Les attaques DDoS ou attaques par déni de service sont l’une des menaces les plus dangereuses dans le monde des affaires. D’après les statistiques, environ 50 millions d’attaques de ce type ont lieu chaque année dans le monde. Malheureusement, cette tendance est à la hausse et l’accès pour les acteurs malveillants devient de plus en plus facile et moins cher.
Le résultat d’une attaque par deni de service est une limitation de vitesse ou une indisponibilité des services Internet pendant un certain laps de temps (de quelques minutes à plusieurs jours).
La perte de la réputation de l’utilisateur et les dommages qui en résultent pour l’utilisateur peuvent être irréversibles.
Pour vous protéger contre ces attaques, vous devez savoir ce qu’est une attaque DDoS et comment l’atténuer si cela se produit. La sensibilisation est votre meilleure arme contre la cybercriminalité moderne.
Qu’est-ce que c’est qu’une attaque par déni de service ?
La plupart des attaques informatiques sont prévisibles et ne visent qu’un seul client. Tous les bons fournisseurs d’hébergement et de solution de sauvegarde externalisée ont mis en place des mécanismes de défense contre de telles tentatives.
Mais il existe également des actes criminels qui affectent l’ensemble du serveur ou du centre de données, contre lesquels il est beaucoup plus difficile de se défendre. Ces attaques incluent également le déni de service distribué (DDoS).
Dans le déni de service distribué, les attaquants visent à rendre un réseau ou un serveur inaccessible, mais comment cela fonctionne ?
Quel type d'attaque rend indisponible un service ?
L’utilisation croissante d’Internet amène les entreprises à se préoccuper de plus en plus d’assurer la sécurité des connexions Internet. Les plus grands dangers du monde numérique sont les attaques DDoS (Distributed Denial of Services), les virus, les codes malveillants, les vers, etc.
L’une des principales faiblesses de l’accès à Internet est l’exposition aux attaques distribuées. Dans le cas d’une attaque, le cyberattaquant génère une grande quantité de faux trafic de données, qui est généralement supérieure à la bande passante que l’entreprise a louée pour l’accès à Internet. Cela crée un goulot d’étranglement qui empêche le trafic utilisateur régulier de passer. Cela entraîne l’inaccessibilité et le non-fonctionnement conséquent du service sur Internet.
Le service de l’entreprise reste indisponible pendant toute la durée de l’attaque par deni de service, qui peut durer de quelques minutes à quelques heures. Pendant ce temps, une perte commerciale importante peut survenir.
Comment fonctionne une attaque par déni de service ?
Une attaque DDoS est un afflux soudain de trafic artificiel conçu pour paralyser le serveur d’un site Web et le rendre inaccessible aux visiteurs légitimes. Si le serveur reçoit plus de requêtes qu’il ne peut en gérer, il ralentira ou plantera de sorte que personne ne puisse charger votre page. En comparaison, une attaque par déni de service (DoS) normale peut provenir d’une source unique. En revanche, une attaque DDoS consiste en un grand nombre de requêtes ciblées provenant de dizaines, de centaines, voire de milliers d’appareils individuels.
Ce sont principalement des ordinateurs qui ont été piratés et qui exécutent secrètement des logiciels malveillants en arrière-plan. Ensemble, ces appareils forment un réseau botnet ou zombie.
Le mécanisme d’une attaque DoS est très simple : elle essaie de submerger la capacité de la cible avec du trafic. La manière exacte dont cette attaque est menée dépendra de la vulnérabilité du système cible.
Par exemple, une façon de procéder consiste à envoyer au serveur de nombreuses requêtes avec de fausses adresses de retour. Cela rend impossible pour le serveur de vérifier son origine. Cela peut amener le serveur à épuiser simplement sa capacité de RAM ou de CPU et à planter.
Les cybercriminels effectuent leurs attaques DDoS en envoyant du code malveillant à des centaines, voire des milliers d’ordinateurs, demandant à chacun d’envoyer des requêtes à une seule organisation. Cela se fait généralement par le biais d’outils, tels qu’un botnet. Le botnet peut être un réseau d’ordinateurs privés infectés par des logiciels malveillants contrôlés en groupe, à l’insu de chaque propriétaire individuel.
Quels sont les types d'attaques DDoS ?
Les attaques DDoS peuvent être identifiées à différentes couches du modèle OSI. Les attaques sont menées soit sur les couches infrastructure soit sur les couches présentation et application. Dans les deux cas, cependant, l’intention première de l’attaquant est de rendre les services en ligne inaccessibles aux utilisateurs légitimes et de nuire à la victime.
