BLOG

BlackNurse et le déni des attaques Cloudy Business

Miniature de Lori MacVittie
Lori MacVittie
Publié le 17 novembre 2016

Une nouvelle attaque fait le tour de la semaine. Je dis nouveau(x) car l’attaque en elle-même n’est pas si originale que ça. Les attaques ICMP existent depuis les années 90. Je dis également « nouvelle » car cette attaque contraste fortement avec les attaques volumétriques très médiatisées qui font la une des journaux lorsqu’elles perturbent l’accès à la moitié d’Internet. Il s’agit d’une attaque DoS (remarque : il n’y a qu’un seul « D », pas deux) contre des pare-feu bien connus et largement utilisés qui peuvent, avec peu d’efforts, mettre l’entreprise à genoux.

Je ne vais pas vous noyer dans les détails de cette attaque ICMP (ping !) appelée BlackNurse (sans raison évidente jusqu’à présent). De nombreuses ressources et analyses couvrent déjà ce sujet : Threat Post, El Reg, TDC SOC ou Netresec pour commencer. Je tiens à souligner l’impact dévastateur que cette attaque peut provoquer sur les entreprises, surtout celles qui s’appuient massivement sur des applications cloud. 

Car il ne s’agit pas seulement de perturber l’accès aux applications de l’ extérieur vers l’intérieur , mais de perturber l’accès aux applications de l’ intérieur vers l’extérieur . Le TDC SOC, dans son rapport , le souligne spécifiquement : « Lorsqu'une attaque est en cours, les utilisateurs du côté LAN ne pourront plus envoyer/recevoir du trafic vers/depuis Internet. »

Côté LAN. C’est le côté commercial du pare-feu.

Nous avons tendance à considérer les pare-feu comme une réponse tactique pour empêcher les attaquants d’accéder à nos réseaux d’entreprise. Ce sont les murs autour du château, les sacs de sable le long de la rivière, le coupe-feu dans la nature qui tente d’arrêter un incendie qui fait rage. Mais les pare-feu ont depuis longtemps rempli un double objectif dans l’entreprise : ils contrôlent également l’accès de l’intérieur vers l’extérieur. Au début, ce système a été utilisé pour bloquer l’accès à Internet des adolescents et continue d’être un mécanisme permettant de prendre des mesures préventives contre les tentatives de « téléphone à la maison » des logiciels malveillants et des virus qui ont réussi à infecter les actifs internes.

 

 

T4-2015-CARR-Utilisation-du-cloud-au-fil-du-temps-627

Aujourd’hui, la prévalence des applications de productivité basées sur le cloud nécessite un accès de l’intérieur vers l’extérieur. Et si nous utilisons des applications basées sur le cloud, nous avons besoin d'un accès à Internet. Salesforce.com. D'accord. Documents Google. Réseaux sociaux. La liste des applications qui résident en dehors de l’entreprise et auxquelles l’entreprise a besoin d’accéder est infinie et continue de s’allonger. Comme l’illustre ce graphique astucieux de Skyhigh Networks, l’utilisation d’applications basées sur le cloud dans les entreprises est en constante augmentation. En fait, son rapport du quatrième trimestre 2015 indique que « l’organisation moyenne utilise désormais 1 154 services cloud ».

Les entreprises dépendent incontestablement du cloud.

Cela signifie que la perturbation de l’accès à ces services est dévastatrice pour la productivité, qui est l’un des indicateurs de performance clés de toute entreprise.

Ainsi, une attaque comme BlackNurse, facile à lancer et ne nécessitant qu’un simple ordinateur portable, perturbe profondément malgré sa simplicité relative. Ces attaques visent un objectif clair : épuiser les ressources. Les attaques lentes et discrètes, qu’elles ciblent des pare-feu ou des serveurs web, bloquent les ressources pour empêcher l’appareil de répondre aux requêtes légitimes. Le problème est qu’elles sont souvent plus difficiles à détecter que les attaques volumétriques. Un volume important de trafic, lui, frappe immédiatement les esprits. Il déclenche instantanément des alarmes et des signaux d’alerte, et on réalise tout de suite la situation. Depuis dix ans, nous mettons beaucoup d’efforts à comprendre ces attaques, et heureusement, nous améliorons constamment notre capacité à les contrer.

Mais détecter une attaque basse et lente est plus difficile. Le processeur atteint soudainement 100 % et cesse de répondre. Cela pourrait être un problème logiciel. Cela pourrait être un problème matériel. Cela pourrait être beaucoup de choses. Passer au crible les journaux pour trouver le faible volume de paquets représentatifs de ce type d’attaque s’apparente au problème de l’aiguille dans une botte de foin. Selon les chercheurs, les attaques BlackNurse ne génèrent que 15 à 18 Mbps. Oui, vous avez bien lu. Il n'y a pas de « G » dans cette mesure. Cela représente environ 40 à 50 000 paquets par seconde, ce qui n'est rien comparé aux pare-feu modernes. À l’inverse, l’attaque DDoS enregistrée contre Dyn a été mesurée dans la gamme des 1 Tbps. C'est un « T », qui est plus grand que « G » et bien plus grand que « M ».

La solution à ces attaques consiste souvent à migrer les applications vers le cloud, où les services de pare-feu ne sont plus limités par des notions dépassées comme les « ressources limitées » et peuvent s’adapter de manière fluide et automatique. Mais ce n’est pas aussi simple, car votre entreprise compte toujours des employés derrière le pare-feu corporatif qui ont besoin d’accéder à ces applications (et à d’autres). C’est précisément leur accès qui est compromis lorsque le pare-feu corporatif, placé entre eux et le « cloud », devient la cible.

C’est la productivité qui en souffre.

Les entreprises doivent reconnaître la situation potentiellement périlleuse causée par les attaques qui perturbent le trafic sortant ainsi que le trafic entrant. Bien que BlackNurse dispose déjà d'une atténuation assez simple, il existe probablement d'autres mesures qui ne sont pas aussi simples à atténuer.  Et dans un monde où nous dépendons autant des applications à l’intérieur du pare-feu que de celles à l’extérieur, nous devons examiner de près les possibilités de telles attaques.

Si vous ne l’avez pas encore fait, il est temps d’évaluer dans quelle mesure votre entreprise dépend (ou dépendra) des applications « dans le cloud » et comment protéger au mieux l’accès à ces applications face aux menaces conçues spécifiquement pour empêcher l’entreprise de vaquer à ses occupations quotidiennes.