CHAPITRE 4 : ÉTUDE DE CAS ATTAQUE DDOS SUR DES APPLICATIONS WEB 1
ATTAQUE DDOS SUR DES APPLICATIONS WEB ENSEIGNEMENTS DE L ÉTUDE DE CAS Mieux vaut mettre en place un dispositif de protection anti-dos/ddos avant d être attaqué. CONTEXTE Client des services de sécurité managée du Groupe NTT, XYZ Corp (dénomination fictive pour préserver l anonymat du client) a récemment subi une attaque par déni de service distribué (DDoS, Distributed Denialof-Service). Selon un schéma encore assez peu répandu, cette attaque DDoS a visé une application Web à un débit inférieur à un mégabit par seconde. En ce sens, elle différait nettement de la plupart des attaques DDoS de grande ampleur que NTT traite au quotidien sur la dorsale mondiale fournie à ses clients. 2
CHRONOLOGIE DES ÉVÉNEMENTS CHRONOLOGIE DES ÉVÉNEMENTS DATE ÉVÉNEMENT 1 ER JOUR Détection d une éventuelle attaque DDoS sur une application Incident transmis au client du Groupe NTT L équipe ne constate aucun problème opérationnel provoquant des ralentissements symptomatiques d une attaque Le client demande au fournisseur d accès Internet (FAI) de lui fournir des fichiers journaux Une analyse détaillée révèle qu un pirate exploite une fonction WordPress comme vecteur de son attaque Des mesures de neutralisation sont établies, puis une nouvelle signature est créée, testée et déployée dans la foulée Le client repousse toute l attaque Les détails du trafic incriminé sont transmis au fournisseur de la solution anti-dos Durée totale de l incident : 5,5 heures Délai après réception des journaux du FAI : 1,5 heure 7 E JOUR Le fournisseur de solution anti-dos déploie sa nouvelle signature officielle DESCRIPTION DE L ÉVÉNEMENT Au printemps 2014, les analystes d un centre opérationnel de sécurité (SOC, Security Operations Center) du Groupe NTT détectent des anomalies dans les réponses de plusieurs systèmes d un même client. Pour eux, l événement présente tous les signes d une attaque DDoS. Le Groupe NTT engage alors une analyse plus approfondie, en collaboration avec XYZ Corp, son prestataire de services informatiques et son FAI. L équipe détermine rapidement qu aucune 3
opération de maintenance ni dysfonctionnement d équipement réseau ne sont en cause dans la latence constatée dans l exécution des applications. L équipe du SOC de NTT demande alors à consulter les journaux se rapportant à l incident. Un examen plus poussé révèle que les attaquants exploitent une fonctionnalité légitime de WordPress, dénommée Pingback 7, comme vecteur de l attaque DDoS. À partir de ce constat, les analystes en sécurité de NTT développent une signature, qu ils testent et déploient ensuite pour prévenir de nouvelles attaques. Une fois le problème résolu, le fournisseur de solutions anti-dos est informé de l incident et des moyens mis en œuvre par le Groupe NTT pour le neutraliser. Ce fournisseur crée et déploie alors une signature officielle qu il met à la disposition de tous ses autres clients. CAUSE RACINE Cette attaque avait pour objectif de consommer toutes les ressources de l application Web ciblée. Or, sa faible ampleur n a aucunement perturbé l accès réseau au site Web. C est précisément cette discrétion, typique des attaques visant les applications, qui les rend difficiles à distinguer du trafic Web légitime. De même, leur faible consommation de bande passante ne perturbe en rien les applications partageant le même accès Internet. Mais en exploitant cette fonctionnalité de WordPress, les attaquants pouvaient détourner des serveurs tiers de bonne réputation pour créer des requêtes HTTP considérées, à tort, comme légitimes et les envoyer aux serveurs Web de la victime. Dans le cas présent, le site Web ciblé n était pas sous WordPress. 7 https://en.support.wordpress.com/comments/pingbacks/ 4
La commande Pingback est activée par défaut sur WordPress pour établir des références croisées entre les blogs. L attaquant peut falsifier l URL de destination de manière à ce que le site WordPress contacte le site visé par l attaque pour vérifier que le Pingback en provient réellement. L attaque par Pingback repose donc sur des requêtes HTTP légitimes, mais contenant une valeur arbitraire qui change à chaque fois. Cette valeur est un élément clé de l attaque, dans la mesure où elle contraint le site Web à recharger la page à chaque demande entrante. Cette méthode contourne donc tous les dispositifs de mise en mémoire tampon ou en cache destinées à limiter la charge sur le serveur Web. Comme ces rechargements sollicitent très fortement l application, ils peuvent conduire à une situation de déni de service (DoS) du site Web visé, d autant plus vraisemblable que la page Web demandée contient de nombreux contenus et des fichiers multimédias volumineux. Dans ce cas particulier d attaque WordPress, des sites WordPress légitimes sont détournés pour frapper des victimes innocentes. Dans certains cas observés sur le terrain, plus de 160 000 sites WordPress ont été utilisés pour envoyer des demandes Pingback à une même victime. Quelques mois plus tard, des cybercriminels ont tenté le même type d attaque DDoS par WordPress contre le même client, ainsi que plusieurs établissements financiers et entreprises de transport. Le site Web d un établissement financier a été immobilisé pendant plus d une heure, tandis que d autres entreprises ont subi des perturbations à des degrés divers jusqu à 12 heures d affilée. Quant aux clients du Groupe NTT Group, ils n ont constaté aucun impact mesurable sur leur activité. 5
