DDoS Protection Service

White Paper DDoS Protection Service Distributed Denial of Service (DDoS) Information technique produit Protection efficace de votre infrastructure contre les attaques provenant Internet haute disponibilité de l'accès Internet

Sommaire 1 Les attaques DDoS, un risque bien réel... 3 2 Description du problème... 3 2.1 Situation initiale... 3 2.1.1 Intention des attaquants et types d attaque... 3 2.1.2 Évolution des attaques DoS... 3 2.1.3 Attaque DDoS à partir d une adresse IP légitime... 4 2.1.4 Motivation des attaques DDoS... 4 2.2 Condition préalable à une attaque DDoS... 5 2.3 Attaques DDoS... 5 2.3.1 Principe de déroulement... 5 2.3.2 Préparation et déroulement d une attaque DDoS... 6 2.4 Évolution et conséquences des attaques DDoS... 7 3 Mesures de protection contre les attaques DDoS... 10 3.1 Défense par la technique Black Hole... 10 3.2 Mesures de protection actuelles à l aide du DDoS Protection Service... 11 3.2.1 Caractéristiques générales... 11 3.2.2 Traffic Anomaly Detection... 12 3.2.3 Threat Management System... 12 4 DDoS Protection Service de Swisscom... 13 4.1 Processus de filtrage d une attaque DDoS... 13 4.2 Option Auto Detection... 15 5 Récapitulatif... 16 5.1 Variantes de solution... 16 5.2 Potentiel de dangers et de dommages... 17 5.3 Managed Service... 17 6 Glossaire... 18 La présente documentation technique a été élaborée selon les paramètres actuellement connus. La solution technique utilisée lors de l implémentation peut être différente. Nous restons à votre disposition pour toute question ou remarque concernant la présente documentation technique. Datum 03.12.2014 Seite 2/18

1 Les attaques DDoS, un risque bien réel La gestion des risques d une entreprise relève de la responsabilité de la direction. Il lui incombe d examiner régulièrement à titre préventif les risques de sécurité potentiels. Les environnements informatiques entièrement en réseau présentent notamment des menaces de sécurité qui sont en constante évolution et prennent sans cesse de nouvelles formes. Les attaques DDoS font partie de ces risques informatiques. Ce livre blanc étudie en détail ce type de risques de sécurité et présente des mécanismes de défense efficaces. Au même titre que d autres facteurs de risques (localisation et accès au bâtiment, protection incendie, approvisionnement énergétique, accès aux documents internes, etc.), les attaques DDoS doivent être incluses dans l analyse des risques d une entreprise en raison de la menace et des dégâts potentiels qu elles représentent. Des analyses de risques et des recommandations actuelles sont disponibles, entre autres, sur le site Web de la Centrale d enregistrement et d analyse pour la sûreté de l information, à l adresse http://www.melani.admin.ch/dokumentation. 2 Description du problème 2.1 Situation initiale Les attaques par déni de service («Denial of Service» - DoS) existent depuis les débuts d Internet. Ces attaques visent à limiter considérablement la disponibilité de certains systèmes et/ou services en ligne, voire d en rendre l accès impossible. Pour ce faire, les attaquants essaient souvent de faire planter les systèmes via Internet en exploitant les failles des systèmes d exploitation, des programmes et services ou les vulnérabilités de conception fondamentales des protocoles réseau utilisés. 2.1.1 Intention des attaquants et types d attaque La saturation des systèmes en ligne peut faire en sorte que leur fonctionnalité réelle ne soit plus garantie. Les attaques DoS simples ne visent donc pas à dérober les données confidentielles ou à contourner les mécanismes d authentification des utilisateurs, mais à perturber sensiblement le fonctionnement, voire paralyser complètement les plateformes de services de prestataires en ligne tels que les boutiques de commerce électronique, les fournisseurs de contenus, les prestataires de services financiers (par ex. e- banking), les institutions administratives (par ex. E-Government), etc. Les sites Web ou services attaqués peuvent alors être inaccessibles pendant une durée allant de quelques minutes à plusieurs jours. À la différence d autres attaques, l attaquant ne s infiltre généralement pas dans des réseaux informatiques et n a donc pas besoin de mots de passe ou d autres moyens d accès similaires. Une attaque DoS peut toutefois faire partie d une attaque globale contre un système. Ainsi, il arrive par exemple qu une attaque DoS paralyse un système en ligne donné, afin de dissimuler une attaque réelle contre un autre système du même client. L attention du personnel informatique chargé de l administration est détournée par le volume massif du trafic des données, de sorte que la tentative d attaque proprement dite passe inaperçue. 2.1.2 Évolution des attaques DoS Les attaques DoS sont toujours plus sophistiquées et de plus en plus difficiles à détecter par les nonspécialistes. Depuis plus d une dizaine d années, on observe le recours à une multitude de PC différents en lieu et place d un PC individuel pour mener une attaque coordonnée de grande ampleur contre des systèmes en ligne ou des réseaux donnés. En règle générale, l utilisateur individuel d un PC faisant partie d un tel Datum 03.12.2014 Seite 3/18

