DDoS: les institutions financières, une cible privilégiée

«Capital One et d'autres fournisseurs de services financiers américains ont récemment été la cible d'attaques par déni de service distribué menées par des tiers sophistiqués. À au moins une occasion, ces attaques ont réussi à perturber les services bancaires en ligne des consommateurs pendant un certain temps. Si ces attaques réussissent, ou si les clients ne peuvent pas accéder à leurs comptes en ligne pour d'autres raisons, cela pourrait avoir un impact négatif sur notre capacité à gérer les comptes clients ou les prêts, à effectuer des transactions financières pour nos clients ou à exploiter de toute autre manière l'une de nos activités ou services en ligne...»

Ampleur du phénomène

Les attaques par ransomware et DDoS sont deux des menaces de cybercriminalité actuelles les plus importantes.

Les attaques DDoS deviennent rapidement l’un des types de cybermenaces les plus répandus, connaissant une croissance rapide en nombre et en volume au cours de l’année écoulée, avec une augmentation significative du nombre d’attaques au cours des deuxième et troisième trimestres 2023.

Le rapport, DDoS: Here to Stay, a révélé que plus d'un tiers (35 %) de toutes les attaques DDoS en 2023 visaient le secteur des services financiers, qui a dépassé le secteur des jeux en tant que secteur vertical le plus attaqué. Poussé par une montée en puissance spectaculaire des botnets et du hacktivisme motivés par la guerre russo-ukrainienne, le secteur des services financiers a connu une augmentation de 154 % des attaques DDoS entre 2022 et 2023.

Les attaques par déni de service distribué (DDoS) ont augmenté de 63,5 % dans la région européenne, ce qui représente plus du double du nombre d'attaques par rapport à la deuxième région en tête.

Dans la région Europe, Moyen-Orient et Afrique (EMEA), le secteur des services financiers représentait 66 % de toutes les attaques DDoS, contre 28 % en Amérique du Nord. Dans la région APAC, les services financiers se classent au troisième rang des secteurs les plus attaqués, représentant 11 % des attaques DDoS. Nous disposons pas d'informations spécifiques concernant la Tunisie, mais il est clair que le phénomène peut toucher n'importe quelle institution financière.

Motivations

La concentration des attaques DDoS dans la région EMEA met en évidence l’utilisation des DDoS comme outil à des fins politiques, d’hacktivisme et de cyberguerre, en particulier en relation avec la guerre entre la Russie et l’Ukraine.

De nombreuses attaques DDoS sont motivées par une idéologie et attaquent fréquemment des organisations puissantes, telles que de grandes banques commerciales, des institutions publiques, des installations militaires et des agences gouvernementales, selon un rapport. Les auteurs ont également observé un changement dans les modèles d’attaques au cours de l’année, notamment davantage d’attaques contre les applications et les pages Web.

Les grandes entreprises et les banques dont la marque est fortement reconnue sont plus susceptibles d'être ciblées, car les attaquants visent à créer l'apparence d'une perturbation et d'une désinformation généralisées

Les banques victimes soulignent que ces attaques sont menées par des adversaires puissants, y compris des acteurs étatiques étrangers, dans certaines circonstances, comme moyen de promouvoir des objectifs politiques.

les attaques DDoS peuvent perturber les opérations commerciales, entraînant une perte de crédibilité, de confiance des clients et des dommages financiers.

De plus, les attaques DDoS peuvent servir d’écran de fumée à d’autres activités malveillantes, telles que le vol de données ou le cyber-espionnage. En effet, des États-nations, des attaquants de ransomwares, des groupes criminels et les hacktivistes ont tous exploité le DDoS dans le cadre d'attaques ou de campagnes ponctuelles, en utilisant souvent des services DDoS à faible coût disponibles sur les marchés clandestins.

