Retour technique sur le blocage, mardi dernier, du site du ministère de la Défense dont le groupe de hackers activistes Anonymous est à l’origine. Nous avons posé trois questions à Hervé Schauer, expert en sécurité des systèmes d'information et directeur associé d'HSC by Deloitte.
Quel type d’attaque a visé le site du ministère de la Défense ?
Malheureusement le type précis d'attaque n'a pas été communiqué. Pour moi, c'est un déni de service réparti avec réflexion et amplification, ce qui est appelé un RDDoS (Relfected Distributed Denial of Service) avec amplification en anglais. Par contre, il est difficile d’en deviner les détails comme savoir si cela utilisait le DNS ou NTP par exemple.
Quelle portée ?
Attaquer un site Web d'un grand ministère a une portée symbolique donc médiatique, la preuve vous en parlez. Mais c'est comme mettre un graffiti sur le mur du chantier de Balard, c'est mignon mais complètement inutile et sans conséquence. Les attaques sérieuses sont celles utilisant des logiciels malfaisants en vue d'exfiltrer des informations, là ce n'est pas le cas.
Quelles mesures préventives ?
La protection contre ce type de dénis de service ne peut se faire que via des acteurs spécialisés avec lesquels contractualiser un service de nettoyage des paquets, de restriction des flux sur les routeurs amont, par exemple n'autoriser que TCP/80 chez le fournisseur de connectivité bloque les flux UDP qui sont ceux utilisés pour les RDDOS, de limitation temporaire du routage des systèmes autonomes non-indispensables, etc. Pour se protéger des attaques depuis des botnets par réflexion c'est couteux, et pour un site Web de ministère, cela ne présente aucun intérêt.