botnet ne constate aucune perte de performances lors d une attaque en cours pendant qu il travaille ou surfe sur le net. Le nombre d ordinateurs prenant part à une attaque peut aller de quelques centaines à plusieurs centaines de milliers à la fois. Les PC impliqués dans une attaque peuvent être intégrés dans Internet à l échelle nationale, internationale ou intercontinentale. Dans ces attaques par déni de service distribué (Distributed Denial-of-Service DDoS), l attaquant exploite les performances cumulées de plusieurs PC. Ceci explique pourquoi il est possible de paralyser même des systèmes en ligne ultra-puissants équipés de connexions réseau à large bande passante. En effet, ces réseaux fournissent eux-mêmes la bande passante nécessaire. 2.1.3 Attaque DDoS à partir d une adresse IP légitime Une forme particulière d attaque est l attaque DRDoS («Distributed Reflected Denial of Service»). Dans ce cas, l attaquant n envoie pas les paquets de données directement à la victime ciblée, mais à des services Internet fonctionnant de façon régulière. Il saisit toutefois comme adresse d expéditeur l adresse IP de la victime. De cette manière, il devient pratiquement impossible pour la victime attaquée de déterminer l origine de l attaque. On appelle aussi «IP Spoofing» ce type de demandes de connexion falsifiées. La réponse à celles-ci et la saturation du système qui en résulte constituent pour la victime l attaque DoS proprement dite. 2.1.4 Motivation des attaques DDoS L origine et les motifs de telles attaques sont divers et variés. Ils vont de l insouciance «juvénile» de mordus d informatique sans motivation financière jusqu aux actions de vengeance ou de protestation contre une société ou une organisation, en passant par des organisations professionnelles de piratage informatique. Ces dernières permettent à toute personne de commander et de payer par carte de crédit des attaques DDoS via des portails en ligne. En contrepartie de sommes relativement modiques, des attaques gérées, par ex. sur une durée de 24 heures, sont proposée en guise de test de résistance. Il n est pas rare que des menaces graves soient adressées à la victime ou que le racket soit à la base de telles attaques. Les organisations professionnelles agissent clairement dans leur propre intérêt ou pour le compte de tiers. Figure 1: Motifs des attaques DDoS ( ARBOR Networks) Datum 03.12.2014 Seite 4/18

