Accueil Attaques DDoS et cyberdéfense française sur le devant de la scène

Attaques DDoS et cyberdéfense française sur le devant de la scène

Les Assises de la sécurité 2014 - Monaco
Les Assises de la sécurité 2014 – Monaco

La création d’une véritable industrie française et le rappel des grandes menaces comme DDoS ont monopolisé cette année les débats au plus grand rendez-vous français dédié à la sécurité.

Lors de l’ouverture à Monaco des quatorzièmes Assises de la sécurité, le nouveau directeur de l’Anssi, l’Agence nationale de la sécurité des systèmes d’informations, Guillaume Poupard, a fait la promotion du plan cybersécurité pour que chaque entreprise ait conscience des risques d’espionnage. L’autre objectif était de relancer une vraie industrie de la cyberdéfense, qui représenterait déjà 40 000 emplois en France. La valorisation de l’offre française, à travers la création d’un «label France», privilégié dans les achats publics, devrait être enfin effective. Un but poursuivi par tous les membres d’Hexatrust, un groupement français de fabricants d’équipements de sécurité que Jean-Noël de Galzain, PDG de Wallix, défend au plus haut niveau de l’Etat : «Hexatrust promeut une approche nationale en mettant en exergue l’importance des PME face aux grands groupes industriels [NDLR : qui sont en général les principaux bénéficiaires des appels d’offres]. On reproche souvent aux PME ou aux start-up françaises de ne pas toujours être audibles, avec Hexatrust la situation a évolué». Les perspectives d’une nouvelle tendance a permis à l’association de se renforcer avec trois sociétés réputées : Qosmos, spécialiste de l’analyse du trafic, Prim’X, qui opère dans le chiffrement de transferts de fichiers, et Ercom, sur le terrain de la sécurisation des mobiles. Quatre autres start-up viennent aussi de rejoindre le groupe : TrustInSoft, éditeur d’outils d’analyses de la fiabilité du code informatique, Sentryo, spécialisée dans la défense des réseaux industriels (SCADA), Ozon, service de sécurisation des sites e-commerce en mode SaaS, et enfin Idecsi. Cet éditeur d’un programme garantissant l’intégrité des boîtes mails des dirigeants (I2A) a d’ailleurs été lauréat du «Prix de l’Innovation» de ces Assises.

Les outils de défense français enfin promus

Son président Daniel Rezlan nous précise que son prix est un accélérateur de développement : «On a déjà reçu l’appui de plusieurs services de l’Etat et on va commencer à prospecter aux Etats-Unis. Le principe de notre l’application est simple. Si une personne consulte abusivement vos mails, le logiciel vous envoie immédiatement un message d’alerte sur votre téléphone portable. L’accès malveillant est détecté de deux façons : la géolocalisation et l’analyse des actions et des comportements à partir de milliers de logs.» La promotion des outils de défenses français est assurée et enfin reconnue. Ainsi le WAB on demand pour Wallix AdminBastion a reçu chez nos voisins anglais la récompense du «New Product of the Year 2014» aux Computings Security Awards. le WAB permettant aux hébergeurs et opérateurs de Cloud de se mettre en conformité avec les réglementations d’hébergement de données bancaires, de données de santé ou plus généralement d’informations à caractère privé.

Pour Guillaume Poupard, le président de l’Anssi, la démarche de Wallix et celle d’Idecsi pour se faire connaître à l’étranger est exemplaire : «Il faut se montrer ambitieux et surtout adopter une démarche collective».

DDoS : le mot le plus répété du salon

Selon une étude d’Akamaï Technologies, la taille et le volume des attaques par déni de service distribué (les DDoS) ont été multipliés par quatre de 2013 à 2014. Et sur les stands Radware, F5 et A10 Networks, on entendait ce même argument : «optimisé pour lutter contre les attaques DDoS.» Chez 6cure, Fabrice Clerc précisait : «il y a eu beaucoup de bruit autour des attaques massives qui s’appuient sur des protocoles type DNS, NTP, SNMP. Les plus dangereuses combinent l’utilisation d’une infrastructure DNS pour une attaque en réflexion, et une stratégie de saturation lente. Un DDoS, sans vous envoyer un seul paquet !» L’attaque démarre par une saturation du serveur de domaine primaire le DNS, du coup c’est tout un groupe de serveurs web qui subit la paralysie. La firme met en avant son outil 6cure Threat Management qui évalue les différentes stratégies de réponse et coordonne ces dernières dans un rapport sur l’efficacité des contremesures.

