L'Apple Watch série 10 avec notre plus grand écran à 16 jours.
C'est la plus fine des Apple Watch pour encore plus de confort à votre poignée.
C'est aussi l'Apple Watch la plus rapide à charger avec 8 heures de batterie en seulement 15 minutes.
Découvrez l'Apple Watch série 10 maintenant disponible en aluminium brillant noir de gêne.
Par rapport au modèle précédent équivalent iPhone XS ou Ultérieux Rookie.
Le temps de recharger l'autonomie de la batterie varie selon l'utilisation et les conditions de charge.
Dastron de 013 à 026 W par kilo et Dastron de 004 à 101 W par kilo.
Et on s'attaque à un troisième sujet qui n'a pas grand chose à voir avec le début cette émission
puisqu'on va parler de DDoS.
Et c'est pas du tout aussi démoné que vous pourriez l'imaginer.
Je ne sais pas si c'est en tout cas souvent la réflexion que vraiment c'est une considération ancienne.
Mais justement on va voir ensemble à quel point ça n'est pas le cas.
À quel point c'est un problème actuel.
Jérôme Meyar du coup tu es chez Nokia dans la section Deep Field.
Oui c'est ça.
Tu as passé 20 ans en Asie et on te reçoit aujourd'hui justement pour parler sur un truc
sur lequel tu enquêtes depuis un moment maintenant.
À savoir le vecteur d'attaque du DDoS, du Danny de service.
T'as fait.
Est-ce que bon, bienvenue déjà.
C'est ta première fois sur Twitch, sur live ?
C'est la première fois effectivement oui.
Trop bien.
Et bien sur le bairon.
Toujours la première fois.
C'est vrai ça.
Il doit y avoir peu d'émis sur tech sur Twitch.
J'imagine.
Non vraiment on est les seuls qui ont ça.
Mais pourtant tu pourrais te dire par exemple moi je t'ai découvert sur un talk.
Est-ce que je disais au ferdog.
Et tu pourrais te dire qu'il pourrait faire des talks en live par exemple.
Ce n'est pas absurde.
Oui je crois qu'il est live stream mais c'est effectivement parce que l'audience est un petit peu différente.
Oui j'imagine.
Mais c'était peut-être pas sur Twitch aussi.
Voilà, non vraiment je pense à probablement pas.
Je pense que c'est du ferdog.
Oui je pense à ça.
Ou des Vox sur le Trumpet.
Enfin bon bref, ça paraît très logique.
Avant qu'on rentre un peu dans le live de ton sujet en particulier.
Moi je trouve ça intéressant de comprendre déjà pourquoi.
Enfin c'est quoi Deep Field chez Nokia.
Vous êtes une trentaine de personnes si j'ai compris.
Et faut faire de quoi ?
On est un peu plus maintenant, on est une grosse centaine de personnes.
Oui pas toujours.
C'est une faute clairement.
L'info est pendant plus super publié.
Donc Deep Field à la base c'est une start-up que Nokia a acheté en 2017.
J'en veux 2017.
Et qui à la base faisait de l'analyse de trafic sur les réseaux.
Donc c'était vraiment initialement pas du tout basé sur de la sécurité.
C'était comprendre un petit peu ce qui se passe sur les réseaux.
Pour permettre aux opérateurs comme par exemple Orange, Bouygues et autres.
De comprendre donc d'où venaient un peu les flux.
Et pour optimiser un peu les mécanismes de livraison, du trafic vers les abonnés.
D'où vient le trafic ? Comment est-ce qu'on localise le trafic par exemple ?
Et ensuite ça a évolué au cours des dernières années pour se focaliser plus sur la sécurité.
Ok.
C'est bien dit.
C'est bien spécifique.
C'est très spécifique.
C'est les problématiques d'opérateur en fait ?
Disons que l'analyse de trafic, ça se faisait longtemps avec du matériel.
Et ça s'est devenu très rapidement, c'était plus économique de faire ça.
Donc c'est tout ce qui s'appelle DPI, Deep Activities Inspection.
Qui va vraiment être l'analyse des flux de trafic.
Et en fait DPI, ça a initialement une solution logicielle.
Pour comprendre un petit peu ce qui se passait en regardant un petit peu
quels sont les adresses IP qui envoient le trafic et qui les reçoit.
Donc pour vraiment comprendre, enfin, pour optimiser le réseau.
Et ensuite évidemment, quand on comprend un peu le bon trafic,
ça aide aussi à comprendre le mauvais trafic.
Donc c'est là un peu quand on est venu au DDoS.
Donc pour comprendre un peu quels sont les attaques, comment les caractérise,
quels sont les vecteurs et puis comment est-ce qu'on peut du coup les bloquer.
Ok.
Grave, intéressant.
Justement, je te propose qu'on rentre dans le visite de notre sujet.
Qui est que, moi j'avoue mon apriori original, c'est que le DDoS,
c'est un truc qui conseille un de soi les kikou depuis leur chambre.
Éventuellement que c'est un truc un peu, entre guillemets, vieillot,
comme type d'attaque, ou peu sophistiqué,
qui était basé sur des gros botanettes ou des choses comme ça.
J'avais déjà entendu des choses comme ça, mais à aucun moment,
c'est ça qui m'a étonné en découvrant ta conférence,
je me suis dit c'est un problème à la fois actuel,
mais en plus, qui augmente.
C'est-à-dire que c'est plutôt une considération
qui va croître que disparaître, entre guillemets.
C'est ça, je trouve ça trop intéressant.
Ça va des gamers, tu vas nous en parler,
des adversaires, des groupes pro russe qui paralysent des sites de lotant,
passant par du ranconnage, d'entreprise.
Bon, il y a un vrai... Tout le monde s'y met, entre guillemets.
Et justement pour bien comprendre ce type d'attaque,
on te reçoit, tu es donc chercheur chez Nokia.
Moi déjà, ma première question c'est, je connais Nokia qui fait des téléphones.
C'est quoi le rapport entre Nokia et le DDoS ?
Donc Nokia, c'est vrai initialement,
enfin ça fait une vieille boîte quand même,
c'est vrai que ça fait 150, quelques années que ça existe.
À la base, quand même, on faisait aussi des bottes en caoutchouc.
Donc ça évoluait.
J'ai entendu de bottes en mode...
C'est pareil, d'accord.
Vous pouvez toujours trouver des bottes Nokia,
qui est un musée de design à Helsinki,
donc il y a des bottes Nokia qui existent toujours.
Mais effectivement, ça évoluait.
Donc là, l'activité vraiment, téléphone mobile,
ça, ça a été complètement vendu et revendu d'ailleurs à Microsoft.
Donc on choque que c'était en 2012, il me semble,
que c'était revendu et du coup, il n'y a plus du tout d'activité,
enfin téléphone mobile.
Et donc maintenant, l'activité, le cœur de métier,
c'est vraiment sur l'infrastructure de réseau.
Donc que ce soit réseau mobile avec tout ce qui est station cellulaire
pour faire de la 4G, de la 5G,
mais aussi tout le cœur de réseau,
les réseaux de transmission, les transmissions
jusqu'à aussi récemment les câbles sous-marins.
Donc ça, c'était revendu récemment d'ailleurs à l'état français.
Donc on partit.
Mais voilà, donc c'est vraiment l'infrastructure de réseau,
ce qui tourne vraiment sur les réseaux des gros opérateurs.
Et donc, par conséquent, c'est pour ça aussi que Nokia
acquis DeepFills, parce que la problématique,
c'était vraiment sur l'analyse de trafic à grande échelle,
et aussi du coup sur la patisse sécurité,
qui devient toujours un problème d'actualité,
malgré la réputation que tu donnes à Odeidos,
toujours quelque chose qui fait,
voilà, qui est un problème de tous les jours,
sur pas mal de réseaux, et qui est toujours un peu un casse-tête.