2.2 Condition préalable à une attaque DDoS Les attaques par chantage basées sur une attaque DDoS sont généralement lancées via ce qu on appelle des botnets. Ceux-ci se composent de quelques dizaines à plusieurs centaines de milliers de machines infectées par des chevaux de Troie ou des vers. L exécution d attaques DDoS est favorisée par le fait que la plupart des ordinateurs connectés au réseau haut débit ont une adresse IP fixe et qu ils restent la plupart du temps en ligne. De ce fait, l infection et l intégration dans un botnet se produisent le plus souvent de manière inaperçue, étant donné que la majorité des ordinateurs sont connectés à Internet sans la moindre protection ou que les mécanismes de protection sont insuffisants. Les propriétaires de ces ordinateurs ne savent donc même pas que leurs ordinateurs font partie d un botnet. Les performances des PC impliqués dans une attaque ainsi que la bande passante de la connexion sont généralement exploitées à un niveau imperceptible pour l utilisateur. Les botnets se composent de quelques centaines à plusieurs milliers de PC infectés répartis sur toute la planète. Ces PC peuvent être utilisés abusivement par le contrôleur/l administrateur du botnet pour lancer des attaques programmées. La recrudescence considérable des cas d utilisation abusive d ordinateurs en réseau est due en outre à la large utilisation du protocole TCP/IP et à la vulgarisation quasi-universelle des connaissances en la matière. Figure 2 : Sources botnets actives à l échelle globale (http://atlas.arbor.net/worldmap/index) 2.3 Attaques DDoS 2.3.1 Principe de déroulement Jusqu à présent, on a enregistré entre autres les scénarios d attaque suivants, thématisés dans des blogs ou des forums: Scénario 1 Une entreprise présente sur Internet reçoit une lettre de chantage lui enjoignant de verser une certaine somme dans un délai déterminé. Au cas où la somme ne serait pas versée à la date fixée, l attaque mentionnée dans la lettre de chantage sera exécutée sur-le-champ. Les serveurs Web seront alors inondés de requêtes. Selon la bande passante, le site Internet ainsi que les services électroniques offerts (boutique en ligne, e-banking, etc.) deviendront rapidement inaccessibles. Datum 03.12.2014 Seite 5/18

Scénario 2 Le site Internet d une entreprise est bloqué sans préavis par une attaque DDoS pour des raisons inconnues. Lors de l attaque, la victime reçoit par e-mail (par ex. via un accès Internet alternatif) ou par fax une lettre de revendication la sommant de verser un montant sur un compte bancaire dans un délai donné ou de remplir une autre condition. Si le paiement n est pas effectué à l expiration du délai fixé, les attaques seront poursuivies. Scénario 3 La plateforme en ligne d une entreprise est attaquée sans aucun avertissement préalable. Le but d une telle action est de porter préjudice à l entreprise de façon durable, l attaque pouvant durer de quelques minutes à plusieurs semaines. 2.3.2 Préparation et déroulement d une attaque DDoS Comme il a déjà été indiqué, une attaque DDoS est caractérisée par la participation de plusieurs systèmes informatiques. À cet égard, on pourrait décrire la chaîne d attaques ramifiée ou le réseau d attaquants de la façon suivante: Un attaquant (également appelé client) mandate un ou plusieurs maîtres (ou revendeurs). Ceux-ci gèrent plusieurs démons (appelés aussi agents), qui se chargent d attaquer une victime. Analyse L attaquant communique avec les différents maîtres via une connexion Internet (souvent à partir d une adresse IP usurpée). En utilisant des outils de scanning, il a pu obtenir leur adresse IP ou identifier les ports TCP ou UDP ouverts. Des cibles d attaque potentielles et leurs points faibles sont repérés via Internet Security Scanner. De la même façon, l attaquant accède aussi aux droits root sur les serveurs et recherche simultanément les services et ports actifs («ouverts») sur les systèmes. Création de scripts Après avoir identifié les failles de sécurité, l attaquant crée un script (= un programme à exécution automatique) et le dépose sur les comptes volés. Ces scripts lui permettront ultérieurement d exploiter précisément ces failles de sécurité. Pour la création des fichiers scripts, l attaquant utilise souvent des boîtes à outils existantes, ce qui simplifie énormément la tâche. Une fois cela fait, l attaquant détermine ses futurs démons et maîtres. Des mémoires supplémentaires sont utilisées sur les systèmes maîtres pour y stocker les «fichiers binaires précompilés» («pre-compiled binaries») des démons. Ensuite, l attaquant crée à nouveau un script, qui utilise la liste de machines «dont il a pris possession» et génère un autre script. Ce dernier exécute automatiquement le processus d installation en arrière-plan. Datum 03.12.2014 Seite 6/18

