Attaque DDOS : les reconnaitre, et s’en protéger !

ddos

De toutes les cybermenaces, les attaques DDoS sont l’une des plus simples et, en même temps, l’une des plus dommageables.

Ils font partie des pires cybermenaces de ces dernières années. Selon une étude menée par Kaspersky Lab et B2B International en janvier 2015, une seule attaque peut causer des dommages allant de 46 000 à 350 000 euros.

Les attaques DDoS sont de plus en plus répandues et sophistiquées et constituent une menace croissante pour les entreprises de tous secteurs et de toutes tailles. Toutefois, ces derniers disposent de divers outils pour les prévenir ou, du moins, limiter les dégâts.

Tout responsable de la sécurité informatique doit activer un plan de défense préventif contre ces attaques, en adoptant des techniques bien connues, telles que le test d’intrusion, des systèmes avancés de surveillance des connexions et en gardant constamment à jour toutes les applications de défense informatique, installées dans le système d’information.

Au programme de cet article

C'est quoi DDoS en informatique ?

L’acronyme DoS (Denial-of-Service) désigne couramment une famille d’attaques informatiques visant à affecter la disponibilité d’un ou plusieurs services en inhibant l’accès ; dans le cas où ce type d’attaque est effectué via l’utilisation de plusieurs sources distribuées, il est identifié comme Distributed Denial of Service, abrégé par l’acronyme DDoS.

Quand on parle de DDoS, ou d’attaque déni de service distribué, on fait référence à un type d’attaque aussi simple à mettre en œuvre ne nécessitant pas de grandes compétences ni de connaissances spécifiques. Dans la plupart des cas, cela nécessite de connaître la localisation

Découvrez la fiche pratique sur le DDoS

du service, son adresse IP par exemple, et une infrastructure suffisamment puissante pour lancer l’attaque. L’infrastructure d’attaque peut être constituée de serveurs cloud, mais les attaquants peuvent également tirer parti d’une gamme croissante d’appareils IoT grand public et prosommateurs tels que des caméras IP et des routeurs et les exploiter pour mener des attaques distribuées à grande échelle.

De nos jours, il est extrêmement important de se préparer aux dangers d’Internet. Sinon, les attaquants peuvent facilement pénétrer, manipuler ou paralyser les systèmes. Une forme classique d’attaque est le DDoS.

Essayons donc de comprendre de quoi il s’agit et comment la sécurité informatique doit évoluer.

Attaque DDoS definition

Les attaques déni de service distribué (DDoS) sont un type d’attaque informatique qui vise à rendre indisponibles des sites Internet, des services Web et des systèmes informatiques en exploitant la connexion de plusieurs ordinateurs en même temps. En d’autres termes, ils consistent à envoyer un grand nombre de requêtes aux adresses IP des victimes jusqu’à ce que les serveurs soient saturés et rendus inaccessibles.

Les attaques DDoS peuvent être lancées par un seul attaquant utilisant un ordinateur compromis, appelé « zombie », ou par un groupe d’attaquants coordonnant leurs actions via un canal de communication, appelé « botnet ». Les botnets sont des réseaux d’ordinateurs infectés par des logiciels malveillants et contrôlés à distance par des attaquants. Chaque ordinateur infecté devient un « zombie » qui peut être utilisé pour attaquer d’autres ordinateurs ou pour propager davantage de logiciels malveillants.

Au fil des années, grandes et petites entreprises, mais aussi banques, hôpitaux, aéroports et autres infrastructures publiques, ont été victimes de ce type de cyberattaque.

Un cas notable s’est produit en 2013, lorsqu’une attaque DDoS a frappé le site Web de Spamhaus , une organisation internationale qui s’occupe de lutter contre le spam sur Internet. À l’époque, Spamhaus a mis sur liste noire Cyberbunker, une société d’hébergement Web néerlandaise accusée d’héberger des spammeurs. En réponse, Cyberbunker a lancé une attaque qui est devenue « la plus grande attaque DDoS de l’histoire », impactant les services de messagerie du monde entier.