Et juste pour bien comprendre,
donc ça veut dire que, effectivement,
on n'a pas l'occasion de voir ce travail-là
que fait Nokia, parce que vous,
vos clients, c'est les opérateurs en fait, c'est ça ?
Oui, tout à fait.
Donc ça va être principalement tout ce qui est de type
orange, buig, SFR, etc.
Et aussi maintenant, de plus en plus,
les opérateurs, enfin, les sociétés qui construisent
des data centers.
Donc ça va être aussi, par exemple,
Métain, dans la vie précédente,
fait des parties, et un de nos clients aussi,
sur différents domaines.
Donc ça va, c'est un peu diversifié,
mais c'est vrai que le gros des clients,
c'est les opérateurs d'accès,
mobiles, internet, etc.
Ok.
Un truc qu'on n'a pas encore mentionné,
c'est que toi justement,
ta mission, c'était de
te renseigner sur l'évolution
du DEDOS.
Et pour ce faire,
tu n'en peux pas n'importe quelle technique,
puisque tu vas littéralement t'infiltrer
dans les conversations,
dans les...
au coeur de la machine,
entre guillemets, là,
où on vend du DEDOS,
qui passe déjà un concept assez marrant.
Est-ce que tu peux nous expliquer,
c'est parti, enfin, en gros, d'où part
ton enquête, à quel moment
tu mets ton chapeau d'enquêteur, quoi.
Comment ce projet est né ?
Donc là-dessus, en fait,
nous, la façon dont on va dire,
on s'assure que la solution marche bien,
c'est qu'on va devoir tester
au maximum, avec différents types d'attaques.
Et pour avoir des attaques
qui ne soient pas complètement synthétiques,
donc vraiment pour avoir des choses,
que les opérateurs et puis les gens de tous les jours,
vous voient vraiment sur le réseau,
du coup on va un peu à la source,
donc c'est vraiment comprendre
quelles sont les méthodes qui sont utilisées
par les attaquants, ou par les groupes
qui revendent l'accès à leur système,
pour comprendre un peu la meilleure manière
de défendre le réseau
pour ces attaques.
Donc c'est pour ça, en fait, que du coup,
pour certains types d'attaques, pas tous.
Donc je vais aller, par exemple, sur Telegram,
parce que c'est quand même sur Telegram,
maintenant que la plupart des activités se passent
pour la vente, enfin,
différents types de services, on va dire.
Et du coup, ça va permettre
effectivement, enfin, parfois, c'est très simple,
c'est juste aller sur un...
pour le pouvoir du temps, des canaux qui sont
ouverts, publics.
Enfin voilà, tu peux demander,
je voudrais tel plan, donc il y a différents plans,
en fonction de l'intensité que tu donnes
à besoin, que ce soit en termes de
durée, de l'attaque,
on dirait de l'intensité, en termes de volume
de l'attaque. Et puis voilà,
donc la personne va te dire, bah voilà,
ça va faire tant de dollars,
et puis tu payes en crypto-monnaie.
Et du coup, tu peux ensuite lancer les attaques.
Et c'est du coup cette partie-là qui m'intéresse.
Évidemment, donc on le répétera,
je pense, plus tard, mais il est illégal
dans la plupart des pays de lancer des attaques
sur des systèmes tiers. En l'occurrence,
là, pour le coup, je le lance des attaques sur nos systèmes
à nous pour prélever des échantillons.
Donc pour comprendre un petit peu
qu'est-ce qu'il y a dans ces attaques, quels sont un peu
les caractéristiques de l'attaque.
Et pour ensuite mieux défendre.
Oui, justement, on va reprendre un peu ça de étape par étape.
Déjà première question toute bête, mais
tu achètes quoi exactement ?
Quand tu dis je paye, j'obtiens
tu l'as dis une attaque des DOS,
qu'est-ce qui se passe après ?
C'est quoi ? Qu'est-ce que je cherche
à faire concrètement ?
Donc il y a plusieurs types
d'attaques des DOS, donc il y a
tout ce qui est, on va dire, volumétrique,
qui va vraiment être sur la partie réseau
pour générer un maximum de paquets
ou de gros paquets, ça va dépendre un peu
du type d'attaque, pour en gros
congestionner le lien qui arrive
vers la cible.
Donc s'il y a plus de liens, enfin en gros
si par exemple tu attaques ton opposant
sur un jeu,
tu sais qu'il a une liaison avec
par exemple en Gephon, avec du 1Gb
et tu vas pouvoir lancer
une attaque à 20Gb,
il va plus avoir de débit, enfin il va perdre internet
en gros chez lui.
Et matériellement, ce qui se passe c'est qu'il faut
son adresse IP et il faut y envoyer
un grand compte des trains
et des trains de paquets
sur le réseau quoi.
Donc une fois que tu connais son adresse IP
tu peux mettre
dans le système, enfin dans le site
ou dans l'interface, un peu en ligne du commande
voilà, c'est tel adresse IP
tu peux aussi définir par exemple
que soit tel port, enfin en TCP
ou en UDP, donc c'est un peu les protocoles
sous-jacents au protocole IP
plus voilà, tu as plusieurs options
en fonction du fournisseur un peu de LidovS
et du coup ça va te générer l'attaque
donc tu peux définir aussi la durée du coup
qui t'intéresse, plus long
enfin plus c'est long plus c'est cher
et du coup tu génères ensuite
toi tu le vois pas, parce que du coup ça va être
généré depuis les serveurs ou depuis les appareils connectés
de l'infrastructure de l'attaquant
mais l'adresse IP
qui va recevoir ça va le voir passer
Elle va pas aimer
parce que justement tu as donné
le cadre d'usage du gamer
c'est quoi un peu les profils
de gens qui achètent des attaques
des dors, y a quoi comme utiliser
Il y a
donc le gamer ça représente
comme un gros gros business
au niveau du business c'est pas des attaques
très sophistiques en général parce que le principe
c'est vraiment quand les gamers
font ça vraiment de manière
compétitive du coup
quand ils veulent faire en fait
éjecter le reposant
du serveur pour en gros
qu'ils soient forfaités dans le jeu
du coup ils envoient une attaque
au bon moment pour qu'ils perdent la connexion
au serveur et qu'il soit retiré du jeu
et ensuite pour
gagner un avantage
et gagner la partie
pour avoir un avantage
je sais même pas que ça se faisait parce que je connaissais
le stream hack par exemple
je connaissais juste le fait d'avoir
des cheats mais je ne connaissais pas
encore ce côté sombre du gamer
c'est à notre niveau pour
être très très compétitif
et tu dis que ça
ça représente un
bon volume
donc après c'est pas le plus sophistiqué
parce qu'en gros tu as juste besoin d'envoyer beaucoup
de trafic et en général
c'est sur des connexions un peu résidentielles
donc tu n'as pas besoin d'avoir une vraie
des centaines de gigas de trafic
tu as besoin de quelques gigas c'est suffi
mais du coup ça représente un volume
de nombre d'attaques c'est ça qui représente
la majorité des attaques aujourd'hui
mais c'est pas...
