Select Page

Attaque DDoS

Imaginées il y a plus de 20 ans, les attaques DDoS sont depuis lors utilisées par les criminels pour infliger des dommages ciblés à des entreprises ou des institutions. Par leur immense force de frappe, ces attaques représentent un danger incalculable à ne pas négliger. Avec la protection de Myra contre les DDoS, votre infrastructure informatique est en sécurité.


01

« DDoS », qu’est-ce que c’est ?

Une attaque DDoS constitue un type particulier de cybercriminalité. L’attaque par déni de service distribué (Distributed Denial of Service, DDoS) est une attaque par déni de service (DoS) « distribué », c’est-à-dire un blocage de service. Cette situation survient lorsqu’un service demandé devient indisponible, ou d’accès très limité, pour ses utilisateurs légitimes. Le plus souvent, le déclencheur est une surcharge intentionnelle de l’infrastructure informatique. Les attaquants utilisent ce type de cybercriminalité à diverses fins : pour extorquer des rançons à des organisations non protégées, ou bien pour mener, dissimuler ou préparer d’autres activités criminelles.

02

À quoi ressemble une attaque DDoS ?

Lors d’une attaque DDoS, les pirates provoquent délibérément l’indisponibilité d’un service ou d’un serveur. L’une des manières de faire consiste à infecter plusieurs ordinateurs par des logiciels malveillants, ce qui leur permet de prendre le contrôle de ces ordinateurs sans se faire remarquer. À la tête de ce réseau d’ordinateurs infectés, ou « botnet », commandé à distance, les pirates peuvent lancer leurs attaques DDoS. Ce botnet leur permet d’utiliser tous les ordinateurs infectés pour attaquer simultanément leur cible, bombardant son infrastructure d’innombrables requêtes.

Plus il y a d’ordinateurs connectés, plus l’attaque est puissante. Sans protection DDoS, les serveurs attaqués sont submergés par l’énorme volume de demandes, et leur ligne Internet est surchargée. Les sites deviennent alors très lents à charger, voir sont mis hors service.

03

Attaque par déni de service distribué réfléchi (Distributed-Reflected Denial of Service, DRDoS)

Une attaque par déni de service distribué réfléchi est une forme particulière de DDoS. Les demandes malveillantes ne proviennent pas d’un botnet, mais de services Internet ordinaires. En pratiquant l’usurpation d’adresse IP (consistant à envoyer des paquets IP avec une adresse IP d’expéditeur falsifiée), les pirates manipulent ces services afin de diriger le trafic vers leur cible. Cette technique permet de dissimuler l’attaque. Les attaques DRDoS sont menées par exemple via les services DNS sous la forme d’une attaque dite par amplification DNS, qui permet d’envoyer des flux massifs de données à la victime. Ainsi, lors d’une attaque contre l’organisation antispam spamhaus.org, une telle attaque par amplification DNS a entraîné des pics de charge de 300 Gbits/s.

04

Qui sont les attaquants ?

Les motivations pour lancer une attaque DDoS sont elles aussi diverses : Chantage, volonté de nuire à la concurrence, jalousie ou protestation politique. L’objectif est cependant toujours le même : infliger le plus possible de dommages à l’organisation visée.

Criminels ou groupes isolés

Activistes politiques

Concurrents

Usagers mécontents

05

Quelles méthodes utilisent-ils ?

Les cybercriminels ont recours à divers types d’attaques DDoS. On peut classer les méthodes en fonction de la couche (selon le modèle dit OSI, Open Systems Interconnection, ou modèle d’interconnexion des systèmes ouverts pour les protocoles de réseau) visée par l’attaque.

L’une des méthodes les plus courantes consiste à surcharger les ressources de l’infrastructure ou la bande passante du réseau (couches 3 et 4). Ces dernières années, on note que les cybercriminels ont tendance à déplacer les attaques vers la couche application (couche 7). Cependant, les modèles et les largeurs de bande des attaques DDoS évoluent de jour en jour. Avec la protection DDoS de Myra, vous êtes protégé contre tous les modèles d’attaque.

Attaques DDoS sur les couches 3 et 4

Les attaques les plus fréquentes sur les couches de commutation et de transport (couches 3 et 4) sont notamment les TCP SYN floods et les attaques DRDoS dites UDP floods. Voici quelques autres variantes d’attaques typiques : le flood ICMP, la fragmentation UDP, l’amplification UDP via DNS, NTP, rpcbind, SSDP, le flood ACK et le flood RST. Toutes ces attaques consistent à surcharger la cible, soit en consommant énormément de bande passante, soit en envoyant d’immenses débits de paquets. Les utilisateurs légitimes ne trouvent plus de canal de données pour établir une communication.

