Les entreprises sont la cible d’une grande variété de cyber menaces parmi lesquelles, le TDoS. Ce type d’attaque consiste à inonder de requêtes les serveurs téléphoniques de l’entreprise ciblée pour ensuite exiger une rançon contre la remise en service des serveurs. Le développement de la VoIP rend les attaques par TDoS de plus en plus accessible, découvrez comment vous en protéger.

3 conseils pour vous protéger des attaques par TDoS ?

-Configurez des adresses IP « de confiance » sur votre SBC. Vous éviterez de traiter les requêtes provenant d’adresses IP inconnues et donc de vous faire submerger d’appels.

-Définissez un seuil de requêtes à ne pas dépasser pour endiguer une attaque de type TDoS. Si le seuil est dépassé, votre SBC bloque les nouveaux paquets et l’attaque prend fin.

-Etablissez des règles permettant à votre IPBX de gérer, au mieux, les fluctuations des volumes d’appels : (limite d’appels consécutifs provenant d’un même numéro, limite d’appels consécutifs reçus pour un même terminal de votre infrastructure, redirection ou blocage des appels une fois que le limite est atteinte).

TDoS : comment s’y prennent les hackers ?

Détournement d’un serveur PBX

La première phase d’une attaque par TDoS consiste à prendre le contrôle d’une infrastructure téléphonique. Notre hacker commence par scanner le réseau Internet en effectuant une recherche sur Shodan.io. Une fois les PBX vulnérables identifiés, il faut trouver la faille permettant d’en prendre le contrôle. Cela passe, dans la plupart des cas rencontrés, par l’exploitation d’une CVE (« Common Vulnerabilities and Exposures »). Cette vulnérabilité doit permettre de prendre le contrôle du PBX.

Le hacker cherche un PBX ayant une grande capacité d’appels simultanés. Le plus souvent le hacker dispose d’une flotte de soutien, au cas où les défenses de la victimes parviennent à mettre hors d’état de nuire la première vague.

La deuxième « armée » est en réserve pour faire persister l’attaque.

Lors d’une attaque par TDoS, on recense deux victimes :

– la victime du trafic d’appels non sollicité à qui la demande de rançon est exprimée

– l’entreprise qui voit son infrastructure téléphonique détournée.

L’entreprise dont le PBX aura été détourné encourt des sanctions juridiques importantes si elle n’arrive pas à prouver la corruption de son système.

Envoi massif de requêtes

Une fois cette flotte acquise, l’attaquant ordonne aux IPBX et téléphones sous son contrôle de noyer d’appels un serveur ciblé jusqu’à saturation. Le hacker aura testé, au préalable, l’efficacité de son Botnet pour s’assurer de sa puissance. Les serveurs importants, comme ceux des fournisseurs de cloud, servent souvent de baromètre.

L’entreprise victime verra donc ses services saturés d’appels, tandis que le hacker formulera sa rançon, le plus souvent directement via les appels émis sous la forme d’un répondeur. Une voix préenregistrée précise, le montant à payer, les détails du compte vers lequel virer l’argent. Cette rançon est le plus souvent à payer en utilisant une crypto-monnaie intraçable. Tous les paramètres sont maîtrisés par notre extorqueur afin d’éviter d’être confondu.

Des outils d’attaque à la location

Pour faciliter les attaques par TDoS, un véritable catalogue d’outils est à disposition sur le darknet. Parmi ces outils, on distingue les Botnet. Cette expression désigne tout réseau de programmes et objets détournés permettant l’envoi massif de requêtes à d’autres programmes. Un véritable trafic de machines zombies permet aux plus novices d’initier un TDoS. En effet, il est possible de louer, à des prix de plus en plus bas des armées déjà constituées de machines détournées. Ces services d’un nouveau genre sont proposés sur le Darknet, les prix varient selon la taille de la flotte.

Le nombre d’objets connectés à Internet augmente de façon exponentielle, leur sécurisation est souvent très sommaire. Cette ressource, offerte aux hackers leur permet de mener des cyberattaques de plus grande envergure en utilisant le moins de ressources et d’efforts.

Qu’elles sont les motivations des hackers ?

Les attaques par TDoS peuvent être guidées par diverses motivations.

  • économique : dans ce cas, la mise hors service du serveur victime est assortie d’une demande de rançon à payer au hacker.
  • concurrentielle : les attaques par TDoS sont très répandues sur le marché des call-centers. L’entreprise victime est discréditée auprès de ses clients, ce qui augmente les chances de l’entreprise commanditaire de les court circuiter. Des intérêts
  • Politiques ou idéologiques : dans ce cas les hackers ciblent le centre d’appel d’un service public, d’un parti politique.