«Même si les attaques DDoS constituent un problème séculaire, les tensions géopolitiques accrues suscitent une attention renouvelée alors que les États-nations et les hacktivistes cherchent à perturber les opérations et à briser la confiance dans le système financier mondial », a déclaré Teresa Walsh, directrice du renseignement et directrice générale de l’EMEA chez FS-ISAC. « Ces campagnes DDoS deviennent de plus en plus persistantes et multi-vecteurs car elles ciblent tous les domaines du secteur financier, y compris la gestion de patrimoine, les banques, les cartes de crédit, les paiements numériques et les assurances. »

Résumé de toutes motivations d'une attaque DDoS

Extorsion

Les pirates peuvent utiliser des attaques DDoS pour persuader une entreprise de payer une rançon. Certains pirates lancent des attaques DDoS, puis exigent un paiement pour empêcher une attaque à grande échelle. D’autres se lancent directement dans l’assaut et promettent de s’arrêter seulement après que la victime aura payé une rançon.

Politique

Parfois, les gouvernements utilisent (prétendument) des attaques DDoS pour faire taire la dissidence, entraver les communications de l’opposition ou même cibler un autre pays. Alternativement, les groupes « hacktivistes » peuvent utiliser des attaques DDoS contre des sites Web gouvernementaux ou d'entreprises.

Sabotage d'entreprise

Le DDoS est un outil attrayant, quoique contraire à l’éthique, pour les entreprises qui cherchent à prendre l’avantage sur un concurrent. Même quelques minutes d’arrêt peuvent causer d’importants dommages financiers et à la réputation. Les attaques DDoS peuvent amener les utilisateurs à se tourner vers ce qu’ils pensent être des options plus fiables. 

Comme distraction

Les attaques DDoS sont des événements majeurs qui nécessitent une attention immédiate et concentrée, ce qui les rend idéales pour détourner l'attention d'une victime d'autres faiblesses potentielles. Les pirates peuvent utiliser le DDoS comme une feinte pour occuper les victimes pendant qu'elles exécutent leur attaque principale, comme un vol financier ou de données.

A titre d'essai

Les attaques DDoS peuvent donner aux pirates informatiques un aperçu de la solidité de l'infrastructure de sécurité d'une cible. Les organisations utilisent parfois les DDoS contre elles-mêmes pour la même raison : tester leur réseau et identifier les points faibles potentiels.

Comme preuve de compétence

Une attaque DDoS réussie contre une cible importante n’est pas une mince affaire. Certains pirates informatiques mènent des attaques DDoS uniquement pour leur satisfaction personnelle et pour prouver leur crédibilité en matière de piratage. Il n'y a pas de meilleur moyen de montrer un botnet qu'avec une attaque DDoS dévastatrice.

DDoS et Mode opératoire

Qu'est-ce qu'une attaque DDoS ?

Une attaque par déni de service distribué (DDoS) est une tentative malveillante de perturber le trafic normal d'un serveur, d'un service ou d'un réseau ciblé en submergeant la cible ou son infrastructure environnante avec un flot de trafic Internet.

Fonctionnement et objectifs des attaques DDoS

Une attaque DDoS (Distributed Denial of Service) est une cyberattaque malveillante qui vise à faire planter des sites Web ou des serveurs en les inondant de trafic Internet. L'afflux soudain de trafic submerge l'infrastructure du site ciblé, ce qui entraîne généralement sa panne. Les utilisateurs réguliers du site ou du service ne pourront pas y accéder tant que l'attaque DDoS n'est pas résolue.

Les attaques DDoS se produisent lorsqu'une menace exploite plusieurs systèmes informatiques compromis comme sources de trafic d'attaque. Les machines exploitées peuvent inclure des ordinateurs et d'autres ressources connectées à Internet telles que des dispositifs IoT (ou IdO-Internet des objets).

La plupart des attaques DDoS sont menées via des botnets – de vastes réseaux d'ordinateurs infectés par des logiciels malveillants, d'appareils IoT intelligents et d'autres appareils connectés à Internet contrôlés par des pirates. L'attaquant demande aux appareils du botnet d'envoyer des quantités massives de demandes de connexion à un site Web cible ou à l'adresse IP d'un serveur. Le résultat final d’une attaque DDoS réussie est d’empêcher le site Web ou le service ciblé de servir les visiteurs réguliers.