Par exemple, lors d’une attaque SYN/ACK (ou SYN floods et ACK floods), un réseau de machines infectées contrôlé à distance par des attaquants bombarde un serveur de paquets SYN. Ces attaques portent en général sur le threeway handshake (« poignée de main triple »), qui a lieu lors de l’établissement d’une connexion TCP entre le client et le serveur. Une attaque SYN/ACK consiste à envoyer de gros volumes de paquets SYN, mais pas les paquets ACK, indispensables pour finaliser l’établissement de la connexion. Conséquence : il n’est plus possible d’établir de nouvelles connexions et le site web devient inaccessible.

La Myra DDoS BGP Protection protège les infrastructures informatiques contre de telles attaques volumétriques au niveau des couches de commutation et de transport. Le contrôle automatique des flux permet de réaliser des analyses détaillées du trafic. En cas d’attaque, la commutation des réseaux concernés s’effectue de manière entièrement automatique.

Attaques DDoS sur la couche 7

Les attaques DDoS de la couche application (couche 7) utilisent des connexions déjà établies ; elles sont devenues l’une des formes d’attaque les plus courantes. Les cybercriminels apprécient particulièrement les attaques HTTP GET, POST et autres attaques par flood, ainsi que les attaques dites lentes et faibles (low and slow). Ces attaques visent à pénétrer le composant le plus faible d’une infrastructure et à provoquer ainsi une surcharge de l’application web.

Par exemple, lors d’une attaque HTTP GET Flood, les pirates inondent un serveur web de requêtes HTTP, qui vont appeler uniquement des pages très lourdes à charger. Surchargé, le serveur devient alors incapable de traiter les demandes légitimes. Conséquence : le site n’est plus accessible aux utilisateurs.

En général, les attaques sur la couche application passent inaperçues des systèmes de détection d’une protection conçue pour les couches de commutation et de transport. Comme il s’agit de requêtes URL standard, les attaques de type flood sont difficiles à distinguer du trafic ordinaire. Par exemple, les systèmes de protection conçus pour les couches 3 et 4 ne voient aucune différence entre une attaque HTTP GET flood et un téléchargement légitime. C’est pourquoi, pour sécuriser une application web, il est indispensable qu’elle dispose d’une protection DDoS sur toutes les couches concernées. En particulier, les attaques visant à récupérer des données sensibles ne peuvent être détectées et contrées que par une protection de couche 7.

La solution Myra DDoS Website Protection protège les applications web sur la couche 7 de manière entièrement automatique. Grâce à une visibilité à 100 % sur le trafic, Myra permet une répartition de charge intelligente, ainsi qu’un failover (basculement en mode de secours) du site d’une grande fiabilité et avec des temps de réponse minimaux.

06

À partir de quand les attaques DoS/DDoS sont-elles punissables ?

En Allemagne, les attaques DoS/DDoS contre un service sur Internet sont général considérées comme relevant du sabotage informatique en vertu de l’article 303b du Code Pénal allemand et sont donc passibles de poursuites, que l’attaque ait un motif criminel (par exemple pour exiger une rançon), ou qu’elle s’inscrive dans le cadre d’une action de protestation à motivation politique. Dans certains pays, le simple fait de télécharger ou de posséder un logiciel de DoS ou DDoS constitue déjà une infraction pénale. Pour rester légales, ces attaques devraient théoriquement restées cantonnées au matériel et au réseau de leur auteur. Des exceptions sont prévues pour les spécialistes de sécurité engagés pour effectuer des tests dits de pénétration.

07

Quelles sont les conséquences d’une attaque ?

Une attaque porte toujours préjudice aux entreprises et institutions concernées, quelle que soit la méthode choisie. Pour les organisations visées, les conséquences néfastes perdurent pendant des années. C’est pourquoi il est extrêmement important de disposer d’une protection efficace contre les DDoS.

Préjudice économique

Être hors ligne pendant quelques minutes seulement peut coûter rapidement plusieurs milliers d’euros. Le manque à gagner et les budgets marketing partis en fumée ne représentent qu’une partie des dommages financiers.

Préjudice d’image

Après une attaque DDoS réussie, la perte de réputation est incalculable. Rétablir cette réputation demande beaucoup de ressources et peut prendre des années.