Installation de scripts Cette automatisation permet de créer un réseau DoS très étendu sans que les véritables propriétaires des systèmes ne s en rendent compte. Les programmes maîtres, qui jouent un rôle clé dans le réseau de l attaquant, sont finalement installés de façon minutieuse. Un «Rootkit» (kit administrateur) est installé en option pour cacher la présence des programmes, fichiers et connexions réseau. Les programmes maîtres sont principalement installés sur ce que l on appelle des «Primary Name Server Hosts». Ces derniers étant conçus pour un trafic réseau extrêmement volumineux, un grand nombre de connexions réseau peut être cumulé sur ces serveurs. Ceci a deux avantages majeurs pour l attaquant. D une part, la charge de base (processeurs et réseau) masque très bien le trafic réseau supplémentaire du maître. D autre part, ces serveurs ne seront pas retirés de manière précipitée du réseau, même en cas de soupçon de DDoS, car ils sont très importants pour le propre réseau. Début de l attaque Par la suite, l attaquant envoie aux maîtres la commande d attaque accompagnée des données de la victime (adresse IP, numéro de port, type d attaque, horaire de début et de fin). Ceci est le seul trafic provenant de sa part lors de l attaque. Après le signal de départ, la gestion et la coordination de l attaque sont assumées par les maîtres (= ordinateurs jouant le rôle de serveurs), qui gèrent chacun un certain nombre de démons (processus tournant en arrière-plan). Pour éviter que la détection d un maître par un analyseur de réseau ne rende tous les démons inutilisables, les attaquants regroupent les maîtres en subdivisions à finalités spécifiques. Les démons tournent pour leur part sur d autres machines et peuvent être largement répartis sur le réseau. L attaque proprement dite n a lieu qu après intervention des démons sur ordre du maître. Il peut s agir, par exemple, d une attaque SYN Flood où l attaquant envoie un paquet au système victime afin d établir une connexion TCP (paquets SYS). Le système victime réserve alors un port et renvoie ce que l on appelle un paquet SYN-ACK. L attaquant ayant toutefois spoofé son adresse IP (c est-à-dire qu il n utilise pas sa propre adresse IP), l expéditeur ne reçoit aucune confirmation en retour. Le système victime répète l action et rejette définitivement la connexion réservée après une durée prédéterminée, qui peut être de plusieurs minutes selon le système d exploitation. Si cet établissement de connexion n est pas exécuté qu une seule fois, mais très souvent et parallèlement, l ordinateur va saturer en tentant de répondre aux requêtes et finira donc par planter. 2.4 Évolution et conséquences des attaques DDoS L analyse des données recueillies par ARBOR Networks depuis 2002 en collaboration avec les principaux FAI (fournisseurs d accès Internet) démontre une augmentation significative de l intensité par bande passante des attaques DDoS et une fréquence élevée persistante. Les principales cibles d attaque demeurent les services Internet à caractère commercial, ainsi que les services réseau (par ex. Domain Name Server, DNS). Les techniques les plus largement utilisées étaient avant tout UDP Flood (envoi d une grande quantité de paquets UDP à des ports sélectionnés au hasard, jusqu à ce que ces derniers deviennent inaccessibles) et TCP SYNC (temporisation de la procédure Handshake lors de l établissement d une connexion TCP). Toutefois, d autres vulnérabilités connues des protocoles d application ont également été exploitées pour l attaque. La quantité et l intensité des attaques DDoS ne cessent depuis d augmenter. Datum 03.12.2014 Seite 7/18

Figure 3: Évolution des attaques DDoS ( ARBOR Networks) Expériences et observations pratiques Trop souvent, malgré leur potentiel de menace élevé, les attaques DDoS restent malheureusement insuffisamment voire pas du tout prises en compte dans les analyses de risques des entreprises. En raison de la menace clairement constituée qu elles représentent, les attaques DDoS devraient cependant être assimilées aux autres risques connus dans le cadre des analyses de risques globales des entreprises. Datum 03.12.2014 Seite 8/18

Figure 4: Nombre d attaques DDoS par mois ( ARBOR Networks) La non-disponibilité des services en ligne peut entraîner des pertes considérables en termes de chiffre d affaires. Ceci sans compter l influence négative et durable sur l image de la société et sur la confiance des clients vis-à-vis de l entreprise attaquée, notamment lorsque la part d activités en ligne de cette dernière est importante. Il est donc indispensable de disposer des outils de défense anti-ddos appropriés et des services correspondants proposés par des professionnels spécialisés, afin de pour pouvoir détecter et parer toute attaque DDoS. Ils constituent la manière la plus rapide et la plus sûre de maintenir le fonctionnement de sa propre plateforme de services en ligne. En effet, cela renforce d une part la confiance de la clientèle et assure, d autre part, la constance des chiffres d affaires de la plateforme. Figure 5: Durée moyenne requise pour la défense contre les attaques DDoS ( ARBOR Networks) Datum 03.12.2014 Seite 9/18

