Club des Directeurs de Sécurité & de Sûreté Des Entreprises

precédent Les APT Dans leur livre "Mythes et légendes des TIC", Gérard (...) La cyber-résilience : une approche nécessaire et pragmatique de la sécurité informatique Les cyberattaques actuelles (plus nombreuses, plus (...)

Cyber-attaque à l’encontre d’une entreprise

Publié le 28 février 2013

Du 20 au 25 novembre une cyber-attaque a été menée à l’encontre d’une entreprise

Le 20 novembre à 6h50 du matin l’alerte est donnée. Les sites web institutionnels et le serveur de messagerie hébergés par le fournisseur de services informatique l sont touchés par un DDoS(*).
L’attaque provient d’un botnet(*) constitué de milliers d’ordinateurs principalement situés en Russie et en Europe de l’Est et provoque un déni de service. L’intention et la motivation des attaquants ne sont pas claires. Il peut s’agir d’une démonstration d’attaque étatique ou d’un chantage.

La première mesure a été de couper les services, puis des contre-mesures ont été prises telles que changer les adresses IP(*) des serveurs et de modifier les registres DNS(*) pour dévier les attaques vers des adresses IP inutilisées, mais les attaquants s’adaptaient rapidement et rendaient ces actions inefficaces dans le temps.
La stratégie qui a fonctionné a été de mettre en place un bouclier anti-DDoS qui est un service fourni par le CDN(*) Akamai.
Depuis le 25 novembre les services ont été réactivés et le DDoS n’arrive plus à mettre à mal les services de cette entreprise.
5 jours ont été nécessaires pour retrouver un service normal.

Glossaire :

DDoS  : Le "Distributed denial-of-service" ou déni de service distribué est un type d’attaque visant à submerger de trafic inutile des serveurs. Pour faire une analogie, c’est comme si de nombreuses personnes appelaient en boucle sur un numéro de téléphone pour que le propriétaire ne puisse plus décrocher aux appels importants. C’est une attaque très difficile à contrer car les appels proviennent de partout et il n’est pas possible de bloquer les attaquants un par un.

Botnet : Il s’agit d’un ensemble de milliers d’ordinateurs qui ont été infectés par des chevaux de Troie et dont les pirates peuvent se servir pour envoyer du spam ou faire des DDoS.

Adresse IP : A l’instar d’une adresse postale qui permet de communiquer avec une personne, il s’agit de l’identifiant numérique qui permet de contacter un serveur sur un réseau informatique.

CDN : Un « Content Delivery Network » est constitué de serveurs reliés en réseau à travers Internet et qui coopèrent afin de mettre à disposition du contenu ou des données (généralement du contenu multimédia volumineux) à des utilisateurs. Cela a pour but initial d’améliorer les performances et la réactivité pour les utilisateurs. Par ailleurs la grande quantité de bande passante et de ressources permet de pallier aux attaques de type DDoS qui visent justement à consommer toutes les ressources d’un serveur.

DNS : Il s’agit d’un annuaire répertoriant les noms de domaines tels que « xxxxx.com » pour y associer une adresse IP. Il est alors possible de contacter un serveur avec un nom intelligence plutôt qu’une suite de chiffre.

Bernard OUILLON