Vol de données

Pendant une attaque DDoS, les systèmes ne fonctionnent plus comme d’habitude. En cas de charge élevée ou de surcharge, certains systèmes deviennent soudainement vulnérables, ce qui ouvre la voie à de nouveaux vecteurs d’attaque.

08

Pourquoi l’IoT est un puissant accélérateur des attaques DDoS

Le terme générique IoT (Internet of Things, ou Internet des objets) englobe la multitude d’appareils en réseau utilisés par exemple par des particuliers, comme les caméras IP, mais aussi des installations de production en réseau dans l’industrie, ou encore des éléments de commande intelligents dans une infrastructure publique. Ces appareils connectés à Internet constituent une cible attrayante pour les cybercriminels, car ils peuvent servir d’outils pour des attaques DDoS et autres. Pour prendre le contrôle des appareils IoT, les cybercriminels utilisent des logiciels malveillants (ou malwares) spéciaux, qui se propagent par eux-mêmes sur les réseaux. L’objectif est en général d’infecter le plus de systèmes possible afin de les utiliser pour une attaque par botnet. L’un des exemples les plus connus de ce type de logiciels malveillants est le malware Mirai, utilisé par les cybercriminels pour créer des botnets. Mirai est par exemple associé à l’attaque dont a été victime le fournisseur de services Internet Dyn en 2016. Un réseau de milliers d’objets connectés (caméras IP, imprimantes, téléviseurs et autres appareils) infectés avait exécuté l’attaque DDoS et paralysé les serveurs Dyn pendant des heures.

09

Quels sont les secteurs concernés ?

Tout secteur et toute entreprise, quelle que soit sa taille, peut être victime d’une attaque DDoS. La question n’est pas de savoir si, mais quand une attaque est lancée contre votre entreprise, et à quelle vitesse elle sera détectée. Les cibles des cybercriminels et cyber-rançonneurs sont multiples : acteurs du e-commerce, banques, FinTech et assurances, entreprises de production, médias ou encore le secteur de la santé. Les data centers et les organisations du secteur public sont également des cibles de choix pour les auteurs d’attaques DDoS. Les motivations des criminels vont bien au-delà des demandes de rançon : par leurs attaques, ils peuvent chercher à paralyser des usines de fabrication et des processus de production, paralyser des réseaux d’électricité ou d’énergie, ou encore influencer la publication d’informations.

10

Comment se défendre contre les attaques DDoS

La protection contre les DDoS ou leur atténuation nécessite le recours à des technologies de protection spécifiques. Celles-ci sont disponibles sous forme d’application matérielle à utiliser sur site ou sous forme de service SECaaS. Cette dernière variante n’est pas limitée par la bande passante disponible de la connexion du serveur-même et peut donc être utilisée de manière beaucoup plus agile. Les solutions de protection contre les DDoS consistent à filtrer le trafic entrant pour distinguer les requêtes valides des accès malveillants. Les entreprises qui sont particulièrement exposées aux attaques DDoS laissent leur protection DDoS active en permanence – les autres n’utilisent les solutions qu’en cas de besoin, afin de réduire les efforts et les coûts.

11

Évolution des attaques DDoS

Ces dix dernières années, on a observé une explosion de la fréquence et de la puissance des attaques DDoS. C’est surtout en 2013 que l’intensité des attaques a augmenté massivement : cette année correspond au début de l’utilisation massive des serveurs DNS pour des attaques DRDoS. Ainsi, lors d’une attaque contre l’organisation antispam spamhaus.org, des pics de charge de 300 Gbit/s ont été enregistrés. L’année suivante, les premières attaques atteignaient déjà le seuil des 500 Gbit/s. En 2016, le malware Mirai a provoqué une nouvelle attaque record. Le malware a créé un botnet de plus de 100 000 appareils d’IoT, qui ont lancé une attaque de 1,2 Tbit/s contre le fournisseur de services Dyn. Les plus vastes attaques DDoS mesurées à ce jour ont eu lieu en 2018. Cette année-là, la plateforme de gestion de code GitHub avait été surchargée par des pics de trafic de 1,35 Tbit/s. La même année, les chercheurs en sécurité ont aussi enregistré une attaque de plus de 1,7 TBit/s contre une société américaine. Par ailleurs, la fréquence des attaques DDoS n’a cessé d’augmenter au fil des ans. Ainsi, la fréquence des attaques DDoS a été multipliée par plus de 2,5 rien qu’entre 2014 et 2017.