Attaques DDoS contre la bourse NZX
Une campagne DDoS volumétrique soutenue a mis hors ligne la bourse de Nouvelle-Zélande pendant une partie de cinq jours de cotation consécutifs, interrompant les échanges car la bourse ne pouvait plus publier les annonces de marché, et provoquant un sévère blâme réglementaire.
- Victime
- NZX (New Zealand's Exchange)
Fin août 2020, NZX, la bourse de Nouvelle-Zélande, a été frappée par une campagne soutenue de déni de service distribué (DDoS) qui a perturbé les échanges pendant cinq jours consécutifs et est devenue l'une des attaques les plus médiatisées jamais menées contre un opérateur de marché financier national.
Ce qui s'est passé
La première attaque a frappé le mardi 25 août 2020, décrite par NZX comme une grave attaque DDoS volumétrique offshore acheminée via le fournisseur de services réseau de la bourse. De manière cruciale, l'attaque n'a pas désactivé le moteur de cotation central de NZX. Elle a plutôt saturé l'infrastructure publique de la bourse — son site web et la plateforme d'annonces de marché (Markets Announcement Platform) utilisée pour publier les communications sensibles aux prix.
Selon les règles de marché néo-zélandaises, les échanges ne peuvent se poursuivre si les annonces importantes des entreprises cotées ne peuvent être diffusées simultanément à tous les participants. Sa plateforme d'annonces étant inaccessible, NZX a été contrainte d'interrompre les échanges du marché au comptant pour préserver un marché juste et ordonné. Le schéma s'est répété jour après jour, avec des perturbations les 25, 26, 27, 28 et 31 août.
Réponse
NZX a travaillé avec son fournisseur réseau ainsi qu'avec le Government Communications Security Bureau (GCSB) de Nouvelle-Zélande et son Centre national de cybersécurité pour atténuer les flots, redirigeant progressivement le trafic et déployant une protection DDoS renforcée. Certains rapports indiquaient que les attaques s'accompagnaient de menaces de type extorsion, s'inscrivant dans une vague d'activité de rançon-DDoS qui a visé des bourses et des entreprises financières dans le monde entier en 2020.
Retombées réglementaires
L'épisode a déclenché un examen conjoint de la Financial Markets Authority (FMA) et de la Banque de réserve de Nouvelle-Zélande, publié début 2021. Les régulateurs ont été francs : si de nombreuses bourses mondiales avaient connu une activité DDoS accrue, peu avaient été perturbées aussi souvent ou aussi longtemps. Ils ont conclu que l'attaque était prévisible et « aurait dû être anticipée », reprochant à NZX sa préparation à la résilience et sa gestion des incidents, et exigeant une remédiation de sa technologie et de sa gouvernance.
Pourquoi c'est important
Les attaques contre NZX ont montré que la disponibilité — et non le seul vol de données — peut paralyser une infrastructure financière critique, et qu'une bourse peut être contrainte d'interrompre ses échanges même lorsque son moteur de cotation est intact, simplement parce qu'un système de divulgation périphérique est mis hors ligne. L'incident est devenu un cas de référence pour la résilience DDoS chez les opérateurs de marché du monde entier et a redéfini les attentes selon lesquelles les fournisseurs d'infrastructures de marché financier doivent anticiper des attaques volumétriques soutenues et répétées comme un risque opérationnel prévisible.
Chronologie
Une attaque DDoS volumétrique via le fournisseur de services réseau de NZX force la bourse à interrompre les échanges du marché au comptant.
Les échanges sont perturbés pour un deuxième jour consécutif alors que les attaques se poursuivent depuis l'étranger.
NZX interrompt les échanges pour un troisième jour d'affilée ; le gouvernement néo-zélandais reconnaît l'implication de l'agence de cyberdéfense GCSB.
De nouvelles perturbations frappent les systèmes de la bourse pour un quatrième jour, tandis que les mesures d'atténuation sont renforcées.
Les échanges sont brièvement affectés à nouveau avant que NZX ne se stabilise grâce à une protection DDoS améliorée.
Un examen de la FMA/RBNZ critique NZX, jugeant la perturbation prévisible et sa préparation inadéquate.
Sources
- cnbc.comhttps://www.cnbc.com/2020/08/27/new-zealands-exchange-faced-ddos-attacks-this-week.html
- theregister.comhttps://www.theregister.com/2020/08/27/nzx_ddos_third_day/
- insurancejournal.comhttps://www.insurancejournal.com/news/international/2021/02/05/600216.htm
- bankinfosecurity.comhttps://www.bankinfosecurity.com/regulator-blasts-nzs-stock-exchange-over-ddos-meltdown-a-15881
- nzx.comhttps://www.nzx.com/announcements/358636