3 Mesures de protection contre les attaques DDoS 3.1 Défense par la technique Blackhole Une protection efficace contre les attaques visant la disponibilité de systèmes sécurisés ou non n est en principe possible que de façon très limitée avec des moyens informatiques. Les systèmes non sécurisés sont notamment conçus pour autoriser la communication avec pratiquement chaque système et réagir de façon dynamique aux variations de charge. Presque toutes les mesures connues visent essentiellement à empêcher l usage abusif des propres systèmes et réseaux pour une attaque DDoS. Il n y a que peu de mesures de protection efficaces permettant d atténuer les conséquences des attaques. Les mesures de protection employées jusqu ici entraînaient par ex. l arrêt des services attaqués via la technique «Blackhole». Les flux de données indésirables reçus sur les ports de routeurs des passerelles backbone sont entièrement réacheminés (->Route to Null0) et neutralisés. Figure 6: Principe de la technique Blackhole Avantages: La technique «Blackhole» protège l infrastructure Web contre les attaques, même si ce n est que de manière partielle. Inconvénient: Les flux de données étant supprimés dans leur intégralité, l entreprise ne peut plus recevoir des données en provenance de certaines portions du réseau. La lutte contre des flux de données indésirables dans le backbone de l ISP sur la base de la technique «Blackhole» est complexe et requiert des connaissances approfondies en routage. Datum 03.12.2014 Seite 10/18

3.2 Mesures de protection actuelles à l aide du DDoS Protection Service 3.2.1 Caractéristiques générales Le DDoS Protection Service est une option du service IP-Plus Business Internet de Swisscom, présentant les caractéristiques suivantes : Protection efficace de l infrastructure Internet contre les attaques DDoS (capacité de filtrage allant actuellement jusqu à 40 Gbits/s) En cas d attaque DDoS, mise en alerte proactive par e-mail, SMS, SNMP Traps et Syslog Accès autorisé aux «friendly user» pendant les attaques DDoS Accès complet à la plateforme de gestion, y compris surveillance et reporting lors des attaques DDoS Défense directe contre les attaques DDoS via la plateforme de gestion par l administrateur sécurité ou réseau Identification et blocage dynamiques des attaques DDoS Helpdesk/assistance assurés 7 j/7, 24 h/24, par l équipe d experts DDoS Aucune installation matérielle n est requise chez le client Figure 7: Présentation du DDoS Protection Service (option du service IP-Plus Business Internet) Avantages: Les débits de trafic sont contrôlés en permanence dans le Backbone sur la base du DDoS Protection Service. En cas d écart par rapport à la baseline (= historique de bande passante enregistré en continu pendant 24 heures), une alarme de niveau bas, moyen ou élevé sera générée de manière proactive selon l écart observé et envoyée directement aux responsables du système par e-mail, SMS, SNMP Traps ou Syslog. Sur la base des informations d alarme, le client peut lutter de manière ciblée contre l attaque DDoS, directement ou avec l aide de l assistance de niveau 2 ou 3 du helpdesk Swisscom. Inconvénient: L évaluation des anomalies du trafic requiert des connaissances approfondies dans le domaine. Si ces connaissances ne sont pas disponibles, les spécialistes Swisscom se tiennent volontiers à disposition, 24 h/24. Datum 03.12.2014 Seite 11/18

3.2.2 Traffic Anomaly Detection La détection des anomalies du trafic (Traffic Anomaly Detection) est basée sur plusieurs systèmes Arbor Peakflow. Ces derniers permettent d enregistrer le flux de données dans le backbone Internet d IP Plus et de l analyser afin de repérer les éventuelles anomalies. Les données Baseline sont saisies de manière continue et dynamique à l aide des systèmes Peakflow. Les données enregistrées à cet effet sont le jour de la semaine, l heure, la bande passante mesurée à cette date et la conformité du protocole. Ces données baseline servent en fin de compte de données comparatives pour toute éventuelle alarme signalant des attaques DDoS. En cas d alarme, le niveau déclenché (bas, moyen, élevé) correspondra à l écart entre le débit de la baseline et celui du flux de données effectif. À l aide de ces informations, le trafic peut être surveillé et analysé en continu par rapport à sa propre infrastructure. Figure 8: Vue de l état du trafic via le portail clients 3.2.3 Threat Management System Pour assurer la défense contre les attaques DDoS, Swisscom utilise ce qu on appelle un système de gestion des menaces (Threat Management System TMS). En cas d attaque, le trafic ou le flux de données en direction du système attaqué peut être dévié via TMS. Le TMS peut non seulement analyser le trafic, mais aussi distinguer et filtrer le trafic légitime du trafic malveillant. Le trafic filtré est ensuite réacheminé vers la destination d origine. Datum 03.12.2014 Seite 12/18

