Les attaques DDoS, ces cyberattaques qui ralentissent l'activité d'un site internet ou d'une entreprise, se servent comme instruments des appareils des utilisateurs. Des Français qui n'ont rien demandé sont tous les jours concernés.
Pour servir et nourrir les attaques par déni de service distribué (DDoS) des pirates informatiques, vos appareils connectés mènent possiblement une double vie. Comme nous l'explique Matthieu Dierick, expert cyber chez F5 rencontré durant le FIC cette semaine, des millions de Français participent involontairement à des attaques DDoS, qui paralysent régulièrement les sites web et services en ligne.
On rappelle qu'une attaque DDoS consiste, pour celui qui la lance, à submerger un serveur de requêtes simultanées pour le rendre indisponible aux utilisateurs légitimes. La France a d'ailleus été récemment touchée par une grosse vague de cyberattaques de ce type. Cette menace invisible évolue rapidement et s'appuie désormais sur nos objets connectés du quotidien. Voyons comment la détecter, comment elle fonctionne et comment s'en prémunir.
L'attaque DDoS nouvelle génération est plus intelligente
Matthieu Dierick est formel au sujet des attaques DDoS, qui reste « dans le top 3 ou le top 4 chez les criminels ». Et l'expert d'ajouter : « Clairement, ça ne diminue pas. Les attaques sont de plus en plus sophistiquées ». Fini l'époque où seuls les ordinateurs servaient d'armes numériques. Aujourd'hui, l'arsenal s'est considérablement élargi : « Ça touche les box internet, les bornes Wi-Fi, les routeurs etc, un peu tout ce qui a une adresse IP », l'internet des objets (IoT) en somme.
Ces attaques évoluent aussi dans leur nature même. Les hackers privilégient désormais des attaques plus ciblées géographiquement, comme récemment en Inde, où les sources et les cibles étaient exclusivement nationales. Cela a permis de contourner les protections traditionnelles, qui dépendent souvent d'infrastructures réparties mondialement.
L'autre tendance majeure est l'essor des attaques dites « applicatives de niveau 7 », comme nous le décrit Matthieu Dierick. Plutôt que d'inonder les serveurs d'un trafic massif, comme ce fut traditionnellement le cas autrefois avec une attaque DDoS, les pirates préfèrent envoyer des millions de petites requêtes légitimes.
« Aujourd'hui, on voit de plus en plus ce qu'on appelle des attaques applicatives volumétriques », nous informe Matthieu. Par exemple, le consommateur détenteur d'une connexion internet de 1 Gbit/s va voir les pirates envoyer 500 Mbit/s de trafic, soit la moitié. « Mais dans ces 500 Mbit/s, ils vont envoyer des millions de requêtes, toutes petites, sauf que chaque requête doit être traitée par le serveur. »
Du coup, cela revient à parler très lentement. Le serveur sature en informations. Et surtout, « les cybercriminels sont intelligents, ils envoient un trafic légitime, en envoyant en gros le message qu'ils peuvent se connecter au site normalement. Sauf que les hackers vont commencer à renvoyer le message une fois, 10 fois, 100 fois, et à un moment, on arrive à un million de fois, et le temps que ça soit détecté, souvent, le serveur est déjà en train de saturer. »
« C'est ce qui fait le plus de mal aujourd'hui, parce qu'on ne le détecte pas rapidement », poursuit le spécialiste.
Une organisation criminelle bien huilée derrière les attaques
Le fonctionnement des réseaux DDoS ressemble un peu à un écosystème criminel parfaitement organisé. « Je compare toujours ça un peu à du trafic, et quel que soit le trafic. On a celui qui va "créer" de la drogue, puis il va le distribuer et la redonner à de petites mains qui vont aller la vendre », compare Matthieu Dierick.
Ce système assez pyramidal de l'attaque DDoS démarre avec les « petites mains », qui identifient les appareils vulnérables. Puis une seconde équipe les infecte avec des malwares. Ces programmes malveillants se connectent ensuite à des serveurs de Command & Control (C2), véritables centres névralgiques des attaques. « Ces serveurs, en gros, c'est un peu la marketplace, l'Amazon pour les hackers », résume l'expert.
Les cybercriminels peuvent alors lancer des campagnes coordonnées qui mobilisent instantanément des millions d'appareils infectés. Cette armée invisible obéit alors aux ordres des serveurs C2, inondant leurs cibles de requêtes jusqu'à les rendre inaccessibles. Et si une défense se met en place, les attaquants adaptent simplement leur stratégie : « Ils vont se dire que ça ne sert à rien de continuer, qu'il faut calmer le jeu et qu'il faut faire un retooling (Nldr : un "réoutillage", peut-on traduire), en modifiant un petit peu l'attaque. »
L'intelligence artificielle, nouvelle arme à double tranchant
L'intelligence artificielle permet, sans grande surprise, de transformer rapidement l'environnement de l'attaque DDoS. « L'IA est utilisée de trois façons », nous annonce Matthieu Dierick. D'abord par les éditeurs de cybersécurité, pour améliorer leurs défenses. Ensuite, par les entreprises pour mieux gérer leur sécurité quotidienne. Mais surtout, et c'est le plus préoccupant, par les hackers eux-mêmes.
« Les pirates vont utiliser l'IA pour justement générer du code source très facilement. On peut demander à ChatGPT, il est censé être formé pour ça. Mais il y a des milliers de modèles sur Internet. » Ces outils permettent même aux novices de créer des programmes d'attaque sophistiqués : « N'importe quel petit étudiant d'école d'ingénieur qui a envie d'essayer va pouvoir le faire », nous dit l'expert de l'entreprise F5.
La démocratisation de l'IA a considérablement accéléré cette évolution. « On l'a vu, ça s'est accéléré, ça s'est même accéléré en quatre mois à peine », témoigne l'expert. Cette rapidité d'adoption favorise malheureusement aussi bien les défenseurs que les attaquants, ce qui crée une course aux armements numériques particulièrement intense.
Comment savoir si vos appareils sont infectés ?
Alors comment détecter si votre box internet ou votre caméra connectée participe à ces attaques ? « Si la connexion Internet ralentit très fortement, à des heures précises, souvent, c'est que vous êtes la source », explique Matthieu Dierick. Surtout si vous êtes sur une connexion fibre optique, censée être beaucoup plus stable, sans pics particuliers.
Les opérateurs internet, à savoir Orange, Free, Bouygues Telecom et SFR, disposent de certaines capacités de détection. « Les adresses IP (des serveurs malveillants), on les connaît, donc l'opérateur sait que la box internet ou le PC s'est connecté à l'IP de l'un de ses serveurs. Les fournisseurs d'accès à Internet peuvent le voir, ils peuvent déjà le bloquer », précise Matthieu Dierick.
Pour se protéger, il recommande tout simplement « un très bon antivirus sur son poste de travail », parce que le malware qui a été installé vient, hélas, d'un parent. Un peu comme les variants d'un virus dans la santé. Mieux vaut prévenir que guérir, comme toujours en cybersécurité.