mais les gamers calmez vous
c'est vrai quand le soup ne sonne pas
et donc
pour ça c'est le premier profil
du gamer c'est pour ça qu'on parle souvent
d'ailleurs
les streamers entre autres ont très peur
des ligues d'IP
oui exactement, oui tout à fait
donc c'est une fois que l'adresse IP est connue
c'est le plus facile
il y a juste un champ à remplir dans le site
qui va lancer le dido c'est parti
c'est perdu
donc ça c'est le premier cas le plus évident
c'est le gaming, c'est quoi les autres jeux de rangs
donc après il y a
pas mal encore
même si c'est plus difficile à quantifier
mais du coup il y a des problèmes de rangsons
de rangsons
d'extorsions en gros
ou les attaquants vont dire
j'attaque, je fais une petite
ou une petite moyenne attaque on va dire
ensuite j'envoie un email
à la société en général parce que c'est quand même
plutôt dirigé vers des entreprises
donc pour leur dire c'est moi qui lance à l'attaque
je demande une rangson donc
un paiement évidemment en crypto-monnaie
avant la semaine prochaine
sinon j'intensifie
les attaques et donc ça monte en fait
en intensité
donc ça reste aussi une partie
des attaques au moins
et ça je pense que Cloudflare pour le coup
une entreprise américaine
qui est dans un des domaines et la protection didos
donc eux ils ont un peu plus de visibilité
parce que du coup ils gèrent plus
ce côté un peu petite entreprise
qui ont plus facilement accesse
ce type de service
et ça reste effectivement
10 ou 20% des attaques
sont aussi motivés par l'extorsion
donc vraiment
ça marche ?
visiblement oui
après je ne sais pas quel pourcentage
c'est difficile à connaître
il doit y en avoir qui paye
sinon ça n'existerait plus
mais ça paraît fascinant parce que autant
le rangson giciel qui vient
bloquer vraiment
mes données d'entreprise
il y a un côté très urgent
et dramatique autant je me dis
bon je perd ma connexion internet
est-ce que vraiment
perd ma connexion internet pendant une semaine
c'est une raison de payer un bitcoin
après il peut y avoir différentes motivations
donc soit ça peut être effectivement un impact
sur la disponibilité du service de l'entreprise
donc ce qui peut être en fonction
des activités de l'entreprise plus ou moins gênant
après il peut y avoir
votre site e-commerce par exemple
il ne sera pas disponible pendant une semaine à Noël
oui c'est plus gênant
et aussi sinon il peut y avoir
pour d'autres cas
où
les entreprises vont se faire
un peu éjecter de leurs fournisseurs de connexion internet
parce que le fournisseur va dire
vous vous faites attaquer
vous avez un impact sur le reste
de l'infrastructure réseau
donc nous en fait on n'est plus trop intéressés de vous avoir comme client
donc merci d'aller voir ailleurs
c'est fou
ça c'est aussi possible
après ça c'est pour des plus grosses attaques en général
mais c'est possible aussi
tu te retrouves banni par tout tes fournisseurs
d'internet
tu peux bien avoir internet chez toi
ça c'est le deuxième cas
c'est l'extorsion
il y en a d'autres
c'est là que récemment
cette année en particulier
j'ai passé pas mal de temps sur les groupes de activistes
qui sont motivés plus d'un point de vue idéologique
pour le coup
pour des causes et principalement
enfin le gros du sujet
c'est vraiment avec l'invasion de l'Ukraine
depuis 2022
avec vraiment
ce sujet là
où il y a des groupes qui se sont formés
pour
déjà d'une part attaquer un peu
faire des représailles
contre soit l'Ukraine
directement ou indirectement pour les pays
ou les gouvernements
les entreprises qui supportent l'Ukraine
et du coup
qui font ça
d'une part pour impacter le service
parce que effectivement si un site d'un gouvernement
devient inaccessible
quelque part c'est un impact de réputation
mais aussi pour faire parler de
on voit, ils adorent
on peut le voir sur leur canal Telegram
parce que toi tu es
oui c'est public
donc n'importe qui peut y être
en tout cas pour les principaux
c'est ouvert à n'importe qui
et du coup ils adorent
quand on parle de l'Opres
sur les sites web
ça fait un peu d'héro
je sais pas mais en tout cas
ils adorent ça
mais c'est vrai que ce qui est frappant c'est de voir la courbe d'attaque
de des doses que tu nous as montrées
on voit vraiment avant après
la guerre en Ukraine
oui donc après
c'est vrai que de manière générale
ce qu'on observe depuis plusieurs années c'est que
la croissance du trafic
des doses surpassent
la croissance du reste du trafic
en termes de pourcentage
en relatif
ça croit forcément plus vite que le reste du trafic
en tout cas c'est l'observation de ces 5 des derniers années
ça c'est plus intéressant
ça veut dire que
c'est un peu inquiétant
c'est plutôt un problème qui va continuer
d'augmenter, qu'il faut traiter
c'est un problème à traiter
surtout que du coup
c'est vrai qu'on en parlait un petit peu au début
la nature
la façon dont le trafic est généré
a changé
au cours des dernières années
parce qu'avant il suffisait un peu d'avoir
des serveurs ou des VM
chez un
hosteur de type
pas au vh parce qu'il faut attention
mais des opérateurs
des opérateurs qui font moins gaffe
qui sont un peu moins scrupuleux
donc ça s'est devenu de plus en plus difficile
parce que maintenant il y a plus de contrôle
sur qui peut envoyer quel type de trafic sur internet
mais maintenant
c'est plus au niveau des objets connectés
puisqu'on a de plus en plus d'objets connectés
qui sont distribués partout sur internet
pas spécifiquement à un pays en particulier
et ces objets connectés
il en suffit qu'un demi pour cent
soit compromis
et fasse partie d'un botnet
pour que ça représente un nombre assez conséquent
pour envoyer du trafic depuis ces appareils
donc pour nous en tout cas
ce qu'on a constaté c'est depuis quelques années
ces sont ces appareils connectés qui envoient
la majorité du déloss aujourd'hui
donc un appareil connecté
ça paraît pas grand chose ça paraît pas très
capable entre guillemets c'est peut-être
caché dans une
une maison qui a un gigabit de données
mais en fait le nombre
peut créer
des volumes vraiment gigantesques de trafic
c'est ça ? tout à fait et puis
c'est vrai qu'à la base avait commencé
alors que à l'époque
il n'y avait pas vraiment non plus de connexion
gigabit chez les foyers
maintenant
c'est vrai que c'est hyper courant
dans pas mal de pays d'avoir des connexions symétriques
en gigabit et maintenant
on voit en France par exemple
les opérateurs qui lancent leurs offres
à 8 gigas après bon
je pense pas que ça va vraiment être utilisé
à 8 gigas par les appareils mais
il n'en reste pas moins que du coup
c'est quand même un gros débit qui est disponible
pour chacun des appareils qui sont compromis
c'est à dire qu'on y pense pas que nous
euh...
notre euh...
enfin le côté extrêmement positif
du fait d'avoir la fibre au partout
en fait il y a un pendant
en termes de cyber sécurité
c'est que du coup ça augmente aussi le trafic
des attaquants pour faire du dédoss
oui
il y a... pardon
il y avait donc euh...
ce qu'on disait aussi un petit peu c'est que
pendant longtemps
tous les opérateurs, en tout cas les même
les constructeurs de réseaux fixes
on va dire
était un peu la recherche de la killer application
on va dire, de l'application FAR
qui justifierait d'avoir des débits
en gigabit, des débits montants
parce que descendant c'est vrai qu'on peut toujours utiliser
enfin il y aura toujours des vidéos, des downloads
enfin surtout tout ce qui est téléchargement de jeu
qui peut être énorme
donc débit descendant ça a jamais été vraiment un souci
enfin il y a toujours eu un peu un cas d'usage
débit montant il y avait toujours la question
qu'est-ce qui va vraiment utiliser un giga
en montant, bah la réponse
c'est le dédoss
c'est... c'est l'application FAR
bravo
un coup de l'air d'applaudissement aux opérateurs
euh...
c'est vrai que quand on travaille dans la vidéo
par exemple, on est très content
d'avoir des gros débits montants
mais c'est un peu une des seules...
une des seules raisons objectivement
d'avoir des gros débits ou alors
ou alors d'héberger par exemple
un nas chez soi
c'est aussi un autre cas
mais effectivement à part ça il y en a très peu
salut, si vous appréciez Endorscore
vous pouvez nous aider de ouf en mettant 5 étoiles
sur Apple Podcast, en mettant une idée d'invité
que vous aimeriez qu'on reçoive, ça permet de faire
remonter Endorscore, voilà, telle une fusée
on a parlé des potentiels
clients, donc qui sont les gens
qui payent
maintenant, les vendeurs
en gros, qui
vend du dédoss aujourd'hui, c'est à dire que
c'est un...
tu l'as dit, tu as parlé de conversation telegram
c'est quoi les endroits
où se vendent des attaques
des dos et c'est quoi un peu les profils
qui ont les conné un minimum
des vendeurs ?