- Attaques sur les couches d'infrastructure : la forme la plus courante d'attaques DDoS sont les attaques dites volumétriques menées via le protocole IP et les protocoles TCP/UDP du modèle OSI. Lors de ces attaques, les serveurs sont surchargés et les lignes d'accès ou les périphériques réseau (par exemple, les routeurs et les pare-feu) sont submergés par un faux trafic de données. Les serveurs du service sont débordés et ne peuvent pas traiter le trafic réseau légitime. Les attaquants utilisent un grand nombre d'ordinateurs et d'autres périphériques réseau dispersés sur Internet. Toutes ces solutions ciblent un service en ligne spécifique choisi par l'attaquant. Il existe plusieurs catégories d'attaques de ce type : UDP Flood Attack, ACK Flood Attack, SYN Flood Attack,…, qui présentent toutes heureusement des caractéristiques typiques et sont relativement faciles à détecter.
- Attaques d'applications : dans le cas d'une attaque applicative, il ne s'agit pas d'une augmentation significative du volume de données transmises, Une attaque d'application consiste en l'accès de cybercriminels à des zones non autorisées. Les attaques sont plus complexes et « simulent » un utilisateur légitime. Les attaques les plus courantes de ce type incluent WordPress Pingback Attack, HTTP Flood Attack, ...
Comment faire si je suis victime d’attaque par déni de service ?
Lors d’une attaque, notre objectif est d’obtenir un fonctionnement normal du service pour les utilisateurs qui ne font pas partie de l’équipe informatique de l’attaquant. Le but est donc d’empêcher le passage de toutes les données envoyées sur le réseau par des criminels, tout en laissant passer le trafic de tous les utilisateurs normaux.
Par conséquent, la première étape est toujours l’analyse des données pour identifier le trafic des attaquants. Après l’analyse, il est nécessaire d’arrêter ce trafic. Cela signifie qu’il est très difficile pour la victime d’arrêter l’attaque par elle-même, mais elle a besoin de l’aide d’un prestataire de services hébergés. Tout est compliqué par le fait que les criminels combinent différentes techniques dans la même attaque et changent de méthode d’attaque. Il existe toutefois des mesures à prendre pour atténuer l’impact de l’attaque.
Filtrez les requêtes du cyberattaquant
Si vous avez un plan en place pour tirer parti d’une entreprise pour filtrer le trafic indésirable, activez-le et en quelques minutes, l’attaque devrait être atténuée. Si vous n’avez pas de plan ou de ressource contractuelle pour filtrer le trafic, contactez votre fournisseur de données et il pourra peut-être filtrer les adresses IP attaquantes.
Conservez les preuves
Formater vos disques et restaurer vos informations avec des données de sauvegarde propres peut sembler attrayant. Mais ne le faites pas avant d’avoir soigneusement enquêté et documenté l’incident. En effaçant le malware de votre système, vous détruisez probablement les preuves qui prouvent que le ransomware n’a pas exfiltré les données vers les cybercriminels. Vous devez également déterminer si une enquête médico-légale sur vos ordinateurs et serveurs serait appropriée.
Evaluation des dégâts subis
Qu’une attaque se produise ou non, les services informatiques doivent effectuer un examen annuel de leur plan de protection DDoS et une analyse des solutions tierces. Ils doivent également travailler avec d’autres services pour analyser le coût d’une panne due à une attaque. Ces informations aideront les organisations à déterminer les solutions appropriées pour les futures attaques potentielles. En fin de compte, être préparé est la meilleure arme contre les attaques DDoS.
Changez de mot de passe d’accès
Si vous pensez que votre compte en ligne a une valeur, alors changer votre mot de passe serait la meilleure chose à faire. Il est possible que de mauvais acteurs aient pris le contrôle de votre compte et se fassent passer pour le propriétaire légitime, en drainant des fonds, en accédant à des données personnelles sensibles et même en créant un nouveau compte.
Contactez l’organisme concerné
Lors d’une attaque, vous pourriez être tentés d’essayer de maîtriser les choses avant de donner l’alerte. Cependant, cela risque de retarder une solution et d’interférer avec le flux de travail, car plusieurs personnes peuvent finir par résoudre les mêmes problèmes, voire les mauvais problèmes. C’est pourquoi vous devez informer le service informatique et tout autre employé potentiellement concerné dès que possible.
Contactez ensuite votre FAI ou votre partenaire de sécurité tiers. Si vous pouvez accéder à un support de sécurité externe, il y a de fortes chances qu’il puisse résoudre votre problème rapidement. Si vous n’avez pas de support de sécurité, vous pouvez toujours contacter votre FAI pour une aide immédiate.
Vos options varient en fonction de votre fournisseur, mais la plupart offrent des fonctionnalités de support pour gérer l’ampleur croissante des attaques DDoS.