Types courants d'attaques DDoS

Bien que toutes les attaques DDoS partagent le même objectif, les techniques utilisées peuvent varier. Différents types d'attaques DDoS utilisent différentes méthodes pour cibler différentes couches du modèle OSI (Open Systems Interconnection), le cadre qui régit les connexions réseau sur Internet.

Attaques de la couche application

Forme d'attaque DDoS la plus courante, les attaques de couche application génèrent des quantités écrasantes de requêtes HTTP qui épuisent rapidement la capacité de réponse du serveur cible. Il est difficile de faire la distinction entre les requêtes HTTP légitimes et malveillantes, ce qui rend ces attaques difficiles à contrer.

La septième et dernière couche du modèle OSI est la couche d'application, qui comprend des logiciels tels que des applications Web, des applications connectées à Internet et des services cloud avec lesquels les utilisateurs interagissent lorsqu'ils utilisent Internet. Les attaques de la couche application sont également appelées attaques de couche 7 .

Attaques de protocole

Les attaques de protocole exploitent les faiblesses des protocoles ou des procédures qui régissent les communications Internet. Ils peuvent se produire soit sur la troisième couche (réseau), soit sur la quatrième couche (transport) du modèle OSI. Les protocoles Internet étant des standards mondiaux, la mise à jour d’un protocole pour réparer une faiblesse prend beaucoup de temps.

Les attaques de connexion TCP ou les inondations SYN manipulent les poignées de main TCP qui lancent de nombreuses communications Internet. Les attaquants envoient des requêtes TCP usurpées avec de fausses adresses IP. La cible répond, puis attend la fausse adresse IP pour confirmer la poignée de main. Les poignées de main incomplètes finissent par s'accumuler et submerger le serveur cible.

Attaques volumétriques

Les attaques volumétriques tentent de consommer toute la bande passante disponible de la cible. Ces attaques créent une congestion excessive en amplifiant les demandes de données pour envoyer des quantités massives de trafic vers un serveur ciblé. Les attaques par amplification DNS redirigent les requêtes DNS vers l'adresse IP de la victime. L'attaquant soumet des requêtes DNS usurpées avec l'adresse IP de la victime, et les serveurs DNS répondent à la victime, détruisant ainsi sa bande passante.

Symptomes et conséquences des attaques DDoS

Toute personne tentant de visiter le site ou d'utiliser le service lors d'une attaque DDoS ne pourra pas se connecter. Le résultat final d’une attaque DDoS réussie étant d’empêcher le site Web ou le service ciblé de servir les visiteurs réguliers. Les DDoS constituent une menace importante pour les services financiers dans le monde entier en perturbant la disponibilité de services ciblés pour les utilisateurs légitimes. Pour les services financiers, cela peut entraîner une perte de revenus, une insatisfaction des clients et une atteinte à la réputation de la marque. Les conséquences des attaques DDoS peuvent être graves, notamment :

• Interruption de service : Empêchement des utilisateurs légitimes d'accéder aux services en ligne.

• Pertes financières : Entraîne des pertes de revenus directes pour les entreprises.

• Dommages à la réputation : Affecte la confiance des clients et la réputation de la marque.

• Coûts de mitigation : Nécessite des investissements dans des mesures de défense et de récupération.