C'est donc...
Telegram reste quand même le...
l'endroit principal
donc où
les échanges se font, parce que du coup
ça reste, la recherche est assez facile
il y a un certain niveau d'anonymat
même si, bon, avec les développements récents
on peut se poser la question si ça va durer ou pas
mais du coup, c'est là que se font
la recherche
de différents sites qui fournissent ce service
après, donc, il y a
différents opérateurs
c'est très très fragmenté
donc il n'y a pas vraiment un qui est
mieux que l'autre qui a plus
part de marché, enfin ça marchait très...
c'est du marché gris, donc
c'est assez
particulier, mais du coup
ils vont fournir différents types de services
et après, je pense qu'il y a aussi beaucoup de...
c'est très très difficile de vraiment savoir
qui est vraiment légitime ou pas, légitime
dans le sens, est-ce qu'ils vont vraiment faire
ce qu'ils disent, parce que c'est...
il y en a beaucoup qui font un peu des scams
qui vont gros, ils vont dire oui oui, on sait faire
donc tu peux acheter ton accès
en voie nous, t'es...
100 ou 200
dollars en crypto
et puis après, ils ne vont jamais t'envoyer le truc
enfin, les... enfin, les identifins
de connexion, du coup il y a quand même pas mal
de... on dirait de déchets aussi là-dessus
et puis après, voilà, ça va être des interfaces
qui vont un peu différer les unes des autres, il y a des...
pas mal de choses qui sont en commun
au niveau de... on dirait la syntaxe
qui est utilisée, par exemple, pour tout ce qui
y outille en ligne de commande, où en gros
ça va être adressipé, port, méthode
et puis en gros, avec un dictionnaire
un petit peu commun, mais voilà, ça reste
très très fragmenté, avec beaucoup
de mouvements aussi, parce que du coup il y a
quand même pas mal d'interpensions de manière assez
régulière des forces de l'ordre, enfin tout ce qui est
Europol, Interpol, FBI, etc.
Ok, donc ça prend vraiment pris au sérieux
tout comme d'autres
extorsions, etc.
Il y a des arrestations, quoi ?
Il y a des arrestations, donc là
clairement c'est un sujet qui est
enfin qui est pris au sérieux, même si
c'est vrai qu'on entend beaucoup plus parler
et je pense aussi à juste titre, tout ce qui
est en songeiciel, qui a des impacts
vraiment concrets, on va dire, dans la vraie vie
mais c'est vrai que ça... enfin je crois
que c'était la fin de l'an dernier,
ou pour le coup il y a une grosse intervention
ordonnée entre FBI
et les Europoles qui a
résulté en la... enfin qui a en gros
fait fermer une cinquantaine
de sites qui vivaient
vraiment que du Guidoz. Donc
après, on a vu un
impact quand même, enfin sur le moment
je pense sur le trimestre qui a suivi
effectivement on a vu une légère réduction
donc on va dire de l'ordre de je sais pas 10-15%
sur le trafic Guidoz, mais ça a repris
après. Donc c'est toujours
il y a toujours un marché, on va dire
pour le Guidoz, et il y a des gens
qui vont remplir ce marché.
Est-ce que ça t'est déjà arrivé de payer
pour un Guidoz pour pouvoir prélever
un échantillon et que tu ne reçoives jamais
ce Guidoz parce que... parce qu'en fait
tu t'es déjà fait scam ?
Je suis déjà fait scamer
je pense pas le feeling de
s'pérer à voir, enfin
c'est jamais très agréable, après
c'est pas des grosses sommes, donc
enfin en gros, moi j'ai pas besoin d'avoir
la méga attaque avec
des centaines ou des terrains de
trafic, moi ce qui m'intéresse c'est vraiment
d'avoir un petit échantillon qui va permettre
de voir un peu qui envoient, qui sont les méthodes
après ce qui est plus courant
enfin ce qui moi magas un peu plus
ou en tout cas ce qui est plus intéressant
c'est que du coup certains
vont dire nous on sait faire ça
ça va être du botnet, ça va être des
super attaques qui vont vraiment rendre tous les sites
inaccessibles, et puis ensuite
tu regardes un peu l'échantillon, tu dis bah
ouais en fait c'est juste genre
5 vm dans ton truc
qui envoie du trafic, qui est pas très difficile
qui est facilement détectable
et ce qui est pas du tout du botnet
donc en gros il y a un peu une
est-ce qu'on peut s'arrêter un petit peu sur
les différents types de dédosses
c'est quoi un dédosses qualitatifs
c'est quoi un dédosses
sophistiqués ou nuls
est-ce qu'on peut expliquer ça ?
donc en gros, enfin on divise
en général donc le type
des dédosses sont trois catégories
donc il va y avoir tout ce qui
est volumétrique, où ça va être vraiment
donc soit, on a parlé
un petit peu au début, donc tout ce qui
est à base d'une surpassion
d'adressipés
en gros on va dire il va y avoir un serveur
enfin plusieurs serveurs qui vont envoyer beaucoup de trafic
qui vont dire par exemple moi je suis
une adresse IP de Microsoft et puis je vais envoyer
plein de trafic et ça va passer
parce qu'il y a certains fournisseurs
de transit qui vont accepter ça
ça ça reste
donc du coup ils peuvent envoyer du trafic avec plein plein
d'adresse IP source qui sont différentes
donc on voit régulièrement
des millions d'adresses IP qui envoient du trafic
vers une seule adresse IP destination
c'est ça à quoi tu en auras plein de différentes
ça sert donc ça peut être utile
justement quand tu veux
donc comment dire
quand tu veux avoir un impact sur tout ce qui est Firewall
et puis tout ce qui
est gestion de charge donc qui va être
en gros sur le plan du trafic
c'est des méthodes de protection
c'est ça ?
ça va être en gros par exemple un Firewall
ça garde un peu en mémoire
l'état des connexions qui sont établis
donc s'il voit soudainement
un million d'adresses IP qui devent
faire des débuts de connexion
ça veut dire qu'il va devoir charger les mémoires
avec un million d'adresses IP
un mémoire qui n'a probablement pas
donc du coup ça va résulter en soit le Firewall
va complètement tomber
donc on en bloque en trafic
donc ce qu'on appelle un peu le fail close
ça va compléter
le boulot de l'attaquant puisque du coup
ça veut dire que la destination n'est plus atteignable
ou alors ça va
ne plus marcher mais on laissant passer tout
donc là pour le coup
c'est un peu moins courant maintenant mais on voit
quand même des Firewall qui, une fois qu'ils sont
attaqués, ils laissent passer tout le trafic
et du coup ça peut être utilisé par des groupes
qui utilisent le DDoS comme première méthode
pour infiltrer le réseau
de l'entreprise qu'ils veulent entrer
pour pouvoir installer
soit des infostillers
soit du lancement gistiel
ça permet d'abord d'avoir une première entrée aussi
si on fait un peu une analogie, c'est comme ça fait une porte blindée
et que pour pouvoir entrer
t'envoie un torrent dessus
pour que jusqu'à ce qu'elle expose et qu'elle s'ouvre
je ne connaissais pas l'usage
du DDoS comme ça, c'est marrant
donc ça c'est le premier type
ils ont trouvé en gros un moyen
de pas être blacklisté facilement
en ayant un million d'IP
qui n'existe pas vraiment
c'est quoi les autres du coup ?
