Presque chaque jour, des services gouvernementaux tels que DigiD et l’administration fiscale et douanière sont confrontés à des attaques DDoS. Ces attaques peuvent paralyser les sites Web et les applications. Deux fois par an, les organisations gouvernementales et le monde des affaires se réunissent pendant une nuit entière pour se former aux attaques DDoS. Et puis ils sortent tous les arrêts. Cette fois, NU.nl était là.
« Let op, we komen straks met de aanval ‘DJ Paul Elstak’. » Er drommen wat mensen samen rond de computer van Tristan. Hij zit vannacht in het aanvalsteam, tijdens een test of de overheid bestand is tegen grote ddos-aanvallen. De aanvallen hebben de gekste namen. DJ Paul Elstak is er een van, vernoemd naar de hardcore-dj uit de jaren negentig. « We gooien een paar aanvallen in de mix. »
Er wordt vannacht geoefend in het kantoorpand van de Belastingdienst in Apeldoorn. Vanaf 2.00 uur druppelen de eerste mensen binnen. Ondanks het tijdstip regent het ‘goedemorgens’. De deelnemers zien er fris uit en hebben er zin in.
Er is een rood team dat aanvalt en een blauw team dat verdedigt. De teams bestaan uit leden van de Anti-ddos-Coalitie. Dit verbond bestaat uit verschillende organisaties zoals de Belastingdienst, Logius (van DigiD en MijnOverheid), onderzoeksinstituut Nikhef, Rijkswaterstaat, .nl-domeinbeheerder SIDN en het Kadaster.
De teams zitten in ruimtes die zijn gescheiden door een hal. Daar staan snacks, frisdrank en energiedrankjes om de nacht door te komen. Het rode team heeft vooraf een aanvalsplan gemaakt. Het blauwe team moet de aanvallen zien af te weren.
Effectuer des attaques illégales donne un frisson
Avant le début de l’exercice, Karl Lovink revient sur les règles avec les quatre-vingts participants. Lovink travaille en tant que chef de l’équipe de sécurité à l’administration fiscale et douanière et dirige cet exercice ce soir. Les participants en rouge ont reçu une autorisation spéciale pour mener des attaques normalement illégales. Ça donne un coup de pied.
L’équipe bleue a le plus grand espace. Des rangées d’ordinateurs font face à un mur imposant recouvert d’écrans. C’est un peu comme un centre de contrôle de la NASA. Les écrans affichent des jauges et des graphiques indiquant la quantité de données tirées par l’équipe rouge. Il indique également quels sites Web sont actuellement en difficulté.
Wat is een ddos-aanval ook alweer?
Ddos staat voor distributed denial of service. Vaak stuurt een partij bij zo’n aanval zó veel zogenaamde bezoekers op een server af, dat die bezwijkt. Websites of diensten werken daardoor trager of helemaal niet.
Een aanvaller kan de boel met een dddos-aanval platleggen, maar kan geen gevoelige informatie stelen. Wel kan een aanvaller een ddos-aanval uitvoeren om bijvoorbeeld een slachtoffer af te persen. Betaal je? Dan houdt de aanval op.
La connexion à DigiD n’est plus possible
Des attaques réelles (souvent lourdes et nouvelles) sont effectuées pendant l’exercice. En conséquence, les services peuvent en fait s’arrêter. Pour causer le moins de nuisances possibles, le test aura lieu la nuit. Des accords ont également été conclus avec des fournisseurs qui traitent le trafic. « Normalement, les attaques DDoS sont plus petites », explique Lovink. « Ce soir, les limites seront testées. »
Il a frappé plusieurs fois. « Ouais, tout est cassé ! » crie triomphalement quelqu’un de l’équipe rouge. La connexion à DigiD n’est plus possible. Quelques instants plus tard, l’attaque a affecté l’ensemble du site Web de telle sorte que tout design a disparu. « Malheureusement, vous ne pouvez pas vous connecter », indique-t-il en texte clair. « Il y a actuellement beaucoup de monde chez DigiD. Trop de gens veulent se connecter en même temps. »
Une attaque DDoS ne doit pas nécessairement être un gigantesque déluge de trafic. Les nouvelles attaques fonctionnent plus intelligemment. Parfois, peu de trafic est nécessaire. Par exemple, si une question est envoyée à un serveur qui met beaucoup de temps à répondre. Tristan le compare à un lieu de restauration. « Si vous demandez un sandwich spécial, cela prendra plus de temps à faire qu’un simple sandwich au fromage. »
Plus que des méfaits numériques
Le fait que quatre-vingts personnes de différentes organisations travaillent ensemble pour repousser les attaques DDOS est unique, déclare Octavia de Weerdt de l’Organisation nationale de gestion des fournisseurs Internet. Les parties présentes partagent leurs connaissances au profit de tous. « Les attaques DDOS vont au-delà des méfaits numériques », déclare De Weerdt. « Ils peuvent perturber la société et rapporter beaucoup d’argent aux criminels. »
Selon Lovink, les organisations apprennent à lutter contre les nouvelles attaques DDoS au cours de l’exercice. « Nous ferons des ajustements après cela », dit-il sans entrer dans les détails.
Chemises PostNL et manœuvres de diversion
Quelqu’un a mis une chemise PostNL. « J’envoie des colis », dit-il. Blague de nerd. Il fait référence aux flux importants de trafic qu’il déclenche sur le site de l’administration fiscale et douanière. Cela lui fait rire aux éclats.
De cette façon, des choses plus folles se produisent pendant l’exercice. Il est maintenant six heures et demie. Des vidéos amusantes peuvent être vues à la télévision à l’équipe bleue. L’oeuvre de Tristan. Une tactique pour distraire l’équipe en défense. Ils restent également assez frais en dessous. Même si parfois ils ne peuvent s’empêcher de rire devant la télé.
Attaques réussies
Que cela signifie affaires en attendant, est démontré par les attaques qui réussissent. Parfois, l’équipe rouge accélère tellement que le site Web d’un fournisseur explose. Pourtant, beaucoup de choses se passent bien. Si 1 térabit par seconde est envoyé à l’administration fiscale et douanière, les services resteront merveilleusement largement intacts.
« La plus grande partie est automatiquement filtrée », explique un participant de l’équipe bleue. Les algorithmes reconnaissent le trafic et les comportements suspects. Ils peuvent éviter certaines attaques avant que les services ne soient affectés.
Parfois, ces sauvegardes sont volontairement désactivées. Ensuite, nous regardons à quel point les défenses humaines sont bonnes. Les attaquants sont créatifs. « Nous avons envoyé tellement de courrier au fisc que la boîte aux lettres est complètement pleine », raconte Tristan. « Ils nous ont demandé d’arrêter. »
Les attaques DDoS changent aussi constamment
À la fin de l’exercice, la plupart des participants sont encore assez en forme. Grâce aux boissons énergisantes et au jeu du chat et de la souris entre les équipes. Lovink revient sur un exercice réussi.
Cela n’a pas conduit à des situations vraiment perturbatrices, mais il n’y a pas de recul. « Les attaques Ddos changent constamment », déclare Lovink. « Ils deviennent de plus en plus lourds et intelligents, il est donc important de toujours garder une longueur d’avance sur eux. C’est devenu une sorte de course numérique. Si vous ne faites rien, vous perdez la partie. »