« Payez, sinon nous faisons tomber votre site Web », telle est la menace qui accompagne en général les cyberattaques destinées à extorquer une rançon. Ces dernières semaines, de grands noms tels Evernote et Feedly ont été victimes de tentatives d’extorsion.
De par leur notoriété ils ont fait ‘les gros titres’ de la presse économique mais ils ne sont que dans la partie émergée de l’iceberg’ que constitue cette activité criminelle très lucrative. S’il existe les formes les plus diverses de chantage numérique, les attaques par déni de service distribué (DDoS) viennent en tête des méthodes utilisées par les maîtres-chanteurs.
Selon l’étude d’Arbor Networks sur la sécurité des infrastructures IP mondiales (WISR, Worldwide Infrastructure Security Report) pour 2013, les tentatives d’extorsion de fonds représentent 15 % de l’ensemble des attaques DDoS. Si ce pourcentage peut sembler relativement faible, il faut tenir compte du fait que pas moins de 10 000 attaques DDoS se produisent chaque jour à travers le monde. Les attaques d’extorsion DDoS sont généralement volumétriques : elles bombardent le site Web ou le serveur de l’entreprise visée d’un nombre très important de requêtes générées par de nombreux logiciels ‘bot’ géographiquement dispersés. Leur objectif est de saturer les serveurs les liens internet ou les équipements de sécurité qui donnent accès au site visé. L’ampleur des attaques DDoS volumétriques ne cesse de croître d’année en année. Elles demeurent une menace sérieuse pour les entreprises et les fournisseurs d’accès Internet (FAI). Leur efficacité augmente à mesure que la bande passante disponible dans les réseaux augmente et devient de moins en moins chère. De fait, l’étude d’Arbor Networks montre que la taille moyenne des attaques DDoS a augmenté de 20 % en 2013 par rapport à 2012.
Traditionnellement, les attaques d’extorsion DDoS ciblaient des sites de paris en ligne, à l’occasion d’événements sportifs majeurs. Les groupes de cybercriminels lançaient des attaques qui paralysaient le site Web juste avant le début de l’événement, contraignant ainsi l’entreprise visée à choisir entre subir un préjudice financier considérable ou payer une rançon.
Au regard de leur efficacité elles ne sont plus cantonnées à cette cible. Les attaques DDoS sont de plus en plus, utilisées pour extorquer de l’argent à toutes sortes d’entreprises, aucune entreprise dont les activités dépendent de services internet ne doit se sentir à l’abri. Toute entreprise présente sur Internet, quels que soient son type et sa taille, peut devenir une cible, en raison de ce qu’elle est ou de ce qu’elle vend ou encore de ses partenariats. Les entreprises qui ne disposent pas des ressources nécessaires pour faire face aux attaques DDoS volumétriques ou applicatives sont donc particulièrement vulnérables.
Une fois que les criminels ont choisi une cible, l’attaque suit généralement l’un des deux scénarios suivants. Soit les assaillants font la démonstration de leur puissance de frappe en menant contre l’entreprise visée une attaque DDoS « échantillon » de courte durée, suivie de la menace d’autres attaques en cas de non-paiement de la rançon, soit ils passent directement à la demande de rançon sans même prendre la peine de faire étalage de leur force. L’entreprise ciblée n’a alors d’autre choix que de payer ou de se préparer à de nouveaux assauts.
La réponse appropriée à ces tentatives d’extorsion ? Elle est simple et invariablement la même : ne pas céder
Les entreprises ne doivent en aucun cas accepter de payer la rançon, sous peine de créer un dangereux précédent et d’encourager d’autres attaques à l’avenir. En effet, quand bien même elles auraient l’illusion de se débarrasser du problème à court terme, les résultats à long terme n’en valent généralement pas la peine. La résistance au chantage a, bien entendu, des conséquences à court terme, comme nous l’a montré le récent exemple du site Feedly, lequel a subi trois vagues distinctes d’attaques DDoS. Cependant, le site s’en est aujourd’hui remis et fonctionne à nouveau normalement. Des protections efficaces sont en place. En outre, leur décision courageuse a été saluée par les acteurs de la sécurité ainsi que par leurs propres clients.
Plutôt que d’avoir à gérer les conséquences d’une tentative d’extorsion, les entreprises dont l’activité dépend d’Internet doivent investir dans des mesures de prévention adéquates. Nombre d’entreprises s’en remettent encore trop souvent à des mesures réactives telles que des filtres de routeur et des pare-feu, qui sont des dispositifs trop peu efficaces et pas assez élaborés pour les protéger contre le cybercrime organisé.
Il serait plus judicieux pour elles d’investir dans des solutions de neutralisation préventive à plusieurs niveaux, intégrant une protection sur site et dans le cloud, et d’impliquer leur FAI ou leur hébergeur le plus en amont possible. En outre, il est crucial de mettre en place une stratégie de gestion de crise dans l'hypothèse du pire. Seulement 17 % des entreprises à travers le monde se sentent pleinement préparées à affronter un incident de sécurité [1]. Il est urgent d’agir !
Face aux extorsions basées sur des attaques par DDoS les entreprises doivent mettre en place des systèmes de défense multi-niveaux s’appuyant sur des technologies coordonnées déployées chez les FAI et localement sur les sites sensibles et mettre en place les processus de gestion de crise qui devront être testés régulièrement. Les entreprises visées pourront ainsi sereinement refuser de céder au chantage. Il est également crucial de déposer des plaintes auprès des autorités compétentes.
Eric Michonnet
Source