Si l’objectif final est identique, à savoir la perturbation de la présence d’une entreprise ou d’un organisme sur Internet, les attaques DDoS sont motivées par des raisons diverses.

Une interruption des services en ligne entraîne de graves conséquences sur le métier et le business d’une entreprise. Tel est l’objectif des attaques par Dénis de Service et a fortiori des attaques par Dénis de Service Distribués (DDoS) lorsque plusieurs machines sont impliquées.

Les machines à l’origine des attaques DDoS font le plus souvent partie de réseaux botnets. Ces derniers sont composés de machines infectées au préalable par un malware et sont ainsi contrôlables à distance depuis le serveur de commande et de contrôle (C&C). A titre d’exemple le botnet « Mariposa » démantelé en 2010 comptait plus de 15,5 millions de machines infectées.

Pour utiliser ces botnets, un pirate n’a pas besoin d’avoir infecté en amont des milliers ou des millions de machines. En effet, Internet a permis l’émergence « d’agences de locations de botnets » qui peuvent ainsi être acquis pour une somme allant de 5 à 200 dollars par heure selon la taille et la durée de l’attaque souhaitée.

Même si l’objectif final est identique, à savoir la perturbation de la présence d’une entreprise ou d’un organisme sur Internet, les attaques DDoS sont motivées par des raisons diverses :

·    L’appât du gain résultant de malveillances entre concurrents ou encore d’extorsions. Ces dernières font généralement suite à une attaque préliminaire visant à intimider la cible.
·    Les « hacktivistes » qui désirent manifester leur désaccord suite à une décision politique ou économique. Les cas les plus célèbres font état des actions des « Anonymous » auprès d’organismes tels que le FBI, l’Elysée, l’Express ou encore Paypal et Sony.
·    Faire diversion et cacher le véritable objectif du pirate qui vise à extraire des informations sensibles à l’aide d’une attaque ciblée, dite APT (Advanced Persistent Threat). L’équipe informatique interne étant en alerte à cause de la saturation des ressources (site Web, lien Internet…), la fuite de donnée peut être effectuée de manière furtive.

La protection DDoS, un marché de 275 millions de dollars seulement

Concrètement une attaque DDoS vise à rendre indisponible un ou plusieurs services ou à perturber son fonctionnement nominal. Pour cela, elle utilisera une combinaison des attaques suivantes :

1.    Attaques volumétriques (ou flood) qui visent à saturer la cible de sorte qu’elle ne puisse plus traiter de flux légitimes ;
2.    Attaques appelées « low and slow » consistant à envoyer du trafic en apparence légitime avec un faible débit afin d’être le plus invisible possible, mais dont l’impact est similaire aux attaques volumétriques ;
3.    Attaques applicatives basées sur l’exploitation de vulnérabilités de la cible.

La comparaison du chiffre d’affaires généré par le marché de la protection DDoS et celui du firewall (275 millions contre 7 milliards de dollars en 2012) nous confirme que la mise en place de protection DDoS ne s’est pas démocratisée de la même manière.

Toutefois celui-ci est en pleine expansion avec une augmentation de 30 % par rapport à 2011 et la dernière étude du cabinet d’étude Infonetics Research prévoit un chiffre d’affaires de 530 millions de dollars d’ici 2017.

Depuis un changement de stratégie en 2012 des éditeurs de protection DDoS qui a consisté à cibler davantage les entreprises, la répartition des revenus montre un équilibre entre ce secteur et celui des opérateurs.

 

 

 

Arnold Tissier, manager intégration chez Nomios

Arnold Tissier, manager intégration chez Nomios