 de ces protocoles devraient pouvoir être observés. Le protocole 0 est réservé en IPv4 (mais pas en IPv6 !) et ne devrait jamais être utilisé, même si les routeurs et les commutateurs de couche 3 le transportent sans problèmes. Le protocole 255 est également réservé : la plupart des routeurs et des commutateurs ne s’en serviront pas. Dans la liste des protocoles IP les moins connus figure le protocole 47 : GRE (Generic Routing Encapsulation) utilisé pour les tunnels de type VPN adhoc et non cryptés.

À partir de la fin de l’année 2000, nous avons commencé à voir des attaquants plus expérimentés utiliser occasionnellement ces protocoles moins connus dans le cadre de leurs attaques DDoS, très probablement pour tenter de contourner les listes de contrôle d’accès des routeurs, les règles des Firewalls et d’autres moyens de défense anti-DDoS configurés par des opérateurs qui tenaient alors uniquement compte des protocoles TCP, UDP et ICMP. Dans de nombreux cas, ces attaques se sont tout d’abord révélées efficaces, jusqu’à ce que les équipes de défense se rendent finalement compte de la situation, généralement grâce à des analyses de la télémétrie NetFlow basées sur des systèmes de collecte/d’analyse et de détection des anomalies tels qu’Arbor SP.

gre-ddos

Nous avons aujourd’hui assisté à la remise au goût du jour, à la transformation en armes de guerre et à l’utilisation de ces mêmes techniques d’attaque lors des JO de Rio. Un volume significatif de trafic DDoS GRE a, en particulier, été généré par les attaquants. Cette « nouvelle » technique d’attaque fait désormais partie du botnet IoT mentionné précédemment. De la même façon que les cybercriminels mettent à jour tous ces « nouveaux » types d’attaques DDoS, d’autres services de botnet à louer ou de services « ‘booter/stresser » devraient ajouter le protocole GRE à leur liste très prochainement.

Nous avons également détecté des envois massifs simples de paquets à grande échelle via le protocole UDP/179. Comme la plupart (mais pas l’intégralité) des attaques par réflexion/amplification UDP tendent à cibler les protocoles UDP/80 ou UDP/443 pour semer la confusion parmi les équipes de défense qui pourraient remarquer que les attaquants utilisent UDP plutôt que TCP (TCP/80 étant généralement utilisé pour les serveurs Web non cryptés et TCP/443 pour les serveurs Web cryptés sous SSL/TLS), nous pensons que les attaquants tentaient de dissimuler une attaque sur le protocole de routage BGP utilisé pour la mise en relation des réseaux connectés à Internet. BGP s’exécute via le protocole TCP/179. Ironie du sort : l’une des quelques meilleures pratiques actuelles mises en œuvre aujourd’hui sur un pourcentage significatif (pas 100 % !) de réseaux connectés à Internet consiste à utiliser les listes de contrôle d’accès d’infrastructure (iLCA) pour empêcher le trafic réseau indésirable d’interférer avec les sessions d’échange BGP.

Médaille d’or de la défense DDoS : un travail d’équipe, en particulier lors des Jeux olympiques

Les équipes de défense des systèmes Web des Jeux olympiques de Rio savaient que la tâche serait rude et qu’ils devaient se préparer. Un travail considérable a eu lieu avant le début des Jeux : identification de tous les types de serveurs, services, applications, politiques d’accès réseau, affinement des indicateurs de détection des anomalies dans Arbor SP, sélection et configuration des contre-mesures DDoS contextualisées dans Arbor TMS, coordination avec l’équipe Arbor Cloud pour l’ajout de couches aux services de neutralisation DDoS « cloud », création d’équipes virtuelles incluant le personnel opérationnel compétent des organismes gérés, vérification de la mise en œuvre correcte de l’infrastructure réseau et des meilleures pratiques actuelles en matière de DNS, définition des canaux de communication et des procédures opérationnelles, etc.

C’est pourquoi les Jeux olympiques DDoS 2016 ont été un succès incommensurable pour les équipes de défense ! La plupart des attaques DDoS atteignent leur cible uniquement en raison du manque de préparation des équipes de défense, ce qui n’a résolument pas été le cas à Rio. L’impressionnante victoire de l’équipe étendue de défense DDoS formée pour les Jeux olympiques de Rio 2016 démontre que le maintien de la disponibilité lors d’attaques DDoS persistantes, sophistiquées et de grande ampleur est bien à portée des organismes qui se préparent au préalable à défendre leur patrimoine en ligne, même dans le cadre d’un événement international et sous les regards de milliards de personnes à travers le monde. Équipes de défense chevronnées, solutions de défense DDoS de pointe et travail d’équipe inter-organisationnel dédié sont bien, encore et toujours, les clés d’une défense DDoS efficace, un constat qui n’a jamais été aussi évident qu’à l’occasion des Jeux olympiques de Rio 2016.

Les commentaires sont fermés.