Si vous êtes victime d'une attaque DDoS, vous constaterez une soudaine poussée de trafic entrant juste avant que votre serveur ne tombe en panne sous la pression. Si vous visitez un site Web soumis à une attaque DDoS, il se chargera extrêmement lentement ou vous donnera une erreur 503 « service indisponible » . Vous ne pourrez probablement pas utiliser ce site jusqu'à ce que l'attaque soit terminée ou repoussée. Si votre ordinateur est utilisé dans un botnet pour mener une attaque DDoS, vous pouvez rencontrer ces signes d'avertissement :

·    Chutes soudaines de performances

·    Messages d'erreur fréquents

·    Pannes du système

·    Vitesse Internet considérablement réduite

Etude de cas

Attaque DDoS contre une grande banque européenne

Dans le domaine de la cybersécurité, la vigilance est primordiale, comme en témoigne un récent incident impliquant une grande banque européenne touchée par une attaque Web DDoS. Une attaque Web DDoS Tsunami est une forme extrême d’inondation DDoS HTTPS conçue pour submerger et déjouer les protections standard. Cette banque s’est retrouvée lors d’une matinée qui a débuté comme les autres, dans une attaque Web DDoS record.

À mesure que la journée avançait, l'attaque évoluait, devenant plus sophistiquée et avec un volume plus élevé. Il était évident que les assaillants étaient déterminés à briser les défenses de la banque par tous les moyens nécessaires.

La banque s'est retrouvée ensuite sous des tirs inattendus. L’attaque a ciblé la plateforme commerciale, la bombardant de rafales de requêtes atteignant 140 000 requêtes par seconde. Ce premier assaut fut la première indication de la gravité de la menace.

Les attaquants ont par la suite employé une tactique stratégique, lançant de courtes rafales d'activités visant à submerger le système pour épuiser les ressources. Malgré leur brièveté, ces attaques ont eu un impact important, contribuant à un total de près de 200 millions de requêtes en quelques heures.

Grâce à un effort hautement sophistiqué et coordonné, ils ont finalement bombardé la banque avec un nombre stupéfiant de 3,5 millions de requêtes par seconde. 

Cet assaut massif a eu lieu en plusieurs vagues, et a mis à rude épreuve les défenses de la banque.

Comment la banque a pu atténuer les effets de cette attaque ?

Malgré la sophistication et l’ampleur de l’attaque, la banque a pu limiter l’impact sur ses opérations grâce à des contre-mesures rapides et efficaces. Des stratégies de répartition de la charge ont été mises en œuvre pour garantir que les services critiques restent opérationnels, minimisant ainsi les interruptions pour les clients.

Autres Exemples d'attaques DDoS : Les institutions bancaires américaines sont de plus en plus réticentes à reconnaître, voire à discuter, des attaques par déni de service distribué (DDoS) contre leurs services en ligne. Cette réticence peut s'expliquer par la crainte de provoquer une panique chez les consommateurs ou de fournir des informations aux hacktivistes, qui pourraient améliorer leurs capacités d'attaque. Cependant, dans de récentes déclarations réglementaires, les plus grandes banques du pays parlent franchement des attaques DDoS et de leur impact.

Citigroup

Citigroup mentionne : « En 2012, Citi et d'autres institutions financières américaines ont subi des attaques par déni de service distribué visant à perturber les services bancaires en ligne des consommateurs. Les services de surveillance et de protection de Citi ont pu détecter et répondre à ces incidents avant qu'ils ne deviennent significatifs, mais ils ont néanmoins entraîné des pertes limitées dans certains cas et une augmentation des dépenses pour surveiller la menace de futurs cyber-incidents similaires. ».

Autres banques attaquées

JPMorgan Chase & Co., Bank of America, Goldman Sachs Group, US Bancorp, HSBC North America et Capital One reconnaissent également une cyberactivité accrue, qualifiant spécifiquement les DDoS de menace émergente et permanente.

Importance de la cyber-résilience

Ces incidents  ont montré la nécessité pour les banques de renforcer en permanence leurs défenses contre les cyberattaques de plus en plus sophistiquées. Ces incidents soulignent l'importance de la cyber-résilience pour les institutions financières, les attaques DDoS devenant de plus en plus sophistiquées et fréquentes.

Les organisations peuvent atténuer les impacts de ces attaques grâce à des politiques de cyberhygiène réfléchies, notamment en évaluant régulièrement leurs réseaux, leurs applications et leurs mesures de sécurité. Les entreprises doivent être préparées à ces menaces en mettant en place des mesures de sécurité robustes, en adoptant des technologies d'apprentissage automatique pour la détection précoce des anomalies et en collaborant avec des experts en cybersécurité.

