Les attaques par déni de service ou DDoS sont l’un des pires cauchemars des éditeurs de sites internet et des administrateurs de réseaux. Voici comment s’en prémunir.
Les attaques par déni de service (DDoS) sont des cyberattaques qui visent à rendre indisponible un site web, un serveur ou un réseau en le saturant de requêtes malveillantes. Ces requêtes proviennent généralement d’un grand nombre d’ordinateurs infectés par un logiciel malveillant et contrôlés à distance par un pirate informatique. Le but de ces attaques peut être de nuire à la réputation, à l’activité ou à la sécurité d’une organisation, ou de lui extorquer de l’argent.
Pour bien comprendre le principe, prenons un exemple. Imaginez une route où la circulation est habituellement fluide, qui permet aux usagers de se rendre à un centre commercial pour flaner ou faire des courses. Puis, un matin, un concurrent du centre commercial a décidé de mettre ce dernier en difficulté. Pour cela il utilise une méthode difficile à détecter et à contrer : il pirate des milliers de voitures dotées de conduite autonome pour qu’elles saturent la route et les accès au centre commercial, de façon à ce que celui-ci devienne inaccessible aux clients légitimes, faisant ainsi chuter son activité et son chiffre d’affaires. C’est le principe d’une attaque par déni de service : saturer l’accès à un site internet ou un service informatique en envoyant simultanément des requêtes en masse pour le « faire tomber » et le rendre inaccessible.
Comment fonctionnent les attaques DDoS ?
Les attaques DDoS exploitent les limites de capacité des ressources informatiques, comme la bande passante, la mémoire ou le processeur. En envoyant un flux massif de requêtes à une cible, les attaquants cherchent à la surcharger et à la rendre incapable de répondre aux requêtes légitimes des utilisateurs. Par exemple, si un site web peut gérer 1000 visiteurs simultanés, une attaque DDoS peut lui envoyer 10 000 requêtes par seconde, ce qui le rendra inaccessible ou très lent. Il existe différents types d’attaques DDoS, selon la couche du modèle OSI (Open Systems Interconnection) qu’elles visent. Le modèle OSI est une représentation schématique des différentes couches qui composent un système de communication informatique, allant de la couche physique (les câbles, les routeurs, etc.) à la couche application (les protocoles, les logiciels, etc.). Les principaux types d’attaques DDoS sont :
- Les attaques de couche réseau ou de transport (couche 3 et 4 du modèle OSI), qui ciblent la connectivité entre les machines. Par exemple, les attaques SYN flood, qui envoient des paquets TCP (Transmission Control Protocol) avec le drapeau SYN (synchronisation) activé, ce qui incite le serveur à répondre avec un paquet SYN-ACK (acknowledgement) et à attendre la confirmation du client. Mais le client ne confirme jamais, ce qui crée une file d’attente de connexions incomplètes et consomme les ressources du serveur.
- Les attaques de couche application (couche 7 du modèle OSI), qui ciblent les applications ou les services spécifiques. Par exemple, les attaques HTTP flood, qui envoient des requêtes HTTP (Hypertext Transfer Protocol) valides mais malicieuses, comme des requêtes GET ou POST, qui demandent au serveur de traiter des données ou de renvoyer des pages web. Ces requêtes peuvent être personnalisées pour solliciter les parties les plus vulnérables ou les plus coûteuses du site web, comme les formulaires, les recherches ou les transactions.
- Les attaques par réflexion ou amplification, qui utilisent des serveurs intermédiaires pour amplifier le trafic envoyé à la cible. Par exemple, les attaques DNS amplification, qui envoient des requêtes DNS (Domain Name System) avec l’adresse IP de la cible usurpée, ce qui incite les serveurs DNS à répondre à la cible avec des réponses volumineuses. Ces réponses peuvent être jusqu’à 70 fois plus grandes que les requêtes initiales, ce qui multiplie l’effet de l’attaque. Comment identifier les attaques DDoS ?
- Les attaques DDoS peuvent être difficiles à distinguer d’un trafic légitime, surtout si elles sont bien conçues et dissimulées.
