Abonnez-vous pour recevoir des notifications sur les nouveaux articles :

Puis-je savoir qui est à l'appareil, s'il vous plaît ? La récente augmentation des attaques DDoS sur la VoIP

2021-10-01

Lecture: 5 min.
Cet article est également disponible en English, en 繁體中文, en Deutsch, en 日本語, en 한국어, en Español, en Indonesia, en Tiếng Việt, en ไทย et en 简体中文.

Au cours du mois dernier, plusieurs fournisseurs de VoIP (Voice over Internet Protocol, téléphonie par voix sur IP) ont subi des attaques par déni de service distribué (DDoS) provenant d'entités se revendiquant du groupe REvil. Ces attaques multivectorielles combinaient à la fois des attaques sur la couche 7 visant des sites web HTTP et des points de terminaison d'API essentiels, mais aussi des attaques sur les couches 3/4 à l'encontre de l'infrastructure serveur des plateformes de VoIP. Dans certains cas, ces attaques ont entraîné des répercussions importantes sur les services de VoIP des cibles et la disponibilité de leurs sites web/API.

Le réseau Cloudflare est capable de protéger et d'accélérer efficacement les infrastructures voix et vidéo grâce à notre portée mondiale, à notre suite sophistiquée de filtrage du trafic, à notre point de vue unique sur les schémas d'attaque et à notre corpus d'information sur les menaces.

Si votre entreprise ou vous-même vous retrouvez sous le coup d'une attaque DDoS, d'une attaque avec demande de rançon et/ou d'une tentative d'extorsion, sollicitez une assistance immédiate afin de protéger vos propriétés Internet. Nous vous recommandons de ne pas payer la rançon et de signaler l'incident aux autorités locales.

Voix (et vidéo, emojis, conférences, mèmes de chats et cours à distance) sur IP

Le terme « téléphonie par voix sur protocole Internet » (Voice over IP, VoIP) est utilisé pour décrire un groupe de technologies autorisant la communication multimédia par Internet. C'est elle qui rend possibles vos appels FaceTime avec vos amis, vos cours en distanciel via Zoom et même certains des appels « normaux » passés avec votre téléphone mobile.

Les principes à l'œuvre derrière la VoIP sont similaires aux appels numériques traditionnels effectués à l'aide de réseaux à commutation de circuits. La différence principale réside dans le fait que le média encodé (la voix ou la vidéo) est partitionné en petits ensembles de bits transférés via Internet en tant que contenu de paquets IP, selon des protocoles de médias spécifiquement définis.

Child on a video conference all

Comparativement à la « commutation de circuits » traditionnelle, la « commutation des paquets » composant les données vocales entraîne une utilisation bien plus efficace des ressources réseau. En résultat, les appels en VoIP peuvent se montrer bien plus économiques que les appels passés via le « bon vieux réseau téléphonique classique » (parfois abrégé en anglais sous l'acronyme POTS, pour Plain Old Telephone Service). Le passage à la VoIP peut réduire les coûts de télécommunications des entreprises de plus de 50 %. Il n'est donc pas étonnant de constater qu'une entreprise sur trois a déjà adopté les technologies de VoIP. Flexible et évolutive, la technologie VoIP s'est révélée particulièrement utile pour permettre aux individus de communiquer à distance pendant la pandémie malgré les mesures de confinement.

Largement adopté, le Session Initiation Protocol (SIP) constitue l'un des protocoles clés derrière la plupart des appels en VoIP. Défini à l'origine dans la RFC-2543 (1999), le SIP a été conçu afin de servir de protocole flexible et modulaire pour l'établissement d'appels (« sessions »), qu'il s'agisse d'appels vocaux ou vidéo, entre deux interlocuteurs ou plusieurs.

La vitesse est essentielle pour la VoIP

La communication en temps réel entre individus doit véhiculer une impression de naturalité, d'immédiateté et de réactivité. La vitesse constitue donc l'un des aspects les plus importants d'un bon service de VoIP. L'utilisateur fait alors l'expérience d'une communication audio au son naturel et d'une vidéo haute définition, sans décalage ni saccades. La perception qu'ont les utilisateurs de la qualité d'un appel est généralement mesurée et suivie avec précision à l'aide de divers indicateurs, comme l'Évaluation de la qualité vocale perçue (Perceptual Evaluation of Speech Quality) et la Note d'opinion moyenne (Mean opinion score). Si le SIP et les autres protocoles de VoIP peuvent être mis en œuvre à l'aide du TCP ou de l'UDP en tant que protocoles sous-jacents, c'est habituellement l'UDP qui est choisi, car il s'avère plus rapide à traiter par les routeurs et les serveurs.

Non fiable et sans état, le protocole UDP ne s'accompagne d'aucune garantie en termes de qualité de service (QoS, Quality of Service). Les routeurs et les serveurs utilisent donc généralement moins de mémoire et de puissance de calcul pour gérer les paquets UDP. Ils peuvent ainsi traiter davantage de paquets par seconde. Le traitement plus rapide des paquets entraîne un assemblage plus rapide du contenu de ces derniers (le média encodé donc) et, en définitive, une meilleure qualité d'appel.

