Botnets et attaques DDoS : comment les pirates paralysent vos sites web préférés

La puissance des botnets ne cesse de croître. Un botnet bien structuré et mondialisé peut perturber de vastes pans d'Internet, au-delà de simples sites isolés. Pourtant, la plus massive attaque DDoS enregistrée n'a pas reposé sur une architecture botnet traditionnelle.

Examinons comment la puissance des botnets s'accroît et pourquoi la prochaine attaque DDoS fera probablement date par son ampleur inédite.

Comment les botnets se développent-ils ?

Selon SearchSecurity, "un botnet est un réseau d'appareils connectés à Internet – PC, serveurs, mobiles ou objets connectés – infectés et contrôlés par un malware. Les victimes ignorent souvent l'infection de leur système."

Contrairement aux malwares isolés, les botnets coordonnent un ensemble de machines compromises. Ils se propagent via des spams piégés ou des pièces jointes infectées, et servent à l'envoi de spam, au vol de données, à la fraude au clic ou aux attaques DDoS.

L'expansion rapide de la puissance d'attaque des botnets

Jusqu'en 2016, les botnets suivaient des structures connues des experts en sécurité. Puis, une série d'attaques massives a marqué un tournant.

1. Septembre 2016. Le botnet Mirai cible le site de Brian Krebs avec 620 Gbps, stoppé par la protection DDoS d'Akamai.
2. Septembre 2016. Mirai frappe OVH à 1 Tbps.
3. Octobre 2016. Attaque sur Dyn (1,2 Tbps) paralyse Airbnb, Amazon, Twitter et bien d'autres sur la côte Est des États-Unis.
4. Novembre 2016. Mirai coupe les communications au Liberia.
5. Mars 2018. GitHub subit la plus grande attaque DDoS (1,35 Tbps).
6. Mars 2018. Arbor Networks enregistre 1,7 Tbps via son système ATLAS.

Ces attaques progressent en intensité. Auparavant, le record était de 500 Gbps contre des sites pro-démocratie à Hong Kong.

Ce bond s'explique par une technique DDoS innovante, sans besoin de millions de bots infectés.

Attaques DDoS Memcached

Cette méthode exploite le service Memcached. Parmi ces attaques, GitHub et ATLAS ont utilisé Memcached pour amplifier le trafic à des niveaux records. Qu'est-ce que Memcached ?

Memcached est un service légitime sur Linux qui met en cache les données pour soulager disques et bases de données. Typiquement sur serveurs, il ne doit pas être exposé à Internet.

Il utilise UDP sans authentification, accessible à quiconque. Un attaquant peut spoof l'IP de la cible, interrogeant des serveurs Memcached. Les réponses massives noient la victime en DDoS.

Pire, Memcached amplifie le trafic : un facteur de 10 000 à 52 000 (Akamai évoque jusqu'à 500 000 !).

Quelle est la différence ?

Les DDoS Memcached n'exigent pas de botnets massifs, mais des serveurs Linux mal sécurisés.

Cibles à haute valeur

Avec ce potentiel destructeur, attendez-vous à plus d'attaques Memcached. Cybereason a observé leur usage pour livrer des ransomwares : une note de rançon (en Monero) est placée sur un serveur Memcached et bombardée sur la cible.

Comment se protéger ?

Face à Memcached, les utilisateurs lambda sont impuissants. Vérifiez vos serveurs Linux !

Pour les botnets classiques :

• Mettez à jour votre système d'exploitation.
• Actualisez votre antivirus.
• Optez pour un antimalware comme Malwarebytes Premium (protection temps réel).
• Activez et renforcez le filtre anti-spam.
• Méfiez-vous des liens suspects, surtout en e-mails non sollicités.

La cybersécurité exige vigilance, pas effort surhumain.

Crédit image : BeeBright/Depositphotos