4 DDoS Protection Service de Swisscom 4.1 Processus de filtrage d une attaque DDoS Les quatre étapes initiales du processus de filtrage d une attaque DDoS sont: 1. Trafic DDoS supplémentaire 2. Détection de l attaque DDoS indésirable 3. Alarme automatique via DDoS Protection Service 4. Activation manuelle via la plateforme de gestion de la protection anti-ddos Figure 9: Défense contre une attaque DDoS (1/2) Le processus de filtrage d une attaque DDoS inclut ensuite les trois étapes suivantes: 1. Reroutage de l attaque DDoS 2. Filtrage actif du trafic DDoS 3. Réacheminement normal du trafic légitime Datum 03.12.2014 Seite 13/18

Figure 10: Défense contre une attaque DDoS (2/2) La fonction de filtrage du TMS est dans tous les cas activée par le client. En effet, la connaissance qu il a du fonctionnement de son réseau évitera les alarmes intempestives, qui peuvent par ex. être déclenchées par une mise à jour logicielle programmée, susceptible d être perçue comme une anomalie de trafic par le DDoS Protection Service. Les possibilités d activation sont les suivantes: Activation directe du TMS à l aide du nom d utilisateur/mot de passe sur un site web protégé, y compris authentification sécurisée par un certificat client. Activation ou assistance via Helpdesk, 7 j/7, 24 h/24, avec les temps de réaction suivants: Lun.-ven : 7h00-18h00 Lun.-dim.: 18h00-7h00 Par télémaintenance < 1 h < 2 h Au cas où l accès du client à Internet serait bloqué en raison de l attaque, l accès au TMS pourra s effectuer alternativement via une connexion Mobile Unlimited, une liaison xdsl dédiée, ou par le biais d autres technologies d accès Internet via un navigateur Web. Datum 03.12.2014 Seite 14/18

4.2 Option Auto Detection Pour une protection encore plus efficace, l option Auto Detection peut être mise en place en guise de service supplémentaire. Elle est basée sur un équipement matériel mis en œuvre sur le site client au niveau de la transition WAN-LAN. Ce dispositif analyse en permanence le trafic «entrant» jusqu à couche OSI applicative (couche 7) y compris. Une fonction SSL Inspection permet de détecter et de neutraliser les attaques croissantes via des sessions IP cryptées. Sur la base des règles définies, le niveau d anomalie est vérifié en permanence et le trafic émanant de toute évidence d une attaque est automatiquement filtré. En cas de dépassement d un niveau d anomalie défini, de l aide est demandée sur le cloud via Cloud Signaling. Si l opérateur décide de désamorcer la situation (mitigation), le DDoS Protection Service définit une nouvelle BGP Host Route pour l adresse IP attaquée avec une «Anycast address» en guise de Next-Hop. Le trafic est redirigé via le Threat Management System (TMS), filtré et directement renvoyé sur le routeur client via un tunnel GRE, sans le trafic lié à l attaque. Figure 11: Protection accrue contre les attaques DDoS avec Auto Detection L option Auto Detection étend le niveau de sécurité sur l ensemble des sept couches OSI. Les principaux avantages sont les suivants: Protection immédiate au niveau des applications contre les attaques DDoS susceptibles de compromettre la disponibilité des services et des applications. Détection et blocage automatique des attaques DDoS, avant que celles-ci n entravent les performances des services. L intervention de l utilisateur requise étant minime voire inexistante, la charge de travail des responsables de la sécurité informatique en est allégée. Datum 03.12.2014 Seite 15/18