Conformément au principe du « plus c'est rapide, mieux c'est », les serveurs de VoIP essaieront de traiter les paquets aussi vite que possible, sur la base du « premier arrivé, premier servi ». Comme l'UDP est sans état, il ne sait pas quels paquets appartiennent à des appels existants et lesquels tentent d'établir un nouvel appel. Ces détails sont contenus dans les en-têtes SIP sous la forme de requêtes et de réponses, qui ne seront pas traitées avant d'avancer dans la pile réseau.

Lorsque le débit de paquets par seconde augmente au-delà de la capacité du routeur ou du serveur, le principe du « plus c'est rapide, mieux c'est » se transforme au final en désavantage. Une fois sa capacité atteinte, un système traditionnel à commutation de circuits refusera les nouvelles connexions u et essaiera de maintenir les connexions existantes sans dégradation de ces dernières. Toutefois, enfermé dans sa logique de traitement d'autant de paquets que possible, un serveur de VoIP ne pourra pas traiter l'ensemble des paquets ou des appels une fois sa capacité dépassée. Ce cas de figure se révèle alors générateur de latence et de perturbations pour les appels en cours, tandis que l'établissement ou la réception de nouveaux appels se solde par des tentatives infructueuses.

Sans protection appropriée en place, la logique visant à proposer une expérience d'appel de qualité supérieure le plus rapidement possible s'accompagne d'un coût en termes de sécurité, dont les auteurs d'attaques ont appris à tirer avantage.

Les serveurs de VoIP sous le feu d'attaques DDoS

Les acteurs malveillants peuvent tirer parti des protocoles UDP et SIP pour submerger les serveurs de VoIP non protégés sous des flots de paquets UDP spécialement conçus pour ce faire. L'un des moyens par lesquels les pirates peuvent surcharger les serveurs de VoIP consiste à faire semblant d'établir des appels. Chaque fois qu'une requête malveillante d'établissement d'appel est envoyée à la victime, son serveur utilise de la puissance de calcul et de la mémoire pour authentifier la demande. Si l'acteur malveillant peut générer suffisamment de requêtes d'établissement d'appel, il peut alors submerger le serveur de la victime et l'empêcher de traiter des appels légitimes. Il s'agit là d'une technique DDoS classique appliquée au protocole SIP.

L'attaque par réflexion SIP constitue une variation de cette technique. Comme pour la technique précédente, cette dernière met en œuvre des requêtes malveillantes d'établissement d'appel. Toutefois, dans cette variante, le pirate n'adresse pas directement le trafic malveillant à la victime. À la place, il envoie ce dernier à plusieurs milliers de serveurs SIP involontaires sélectionnés aléatoirement sur l'ensemble du réseau Internet et usurpe la source du trafic malveillant afin qu'elle corresponde à l'adresse de la victime prévue. Les milliers de serveurs SIP commencent alors à envoyer des réponses non sollicitées à la victime, qui doit utiliser des ressources informatiques pour en discerner le caractère légitime ou non. Cette situation peut priver le serveur victime des ressources nécessaires au traitement des appels légitimes et ainsi entraîner un événement de déni de service de grande envergure pour les utilisateurs. Sans la protection appropriée en place, les services de VoIP peuvent se révéler extrêmement sensibles aux attaques DDoS.

Illustration of a DDoS attack preventing access to legitimate clients

Le graphique ci-dessous montre une récente attaque DDoS UDP multivectorielle qui s'est abattue sur une infrastructure VoIP protégée par le service Magic Transit de Cloudflare. Le pic de l'attaque s'élevait à tout juste un peu plus de 70 Gb/s et 16 millions de paquets par seconde. S'il ne s'agissait pas de l'attaque la plus impressionnante que nous ayons déjà observée, les attaques de cette taille peuvent avoir des répercussions considérables sur une infrastructure sans protection. Cette attaque spécifique a duré un peu plus de 10 heures avant d'être automatiquement détectée et atténuée.

Les deux graphiques ci-dessous présentent des attaques similaires observées la semaine dernière à l'encontre d'infrastructures SIP. Sur le premier, nous pouvons remarquer l'utilisation de plusieurs protocoles pour lancer l'attaque, le gros du trafic provenant d'une réflexion DNS (usurpé) et d'autres vecteurs courants d'amplification et de réflexion. Le pic de ces attaques culminait à plus de 130 Gb/s et 17,4 millions de paquets par seconde.

Graph of a 70 Gbps DDoS attack against a VoIP provider

Protéger les services de VoIP sans sacrifier les performances

Graph of a 130 Gbps DDoS attack against a different VoIP provider

La vitesse représente l'un des facteurs les plus importants à prendre en compte pour assurer un service de VoIP de qualité. Plus la latence est faible, mieux c'est. La solution Magic Transit de Cloudflare peut vous permettre de protéger votre infrastructure stratégique de VoIP, sans affecter la latence ni la qualité des appels.

