Emmanuel Macé, Akamai : "Les attaques sur Internet sont plus souples et se démocratisent

Emmanuel Macé est Senior Solutions Engineer chez Akamail, en charge des questions de sécurité. A l'occasion de la sortie du Project Shield de Google, dédié à la lutte contre les attaques DDoS chez les ONG et associations caritatives, nous avons voulu revenir sur le Rapport sur l'état de l'Internet, publié tous les six mois par Akamai.

Globalement, si Emmanuel Macé estime que les constats de Google et d'Arbor Networks, qui lui fournit les chiffres pour sa Digital Attack Map, corroborent ceux d'Akamai, il estime que l'approche d'absorption du trafic généré par les attaques, au coeur du projet Shield, n'est pas le plus efficace.

ZDNet.fr - Comment avez-vous accueilli la carte Digital Attack Map de Google et Arbor Networks ? Est-ce qu'elle fait apparaître des dissensions avec les chiffres remontés par Akamai dans son rapport sur l'Etat de l'Internet ?

Emmanuel Macé - La carte corrobore ce que nous voyons de notre côté. On est sur les mêmes tendances. Il faut voir que les chiffres ne sont pas tout à fait les mêmes, puisque en raison du temps de consolidation, nous sommes au niveau d'Akamai sur ceux du deuxième trimestre 2013 [ceux d'Arbor sont annuels, et concernent donc 2012, NDLR].

Les rapports que nous avons pu faire nous ont montré des choses équivalentes : l'Indonésie a connu un bond comme source des attaques depuis le début de l'année. Je parle bien de source des attaques, et non de la personne qui la commande. On est sur une mesure du trafic généré par les attaques.

Ensuite, on retrouve la Chine et ses 33%. Mais ce qui est vraiment nouveau cette année, c'est l'arrivée au-dessus d'un tiers de l'Indonésie.

Arbor Networks l'explique par le marché noir des CDs gravés. Comment Akamai voit-il cette montée de l'Indonésie dans le trafic généré par les attaques DDoS ?

De manière macro, on ne l'explique pas réellement. L'Indonésie est une nouveauté, et il nous semble qu'on n'a pas encore le recul nécessaire pour en fournir toutes les causes. On a quelques idées, mais on préfère ne pas s'avancer.

Ce qu'il faut quand même noter, c'est que le trafic des attaques lui-même change. Alors qu'on était avant, la plupart du temps, sur les ports 445, on est aujourd'hui sur du 80 ou du 443. Ce sont des ports dédiés au HTTP. La question, c'est s'il y a une corrélation avec l'Indonésie.

Que signifie ce changement de ports utilisés pour les attaques ?

Cela marque très certainement une évolution des pratiques. Les attaques qui étaient faites sur les couches réseaux sont moins efficaces, parce que ces couches sont mieux protégées qu'auparavant, tandis que des vulnérabilités se font jour au niveau des couches applicatives.

Aujourd'hui, on peut faire tomber un site web en attaquant au niveau de la couche HTTP, sans qu'il y a besoin d'un gros volume de trafic. C'est plus simple, il y a des outils prédéfinis et on est sûr que les serveurs web visés existent. Il y a une forme de démocratisation des outils pour réaliser ces attaques moins volumiques.

En parallèle, ce sont des attaques dont il est plus difficile de se protéger, car on ne peut pas se contenter d'un simple blocage du trafic, ou on se priverait de l'accès à Internet. Il y a tout un travail de filtrage applicatif qui doit être fait, et c'est très compliqué, essentiellement parce que ça évolue énormément.

Les systèmes sont toujours en mouvement. On ne peut jamais dire "Je suis sécurisé sur la couche applicative, je suis tranquille pour six mois". Ce n'est pas un travail quotidien de tenir le système à jour, mais quasiment. D'où l'intérêt d'avoir une solution toujours active, parce qu'on est toujours protégé.

Google propose, avec Project Shield, une approche basée sur la taille. Ils ont une énorme infrastructure, avec une bande passante capable d'absorber beaucoup de trafic, et peuvent ainsi tenir face aux attaques les plus lourdes. Est-ce pertinent ?

Ce n'est pas l'approche que l'on a. La différence est certes très minime, mais notre façon de faire est de bloquer l'attaque en bordure. On a une plateforme de 140 000 serveurs, mais nous ne l'utilisons pas comme une énorme infrastructure qui va bloquer le trafic... Ce qui revient à jouer à celui qui a la plus grosse infrastructure.

Bloquer l'attaque en bordure, cela signifie que plutôt que d'attendre que l'attaque vienne jusqu'au coeur du datacenter centralisé et laisser passer, on protège à la source. Cela permet de ne pas laisser aux attaquants le temps de consolider leur attaque, c'est directement bloqué. C'est la raison pour laquelle nous préférons évangéliser en faveur d'une extension d'infrastructure.

Dans le cas d'attaques comme dans le cadre de l'affaire Spamhaus, que nous avons vue récemment, l'intégration dans une infrastructure résistante et plus large peut avoir une efficacité plus facile - ou du moins moins coûteuse - qu'une extension d'infrastructure ?

Effectivement, ça peut monter très haut. Aujourd'hui, on atteint justement avec ce type d'attaques les limites de la protection traditionnelle. On prend souvent l'image des châteaux forts : quand Napoléon a rénové les infrastructures, il a placé des points stratégiques pour contrôler les accès.