Chez A10, Thunder CGN étend la connectivité réseau IPv4, et fournit des capacités de migration IPv6 pour faciliter l'intégration des mobiles.
Chez A10, Thunder CGN étend la connectivité réseau IPv4, et fournit des capacités de migration IPv6 pour faciliter l’intégration des mobiles.

La réponse aux attaques par le matériel

Pour A10 Network, l’argument de défense se situe dans le hardware apte à supporter des attaques de 10 à 500 gbits/s. Car les botnets qui menacent les entreprises sont constitués de milliers de PC capables désormais de créer des flux de plusieurs centaines de Gbits.

Chez A10, l’équipement de référence Thunder CGN est construit autour du système d’exploitation ACOS associé à une plate-forme multiprocesseurs de la société. Il permet aux entreprises d’étendre leur connectivité réseau IPv4, et leur fournit des capacités de migration IPv6 pour faciliter l’intégration des mobiles. Pour Alexandre Bertuzzi, vice-président Europe du Sud de la firme, c’est surtout la puissance de calcul qui permet de faire la différence. «Nos protections DDoS sont aussi conçues pour aider les opérateurs, fournisseurs de services et les hébergeurs à sécuriser leurs pools d’adresses IPv4 et IPv6, et leurs réseaux contre les attaques internes et externes.» Alexandre Bertuzzi avouait que face à la violence croissante des attaques, les outils conçus à priori pour les opérateurs devenaient désormais pertinents pour les grandes entreprises et hébergeurs.

La puissance de calcul reste la seule méthode pour lutter contre la prolifération des DDoS. Chez F5, c’est aussi une accélération matérielle qui offre pour les serveurs dans le Cloud ou sur site une protection DDoS contre plus de 75 vecteurs d’attaque bien identifiés. La firme veut répondre au spectre complet des menaces réseau, sur les échanges SSL et DNS ainsi qu’au niveau de la couche applicative.

Objets connectés, relais des malwares

Radware a fait le buzz des Assises avec l’intervention de son vice-président, Carl Herberger (ex-responsable sécurité du Pentagone), sur «L’art de la cyberguerre.» Il citait les nouveaux risques que représentaient les objets connectés, relais pour la transmission de malwares. De la même manière que des réseaux de milliers de PC pollués, les «bots» sont capables d’envoyer des attaques sans même que leurs propriétaires le sachent et les appareils connectés, peu ou pas protégés, vont créer des vecteurs d’attaques totalement imprévus. Les solutions de défense paraissent toutes à terme passer par des applications de Big Data.

295 nouvelles familles de menaces mobiles en un seul trimestre !

fsecure

Au 2e trimestre 2014, 295 nouvelles familles de menaces mobiles (sans compter les nombreuses variantes !) ont été découvertes par le Lab F-Secure (294 sur Android et 1 sur iOS). Les principales menaces sur Android sont liées à des Chevaux de Troie. Ces malwares récoltent des données sur un appareil pour les envoyer à un serveur distant, envoient des SMS à des numéros surtaxés ou permettent même à un pirate de prendre le contrôle de votre téléphone. Dans le top 3 des menaces du genre : EROPL, SMSSEND et FAKEINST.


Une approche purement française pour la sécurité ?

Le respect de la réglementation locale dans chaque secteur professionnel est une réalité (lire notre article «Des pare-feu très spéciaux»). Mais ces politiques de sécurité spécifiques arrivent aussi chez les fabricants de firewall classiques. Elles ne font qu’étendre les fonctions de filtrage classiques et l’avantage du spécifique lié aux produits français est entrain de diminuer. Tous les grands fabricants ont compris qu’en promettant des extensions paramétrables, ils arriveraient à rendre leurs produits plus pertinents dans certains secteurs professionnels. Chez Watchguard par exemple l’extension Policy Map agrège des informations disparates sur les politiques de sécurité, les applications et les flux de trafic associés, et les présente dans un tableau de bord interactif. Elle permet notamment de réaliser des audits, de détecter les politiques mal configurées et d’identifier les comportements inhabituels.

Policy Map cartographie les politiques de sécurité interactives pour les UTM et pare-feu de nouvelle génération de Watchguard.
Policy Map cartographie les politiques de sécurité interactives pour les UTM et pare-feu de nouvelle génération de Watchguard.