Quelle est la différence entre DoS et DDoS ?

securite informatique entreprise

Acronyme de Denial-of-Service, une attaque Déni de service est une action délibérée qui vise à saturer les ressources d’un système informatique qui fournit un service aux clients qui lui sont connectés. Dans l’environnement réseau, une attaque DoS cible des serveurs, des réseaux de distribution ou des centres de données et agit de telle sorte que leurs clients, qu’ils soient des sites Web ou des internautes, ont des difficultés ou sont incapables de les joindre.

La différence entre attaque DoS et attaque DDoS réside dans l’origine de l’attaque. Alors que dans le premier cas il faut se défendre contre une seule source de trafic informatique (par exemple un nombre très élevé d’emails en arrivée simultanée), dans le second cas l’attaque est menée par plusieurs botnets coordonnés sur plusieurs niveaux (par exemple un nombre très élevé d’accès web coordonnés avec un grand nombre de tentatives de connexion FTP). Par conséquent, une attaque DDoS aura besoin de moins de temps qu’une attaque DoS pour saturer les ressources informatiques du système attaqué et de plus ses effets délétères dureront généralement plus longtemps.

Comment fonctionne une attaque DDoS ?

cybercriminalite et coronavirus

Les attaques par déni de service ont de graves conséquences pour les entreprises et les organisations concernées. Premièrement, ils perturbent les services Web, rendant les sites, les applications et les systèmes informatiques indisponibles pendant un certain temps. 

Ensuite, ils permettent aux cybercriminels de voler des données sensibles ou de compromettre le système informatique de la victime.

Tout cela produit deux types de dégâts :

Les attaques par déni de service se déroulent en trois étapes :

Se défendre d’une attaque DDoS est très difficile et il vaut donc mieux s’équiper au préalable en s’appuyant sur des sociétés capables de fournir un service de sauvegarde externalisée, avec des protections anti-DDoS puissantes et efficaces.

Pourquoi faire une attaque DDoS ?

Grâce en partie à leur simplicité de mise en œuvre, les attaques DDoS sont en train de devenir le type de cybermenace le plus répandu, augmentant rapidement l’année dernière en nombre et en volume selon une étude de marché récente. La tendance est à des durées d’attaque de plus en plus courtes, mais avec un volume de « paquets par seconde » plus élevé. L’idéologie est l’un des moteurs de motivation les plus pertinents pour ces types d’attaques, les soi-disant «hacktivistes» utilisent les attaques DDoS comme un moyen de cibler des sites Web avec lesquels ils sont en désaccord idéologiquement et politiquement, comme la guerre en Ukraine.

Le DDoS n’est cependant pas seulement un moyen pour les hacktivistes de protester contre la censure d’Internet et les initiatives politiques controversées, mais c’est aussi une mine d’or d’opportunités pour atteindre des objectifs strictement économiques. Par exemple, l’une des dernières évolutions en matière d’attaques DDoS est ce qu’on appelle la « rançon DDoS », une technique utilisée pour extorquer de l’argent aux organisations en échange de la suspension d’une campagne massive contre leur infrastructure.

Il est donc essentiel, pour les organisations et les organismes publics, de prendre des précautions également pour ce type d’attaque : l’indisponibilité momentanée de la présence Web peut être considérée comme non pertinente, mais si l’attaque persiste et que la durée augmente, les services rendus aux citoyens, deviendront difficiles à compenser.

Qui fait des attaques DDoS ?

La meilleure des défenses, c'est l'attaque !

Les attaques DDOS sont choisies par les hacktivistes et les terroristes mais aussi par des petits pirates ou encore des groupes de cyberattaquants qui veulent faire du profit en utilisant des formes de chantage ou de destruction des activités d’un concurrent. Utiliser les attaques DDOS comme tactique de diversion, par exemple, est un phénomène en constante augmentation : on entend de plus en plus souvent parler de campagnes visant à lancer des attaques DDOS contre un réseau lors d’une exfiltration de données (qui sont ainsi volées sans que les auteurs n’en aient connaissance).

Aujourd’hui n’importe qui peut lancer une attaque DDOS : l’évolution de la communauté des hackers conduit à diversifier à la fois les outils d’attaque et les programmes qui les accompagnent dans leurs actions cybercriminelles (de plus en plus faciles à utiliser mais aussi à télécharger depuis le réseau)

et même ceux qui n’ont pas de compétences particulières peuvent lancer une attaque DDOS.