C'est ainsi qu'il est possible de défendre en se concentrant sur le périmètre, les faiblesses. C'est tout l'intérêt d'un système distribué. D'autant qu'un certain nombre d'attaques que nous voyons dans le rapport ne sont plus basées sur le volume. Et l'absorption par une bande passante énorme n'est pas forcément la solution la plus proportionnée.

Quant à la question du coût... Je dirais que ce n'est pas vraiment un problème de taille d'entreprise, et donc de moyens, mais de criticité. A chacun de faire le calcul en fonction de la criticité de ses activités en ligne. C'est une question de gestion de risque : combien cela me coûte si mon site est interrompu pendant un nombre donné d'heures, et combien cela me coûte de mettre en place une protection.

Certains grandes entreprises ne vont pas forcément pâtir de ne pas avoir leur site en ligne pendant quelques heures. Alors que des startups qui travaille sur Internet ont absolument besoin de cette présence, sans quoi elles mourront.

Le dernier rapport d'Akamai sur l'état de l'Internet faisait état d'un déplacement des sources d'attaques dans le monde. On comprend généralement bien les causes des destinataires d'attaques, souvent géopolitiques. Comment caractérisez-vous les sources ?

On a l'habitude de catégoriser les attaques en trois grandes familles. La cybercriminalité, qu'il s'agisse d'extorsion, de chantage ou de concurrence commerciale, est majoritaire. Les attaques liées à la géopolitique sont généralement plus discrètes. Enfin, depuis un an, on voit apparaître des attaques liées à l'activisme.

Ces dernières ne sont pas politiques au sens traditionnel, pour nous, mais plus anti-politique ou anti-mondialisation par exemple. Ce sont les Anonymous, l'Electronic Syrian Army, entre autres.

Par contre, d'un point de vue technique, on ne fait pas ces différences. Est-ce qu'il s'agit d'attaques DDoS standard, est-ce de l'applicatif, quel type d'attaque, etc. On se rend compte que de plus en plus, il y a un changement dans le type d'attaque.

Prenons l'exemple de l'opération Ababil, une vague d'attaques par des activistes qui avait visé des banques, surtout américaines, mais aussi européennes. Ils ont tout essayé, avec différentes phases : du slow-post, des attaques DNS, du volumique, etc. Ils essaient, voient si ça marche, changent de stratégie. Et les attaques duraient 15 minutes.

Sur un autre exemple, on a déjà vu 23 types d'attaques différents perpétrés en quatre heures. Cela peut aussi être complémentaire : on envoie une attaque volumique, et pendant ce temps on essaie de s'introduire ailleurs. C'est pourquoi l'on dit que les attaques sur Internet sont plus souples et se démocratisent vraiment.

Les attaquants atteignent donc une certaine souplesse inédite ?

Tout à fait. Cela leur permet de s'adapter très rapidement aux protections qu'on met en place. Mais au-delà de cette souplesse, on note qu'ils ont beaucoup plus d'outils. Cela s'est extrêmement démocratisé. Si on sait un peu chercher dans Google, on peut lancer une attaque. On trouve même des tutoriaux, des modes d'emploi, etc.

Même si une fois encore, ce sont les cas qui font beaucoup de bruit. La cybercriminalité réelle n'apparaît pas dans la presse.

Est-ce que la diversification des appareils et des plateformes, que ce soit avec les smartphones et les tablettes sur différents systèmes, ou demain peut-être l'Internet des objets, peut apporter encore plus de complexité et de dangerosité ?

La tâche des attaquants est surtout facilitée par les nouveaux outils pour perpétrer des attaques, comme je le disais, par l'amélioration des réseaux, par la facilité d'accès aux données et par le fait qu'on oublie parfois que le mobile reste vulnérable.

Cela a tendance à démultiplier pas mal de choses. Par contre, le fait qu'il y a de plus en plus d'appareils connectés... Pour l'instant on ne fait pas la distinction, parce que les données utilisés pour le rapport sont anonymisées.

Sur l'Internet des objets, il y a parfois de la caricature. Quand on parle des climatiseurs qui pourraient être tous piratés parce qu'ils sont connectés, on est un peu dans la caricature. Encore heureux, les systèmes existants de contrôle d'organismes vitaux ne sont pas sur Internet.

Par contre, c'est vrai que quand on met un objet sur Internet, on prend un risque. On développe des solutions avec des failles, même sans le vouloir. Cela dit, la prise de contrôle des climatiseurs à l'échelle d'un continent, ça n'est pas pour tout de suite.

Le principal danger, c'est que les gens se font une fausse idée de l'Internet. C'est pourquoi je préfère parler de gestion de risques plutôt que de sécurité. La gestion de risques, c'est beaucoup de contraintes. Dont la sécurité. Et en effet, la peur n'évite pas le danger.

Néanmoins, il faut savoir comment on veut gérer son risque. Certaines entreprises savent bien le gérer, maintiennent un système à jour. Si on met en place un système de sécurité sans l'entretenir, cela n'a pas de valeur. La difficulté, c'est de maintenir les systèmes et les savoirs.

Antoine Duvauchelle
ZDnet.fr
Source