donc ensuite il va y avoir tout ce qui est botnet
donc ça c'est vraiment le gros, enfin ce qu'il y a avant
d'en développer, qui veut utiliser des adresses IP
qui sont associées à des vrais abonnés
avec des appareils connectés
donc ça on en voit beaucoup
grosso modo, aujourd'hui
on est au courant
d'à peu près un million
d'objets connectés qui sont impliqués
dans le DDoS, donc juste pour donner un peu
un ordre de grandeur
donc eux vont pouvoir envoyer du trafic
qui va sembler légitime, puisqu'ils viennent
de vrais adresses IP, que si jamais
il y a des équipements de protection qui vont
leur envoyer des trafics
un peu en challenge, donc pour
vérifier s'ils sont des vrais adresses IP
derrière ou pas, donc ils vont répondre
parce qu'ils ont une vraie couche
TCP-IP, donc ils vont pouvoir
passer un peu tous les défis
et puis du coup
du coup ça peut envoyer
pas mal de trafics, comme on a discuté avec
les connexions à JIA
pour représenter pas mal de volumes, plus difficile
à détecter puisque du coup c'est des vrais adresses IP
d'abonnés, donc qui sont...
Et surtout si la protection
les bannis tout de suite
c'est un gros problème parce que ça veut dire
que c'est potentiellement
des faux positifs, c'est impossible de
distinguer un objet connecté, j'imagine
de vrais utilisateurs qui ont de bonnes raisons
d'accéder au site.
Tout à fait, et donc du coup
c'est... on ne va pas regarder
enfin ça ne va pas être très utile de regarder
un peu le trafic en lui-même, mais
ça a plus d'être intéressant de voir un peu est-ce qu'il y a des caractéristiques communes
aux adresses IP
donc c'est là que, par exemple, pour nous ce qu'on fait
c'est qu'on va maintenir un peu
une grosse base de données de chaque adresse IP
pour dire, bah tiens derrière cette adresse IP
il y a un As où il y a un router Asus
qui est très populaire aussi chez les
botanettes, OTP Link
ou autre, enfin il y a pas mal d'objets
enfin pas mal de choix, j'ai les objets connectés
mais tout que c'est des objets qui se font pierre à terre
oui, tout à fait
donc soit parce qu'ils n'ont pas été mis à jour
il y avait une faille de sécurité
ils n'ont pas été mis à jour, donc du coup
les attaquants ont pu compromettre les objets
et puis du coup en faire des bottes
donc du coup ça va permettre
de contrôler complètement
les objets connectés, puis de les faire agir
un peu en concert pour envoyer
le même type de trafic vers
la destination qui va être sous attaque
incroyable, donc ça c'est les botanettes
c'est ce dont moi j'avais effectivement
le plus entendu parlé
et il y en a une troisième
et donc ensuite il y a tout ce qui est applicatif, donc là ça va pas
être tellement au niveau du volume de données
qu'on va envoyer, donc ça va pas être
enfin beaucoup de paquets ou beaucoup de
de tailles
de bandes passantes, mais plus
saturer un peu la capacité
de, enfin au niveau du serveur
donc par exemple, si on veut attaquer
un serveur web, va faire pas mal
de, enfin voilà, plein plein de requêtes
qui vont être des requêtes, par exemple la chet TPS
qui vont être, enfin sur un formulaire
ou sur, pour en gros
que ça passe d'un point de vue réseau
mais que ça y est sur la couche supérieure au niveau du serveur
pour saturer, enfin pour en gros
congestionner la
la puissance de, enfin la capacité du serveur
et donc ça c'est typiquement ce qu'on voit beaucoup
donc avec ces groupes de
activistes provus, ça va être
du, enfin des trafics qui est assez limité
en volume, ça va pas être des centaines de
JIA, typiquement d'ailleurs c'est
plus difficile à détecter puisque c'est vraiment
on va dire quelques dizaines de megabits
donc c'est à l'échelle d'un réseau qui fait beaucoup
beaucoup plus que ça, c'est quand même pas gros
et du coup, qui va
quand même avoir un gros impact si les
serveurs sont pas bien protégés
donc on voit pas mal, notamment de sites
de gouvernements qui souvent quand même sont un peu
sous fond, enfin sous financé on va dire
qui ont pas forcément les capacités
de protection que vous pourrez avoir
des entreprises privées et qui du coup
après, enfin une centaine de requêtes
à chaterpées sont tombes, voilà
donc ça c'est le troisième petit attaque
ça marche, David
oui, j'avais
une question, mais
ça coûte combien
là maintenant j'ai un petit
budget à allouer à des deux
mon concurrent
qu'est ce que je obtiens
pour 10 dollars,
100 dollars, 1000 dollars, enfin
c'est quoi les heures de grandeur ?
donc déjà il est gratuit, donc
c'est quand même bien, il y a des
appérateurs qui fournissent un peu un modèle
de premium, un échantillon gratuit
pour te donner un peu le goût
de la chose et du coup
après ça reste pas, enfin c'est pas des attaques
très sophistiquées donc c'est un peu basique, ça va être
à base d'amplification de DNS par exemple
donc voilà c'est
disponible de manière gratuite, par exemple
on a un site qu'on peut tout à l'heure montrer
évidemment de manière complètement
pour
un ennemi magnifique, donc pas vraiment
enfin je maintiens que c'est pas quelque chose
que les gens doivent faire
et ensuite à différents niveaux
en fonction, encore une fois du nombre
d'attaques que tu veux le lancer en parallèle, de la durée
de l'attaque, donc en gros le prix va
un peu monter en conséquence, il y a aussi
de l'intensité, donc combien, enfin quelle est la puissance
de frappe en gros que tu veux avoir
pour ça
pour donner un peu une idée d'ordre de prix
donc il y a des plans, enfin un peu les plans
de base, tu peux en avoir
pour quelques dizaines de dollars, donc c'est vraiment pas
très cher pour avoir
un impact assez visible
et ensuite quand
tu pars sur tout ce qui est botanette, ou là
pour le coup ça va être vraiment des vrais appareils
qui peuvent générer jusqu'à un ou deux
thérabis de trafic, donc c'est énorme
à l'échelle d'un réseau
là ça peut aller dans les centaines de dollars
par semaine, donc en gros
c'est un peu l'ordre de prix
après il y a un peu de tout, c'est toujours un peu
difficile, enfin à benchmarker
mais justement tu as mentionné
une plateforme, donc c'est à dire qu'on parlait
de telegrammes comme
zone d'achat à de ventes
mais il y a aussi des sites
donc c'est à dire qu'ils font du e-commerce
en fait. Des sites qui
d'ailleurs sont protégés par
Claflère, on a plus part du temps
parce qu'évidemment
entre eux aussi ils aiment s'attaquer
évidemment
mais quand tu as la disposition un botanégiant
tu vas évidemment
attaquer tes concurrents mais c'est hilarant
et donc eux-mêmes utilisent la protection des DOS
contre
pour vendre leur service de DOS
Je crois que jusqu'à présent j'ai vu
peu de sites de DOS qui n'utilisent pas Claflère
parce que c'est vrai que
Claflère fournit un service gratuit
qui ont une politique en termes
de début
en gros ils sont pas très interpossionnistes
on va dire et donc du coup
tout le monde va par défaut
donc c'est vraiment la protection du site d'EDOS
et faite par un anti-DOS Claflère
c'est assez particulier
et donc là c'est ce que vous voyez
ce que les yeux souhaitent aussi est une Marketplace
ou concrètement
on peut faire ses emplettes
donc là on a des forfaits basiques, avancés
experts
il y a un sens du marketing
dans le vendeur de DOS
tout si tu as un plan gratuit
oui c'est ça par contre
moi ce qui me fascine
c'est quand même le niveau de maturité
derrière
derrière ce commerce
c'est quand même fou
il y a un vrai business derrière
parce que quelque part
c'est vrai que le coût de lancer les attaques
est quand même très faible
et surtout quand on compare au coût de défense
parce que c'est vrai que traditionnellement
les équipements
matériel qui étaient impliqués pour la défense
d'EDOS un peu comme des gros firewalls
pour simplifier un petit peu
mais des équipements spécialisés
donc du coup qui tournent pas
sur des processeurs
X86 mais plus
des FPGA, des vraiment
de l'équipement plus un peu
customisé on va dire
et du coup ça coûte beaucoup plus cher
enfin en gros le coût de défense est plus élevé
que le coût d'attaque
c'est pour ça qu'il y a ce
phénomène un peu où il y a un marché qui se crée
parce que du coup que ce soit
pour faire de l'extorsion
ou que ce soit
enfin le retour sur investissement
se fait parce que du coup c'est
aussi peu cher
et ça représente pour qui
des sites comme ça c'est que ça doit