COÛT DE L INCIDENT Sur la base des constatations effectuées avec le client XYZ Corp, le Groupe NTT a estimé que la détection et la résolution précoces de l événement ont permis d en limiter les coûts aux seules activités de coordination, communication, documentation et retour d expérience. COÛT DE L INCIDENT POSTE DE DÉPENSES Coût réel d analyse, de résolution et de prise en charge de l incident, comme décrit plus haut Coût réel d assistance juridique et de communication externe COÛT Inférieur à 2000 $US 0 $US Pertes réelles imputables à l indisponibilité du site Web Coût total réel lié à l événement Coût total réel de la seconde attaque (une fois les signatures déployées) Faible Inférieur à 2000 $US 0 $US Source : Coût de l attaque DDoS neutralisée avec succès. SYNTHÈSE DE L ÉTUDE DE CAS Les données du Groupe NTT indiquent que les attaques par déni de service restent fréquentes et représentent toujours une menace pour toutes les entreprises présentes sur Internet. Dans ce cas particulier, XYZ Corp avait investi dans la prévention des attaques DoS/DDoS. Dès la détection de l attaque, des experts étaient prêts à intervenir immédiatement pour en limiter les effets sur l application ciblée. Les analystes du SOC ont ensuite effectué leur enquête et déployé une protection permanente et efficace. Plus tard, lorsque XYZ Corp a dû essuyer de nouvelles attaques WordPress, aucune interruption de service n a été à déplorer. 6
NEUTRALISATION DES ATTAQUES DOS/DDOS SUR LES APPLICATIONS WEB L indisponibilité d un service n est pas seulement préjudiciable aux interactions clients dans l instant : elle porte également un préjudice grave à la réputation de l entreprise victime, quel que soit son secteur d activité. Étant donné que la physionomie et le modus operandi des attaques DoS/ DDoS varient, il n existe pas de solution universelle pour les bloquer toutes. En revanche, un dispositif actif de défense multiniveau peut contribuer à prévenir ces attaques et à en limiter le pouvoir de nuisance. Nos recommandations : Établir un diagnostic de risque de l entreprise : identifiez les données et applications critiques de l entreprise, l impact potentiel qu auraient sur elles divers schémas d attaques. Si une attaque peut provoquer une indisponibilité aux conséquences mesurables sur votre activité, intégrez un dispositif anti-dos/ddos dans les plans de sécurité de votre entreprise. Rédiger un plan formel d intervention sur incident DoS/DDoS : veillez à inclure des directives de préparation et de réponse aux attaques DoS/ DDoS dans votre plan d intervention sur incident. Déployer une stratégie de défense anti-dos/ddos multiniveau : faites le tour de tous les aspects de votre environnement et évaluez les solutions locales, dans le Cloud et fournies par votre FAI. Toutes les attaques DoS/DDoS ne se ressemblent pas : la lenteur et le faible débit des attaques d applications Web imposent un mode d intervention bien différent de celui déployé lors d attaques par réflexion qui saturent la couche réseau. Cerner les options proposées par votre FAI : établissez une liste précise des coordonnées de tous vos FAI et prestataires pour les joindre immédiatement en cas de besoin. Définissez avec votre FAI les possibilités d assistance à la détection/neutralisation des attaques DoS/ DDoS avant d en avoir réellement besoin. 7
Capitaliser sur les enseignements d expériences passées : après une attaque DoS/DDoS, réussie ou non, tirez les enseignements de l incident pour mieux appréhender les attaques ultérieures. Tester votre environnement : testez les systèmes exposés pour identifier leurs limites, leurs faiblesses, et y remédier avant d être attaqué. Souscrire à des services de monitoring ou de sécurité managée : passez en revue les offres de diagnostics et de remédiation anti-dos/ DDoS proposées par votre fournisseur de services de sécurité managée. Approfondissez la question pour mieux cerner leurs possibilités et leur complémentarité avec vos autres ressources disponibles. Pour télécharger le rapport GTIR, rendez-vous sur www.nttcomsecurity.com/fr 8