Définition de l'attaque DDoS
Une attaque par déni de service distribué (DDoS) est une forme de cyber-attaque qui vise à perturber le trafic normal d'une ressource réseau, d'un serveur ou d'un site internet en le submergeant de trafic internet malveillant, entraînant ainsi leur incapacité à fonctionner normalement. Ce type de cyber-attaque a un impact limité mais reste très courant.
Contrairement aux attaques DoS qui interrompent simplement le service, les attaques DDoS sont menées à une échelle bien plus vaste, rendant des infrastructures entières et des services évolutifs (tels que le cloud) indisponibles.
Typologie d'attaques DDoS
Attaques DDoS sur la couche application
L’attaque par inondation HTTP, aussi connue sous le nom d'HTTP Flood, est l'une des attaques les plus répandues au niveau de la couche d'application. Ce type d'attaque exploite le protocole HTTP, largement utilisé pour charger des pages Web ou envoyer du contenu en ligne. Son mode opératoire est simple mais efficace : un pirate envoie massivement un grand nombre de requêtes à partir de multiples dispositifs vers un même serveur ou site Web. En conséquence, le serveur se trouve rapidement submergé par cette avalanche de requêtes malveillantes, ce qui entraîne un ralentissement drastique, voire une panne totale du système.
L'effet de cette attaque est comparable à celui de centaines voire de milliers de navigateurs Web actualisant sans relâche la même page simultanément. Cela génère un flux incessant de requêtes HTTP qui inondent le serveur ciblé, engendrant ainsi un déni de service pour les utilisateurs légitimes. En d'autres termes, les attaques par inondation HTTP sont comme des vagues déferlantes sur un rivage, submergeant le serveur sous une masse de demandes, le laissant inefficace voire hors service.
Attaques DDoS des protocoles
Les attaques par protocole constituent une menace majeure, ciblant les couches réseau (couche 3) et transport (couche 4) du modèle OSI. Elles exploitent les vulnérabilités des protocoles de communication Internet pour submerger les ressources critiques telles que les pare-feu, les équilibreurs de charge et les serveurs Web. En exploitant les faiblesses des protocoles utilisés pour la communication réseau, ces attaques peuvent entraîner une surcharge des dispositifs intermédiaires, rendant ainsi les services de la victime indisponibles. Les attaques protocolaires cherchent à consommer excessivement les ressources des serveurs et des équipements réseau, rendant ainsi la cible inaccessible. En envoyant des demandes de connexion malveillantes qui exploitent les protocoles TCP (Transmission Control Protocol) ou ICMP (Internet Control Message Protocol), ces attaques visent à épuiser la capacité de calcul des ressources de l'infrastructure réseau.
Attaques DDoS volumétriques
Une attaque DDoS volumétrique est un type de risques cyber qui a pour objectif de rendre inaccessible un service en saturant la bande passante du réseau disponible. Pour saturer la bande passante, les attaquants exploitent certains protocoles vulnérables. Les protocoles DNS, NTP ou SNMP peuvent être concernés.
Une organisation peut subir une attaque DDoS volumétrique exploitant un protocole, même si elle n'a pas de service actif exposé sur internet utilisant ce même protocole.
Les attaques DDoS volumétriques sont les plus répandues. Une attaque DDoS vise à rendre un serveur, un service ou une infrastructure indisponible en l’inondant d’un grand nombre de demandes. De cette manière, la connexion réseau ou les ressources du serveur sont saturées, de sorte que les demandes légitimes ne peuvent pas atteindre le serveur ou que celui-ci ne peut pas gérer la charge ni répondre aux demandes. Un grand nombre d’ordinateurs compromis (ou d’autres appareils connectés, par exemple des IoT ou des webcams), phénomène appelé « botnet », peut être utilisé par les hackers pour rendre une attaque plus distribuée, ce qui a plus de chances d’aboutir. L’une des techniques les plus couramment utilisées consiste à envoyer une grande quantité de petits paquets au botnet dont l’adresse IP a été usurpée. Il répondra à son tour avec des paquets encore plus volumineux envoyés directement à la victime (c’est-à-dire à l’adresse IP usurpée). Les cibles de trafic flooding ne sont généralement pas en mesure de répondre, car leurs connexions Internet sont totalement surchargées (elles atteignent les limites de leur bande passante). Cette technique est une attaque par réflexion et amplification.