Le Machine Learning (ML), l'apprentissage automatique, peut automatiquement répondre à la stratégie DDoS pour des régions spécifiques. Par exemple, sur la base de notre observation précédente de l’augmentation des attaques DDoS en Europe, le ML peut aider les banques multinationales à rendre automatiquement la région européenne plus stricte en raison de modèles de trafic anormaux inhabituellement élevés. Les algorithmes de ML peuvent analyser les modèles de trafic et identifier un comportement anormal indiquant des attaques DDoS. Sans apprentissage automatique, l’atténuation des attaques DDoS nécessitera de nombreuses interventions et coordinations manuelles, ce qui la rendra inefficace et potentiellement inefficace.

Les institutions financières, en particulier, doivent être vigilantes et investir dans des technologies de cybersécurité avancées pour détecter, atténuer et répondre efficacement aux attaques DDoS. Les entreprises doivent également surveiller leur réseau avec des solutions de cybersécurité d'entreprise tout-en-un, comme Avast Business Endpoint Protection et AVG Business Edition, pour détecter et répondre aux menaces et aux incursions.

Comment se défendre contre les attaques DDoS

Si vous dirigez une entreprise ou gérez un réseau, vous devrez peut-être vous prémunir contre les attaques DDoS ciblant vos serveurs. Étant donné que les attaques DDoS sont menées simultanément à partir de plusieurs vecteurs, il peut être difficile de séparer le trafic malveillant des sources authentiques.

 Avast Ultimate Business Security est une solution de cybersécurité d'entreprise tout-en-un qui assure la sécurité de votre réseau. Détectez et répondez aux menaces et aux incursions à partir d'un tableau de bord central, mettez à jour tous vos logiciels, accédez à distance à n'importe quel appareil, et bien plus encore. Avast Business Hub vous permet de surveiller l'ensemble de votre réseau à partir d'un seul tableau de bord facile à utiliser.

Sécurisez vos appareils avec une cybersécurité de pointe

Il est essentiel de garder les pirates informatiques et leurs logiciels malveillants à l'écart pour empêcher que vos appareils soient infectés et utilisés dans une attaque DDoS.

Ces conseils restent de rigueur autant pour les particuliers que les employés des organisations tels que les banques.

*Méfiez-vous des liens ou des pièces jointes étranges.

*Utilisez des mots de passe forts.

*Mettez à jour vos logiciels.

*Gardez un œil sur tout comportement erratique pouvant indiquer la présence d’un malware botnet. Vous savez à quoi ressemblent les performances typiques de votre ordinateur, vous saurez quand elles faibliront.

Conclusion

Les attaques DDoS représentent une menace croissante pour le secteur des services financiers, avec des conséquences potentiellement graves en termes de pertes financières, de réputation et de confiance des clients. Les institutions financières doivent rester vigilantes et proactives dans la mise en place de stratégies de défense efficaces pour contrer ces menaces dont  la gestion correctifs inclus dans les solutions endpoint de dernière génération tels que d’Avast Business Endpoint Security qui détecte et bloque les logiciels malveillants, les e-mails de phishing et autres techniques utilisées par les cybercriminels pour prendre le contrôle des appareils des organisations. Les organisations peuvent atténuer les impacts de ces attaques grâce à des politiques de cyberhygiène réfléchies, notamment en évaluant régulièrement leurs réseaux, leurs applications et leurs mesures de sécurité. Les entreprises doivent être préparées à ces menaces en mettant en place des mesures de sécurité robustes, en adoptant des technologies d'apprentissage automatique pour la détection précoce des anomalies et en collaborant avec des experts en cybersécurité. Enfin, la collaboration entre les secteurs public et privé, ainsi que l'adoption de technologies innovantes, sont autant d’éléments clés pour renforcer la résilience et garantir la sécurité des opérations financières à l'échelle mondiale.