6cure est une entreprise spécialisée dans le management de la réaction aux cyberattaques et dans la lutte contre les attaques par Déni de Service Distribué (DDoS). Entretien avec Fabrice Clerc.
Existe-t-il des attaques plus difficiles à repérer que d’autres ?
Oui, les attaques par amplification ou “pulsantes”, comme nous les appelons, sont particulièrement sournoises. L’idée est de produire une très forte intensité de connexion, mais sur un laps de temps très court et reproduit à intervalles réguliers. Comme les dispositifs de protection s’appuient sur l’observation d’une surconsommation de bande passante, ils vont être relativement inefficaces. La surconsommation globale occasionnée est négligeable dans la plupart des cas. C’est “l’épaisseur du trait”. Il y a donc peu de chances que ce type d’attaque soit détecté par les dispositifs de détection traditionnels et passe au travers des grosses mailles des opérateurs. D’où l’importance de ne pas s’appuyer uniquement sur eux et d’avoir son propre dispositif de protection.
Et si un dispositif de surveillance se réveille malgré tout ?
Quand bien même ce serait le cas, si une pulsation réveille un dispositif de surveillance traditionnel, ce dernier va se mettre en posture d’observation continue. Il va donc essayer de détecter un plateau continu de surconsommation des ressources. Sauf que ce plateau n’existe pas puisque la surconsommation n’a lieu qu’à intervalles réguliers et de manière très fugace. Donc, il est très probable que les dispositifs traditionnels ne puissent pas fonctionner, même dans ce cas là où ils se mettraient en éveil après la première pulsation.
L’attaque présente-t-elle un inconvénient pour les attaquants ?
Oui, elle est plus complexe que les autres. L’attaque va mettre un tout petit peu plus de temps à produire ses effets. Dans le principe, l’objectif est que lorsqu’une pulsation se termine, la suivante se produise avant que le dispositif attaqué n’ait récupéré 100 % de sa capacité de telle sorte que le système visé accumule du retard dans sa capacité fonctionnelle et que, au bout d’un certain temps, il s’effondre. Sans surprise, tout cela est bien plus sophistiqué à paramétrer pour l’attaquant.