Quelle est la cible de ces attaques ?
Les attaques par déni de service distribué (DDoS) représentent une menace pour toutes les organisations qui utilisent une infrastructure réseau connectée à internet. D'après le Panorama de la cybermenace 2023 de l'ANSSI, les attaques par déni de service distribué (DDoS) peuvent contribuer à promouvoir un discours politique, entraver l’accès à des contenus en ligne ou porter atteinte à l’image d’une organisation et ainsi déstabiliser l'organisation ciblée.
Bien que de nombreuses organisations soient vulnérables à ces attaques, certains secteurs sont particulièrement ciblés, notamment l'e-commerce, les institutions financières, les gouvernements et les entreprises d'hébergement informatique. Par conséquent, il est essentiel de mettre en place des mesures de protection adéquates dès le début de la conception des systèmes d'information et des infrastructures réseau.
Identifier une attaque par déni de service distribué
Le premier signal d'alerte majeure traduisant une attaque par DDoS est le ralentissement soudain ou l'indisponibilité d'un site web ou d'un service.
Cependant certains facteurs, autres qu'une attaque par DDoS, peuvent engendrer l'inaccessibilité d'un service :
- une panne de routage provoquée par une erreur de configuration
- un dysfonctionnement d'un service critique comme DNS
- des pics de fréquentation d'un site web dus à la survenue d'évènements particuliers
- une erreur d'implémentation entrainant l'arrêt d'un serveur
Ainsi, afin de détecter un incident cyber il est nécessaire de disposer de moyens de supervision de l'infrastructure qui permettent de suivre l’évolution de la consommation :
- de ressources,
- de la bande passante réseau,
- des ressources processeur et mémoire,
- de l’espace disque.
Comment réagir cas d'attaque DDoS ?
Si l'attaque par DDoS est avérée plusieurs actions peuvent être mises en place au niveau de l'organisation ciblée pour tenter de contrer l'attaque :
- Bloquer les adresses IP sources identifiées comme responsables de l'attaque par DDoS
- Filtrer et bloquer le type de trafic impliqué dans l'attaque par DDoS
- Imposer une limitation de connexions simultanées par adresse IP source au niveau d'un pare-feu
- Réduire les délais de rétention des connexions TCP
Lors de la gestion d'une attaque, il est crucial de prendre en compte que certains attaquants peuvent utiliser l'attaque par DDoS comme tactique de diversion. En effet, une attaque DDoS pourrait être utilisée pour dissimuler une tentative d'intrusion ou de vol de données. Il est donc impératif de vérifier que le système d'information n'est pas simultanément visé par un autre type de cyber-attaque et de mener une évaluation globale du système d'information de l'organisation une fois l'attaque neutralisée.
L'assurance cyber-risques couvre les attaques DDoS
Un contrat d'assurance cyber-risques couvre les attaques DDoS. Les différents frais liés à une attaque par DDoS sont pris en charge par les compagnies d'assurance permettant ainsi d'être un véritable filet de sécurité financier pour l'organisation assurée.
En cas d'attaque DDoS, grâce à la mise en place d'un contrat d'assurance cyber-risques, une équipe d'experts informatiques, disponible 24/7, est mise à la disposition de l'assuré. L'équipe d'experts aide à stopper la cyberattaque et pilote la réponse à incident. Les analyses forensic, à la charge de la compagnie d'assurance, vont permettre d’analyser et mesurer l’ampleur de l’attaque.
Découvrez notre page sur le ransomware.
Sources :