représenter beaucoup d'argent en fait quand même
oui après
pour le coup j'ai absolument aucune idée
du budget enfin en gros du marché
total que ça peut présenter
parce que c'est quand même très très opaque
tout se fait en crypto
donc c'est vrai que c'est difficile à estimer
mais c'est vrai que si on regarde
aussi le marché anti-doss
c'est aussi un gros marché
donc c'est de l'ordre
enfin c'est quand même plusieurs milliards de dollars qui sont dépensés chaque année
pour se défendre contre
des attaques d'idoss
donc quelque part enfin l'équation
se fait quelque part un peu aussi
oui toi probablement il y a le temps qu'il met
à l'équivalent ou un peu bon en face
et moi c'est un truc que je trouve hyper intéressant aussi
c'est
la provenance du trafic
c'est que tous les pays
n'envoient pas autant de dédoss
en particulier par exemple la Corée
envoie
des grands
des grands volumes de dédoss
à cause de ces caméras
de vidéos registreurs etc
que c'est comment ça se fait
là dessus ça va être
donc
déjà tout enfin chaque pays n'a pas la même
proportion d'appareils connectés
donc ça c'est un des facteurs donc il y a vraiment
un gros impact sur le volume
qui est généré donc c'est pour ça qu'on voit
quand même pas mal
de pays qui ont des soit des beaucoup d'appareils connectés
ou aussi des certains types de routeurs
notamment micro-tiques
micro-tiques je vois ça
mais
enfin quasiment dans chaque échantillon que j'en garde
il y a du micro-tique donc
pour différentes raisons donc parce qu'il y avait
des réglages par défaut qui étaient pas
qui étaient pendant très très longtemps
il y avait un mot de passe par défaut ou un truc comme ça
il y avait ça mais aussi il faisait tourner
un serveur DNS par défaut qui était
qui pouvait utiliser pour de l'antiffication
DNS il y avait
il y avait différents types de réglages
bon les élèves
donc c'est pas mes meilleurs amis
mais du coup
donc ça va être un peu
sur-représentation de certains pays
à cause de ça donc par exemple micro-tique
il va y avoir beaucoup brésilien, indonésie
donc ça va être sur certain type de pays
et ensuite pour tout ce qui appareil connecté
ça va être, enfin par exemple on voit beaucoup
aux Etats-Unis, en Corée
mais c'est très très issu de manière générale
en Corée c'est vrai qu'on a vu
le problème du coup
quand j'étais toujours basé donc en Asie
où le client était venu nous voir
il nous disait bah on a un problème
en fait avec la connexion
la connectivité vers l'étranger
qui est saturée on sait pas trop pourquoi
et en fait on enquêtait un petit peu
on a vu bah c'est en gros
5-6 000 en gros
enregistreur-vidéo
donc tout ce qui est rattaché
derrière les webcams
qui enregistre du coup les flux vidéos
comme peut le faire à un synologie ou équivalent
un petit minordi en fait
oui voilà avec des gros des discos durs
pas mal de discos durs mais en gros c'est ça
qui est connecté à internet et qui du coup
envoie un paquet de didos qui saturait
la connectivité montante
et ils avaient pas vraiment marqué en fait eux
non parce qu'ils avaient pas d'utils
pour vraiment comprendre
enfin pour comprendre que c'était ce type
d'appareil parce qu'ils voyaient voilà ça venait d'adressiper
mais ils avaient pas de visibilité
plus que ça du coup on a pu leur montrer
que c'était voilà ce type de caméra
on a vu aussi des trucs un peu plus
zésotériques comme
des park mètres donc on a vu
des park mètres qui envoient du didos
donc ça aussi c'est une très bonne idée
de mettre des park mètres sur internet
qui sont souvent pas méis à jour
enfin voilà c'est souvent le cas pour s'éviter
je t'imagine d'être
dans ton l'ancien mode
oh non un park mètre au bon dédose
ceci étant
park mètre
oui effectivement on ne s'apprêta pas
et en fait vous voyez à chaque fois qu'on connecte
un truc c'est une potentielle
nouvelle source de flux
surtout pour les appareils connectés
enfin tout ce qui est objet connecté
souvent quand même il y a une course
vers le beacou quand même en général
ils sont pas
enfin ils commencent pas avec une base sécuritaire
très forte on va dire et en plus
la plupart des... enfin il y a beaucoup de sociétés
qui sont
abandonnées enfin voilà qui n'existent plus
ou ne maintiennent pas leur
l'angéiciel on a vu encore le cas d'ailleurs
il y a quelques semaines
avec je crois que c'était Tip Link
qui disait bah... bah oui on arrête
de fournir des
mises à jour de sécurité à nos nas
donc tout ce qui est nas qui est connecté
qui est toujours utilisé par quelques dizaines
de milliers de personnes et qui sont connectés
sur internet bah ça veut dire qu'il peut
être facilement exploité mais qu'il y a
aucun moyen de les mettre à jour
donc ça c'est un gros problème, enfin un gros sujet
quand même au niveau des objets connectés
c'est pas cher mais après quelque part
on a aussi un petit peu un peu ce qu'on paye
en termes de sécurité puis de
l'impact que ça peut avoir sur internet
d'ailleurs je me permets d'intervenir
mais depuis moins de 48h
il y a des links qui sont
tombés tout leur vieux appareil
tout leur vieux routeur et switch
sont tous tombés
et ils ont dit ah on peut rien faire
racheter des nouveaux, bisous
mais en fait c'est horrible parce que
du coup ça vient de
vendeur d'objets connectés, de routeurs etc
mais l'impact retombe
sur vous
sur les entreprises, enfin ça retombe
pas vraiment sur eux, en fait la responsabilité
est complètement déviée
oui c'est un peu après c'est toujours
enfin quand on développe du logiciel
c'est vrai qu'il y a toujours
enfin il y a rarement
des logiciels pour lesquels on peut dire
on va assurer du support
et puis des mises à jour
sur 50 ans
enfin je pense peut-être pour certains domaines oui
mais pour la plupart non
donc après c'est vrai que c'est toujours un peu
l'équilibre entre, enfin quel est la durée
de support des appareils
et puis qu'il y a un peu la
posture de sécurité de ces entreprises
aussi sur ces sujets
t'as expliqué qu'une partie de la raison
c'était aussi le bacou des objets connectés
et pourtant
de ce que tu nous expliquais
il y a aussi des appareils extrêmement chers
qu'on s'attendrait à être des
des trucs bien finis
bien
cq etc
qui sont aussi à l'origine de botnet
oui, bah par exemple
je vais nommer
je pense que c'est public de toute façon mais
Fortinet, donc ils font
quand même des fins qui sont très très présents
c'est sur le marché des firewall
donc eux aussi, enfin ils ont eu
des quelques soucis avec des vulnérabilités qui sont exposés
le problème après c'est pas tellement
qu'une vulnérabilité c'est que
il faut les, enfin il faut mettre
à jour les appareils du coup quelque part après
ça retombe, enfin la responsabilité
il retourne vers les entreprises qui déploient ces appareils
et si elles ne les mettent pas à jour, bah oui il y a un problème
donc après c'est vrai qu'on voit
des vendeurs de sécurité
qui ont des problèmes de sécurité ça c'est sûr
mais là en plus il faut qu'on montre
que c'est un peu horrible parce que c'est des appareils
qui coûtent très très cher
j'imagine plus de
oui j'ai pas la disque de prix moi je pense
ça peut être même parfois plus, c'est des équipements réseau
de sécurité donc qui ont une puissance
réseau
très élevé beaucoup plus qu'un routeur
qui du coup passe du côté de l'obscur
de la force comme ça et que ça devient
un botnet mais
c'est un botnet
de firewall effectivement
firewall qui coûtent 20 000 balles
c'est un bon botnet
c'est pareil par exemple pour l'exemple micro-tik
donc micro-tik ils ont quand même une vaste gamme
donc on contrôle vraiment des routeurs qui sont vraiment pas chers
et puis avec des capacités
vraiment pour la maison
et puis aussi des routeurs un peu plus de corps
de coeur de réseau
et du coup c'est vrai qu'il y a eu un bon article
là dessus
donc il y a quelque chose qui était d'ovh
d'ailleurs enfin ovh cloud qui avait fait un très bon article
là dessus qui disait bah on a quand même
identifié qu'il y avait quelques milliers
de routeurs, enfin des CCR donc les cloud
corps routeurs de micro-tik
et eux quand ils envoient du trafic
ça envoie de la patate parce que c'est vraiment
ça peut envoyer plusieurs
gigas et pas mal de paquets aussi
en intensité de paquets parce qu'ils sont conçus
pour vraiment avoir certificate
au niveau du débit quoi.