Quelles sont les types d’attaque DDoS ?

cyberattaques protection

Un obstacle majeur à la lutte contre les attaques DDoS est qu’elles sont hétérogènes et englobent une variété de tactiques différentes. Fondamentalement, Les attaques DDoS peuvent être divisées en plusieurs catégories en fonction de leur objectif ou de leur fonctionnement. 

Parmi les plus courants, on peut citer :

Les attaques DDoS volumétriques

Il s’agit du type d’attaque DDoS le plus utilisé, car ils peuvent rendre un site, un serveur ou une page Web inutilisable pendant des jours. La cible reçoit de grandes quantités de données en utilisant diverses méthodes pour créer un trafic massif, comme l’utilisation d’un botnet.

Par exemple, il est possible d’utiliser une attaque par amplification DNS pour désactiver même un serveur très performant : les requêtes DNS de nombreux utilisateurs peuvent rapidement saturer l’upload et le download de la ligne Internet sur lequel repose le serveur, le rendant inutilisable.

Les attaques DDoS de protocole

Les attaques DDoS de protocole sont menées pour provoquer une consommation excessive des ressources du serveur et également saturer les ressources des équipements réseaux tels que les pare-feux et les systèmes anti-DDoS.

La plus courante des attaques est le SYN Flood : Cette attaque envoie un grand nombre de paquets TCP Initial Connection Request (SYN), mais en utilisant des adresses IP source usurpées inexistantes. Pour achever la livraison des paquets, le serveur envoie un paquet de réponse, qui ne sera cependant jamais utilisé ni traité : l’accumulation de requêtes « non satisfaites » va rapidement saturer le CPU et la RAM du serveur, le rendant inutilisable.

Les attaques DDoS de UDP flood

Les cybercriminels s’appuient sur le « User Datagram Protocol » (UDP) sans connexion pour cette attaque. Contrairement à une transmission via TCP, les données peuvent également être transmises via UDP sans établir de connexion. Dans le cadre d’attaques DoS et DDoS, des paquets UDP sont alors envoyés en grande quantité vers des ports choisis au hasard du système cible, qui tente en vain d’identifier quelle application attend les données transmises et renvoie donc un paquet ICMP avec le message en retour à l’expéditeur « Adresse de destination non accessible ». Si un système est surchargé avec de nombreuses requêtes de ce type, il en résulte une exploitation des ressources, ce qui se traduit par une disponibilité limitée pour les utilisateurs normaux.

Les attaques DDoS ICMP flood

Ces attaques DDoS exploitent le « Internet Control Message Protocol » (ICMP) , qui est utilisé pour échanger des informations et des messages d’erreur dans les réseaux de serveurs. Dans ce cas, un pirate envoie un faux paquet ICMP d’une requête d’écho (ping) à l’adresse de diffusion d’un réseau informatique et utilise l’IP de la cible comme expéditeur. En partant du routeur du réseau, la requête de diffusion est transmise à tous les appareils connectés, pour pousser chacun d’eux à envoyer une réponse à l’adresse de l’expéditeur. Un grand réseau avec de nombreux périphériques connectés peut gravement endommager la bande passante de l’ordinateur cible.

Les attaques DDoS Smurf

blog securite informatique

Ce modèle d’attaque vise à faire planter le système affecté. Les pirates profitent ainsi d’une erreur d’implémentation du protocole Internet (IP), où les paquets IP sont généralement envoyés sous forme de fragments. Si des informations de reconstruction de paquet incorrectes sont également envoyées, certains systèmes d’exploitation sont amenés à

 générer des paquets IP dont la taille est supérieure à la taille maximale autorisée de 64 Ko. Cela peut conduire à un « buffer overflow » car une trop grande quantité de données a été créée, qui dépasse la taille autorisée par l’espace rendu disponible par le système attaqué.

Les attaques au niveau de la couche application (L7)

Ce type d’attaque est effectué directement au niveau de l’application, c’est-à-dire directement sur la page web qui fait office de cible (HTTP Flood) : pour donner un exemple pratique, le pirate prépare tous ses ordinateurs (ou machines zombies) pour accéder à la page web et appuyez plusieurs fois sur une même touche en prenant soin de recharger automatiquement la page à chaque fois.

