Match interrompu : comment protéger les événements sportifs des attaques DDoS ?
Il est devenu coutumier que les grands événements sportifs soient la cible d’attaques par déni de service distribué (DDoS).
Avec pour seul but de saturer les équipements de requête afin de les rendre hors service, il n’est pas rare de voir des attaques DDoS lancées durant ces événements de manière persistante ou répétée. Des attaques affectant une multitude de services : de la vente de billets au streaming en direct, en passant par les sites web officiels des événements et ceux des sponsors, voire la buvette du stade.
Face à cette recrudescence, plusieurs questions se posent : quels ont été les événements sportifs les plus touchés ? Quels sont les différents modes opératoires que les cybercriminels utilisent pour lancer ce type d’attaque ? Quelles solutions existent pour se protéger contre ces menaces ? Décryptage.
Les événements sportifs sont des cibles prioritaires pour les cybercriminels
Que ce soit pour nuire à l’image du pays organisateur, impacter économiquement l’événement ou encore altérer l'expérience des téléspectateurs, une attaque DDoS, si elle est réussie, permet de paralyser instantanément une infrastructure.
Si le lancement d’une telle attaque demandait auparavant des compétences, ce n’est plus le cas aujourd’hui. Grâce à l’émergence des plateformes de DDoS-as-a-service (DaaS), les cybercriminels peuvent louer un réseau de botnets pour lancer des cyberattaques. Une facilité d’utilisation qui a contribué à sa large adoption auprès de nombreux groupes cybercriminels.
Cette tendance a été observée par les experts de la société Imperva dès 2021 durant l'Euro de Football. Avec une hausse des attaques de botnets de 96% par rapport au mois précédant la compétition, les experts ont également constaté que le volume de tentatives d'accès à des comptes de parieurs en ligne avec des identifiants volés avait triplé par rapport à la normale.
Outre les événements en eux-mêmes, les sites de paris sportifs sont également visés. En juin 2022, alors que le tournoi de tennis de Wimbledon débutait, les attaques par déni de service ont augmenté, touchant 10 % d’entre eux. L'intérêt pour les cybercriminels ? Multiplier les temps d'arrêt dans un objectif d'extorsion ou encore provoquer une perte de confiance des utilisateurs. Il n'est d'ailleurs pas rare de voir cette dernière stratégie être commanditée directement par des sites de paris sportifs concurrents dans un marché peu ou pas régulé.
Mais s’il y a bien un endroit où l’effet d’une attaque DDos est spectaculaire, c’est bien à la TV et c'est ce qu'ont malheureusement vécu les téléspectateurs polonais lors du championnat de football de l'UEFA Euro 2024. Une attaque DDos ciblant la télévision publique polonaise, TVP, a perturbé la diffusion en ligne du match d'ouverture entre la Pologne et les Pays-Bas. Bien que l'origine de l'attaque reste incertaine, des soupçons se portent sur une possible implication d’hackers russes. Malgré ces difficultés, les autorités polonaises ont rapidement maîtrisé la situation, permettant au match de se dérouler comme prévu.
DDoS-as-a-service : des plateformes d’envoi de campagnes de déni de service disponibles à la location
Avec le développement et la collaboration de groupes de cybercriminels, la difficulté de lancement d’attaque DDoS s’est drastiquement réduite. Selon une étude de l’éditeur de cybersécurité Kaspersky, les analystes ont identifié, au cours du premier semestre 2023, plus de 700 annonces de services permettant le lancement d’attaques DDos sur différents forums du dark web.
Des plateformes permettent de mettre à genoux des entreprises internationales à partir de 20 dollars par jour si celles-ci ne recourent pas à des services de protection. Sophistiquées, ces plateformes proposent plusieurs modes opératoires :
1. Attaques volumétriques
Elles visent à saturer la bande passante de la victime en envoyant un grand volume de trafic. Le but est de consommer toute la bande passante disponible, empêchant ainsi le trafic légitime d'accéder aux serveurs.
L'une des plus utilisées consiste à exploiter des serveurs DNS mal configurés pour générer un volume de trafic disproportionné vers la victime.
C’est ce même mécanisme qui permet de saturer le site officiel d’un événement sportif ou d'une billetterie en ligne.
2. Attaques ciblant les protocoles
Les attaques dites de protocole exploitent les failles des protocoles de communication pour épuiser les ressources des équipements réseau tels que les pare-feux et les équipements d’équilibrage de charge. Elles ciblent principalement les couches 3 et 4 du modèle OSI, perturbant le traitement des connexions réseau.