Pour expliquer un petit peu c'est comme c'est nous les routeurs
qu'on a dans notre maison etc.
c'est un truc qui met c'est des petits routeurs
qui sont faits pour gérer le petit trafic
dont nous avons besoin
mais c'est un peu comme si on voit internet
il faut s'imaginer que entre
tous nos routeurs il existe des routeurs
genre de classe supérieure un petit peu
qui eux doivent gérer
genre des terra aux têtes
données et c'est
de ceux là dont on parle qui peuvent se
faire eux pirater et c'est là où effectivement
on commence à marcher sur la tête
ou le réseau lui-même
enfin je vois le truc comme des
batailles internes
ou des flux, je sais pas comment dire
mais un truc très graphique je trouve
de ces flux de données
qui s'attaquent
les uns les autres qu'on essaie de bloquer
qui font tomber des firewalls
Et en même temps je comprends les ingénieurs
qui doivent mettre à jour ce type d'épicement
pour éviter que ça fasse du dédose
pour avoir travaillé chez OVH Cloud
quand ils doivent mettre à jour un routeur type CCR
tu su un peu, tu vérifie
15 fois ton truc parce que si tu rates ta mise à jour
par exemple si c'est un
routeur en sortie de datacenter
c'est ton datacenter qui n'est plus accessible
c'est compliqué
et donc du coup c'est des mises à jour
c'est pas des mises à jour
j'appuie sur mises à jour dans l'appstore
et ton application c'est des mises à jour qui mettent
plusieurs jours à ce paramétré
enfin je suis plus à jour
là dessus mais
c'est des ingénieurs qui suivent derrière
oui donc clairement c'est
quelque chose c'est pas inaudable
c'est vraiment peut-être une ou deux fois par an
tu fais ta mise à jour et ça demande des semaines
de préparation en amont donc c'est vrai que c'est
un autre problème
il y a
une technique dont on n'a pas encore totalement parlé
c'est effectivement
le
dédose par botnet c'est un truc
que j'avais déjà effectivement entendu
mais quelque chose de nouveau dont tu parlais
c'est
d'utiliser ce qu'on appelle les proxies résidentielles
est-ce que tu peux les expliquer un peu c'est
quoi ce truc et pourquoi
c'est inter... pourquoi
ça intéresse les attaquants
donc les
donc les proxies résidentielles ça permet de faire passer
enfin les proxies déjà à la base
ça permet de faire passer du trafic donc un peu
comme si on avait de l'adressipé du proxie
plutôt que de son adressipé à soi donc du
coup c'est intéressant pour plusieurs
on va dire cas d'usage
certains sont légitimes par exemple
il y a des
entreprises qui font de l'étude un peu de leurs
concurrences avec ces services-là
parce que du coup par exemple Air France
c'est juste un exemple
peut utiliser ces services-là
pour observer un peu
les prix de leurs concurrents en Europe
ou ailleurs pour voir si
en fonction des certaines routes qui sont faites
avec une location précise dans un certain pays
ils peuvent un peu ajuster les prix
en fonction de ce que les autres font donc ça c'est
un peu les cas d'usage légitimes mais ensuite
il y a aussi effectivement tout ce qui est un peu moins
un peu moins légitimes
et où ça va être utilisé pour du Didos
pour faire relayer en fait le Didos à travers
ces proxies
pour cacher un peu l'adresse des attaquants
et aussi
le bénéfice que ça peut donner
c'est que l'on peut localiser l'attaque
donc plutôt que d'avoir
une attaque qui a pour origine la Russie
par exemple
et bien on peut
si on attaque par exemple la Lituanie
prendre un paquet d'adresses IP de proxies
en Lituanie donc ça permet du coup
d'être beaucoup plus précis
en fait dans l'attaque et aussi d'éviter
certains mécanismes de défense
qui sont de ce qu'on appelle le geoblocking
donc en gros certains sites
quand ils sont attaqués vont dire ben tiens
moi je suis un site qui suis basé en France
je vais bloquer tout ce qui est en dehors de la France
donc ça c'est un peu bon
c'est pas idéal
parce que c'est qu'il y a du coup
tu vas bloquer du coup l'accès au service
des français qui sont à l'étranger
ou voilà des gens qui voyagent
donc du coup c'est pas idéal
enfin ça fait du faux positif
du faux positif dans ce cas-là
mais tu peux aussi du coup
tu loupes toutes les attaques qui viennent
depuis la France ce qui est de plus en plus
courant donc ça c'est un peu pour
ce que ça permet
et donc ces proxies résidentielles
c'est tout simplement enfin c'est pas des gens qui vont
aller installer à Squid
un des logiciels se faire pour les proxies
sur leur serveur à la maison
c'est juste des gens
normaux qui installent des extensions chromes
ou des vpn gratuits
sur leur mobile, sur leur pc
et parce que ça servit de gratuit
quelque part le business
se fait autrement
donc ça veut dire que le fournisseur
de l'extension ou du vpn gratuit
va monnaier enfin va revendre l'accès
à l'adresse IP
à d'autres personnes dont donc les fournisseurs
de proxies résidentielles
donc tu as installé ton extension chromes
mais tu n'es pas forcément au courant
qu'en arrière-plan il y a des doses qui ne passent pas chez toi
voilà donc après c'est
soit, enfin c'est assez marrant parce que du coup
il y a certains services de proxies résidentielles
qui se disent comme étant sourcés de manière
éthique parce que justement
ils mettent dans les termes
les conditions dont du coup du service
ils disent ah oui on peut peut-être utiliser votre
adress IP mais sans être très clair
si vous consentez donc évidemment le truc
fait 40 pages donc personne ne lit
donc du coup
ils disent que ça a été obtenu de manière
consentie par l'utilisateur
et d'autres complètement qui font ça
de manière un peu plus sauvage on va dire
mais le résultat le même
et donc on voit une augmentation
de ce genre d'attaque qui passe par ce genre
de proxies ? oui donc après
ce n'est pas des attaques qui vont être beaucoup de volume
de trafic donc c'est plus
d'attaque justement au niveau applicatif donc c'est
dont on parlait un petit peu avant
qui vont permettre de localiser le trafic et puis d'être
plus difficile du coup à détecter et à protéger
parce que ça va être
on va avoir quelques milliers d'adresses IP
qui vont être des adresses IP
qu'on n'a pas vu avant donc on n'a pas vu
impliquer dans des
des attaques avant qui n'ont pas de bot
particulièrement chez eux
donc du coup c'est plus difficile ça passe un peu plus
sous le bagage
et justement sur ce côté
masquage des attaques
sur la
marketplace qu'on regardait tout à l'heure
ils expliquaient qu'ils étaient en mesure de contourner
les protections d'OVH et de cloudflare
par exemple est-ce que c'est vrai ?