L’attaque provoque un grand nombre de requêtes HTTP qui submergent efficacement le serveur, ce qui empêche les utilisateurs légitimes d’accéder au service et de charger la page. Ces types d’attaques sont faciles à planifier et sont tout aussi faciles à atténuer, notamment en construisant des sites avec des limites précises sur les requêtes HTTP qui peuvent être traitées simultanément.

Comment se défendre contre une attaque DDoS

Pour sécuriser votre infrastructure contre les attaques par déni de service, vous pouvez prendre plusieurs mesures en même temps. Ce sont surtout les routeurs qui doivent être configurés correctement et protégés par des mots de passe forts. En introduisant des mesures de blocage sur ces nœuds, de nombreuses attaques DoS peuvent déjà être évitées. Les paquets d’attaque correspondants ne sont donc pas acceptés dans l’infrastructure interne. Un bon pare-feu offre une sécurité supplémentaire. Si vous êtes certain d’être la cible d’une attaque, vous pouvez déployer des ressources supplémentaires.  Grâce à la répartition de la charge, par exemple, des capacités supplémentaires peuvent être demandées au fournisseur d’hébergement même à court terme pour empêcher l’attaque de réussir.

Découvrez la fiche pratique sur le DDoS

Voici un aperçu détaillé des mesures de protection contre les attaques DDoS :

Les solutions de protection contre une attaque DDos

Afin d’anticiper les coups, vous devez avoir, avant tout, un pra informatique bien établi et un plan d’intervention préparé en temps utile afin que l’impact puisse être minimisé. Il doit inclure une liste de contrôle des outils, une équipe prête, avec des rôles et des responsabilités clairement définis à assumer une fois l’attaque détectée ; des règles claires sur qui avertir et impliquer en cas de danger ; un plan de communication pour alerter rapidement tout le monde en cas d’attaque.

Pour pallier une attaque DDoS, il est indispensable de prévenir l’attaque en masquant notre adresse IP publique : si notre IP personnelle est masquée (par exemple derrière une bonne connexion VPN) l’attaque peut être interrompue très facilement, puisqu’il suffit de changer de VPN serveur et en choisir un autre pour annuler l’attaque (l’attaque se poursuivra sur un serveur VPN désormais complètement dissocié de notre serveur personnel).

Pour rendre la protection sur notre ordinateur ou sur notre réseau encore plus efficace, il est conseillé d’utiliser des routeurs performants prenant en charge les connexions VPN et de les combiner avec un pare-feu logiciel de qualité, en ignorant le pare-feu intégré à Windows : à cet effet, il est conseillé d’utiliser un pare-feu multicouche tel que celui intégré dans une suite de sécurité forte comme Norton 360 Deluxe.

Il faut également s’assurer que les systèmes informatiques sont toujours à jour et corrigés, afin de minimiser les vulnérabilités. Les correctifs de sécurité doivent être installés non seulement sur le serveur, mais également sur tous les appareils et applications utilisés dans l’entreprise.

Enfin, il est aussi important de former le personnel sur la sécurité informatique et sur les procédures à suivre en cas de cyberattaque.

La prévention doit plus porter sur le renforcement du niveau de sécurité des machines connectées au réseau [pour éviter qu'une machine puisse être compromise] que sur la protection des machines cibles [les serveurs Web].

Selon Thomas Longstaff de l'université Carnegie-Mellon

Comment interrompre une attaque DDoS ?

antivirus_professionnel

Dans le cas où un site Web qui nous intéresse est soumis à une attaque DDoS, il y a très peu de possibilité d’intervenir, en tant qu’utilisateurs, de quelque manière que ce soit. En fait, seuls les administrateurs système seront en mesure d’atténuer les effets d’une tentative visant à rendre instable l’environnement informatique sous leur contrôle. Différentes contre-mesures, plus ou moins efficaces, peuvent être mises en place :

Vous souhaitez en savoir plus ? 
Contactez-nous !

contact axido
Retour vers le haut

Découvrir les fonctionnalités