D’un point de vue technique, c’est une méthode que l'on retrouve dans les attaques de type SYN Flood, où l'attaquant envoie de nombreuses requêtes SYN pour établir des connexions TCP, mais ne termine jamais le processus de handshake, saturant ainsi les ressources de la cible et empêchant les connexions légitimes.
À titre d'exemple, imaginez que vous dirigez une petite boutique avec une seule caisse. De nombreuses personnes entrent dans la boutique, prennent un produit et se dirigent vers la caisse comme si elles allaient payer. Cependant, une fois arrivées à la caisse, elles posent le produit et sortent sans rien dire. De nouvelles personnes continuent d'entrer et de faire la même chose, ce qui empêche les vrais clients de passer à la caisse.
C’est ce type d’attaque qui permet aux cybercriminels de rendre inopérants des équipements en bordure de réseaux (pare-feux), bloquant toute connexion vers l’extérieur.
3. Attaques ciblant la couche application
Ce type d'attaque cible les applications, services web ou serveurs DNS en envoyant des requêtes apparemment légitimes en grand nombre dans le but d’épuiser les ressources de l'application ou du serveur par l’exploitation d'une asymétrie de traitement liée au fonctionnement même du protocole abusé.
Une méthode que l'on retrouve dans les attaques utilisant le script Slowloris, qui vise à épuiser les ressources d'un serveur web en maintenant de nombreuses connexions HTTP ouvertes et incomplètes.
Plutôt que de submerger le réseau avec un volume élevé de trafic, ce programme utilise des requêtes HTTP lentes et partielles. L'attaquant envoie alors des requêtes incomplètes et continue d'envoyer de petites parties à intervalles réguliers pour maintenir ces connexions ouvertes. Cette technique sature les connexions du serveur, atteignant sa limite maximale et empêchant les nouvelles connexions légitimes.
Autre point noir de cette méthode, elle imite les clients légitimes, rendant difficile pour les systèmes de sécurité de différencier le trafic malveillant du trafic normal.
Un mode opératoire particulièrement efficace pour empoisonner le fonctionnement des API des événements sportifs sur lesquelles se basent de nombreuses applications mobiles.
Quelles mesures de protection adopter contre les attaques DDoS ?
Pour aider les professionnels à faire face aux attaques DDoS, Orange Cyberdefense propose une solution complète nommée DDoS Protection. Pilotée par les experts du CyberSOC d'Orange Cyberdefense, cette offre se compose de trois services complémentaires.
Le premier, Web Guardian, protège les sites et applications web en utilisant la technologie Akamai Kona Site Defender. Il offre une protection contre les attaques DDoS et les intrusions grâce à un pare-feu applicatif (WAF) couplé à un réseau de diffusion de contenu (CDN) massivement distribué et hautement résilient.
Le deuxième service, Cleanpipe, protège l'ensemble des adresses IP d'une infrastructure connectée à Internet via le service de transit de l'opérateur Orange (OpenTransit). Il utilise une plateforme de nettoyage (scrubbing center) pour filtrer le trafic malveillant avant de le renvoyer vers les adresses IP de destination.
Le troisième service, Site Guardian, assure une protection sur le site de l'entreprise en nettoyant le trafic en amont des équipements et vise à contenir les dénis de service de nature applicative, y compris ceux visant les serveurs DNS.
Le CyberSOC d'Orange Cyberdefense joue un rôle central dans ce processus. Il définit la stratégie de défense, détecte les incidents 24/7, gère la remédiation en communication constante avec l'entreprise et effectue des analyses post-incident pour améliorer continuellement la protection.
Un atout majeur de cette solution est sa capacité à détecter les attaques à l'avance grâce à l'identification de signaux faibles, permettant d'agir avant que la menace ne se concrétise. Le délai d'analyse et de remédiation est rapide, variant de 0 à 30 minutes selon le service souscrit.
L'essentiel
Les cyberattaques visant à perturber et discréditer les événements sportifs peuvent avoir des conséquences désastreuses sur leurs réputations et leurs finances. Grâce à des solutions complètes comme celles proposées par Orange Cyberdefense, il est possible de prévenir et de contrer ces menaces avant qu’elles ne paralysent les infrastructures réseau.
Il est d’ailleurs important de noter que ces moyens de protection peuvent être imposés par les organes de régulation des jeux en ligne et paris sportifs tels que l'Autorité Nationale des Jeux.
C’est pourquoi, en adoptant des stratégies de défense avancées, les organisateurs peuvent garantir la sécurité et la continuité de leurs événements, dans l’enceinte du stade comme sur internet.
Avec Orange Cyberdefense, vous pouvez bénéficier d'une solide protection contre les attaques DDoS. Assurez la sécurité de votre entreprise dès aujourd'hui en contactant nos experts.