donc là dessus ça je teste un peu moins
parce que c'est
en gros ce qu'ils font
c'est tout ce qui est
protection de captcha
donc surtout sur les sites web
une des mesures de défense surtout pour les sites
c'est de faire ces captchas
que tout le monde je pense a vu soit que chez
une case ou résoudre
sur quelle case il y a des bus
des motos
donc l'explication c'est
pour se protéger en fait d'un dédoss
c'est pour se protéger
pas seulement dédoss mais
plus en gros de manière tout ce qui est
trafic programmatique donc avec des robots derrière
donc que ce soit
du dédoss ou que ce soit juste du scraping
ou autre c'est un peu pour
essayer
de différencier des machines de l'homme
donc on regarde vous c'est un peu ça
et du coup
ces contournements là
enfin c'est vrai ce qu'ils disent
là dessus
je pense que de toute façon c'est toujours
un espèce de
jeu un peu du chat et de la souris
donc peut-être qu'à un moment ça marche
mais que ensuite clart flair et ovh
donc patch
donc pour des mises à jour pour éviter ça
donc là dessus j'ai moins testé
mais oui je serai pas surpris
qu'évidemment à un moment ça marche
mais que très rapidement ils doivent adapter leur méthode
et d'ailleurs quand on
suit un peu les
opérateurs de dédoss sur leur
canot au télégramme on voit un peu
ah oui on a, là pour l'instant on est en mode
maintenant sur le côté
sur cette principe d'attaque
donc
en gros étant un petit peu on va revenir
on va faire quelques améliorations et en gros voilà c'est un peu
ça commence à moins marcher donc ils
retirent un peu, ils étudient un peu
qu'est ce qui a été changé du côté des défenseurs
on va dire et ensuite pour
mettre un peu, pour adapter un peu leur méthode
d'attaque c'est trop intéressant c'est quoi les trucs
intéressants marrants que tu as vu
toi en sur ces conversations
tu parlais du fait qu'ils étaient contents
ça c'était plutôt pour les activistes
qui sont contents qu'on parle d'eux
mais ouais je sais pas
il y a des trucs, c'est quand même pas anodin
dans son métier d'être
scrollé sur télégravus
oui oui non c'est
après c'est vrai que je fais un peu moins
intention aussi, enfin sur le côté
les échanges on va dire, enfin au sein du truc
enfin de l'opérateur
moi ce qui m'amuse c'est vraiment le mode maintenant
enfin c'est fait tellement genre bon
on veut être un peu professionnel donc
donc en gros on va avoir un peu
un comportement d'opérateur responsable
et puis on va prévenir l'utilisateur quand ça marche pas
et d'autres qui sont
plus en mode un peu amateur qui vont dire
ah bah oui, ou que là ça marche pas
puis t'en pique
moi j'ai une question pour revenir sur la IoT
imaginons j'ai une
caméra qui
qui est vulnérable et donc qui est
qui fait partie d'un botanette
on la voit plusieurs fois revenir
dans vos analyses et donc on peut
se dire
on la banne, sauf que le problème c'est
que si on banne cette IP
on banne potentiellement un utilisateur humain
qui est aussi derrière son PC parce que c'est la même IP
mais donc du coup
la conclusion c'est
cet utilisateur là il va plus pouvoir
c'est un dommage collatéral
il va être impacté par ce ban d'IP
ça va dépendre un peu de la méthode
de défense parce que par exemple nous ce qu'on fait
c'est pas, enfin c'est vrai qu'on va
essayer d'être le plus fin possible dans
ce qu'on va bloquer comme trafic et
on va ne bloquer le trafic que
des IP
enfin en gros des appareils qui sont compromis
mais vers des décisions précises
qui sont sous attaque donc on va pas
bloquer l'ensemble du trafic de cette IP
mais plus juste le
trafic de cette IP vers
la cible de l'attaque
donc comme ça on va être un peu plus fin
donc il faut toujours y avoir
des faux positifs
ça c'est clair, enfin surtout
si c'est une IP par exemple qui est partagée
par plusieurs utilisateurs
il peut y avoir plus de chance
pour qu'il y ait un peu d'impact sur l'IP
même si ça reste toujours
après en fonction de la destination
donc effectivement mais c'est toujours
un problème en fait
d'ajuster la réponse pour minimiser
le faux positif et le faux négatif
parce que effectivement
on dit souvent
le DDoS c'est hyper facile à bloquer
on coupe tout le trafic
il n'y a plus de DDoS
après bon la délisation est complètement
inaccessible, ça c'est un autre problème
mais c'est pas compliqué à la base
ce qui est compliqué c'est vraiment
de bloquer que le DDoS et de laisser passer le reste du trafic
donc c'est vraiment ça en fait
qui est le défi un peu de tous les jours
enfin de notre équipe en particulier
mais aussi de toutes les sociétés qui font de DDoS
c'est comment est-ce qu'on arrive à défendre
en impactant le moins possible
le reste du trafic qui est légitime effectivement
et ça va être de plus en plus important
puisque pour finir avec un petit chiffre
ça double à peu près tous les ans
c'est à dire ça a plus de 168%
par an sur le trafic
des DDoS
donc je crois que ça c'était effectivement notre chiffre de cette année
après les chiffres varient un peu en fonction des vendeurs
mais grosso modo ouais ça double tous les ans
alors que l'ensemble du trafic
donc du coup notamment cette année
commence à ralentir un petit peu
donc en tout cas la croissance ralentit
donc alors que le DDoS effectivement
ne s'arrête pas
30% merci énormément
c'était trop pas suetant
c'est pas tous les jours qu'on a des experts dédosses
honnêtement
il doit pas y en existait de mon plus beaucoup
je sais pas
merci beaucoup Gérôme
d'avoir passé ce moment avec nous
et nous on
va se quitter tout simplement parce que
on est fatigué
et on va se retrouver
dans 2 semaines
il y aura des petits ajustements
plus tard mais
on peut les annoncer
on se retrouve dans 2 semaines et dans 3 semaines
parfait
c'est juste ça la fin et après c'est Noël
et donc on se retrouve
en jour de jour
donc à dans 2 semaines à 19h n'hésitez pas à follow
cette chaîne Twitch
si vous êtes arrivé en cours de route
les parties seront bien sûr publiées sur Youtube
et sur ce
vous faites des gros bisous, très bonne soirée
merci encore Gérôme
bonne soirée
1 heure de batterie en seulement 15 minutes
découvrez l'Apple Wall série 10
maintenant disponible en aluminium brillant noir de gê
par rapport au modèle précédent équivalent
iPhone XS ou Ultérieure Rookie
le temps de recharger l'autonomie de la batterie
varie selon l'utilisation et les conditions de charge
Dastron de 013 à 026 W par kg
et Dastmembre de 004 à 101 W par kg