De nombreux sites Web institutionnels et de Presse Français connaissent actuellement des cyberattaques visant à les rendre indisponibles ou à en défigurer le contenu.

 

Cyberattaques en défiguration

Dans le cas d’attaques en défiguration (ou défacement), les cyberattaquants exploitent soit des vulnérabilités des sites web ou de leurs outils de gestion de contenu (CMS) pour en prendre le contrôle afin d’en modifier le contenu.

 

Cyberattaques en DDOS

Les attaques en Deni de Service Distribuées ou DDOS ont pour but de saturer les ressources du système d’information de la victime, soit en saturant par exemple les infrastructures et les liens réseaux (attaque dite volumétrique) soit en épuisant la capacité des services applicatifs (attaque dite en épuisement de ressources). Une attaque DDOS n’a pas besoin d’être volumétrique pour faire tomber un site web. Elle peut tout à fait être lente et silencieuse au niveau réseau mais ne toucher que la couche L7 applicative.

 

Techniques d'exploitation des vulnérabilités

En résumé, je citerais:

  • Attaque en injection (par exemple sur SQL ou sur le système d’exploitation) visant à exposer les informations confidentielles, à corrompre les données ou à forcer l’interpréteur à exécuter des commandes non désirées.
  • Attaque en Cross-Site Scripting (XSS) qui permet d’exécuter un script dans le but de pirater les sessions web des utilisateurs, défigurer les sites web ou rediriger l’utilisateur vers des sites malicieux.
  • Attaques sur l’authentification, le contrôle d’accès et la gestion de sessions : un système d’authentification ou de gestion de session mal implémenté peut conduire à une compromission de mots de passes, de jetons, de clés de sessions visant à usurper l’identité numérique.
  • Attaque sur les références directes au objets (comme les fichiers, répertoires, clé de base de données, etc) : sans contrôle d’accès ou autre protection, un attaquant peut manipuler ces références afin d’accéder à des données non autorisée.
  • Manipulation des cookies, de paramètres ou des champs cachés.
  • Attaque en Buffer Overflow : Exploitations malicieuses des buffers mémoire pour arrêter des services, avoir les accès au Shell et pour propager des programmes malicieux.
  • Attaque en Cross-Site Request Forgery (CSRF) : qui exploite un accès authentifié en usurpant l’identité d’un utilisateur authentifié.
  • Attaque sur des URLs non restreintes
  • Attaque par dictionnaire sur le contrôle d’accès au système
  • Attaques en déni de service sur la couche 7, attaques en brute force et les attaques de type Web Scrapping.
  • Attaque sur les couches de transport
  • Attaques sur les Redirects ou les Forward non contrôlés.

Des projets comme OWASPWASC ou le SANS font un tour d'horizon des menaces et des techniques d'exploitations.

 

Anatomie d’une cyberattaque sur HTTP ou HTTPS

Généralement, une cyberattaque sur un site Web se déroule en 3 étapes :

  • Ciblage et reconnaissance : des robots ou des scripts effectuent des scans pour identifier et récolter des informations sur le site web (les URLs), ses ressources (capacités CPU) ainsi que ses ressources réseaux (bande passante)
  • Sélection des vecteurs d’attaques et exploitation des vulnérabilités
  • Bascule sur une attaque en DDOS si l’exploitation de vulnérabilités ou si le brute force sur le contrôle d’accès n’aboutissent pas.

 

Les contre-mesures

Pour les cyberattaques en défiguration, il est possible de les empêcher en appliquant les bonnes pratiques rappelées par l’anssi ainsi que les recommandations sur les contre-mesures ici, tel que la mise en place de pare-feu Applicatif Web (WAF) comme F5 ASM.

Comme le rappelle le Gartner, un FireWall réseau ou un IPS ne protègent pas contre les attaques visant les services web. Seul un WAF apporte cette protection.

En revanche, il est plus difficile de contrer une cyberattaque DDOS et on ne pourra qu’en atténuer son effet, en absorbant la charge durant l’attaque.

Bien sûr, il y a des bonnes pratiques à suivre pour parer aux attaques en DDOS à mettre en place avant l’attaque de façon préventive (l’architecture, la capacité, la détection, etc) mais aussi de façon réactive (l’analyse, les mesures techniques, la reprise sur incident, etc).