Néanmoins, il existe quelques indicateurs qui peuvent aider à détecter une attaque DDoS en cours :
- Une baisse soudaine et anormale de la performance ou de la disponibilité d’un site web, d’un serveur ou d’un réseau, sans raison apparente.
- Une augmentation inhabituelle du trafic entrant, provenant de sources multiples et géographiquement dispersées, avec des caractéristiques communes (comme le type de requête, le contenu, l’agent utilisateur, etc.).
- Une consommation excessive des ressources informatiques, comme la bande passante, la mémoire ou le processeur, qui peut entraîner des erreurs, des ralentissements ou des plantages.
- Des messages d’alerte ou d’erreur provenant des systèmes de surveillance, de détection ou de prévention des intrusions, qui signalent des anomalies ou des activités suspectes sur le réseau.
Comprendre et anticiper les attaques DDoS pour protéger votre organisation
Lorsqu’un serveur ou un réseau victime est ciblé par un botnet, chaque bot envoie des requêtes à l’adresse IP de la cible, pouvant provoquer une saturation du serveur ou du réseau ciblé et ainsi perturber le trafic normal. Séparer le trafic d’attaque du trafic normal peut être difficile, mais certains outils d’analyse du trafic peuvent aider à identifier des signes suspects :
- Volume inhabituel de trafic provenant d’une seule adresse IP ou d’une plage d’adresses IP
- Trafic provenant d’utilisateurs ayant des profils comportementaux identiques, comme l’utilisation du même type d’appareil, se trouvant dans la même zone géographique ou utilisant la même version de navigateur web
- Augmentation inexpliquée des requêtes vers une seule page ou point d’accès
- Modèles étranges de trafic, comme des pics à des heures inhabituelles de la journée ou des schémas apparemment non naturels
D’autres signes plus spécifiques, variant en fonction du type d’attaque, peuvent également suggérer une attaque DDoS.
Les différents types d’attaques DDoS
Pour comprendre comment fonctionnent les différentes attaques DDoS, il faut connaître la manière dont les connexions réseau sont établies. Bien que la plupart des attaques DDoS consistent à inonder un appareil ou un réseau cible avec un trafic excessif, on peut distinguer trois catégories au sein de ces attaques :
- Attaques sur la couche application : Ces attaques visent à épuiser les ressources de la cible afin de créer un déni de service. La défense contre les attaques de couche 7 peut être difficile car distinguer le trafic malveillant du trafic légitime peut être compliqué.
- Attaques basées sur le protocole : Ces attaques provoquent une interruption de service en consommant de manière excessive les ressources du serveur ou du matériel réseau. Cette attaque exploite les vulnérabilités du protocole.
- Attaques par saturation : Ces attaques consistent à envoyer un grand nombre de requêtes ou de paquets à un système pour le rendre indisponible.
Prévenir les attaques DDoS
Pour éviter de subir une attaque par déni de service, il est essentiel d’adopter quelques bonnes pratiques :
- Mettre régulièrement à jour les logiciels de sécurité
- Configurer correctement votre pare-feu
- Vérifier la complexité des mots de passe et les modifier régulièrement
- S’assurer que votre fournisseur d’hébergement est prêt à gérer ce type d’attaque
Que faire en cas d’attaque ?
Si votre organisation est victime d’une attaque DDoS, voici les mesures à prendre :
- Contactez votre fournisseur d’hébergement pour qu’il identifie les éléments défectueux, les protocoles utilisés et les sources de l’attaque
- Bloquez si possible les adresses IP source identifiées comme responsables de l’attaque
- Récupérez les fichiers journaux du pare-feu et du serveur affecté
- Faites une copie complète de la machine attaquée et de sa mémoire
- Ne payez pas de rançon éventuelle
- Faites appel à un professionnel pour restaurer et sécuriser les systèmes d’information affectés lorsque l’attaque est terminée
- Effectuez un bilan général sur vos systèmes d’informations pour vérifier qu’aucune donnée sensible n’a été volée
Comprendre et anticiper les attaques DDoS est crucial pour protéger efficacement votre organisation. En étant proactif et en adoptant des mesures de prévention adéquates, vous minimiserez les risques et les conséquences potentielles d’une telle attaque sur votre activité.