Ceci est un article d’opinion. Les opinions exprimées sont celles de l’auteur.

Vous avez à peine remarqué que la Suède a été frappée par une vague d’attaques DDoS (Distributed Denial-of-Service). Depuis février, de graves attaques de surcharge se sont succédées en Suède et au Danemark. Ils ont détruit les sites Web et les services de tout, des organisations et agences gouvernementales aux aéroports et institutions financières.

Il suffit de penser à il y a quelques mois, lorsque SAS a été durement touchée par une attaque qui a fait tomber le site Internet de l’entreprise pendant plusieurs jours. Il s’agissait d’attaques qui ont contourné les protections DDoS et les solutions de pare-feu d’application Web (WAF) des victimes grâce à une combinaison de créativité malveillante et de cyberforce brute et brute, comme si elles n’existaient pas.

Mais les attaques ne concernent pas seulement la Suède et le Danemark : nous assistons à des attaques contre des partenaires commerciaux dans toute l’Europe et elles deviennent de plus en plus importantes et intenses. Et les attaques proviennent principalement d’un seul pays : la Russie. Groupes hacktivistes russes et réseaux de hackers pro-russes tels que KillNet, NoName057(16), Team Insane PK, Mysterious Team, Passion Group et peut-être le plus célèbre ici en Suède : Anonymous Soudan.

Des organisations comme la nôtre peuvent encore repousser les attaques violentes pour le moment, mais si des attaques comme celle-ci peuvent paralyser les aéroports français pendant des jours, une question importante se pose : sommes-nous, en tant que communauté européenne, prêts à faire face à des attaques DDoS si, dans un avenir proche, elles devaient une intensité de près de 900 000 Demandes par seconde (RPS) ?

Tsunami DDoS

La nouvelle vague d’attaques a augmenté régulièrement depuis février, même si l’intensité a été la plus forte, notamment contre les pays nordiques et la Suède/Danemark en particulier à la fin du printemps. Par la suite, les groupes russes ont ciblé d’autres cibles critiques en Europe, notamment les aéroports français, et plus récemment, nous avons assisté à une forte concentration sur la Finlande – surtout après que ce pays a rejoint l’OTAN.

On voit entre autres choses le collectif KillNet faire des déclarations politiques, provoquer chaos et troubles sociaux, et servir d’appât pendant que les employés du groupe tentent de s’introduire par des portes dérobées.

La méthode utilisée par les cybercriminels pro-russes est une nouvelle attaque tsunami HTTP DDoS sophistiquée et agressive, mais également extrêmement difficile à détecter et à prévenir sans bloquer simultanément le trafic légitime. La protection DDoS plus traditionnelle basée sur le réseau et le pare-feu pour applications Web ne suffisent plus à atténuer ce type d’attaque. Les nouvelles attaques se traduisent simplement par un nombre excessif de requêtes (RPS), qui surchargent les serveurs web et les pare-feu et les obligent à s’arrêter.

Les attaques visent même à contourner les solutions courantes de surveillance basées sur les signatures. Cela signifie que les équipes de sécurité doivent passer des heures et des jours à analyser le trafic pour créer de nouvelles règles, ce qui n’a finalement pas d’importance car les cybercriminels ont alors remplacé leur surface d’attaque par un nouvel ensemble de requêtes HTTP.

Les attaques dures que nous avons enregistrées ont duré quatre heures avec un pic de 880 000 RPS – une attaque absurdement importante comme nous n’en avons jamais vu auparavant – et quelques jours plus tard, une attaque similaire a duré deux heures avec 740 000 RPS.

Nouvelles méthodes d’attaque – nouvelles méthodes de défense

La solution aux nouveaux types d’attaques consiste à repenser la manière dont nous les stoppons. Dans le passé, il incombait à chaque organisation de stopper les attaques par surcharge, mais cette méthode ne fonctionne plus. Il y a tout simplement trop d’attaques, elles sont trop avancées et trop puissantes, même les plus petites. Seules les plus grandes entreprises disposant des budgets les plus importants ont la capacité de donner la priorité à une protection capable de stopper ce type d’attaques – et elles choisissent souvent d’établir des priorités différentes.

Au lieu de cela, la protection des entreprises et des organisations – grandes et petites – devrait se faire au niveau de l’infrastructure. Car lorsque nous voyons des hôpitaux, des aéroports, des infrastructures critiques et des systèmes bancaires souffrir d’attaques de surcharge pouvant causer de graves dégâts et même coûter des vies, cela ne devrait pas incomber à des organisations individuelles – d’autant plus qu’il existe une alternative : une communauté européenne contre les menaces extérieures. , où il ne s’agit pas de profit, mais de notre bien commun.