Dans le scénario d’attaque en déni de service distribué, très souvent quand les mesures techniques sont appliquées durant l’attaque, il est très difficile de différentier les utilisateurs légitimes des attaquants alors le site web est déjà fortement impacté voire déjà tombé.

Je vous invite à lire le livre blanc F5 pour atténuer les attaques DDOS.

 

La réponse F5 aux cyberattaques DDOS

Face aux cyberattaques DDOS, qu’elles soient de type réseau (L3 / L4), sessions (L5 / L6) ou applicatives (L7), F5 Networks possède la technologie qui permet non seulement d’atténuer ces attaques mais aussi de protéger contre les outils de reconnaissance, les bots et les attaques lentes.

 

La solution de protection anti-DDOS de F5 combine des services à déployer dans le Datacenter (in situ) et dans le Cloud.

Le service dans le Cloud appelé Silverline est un service à la demande qui empêche les attaques volumétriques d’atteindre le réseau du Datacenter et fourni une protection anti-DDOS multi-vecteurs et multi-niveaux.

Une fois, les attaques volumétriques atténuées, c’est la solution in-situ qui prends le relai pour atténuer les attaques de volume moyen, les attaques sur les sessions (SSL et DNS par exemple) ainsi que les attaques applicatives avancées. Cette solution in-situ fait appel à plusieurs modules F5 : AFM, LTM, GTM et ASM.

 

 

L’architecture de référence F5 anti-DDOS

Elle permet aux administrateurs sécurité réseau d’étendre leurs règles afin d’atténuer les risques d’attaques zéro-day.

Cette architecture combine de manière transparente le service F5 Silverline avec les solutions Application Delivery Controller (ADC) de F5 pour offrir la solution de protection DDoS la plus complète.

 

 

Silverline : un service anti-DDOS à la demande

F5 propose  différents niveaux de protection, personnalisables en fonction des besoins spécifiques des entreprises et des profils des attaques potentiels :

  • Always On - Première ligne de défense. Cet abonnement permet de bloquer de manière continue le trafic corrompu. Le trafic réseaux du client passe par le service de scrubbing Silverline et seule le trafic légitime est envoyé sur le réseau du client.
  • Always Available - Protection primaire sur demande. Cet abonnement permet de bloquer le trafic malveillant en cas d'attaque.

 

ASM : des protections anti-DDOS avancées

A partir de la version 11.6, ASM embarque un mécanisme de défense proactif contre les attaques par des robots web (bot). Il protège contre les attaques en déni de service distribuées (DDoS), le webscrapping, la reconnaissance et les attaques en brute force.

Ce mécanisme appelé « Proactive Bot Defense » a pour rôle de compléter les méthodes existantes d’atténuation.

Quand cette fonctionnalité est activée, lorsqu’un client accède au site web pour la première fois, le système injecte un challenge Javascript en lieu et place de la réponse initiale, dans le but de valider si le client est un navigateur web légitime ou s’il s’agit d’un robot (bot). Le navigateur web légitime répond au challenge correctement et renvoie la requête avec un cookie signé qu’ASM valide.  Il est alors autorisé à accéder au serveur.

Parmi les autres techniques de détection de robot web dans ASM, on peut citer les mécanismes de Détection d’activité suspecte clavier et Souris, la Détection de surf rapide. 

De même, pendant la cyberattaque, ASM active des mécanismes d'atténuation spécifiques comme le Client-Side Integrity Defense ou le Captcha avec du rate limiting en hardware.

 

De la visibilité pendant l'attaque

Le graphique ci-dessous montre comment le trafic a été géré par le système, avec des données agrégées et mises à jour toutes les 5 minutes.

Un fort pourcentage de requêtes hostiles ont été bloquée conformément à la politique de prévention définie dans le profile DoS. Cette politique utilise du Request Blocking avec du rate limiting basé sur l’URL et l’IP source.

Lorsque le trafic est normal, on constate typiquement plus de trafic en passthourgh et moins de trafic bloqué.

 

Pour en savoir plus 

On organise un Webinar sur le sujet anti-DDOS, le Jeudi 29 Janvier à 11h. Inscriptions ici.