Déposez plainte au commissariat
Tout d’abord, il convient de rappeler que ce n’est pas parce que votre site Web est un peu lent qu’une attaque DDoS s’est toujours produite. Souvent, cela est simplement dû à l’augmentation du trafic sur le site. Cependant, si la situation se répète trop souvent, cela vaut la peine de prendre les mesures appropriées. Dans une telle situation, appelez la société hébergeant votre serveur. De cette façon, vous devriez être en mesure de confirmer qu’une attaque DDoS s’est produite.
Si l’incident s’est réellement produit, informez la police pour vous assurer que le cybercriminel sera identifié. Bien sûr, vous aurez besoin de preuves pour cela, alors assurez-vous d’avoir préparé les journaux du serveur.
Signalez l’escroquerie sur le site de la CNIL concerné
Vous vous demandez comment signaler une attaque DDoS ou si vous devriez même le faire ? Le signalement d’une attaque peut ne pas entraîner une aide immédiate lors d’une attaque en cours ou pendant la récupération, mais cela peut réduire la probabilité d’attaques futures contre vous et d’autres cibles.
Rendez-vous sur le site officiel de la CNIL pour en savoir plus. Selon le RGPD, vous devez informer les autorités et signaler l’incident à la CNIL si ce dernier présente un risque pour les droits et libertés des personnes. Si vous jugez le risque peu probable, vous n’êtes pas tenu de le faire. Cependant, si vous décidez de ne pas signaler une infraction, vous devez documenter votre décision, car vous pourriez par la suite être invité à la justifier.
Comment prévenir d’une attaque par déni de service ?
Il existe diverses mesures que vous pouvez prendre pour prévenir la plupart des attaques mineures et minimiser les conséquences. Être préparé est le meilleur antidote aux attaques de ce genre. Réalisez un test d’intrusion, élaborez un plan d’action avant que quelque chose ne se produise, … Voici quelques conseils pour éviter les attaques DDoS.
Filtrez les requêtes de l’attaquant
Le filtrage d’une attaque DDoS nécessite un dispositif spécialisé qui intègre un détecteur et un atténuateur. Le premier détecte (et met à jour au fil du temps) le vecteur d’attaque, analyse les caractéristiques communes du trafic réseau généré par l’attaque et les
transmet à l’atténuateur, qui élimine de manière sélective les paquets de données indésirables en fonction de ceux-ci. Cependant, il est important de noter que l’objectif n’est pas de filtrer tout le trafic indésirable, mais de maintenir le service protégé opérationnel.
Récupérez les fichiers de journalisation
Il n’y a pas moyen d’empêcher une attaque DDoS à moins que vous ne soyez Amazon ou une entité similaire qui dispose d’une énorme quantité de bande passante et de ressources disponibles. La meilleure prévention est d’avoir des outils en place pour détecter une attaque et un plan pour l’atténuer.
L’un des meilleurs outils qu’une entreprise puisse avoir est un serveur syslog ou un moyen de collecter des fichiers journaux à partir des points de terminaison du réseau. Ils peuvent fournir des données précieuses sur l’attaque.
Réalisez une copie totale du pc attaqué
Les données stockées sur vos appareils peuvent être perdues, supprimées accidentellement ou attaquées de manière malveillante. Protégez vos fichiers, données et recherches importants en faisant des copies électroniques et en les stockant en toute sécurité. Ayez plusieurs plans de sauvegarde en place pour sécuriser entièrement votre travail en fonction de la sensibilité des données (par exemple, stockage en nuage, lecteur flash crypté, disque dur externe). Si vous avez une copie de vos données et que votre appareil est victime d’un ransomware ou d’autres cybermenaces, vous pouvez restaurer les données à partir d’une sauvegarde.
Changez de mot de passe
Les avantages de changer votre mot de passe ne peuvent souvent pas être sous-estimés. Votre ordinateur stocke et donne accès à de nombreuses informations sensibles. Encore plus lorsqu’il est connecté à un réseau qui héberge les informations de vos clients. Garder toutes ces données en sécurité doit être une priorité. Il est sage pour les organisations d’avoir une politique de mots de passe qui oblige les employés à changer régulièrement leurs mots de passe (idéalement tous les 90 jours). Ces derniers doivent également être uniques pour chaque compte.
Notifiez cette attaque auprès de la gendarmerie et de la CNIL
Le plus important est que nous soyons préparés à une attaque DDoS. Nous avons besoin de mettre en place un pra informatique et d’établir un plan d’action, c’est-à-dire qui appeler, quoi signaler, à qui le signaler (prestataire informatique, hébergeur et fournisseur d’accès internet), quelles informations collecter, …
Vous devez, à chaque incident, signaler tout malware, e-mail, fichier ou lien suspect au service informatique de votre entreprise, à la CNIL, et le notifier auprès de la gendarmerie.