Associée à la taille et à l'échelle de notre réseau, l'architecture Anycast de Cloudflare peut minimiser et même améliorer la latence du trafic routé via Cloudflare plutôt que par l'Internet public. Consultez notre récent article publié à l'occasion de la Speed Week de Cloudflare pour plus de détails sur son fonctionnement. Vous y trouverez également des résultats de tests révélant un accroissement des performances de 36 % en moyenne, sur l'ensemble du globe, pour le réseau d'un de nos véritables clients, utilisateur de Magic Transit.

Diagram of Cloudflare Magic Transit routing

Chaque paquet ingéré dans un datacenter Cloudflare est également analysé (afin d'y déceler d'éventuels signes d'attaques DDoS) à l'aide de plusieurs couches de détection hors réseau pour éviter la latence. Une fois une attaque détectée, la périphérie génère une empreinte en temps réel correspondant aux caractéristiques des paquets composant l'attaque. L'empreinte est ensuite traitée par la fonctionnalité eXpress Data Path (XDP) du noyau Linux afin d'éliminer rapidement les paquets hostiles, à la vitesse du réseau, sans infliger de dégâts collatéraux aux paquets légitimes. Nous avons en outre récemment déployé de nouvelles règles d'atténuation spécifiques conçues pour inspecter le trafic UDP afin de déterminer s'il s'agit de trafic SIP légitime.

World map of Cloudflare locations

La détection et l'atténuation s'effectuent de manière autonome au sein de chaque serveur de la périphérie de Cloudflare. Aucun « centre de nettoyage » (scrubbing center) limité en termes de capacité et de portée de déploiement n'entre dans l'équation. De plus, des informations relatives aux menaces sont partagées automatiquement sur notre réseau, en temps réel, afin de permettre aux autres serveurs périphériques d'« apprendre » de l'attaque.

Conceptual diagram of Cloudflare’s DDoS mitigation systems

Les détections à la périphérie sont, en outre, totalement configurables. Les clients utilisateurs du service Magic Transit de Cloudflare peuvent utiliser l'ensemble de règles géré relatif aux attaques DDoS sur les couches 3/4 pour affiner et optimiser les paramètres de leur protection anti-DDoS. Enfin, ils peuvent également concevoir des règles de pare-feu personnalisées au niveau des paquets (dont l'inspection des paquets en profondeur) grâce à Magic Firewall afin de mettre en place un modèle de sécurité positive.

Permettre aux individus de communiquer à distance

Cloudflare s'est donné pour mission de contribuer à bâtir un meilleur Internet. Une grande partie de cette mission consiste à s'assurer que les utilisateurs du monde entier puissent communiquer sans interruption avec leurs amis, leur famille et leurs collègues, en particulier pendant cette période dominée par la pandémie de COVID. Notre réseau jouit d'une position unique pour contribuer à maintenir le caractère connecté du monde, que ce soit en aidant les développeurs à concevoir des systèmes de communication en temps réel ou en préservant la présence en ligne des fournisseurs de VoIP.

Grâce à la vitesse de notre réseau et à notre technologie de protection contre les attaques DDoS, autonome et active en permanence, les fournisseurs de VoIP peuvent continuer à s'occuper de leurs clients sans sacrifier les performances ni devoir céder aux exigences des criminels adeptes des attaques DDoS avec demande de rançon.

Discutez avec un spécialiste Cloudflare si vous souhaitez en apprendre plus sur le sujet.

Vous êtes victime d'une attaque ? Contactez notre assistance téléphonique pour parler immédiatement à l'un de nos agents.

Nous protégeons des réseaux d'entreprise entiers, aidons nos clients à développer efficacement des applications à l'échelle d'Internet, accélérons tous les sites web ou applications Internet, repoussons les attaques DDoS, tenons les pirates informatiques à distance et pouvons vous accompagner dans votre parcours d'adoption de l'architecture Zero Trust.

Accédez à 1.1.1.1 depuis n'importe quel appareil pour commencer à utiliser notre application gratuite, qui rend votre navigation Internet plus rapide et plus sûre.

Pour en apprendre davantage sur notre mission, à savoir contribuer à bâtir un Internet meilleur, cliquez ici. Si vous cherchez de nouvelles perspectives professionnelles, consultez nos postes vacants.
Device SecuritySécuritéDDoSVoiP (FR)Trends (FR)Ransom Attacks (FR)

Suivre sur X

Omer Yoachimik|@OmerYoahimik
Alex Forster|@alex_forster
Cloudflare|@cloudflare

Publications associées

20 novembre 2024 à 22:00

Bigger and badder: how DDoS attack sizes have evolved over the last decade

If we plot the metrics associated with large DDoS attacks observed in the last 10 years, does it show a straight, steady increase in an exponential curve that keeps becoming steeper, or is it closer to a linear growth? Our analysis found the growth is not linear but rather is exponential, with the slope varying depending on the metric (rps, pps or bps). ...

06 novembre 2024 à 08:00

Exploring Internet traffic shifts and cyber attacks during the 2024 US election

Election Day 2024 in the US saw a surge in cyber activity. Cloudflare blocked several DDoS attacks on political and election sites, ensuring no impact. In this post, we analyze these attacks, as well Internet traffic increases across the US and other key trends....