Mitigation des attaques lentes et discrètes contre les applications et les API
This post is also available in:
Anglais 
Allemand 
Italien 
Portugais - du Brésil 
Espagnol 
Russe
Les attaques lentes et discrètes (low-and-slow) reviennent en force. 65% des entreprises ont subi des attaques de ce type en 2020, et 30% y sont confrontées tous les mois. Ces cinq minutes de lecture ne seront pas perdues !
Quand un pirate veut mettre hors service une application, le plus simple est de lancer un trafic énorme vers cette dernière et de paralyser son serveur (déni de service distribué, ou DDoS). Il existe pourtant aujourd’hui de nombreuses technologies capables de détecter et de bloquer de telles tentatives, soit par blocage basé sur l’IP ou la signature, soit par gestion des quotas, soit par des solutions spécialisées de mitigation de DDoS.
Le mois dernier, nous avons vu revenir, en plus des invasions, une autre technique aussi ancienne qu’efficace : l’attaque lente et discrète. Fin février, Radware avait déjà constaté une augmentation de 20 % de ce type d’attaque contre ses clients par rapport au quatrième trimestre 2020.
Petit rappel concernant les attaques lentes et discrètes
Plutôt que de générer une augmentation soudaine du volume de trafic, ces attaques à faible débit passent inaperçues. Elles visent à mettre hors service un système ciblé, en toute discrétion, en laissant des connexions ouvertes sur ce système. Pour cela, elles créent un nombre assez faible de connexions sur une période donnée et laissent ces sessions ouvertes le plus longtemps possible.
Les méthodes courantes comprennent l’envoi de requêtes HTTP partielles, et l’envoi de petits paquets de données ou de messages réguliers, évitant ainsi que la session soit suspendue ou interrompue. Ces vecteurs d’attaque sont non seulement difficiles à bloquer, mais aussi difficiles à détecter.
[Sur le même thème : Comment sécuriser les API dans un monde interconnecté ?]
Différents outils connus sont à la disposition des pirates pour lancer de telles attaques, notamment SlowLoris, SlowPost, SlowHTTPTest, Tor’sHammer, R.U.Dead.Yet et LOIC.
Les attaques lentes et discrètes, qui se sont autrefois montrées très efficaces contre les applications, profitent de la protection moindre des API pour se frayer un chemin jusqu’à leur cible. En raison de leur faible débit et de leur apparence de tentative légitime de connexion à l’application ou aux ressources du serveur, une autre technologie de mitigation est nécessaire. La source doit être bloquée sur la base du comportement plutôt que de la réputation.
Blocage comportemental
La synchronisation entre les composants de détection et de mitigation est l’une des raisons pour lesquelles Radware est un leader reconnu dans le domaine de la protection contre les attaques DDoS : Les algorithmes d’apprentissage comportemental surveillent et mesurent les temps de réponse des connexions TCP du client et du serveur, et s’assurent que la source interagit réellement avec l’application, de la manière attendue.
Cette méthode ne nécessite aucune interaction avec l’application et ne présente aucun risque pour celle-ci, car la mitigation intervient au niveau de la session. Ensuite, grâce à un mécanisme de signalement unique et de workflows automatisés, les tentatives suivantes sont bloquées à la périphérie du réseau, sans impact sur l’application.