5 Récapitulatif 5.1 Variantes de solution Actuellement, le client peut choisir entre trois solutions: 1. L infrastructure du client ne dispose d aucun mécanisme de défense contre les attaques DDoS. Une attaque peut alors être effective en très peu de temps et provoquer la mise hors ligne du site Internet. 2. Un dispositif anti-ddos est intégré devant le pare-feu sur le site du client. Si la bande passante de l attaque DDoS dépasse toutefois celle de l accès réseau, le site Internet sera également inaccessible. 3. La troisième solution, et la plus efficace, consiste à détecter l attaque DDoS et à la filtrer avant qu elle n atteigne le backbone de l ISP. Cette configuration permet de filtrer le trafic malveillant tout en assurant le routage du trafic légitime vers le service Web. Le mode en ligne peut ainsi être totalement assuré. Figure 12: Possibles solutions de défense contre une attaque DDoS L option Auto Detection offre une protection supplémentaire grâce à l analyse locale permanente du trafic entrant des couches OSI 1-7. Datum 03.12.2014 Seite 16/18

5.2 Potentiel de dangers et de dommages Au cours des 12 derniers mois, la Suisse a connu une augmentation exceptionnelle d attaques DDoS dirigées contre des entreprises de différents secteurs et des organisations politiques. Dans le cadre d une étude de cas, une attaque DDoS réelle menée contre une entreprise disposant d une plateforme en ligne a été documentée, de même que son déroulement et les moyens de défense employés. Le trafic analysé de l attaque provenait principalement du Pérou, du Chili, de la Chine, de Taïwan, des États-Unis, de l Égypte et du Kenya. L historique de la bande passante montrait clairement que cette attaque était activement dirigée contre le client. Ce fait s était manifesté, entre autres, par un autre pic de trafic deux jours après le début de la première attaque. L attaquant voulait ainsi vérifier si une nouvelle intensification du trafic malveillant pourrait perturber le service en ligne. Cette tentative a toutefois également échoué grâce au DDoS Protection Service de Swisscom. Sans l activation de ce service de protection, le service en ligne du client concerné serait resté inaccessible pendant au moins deux jours et les dégâts auraient été énormes d une part, les dommages financiers (pertes de chiffre d affaires) et d autre part, une dégradation difficilement quantifiable, mais certainement durable de l image de l entreprise. 5.3 Managed Service Le DDoS Protection Service est installé dans le backbone IP-Plus Business Internet en tant que service géré par Swisscom en s appuyant sur la plage d adresses IP souhaitée par le client. Cette configuration permet de surveiller en continu l accès Internet pour repérer les éventuelles anomalies et alerter le client en fonction des limites définies de bande passante. Grâce à l accès direct au TMS, le client dispose d un outil efficace lui permettant d analyser en détail le trafic de données en direction de son infrastructure et de le protéger immédiatement en cas d attaque. Bien évidemment, le client est assisté de manière optimale par Swisscom. Datum 03.12.2014 Seite 17/18

6 Glossaire Terme AS ASN BGP Blackhole Botnet CPE DDoS DNS HTTPS GRE IP ISP Mpps OSI PC SAP SMS SNMP SSL TCP TMS UDP Explication Autonomous System Autonomous System Number Border Gateway Protocol Les «Blackholes» sont utilisés pour acheminer vers l interface Null0 tous les paquets IP envoyés à un système attaqué. On entend par botnet un réseau commandé à distance de PC qui a été infecté par des vers, chevaux de Troie, ou autres, et qui peut être utilisé abusivement pour mener des attaques ciblées. Customer Premises Equipment Distributed Denial of Service (déni de service distribué) Domain Name System Secure Hyper Text Transport Protocol Generic Routing Encapsulation (sert à l encapsulation d autres protocoles et à leur transport via IP sous la forme d un tunnel) Internet Protocol Internet Service Provider Mégapaquets par seconde Open System Interconnection (modèle de référence pour les réseaux de données, composé de sept couches de communication ayant chacune une fonction distincte) Personal Computer Point d accès du service Short Message Service Simple Network Management Protocol (permet de gérer des éléments du réseau tels que les routeurs, les switches, les imprimantes, etc.) Secure Sockets Layer (protocole de chiffrement visant à sécuriser les transferts de données) Transmission Control Protocol Threat Management System User Datagram Protocol Datum 03.12.2014 Seite 18/18