L’éditeur français de solutions anti-DDoS monte en puissance dans la protection des serveurs DNS, des infrastructures souvent négligées mais qui peuvent causer de gros dégâts pour un effort minium pour l’attaquant, explique Fabrice Clerc, président de 6cure, à SOlutions Numériques.
6cure renforce ses solutions de protection DNS. A la lutte anti-DDoS, l’éditeur français ajoute des outils de détection des attaques contre les serveurs de noms de plus en plus évoluées. Fabrice Clerc, président de 6cure, explique cette montée en puissance : « Nous nous sommes intéressés aux infrastructures DNS en partant du constat que ces dernières sont particulièrement vulnérables à des attaques DDoS et en particulier à celles qui nécessitent très peu de moyens. Avec peu d’efforts à déployer pour l’attaquant et de faibles volumétries de requêtes, il est possible de mettre à mal une infrastructure DNS et compromettre toutes les communications d’un opérateur. Chez certains de nos clients à l’étranger, nous avons été amenés à contrer ce type d’attaque qui, si elle avait abouti, aurait déconnecté une grande partie du pays ! » S’en prendre à ces infrastructures DNS est très rentable pour un attaquant mais au-delà de ces attaques directes contre l’infrastructure DNS, celle-ci peut être exploitée par les attaquants pour faire tomber l’infrastructure d’autres entreprises : « Les attaques par réflexion/amplification exploitent les ressources DNS d’une entreprise pour faire tomber une cible tierce avec un effet de levier qui peut être considérable. Non seulement les infrastructures DNS ne sont plus disponibles, mais elles sont mises en œuvre pour faire tomber une autre entreprise, ce qui pose aussi la problématique de la responsabilité. » En outre, l’architecture DNS est utilisée pour exfiltrer des données via des tunnels de communication, notamment dans la fraude à la téléphonie, ou encore par certains malwares afin de communiquer avec leurs centres de Control & Command. « Nous avons spécialisé nos boitiers pour contrer ce type d’attaques, et avoir cette visibilité sur le protocole DNS nous donne une grande visibilité sur l’activité internet de l’entreprise et pouvoir ainsi détecter et couper des vecteurs d’attaque qui auraient pu favoriser d’autres types d’attaques. »
Un service d’attaque DDoS pour tester les défenses
En 2021, l’éditeur travaille sur 2 axes : il a d’une part développé un service de test d’attaque « DDoS assesment » pour permettre à une organisation de tester son niveau de robustesse vis-à-vis d’une attaque DDoS. « L’idée est de mettre en place des attaques DDoS monitorées, définir avec le client les scénarios d’attaques qui vont être déroulés, tester les solutions de protection déjà en place chez lui. Nous pouvons mettre en place des enchainements d’attaques et mesurer la réaction de son infrastructure tout au long du test et analsyer comment se comportent les équipements de détection et de réponse. » Deuxième axe de travail pour les ingénieurs de 6cure : ajouter des fonctions de Threat Intelligence dans les solutions de l’éditeur. Les données recueillies vont enrichir les bases de connaissances de manière à mieux partager les menaces entre les clients de l’éditeur pour le bien commun.
Fabrice Clerc réfléchit à des partenariats avec d’autres éditeurs afin de partager au maximum ces bases d’informations, des données d’attaque qui vont aussi alimenter les algorithmes d’intelligence artificielle de l’éditeur pour renforcer les capacités de prédiction d’attaque de ses boitiers.
Alain Clapaud