L’attaque par déni de service distribuée: qu’est-ce que c’est ?

Définition d’une attaque DDoS

De plus en plus fréquentes par la relative simplicité de leur méthode d’action et le volume grandissant de données échangées sur le Web, les attaques informatiques telles que l'homme du milieu sont un risque à ne pas négliger. Elles peuvent engendrer des pertes financières conséquentes par l’interruption du service ou porter atteinte à l’image de la cible.

Une attaque par déni de service – « Denial of Service » – ou par déni de service distribuée si les attaques se font à partir de plusieurs sources – « Distributed Denial of Service » – ont pour but de rendre indisponible un service, une infrastructure ou un serveur en saturant sa bande passante.

L’attaque DDoS peut se faire en exploitant les failles d’un système ou les limites des machines ou en envoyant une multitude de requêtes simultanément depuis de multiples points du Web, ce qui rend le service instable et indisponible.

Les cibles les plus visées sont les sites de e-commerce, les casinos en ligne ou les organismes fournissant des services en ligne. La plupart des attaques durent moins d’une demi-heure mais certaines peuvent durer des jours, notamment lorsque le cybercriminel cherche à extorquer des fonds à une société.

Les différentes attaques DDoS

Contrairement à d’autres cyberattaques, comme le Cheval de Troie, les attaques DDoS n’essayent pas d’infiltrer un système, mais elles peuvent servir à détourner l’attention pour les perpétrer.
Elles se fondent sur trois stratégies :

  • La surcharge de la bande passante (attaque Smurf) : l’attaque par réflexion est une technique qui utilise le protocole ICMP, chargé des informations relatives aux rapports d’erreur. Le cybercriminel envoie des requêtes à l’adresse de diffusion du réseau et utilise l’adresse IP de la cible comme adresse d’expédition, qui reçoit des réponses aux requêtes. Le flux est multiplié par le nombre d’hôtes composant le réseau. Cette attaque génère un tel trafic que le réseau est congestionné.
  • La surcharge des ressources (attaque Flood) : les cybercriminels exploitent la limitation de connexions sur un serveur et le bloquent en rentrant des requêtes invalides. Cette attaque se décline en plusieurs catégorie : SYN Flood qui utilise un protocole TCP, le HTTP Flood les cybercriminels inondent le serveur de requête http, les UDP Flood qui utilisent le protocole UDP.
  • L’exploitation des failles (packet fragment) : les attaques DDoS utilisent les faiblesses des programmes pour créer une panne complète. L’attaque Teardrop est la plus connue : elle consiste à insérer des paquets fragmentés des informations de décalage erronées. Lors du réassemblage, il existe des vides ou des regroupements qui provoquent l’instabilité du système. En revanche, les systèmes récents ne sont plus vulnérables à cette attaque.

Que faire en cas de DDoS ?

La première étape est de déterminer la cause de l’incident. L’indisponibilité d’un site peut être provoquer par une panne de routage, un pic de fréquentation survenu sur un événement précis, un dysfonctionnement de DNS.

S’il s’agit d’une attaque par déni de service distribué, les recommandations sur les suivantes :

  • Prendre contact avec l’hébergeur du site pour qu’il identifie l’élément défaillant, les procédures employées et qu’il bloque les sources IP de l’attaque,
  • Récupérer les fichiers de journalisation du firewall
  • Faire une copie complète de la mémoire de la machine
  • Ne pas payer la rançon, le cas échéant
  • Faire appel à un professionnel pour la remise en production et la sécurisation des SI touchés
  • Faire le contrôle global du SI pour s’assurer que les données sensibles n’ont pas été volées.

Comment se prémunir contre les DDoS ?

En filtrant les flux : les firewalls et les répartiteurs de charge absorbent certaines attaques DDoS. En revanche, ils ne constituent pas une protection suffisante de manière générale et peuvent parfois être exploités par les cybercriminels pour rendre les services inaccessibles. Il existe certains équipements spécifiques aux attaques DDoS capables d’effectuer le filtrage, de limiter le nombre de requêtes dans un intervalle donné, de définir des seuils de détection d’attaque en fonction de la bande passante.

En protégeant les données : identifier et trier les données en fonction de leur degré de criticité. Il faut penser à protéger les données sensibles avec une authentification plus complexe sur un hébergeur externe, par exemple. Dans ce cas d’attaque, certaines données peuvent se perdre : il faut donc bien choisir celles qu’on est prêt à sacrifier et celles qui seront protégées des attaques DDoS.

En se servant d’un Content Delivery Network (CDN) : il s’agit d’une infrastructure de serveurs répartie dans plusieurs data centres qui se substituent aux services d’une entité. Ils ont ainsi une fonction de cache et répartissent les ressources sur un grand nombre de serveurs, ce qui améliore la résistance aux attaques.

Comment éviter de participer à un DDoS ?

Certaines pratiques peuvent être mises en œuvre pour empêcher son appareil d’être le vecteur d’une attaque de type DDoS. Par ailleurs, il est nécessaire de relever que ces recommandations ne sont pas spécifiques aux attaques DDoS : leur mise en œuvre est un gage général de sécurité du SI.

L’accès à un service doit être limité afin de n’autoriser que les réseaux internes. Le trafic sortant et entrant doit être filtré afin de bloquer l’envoi de flux pour lequel les adresses IP sont usurpées.

La navigation sur des sites internet sécurisés est également un gage de sureté dans la mesure où ils peuvent comporter des vulnérabilités susceptibles d’être exploitées par les cybercriminels.

La mise à jour de son système d’exploitation et son analyse régulière pourront prévenir de potentiels failles de système et de logiciels malveillants visant à contrôler l’appareil.