Menace fréquente à la sécurité Internet, une attaque DDoS est une attaque par déni de Service distribué, afin de perturber les opérations d’une cible. Elle peut être motivée par la politique, la religion, la concurrence ou le profit. Mais, quelle que soit sa nature, elle exige la mise en place de stratégies adaptées …
Quelles sont les 3 grandes catégories d’attaques DDoS ?
Une attaque DDoS est une tentative malveillante visant à submerger un site Web, un serveur ou un réseau ciblé, afin de le mettre en panne et empêcher les visiteurs d’arriver à destination. L’analogie classique est de la comparer à un embouteillage inattendu qui bloque soudainement une route. Généralement, elle cible l’une des 7 couches d’un réseau informatique dans le modèle d’interconnexion des systèmes ouverts (OSI), chacune ayant un but unique.
Il existe 3 grands types d’attaques DDoS :
- Volumétriques, les plus répandues (couches 3 et 4) : les hackers inondent le serveur, le service ou le réseau de demandes pour le saturer, et qu’il ne puisse plus ni gérer la charge ni répondre aux sollicitations, mêmes légitimes. En août 2020, la Bourse de Nouvelle-Zélande en a subi une – ce qui a entraîné l’arrêt du service pendant 3 jours et la perte de millions de dollars. Il existe aussi des attaques DDoS par réflexion et amplification DNS pour lesquelles les hackers usurpent l’adresse IP de la cible et envoient une grande quantité de requêtes aux serveurs DNS ouverts. À titre indicatif, DNS veut dire « Domain Name System », service assurant le lien entre le nom de domaine et l’adresse IP d’un serveur.
- Protocolaires (couches 3 et 4) : elles provoquent une interruption du service en consommant jusqu’à épuisement les capacités de calcul des ressources des serveurs ou des équipements réseau
- Au niveau de la couche d’application (attaque DDoS de couche 7) : elles ciblent les vulnérabilités dans les applications Web pour empêcher leur bon fonctionnement. Ces attaques sont spécifiquement conçues pour épuiser les ressources au niveau de l’application en envoyant des requêtes complexes.
Quel est l’objectif d’une attaque DDoS ?
Quelle que soit sa nature, une attaque DDoS vise à perturber fortement et empêcher le trafic légitime d’atteindre sa destination : par exemple, elle peut rendre impossible d’acheter un produit ou service, de regarder une vidéo ou d’interagir sur les réseaux sociaux.
Ses motivations peuvent être plurielles :
- Hacktivisme : les hackers sont en désaccord avec la philosophie ou les valeurs de l’entreprise ;
- Cyberguerre : une attaque DDoS peut chercher à nuire à l’infrastructure critique d’un État ennemi ;
- Extorsion : les hackers visent le profit en cherchant à extorquer de l’argent aux entreprises ciblées ;
- Divertissement : les pirates lancent ces attaques pour se divertir, causer des ravages ou expérimenter la cybercriminalité ;
- Concurrence : une entreprise peut décider de lancer une attaque DDoS contre son concurrent afin de bénéficier d’un avantage sur lui.
Quels sont les symptômes à surveiller et les solutions à mettre en place ?
Parmi les signes les plus courants d’une attaque DDoS sur votre appareil figure incontestablement la lenteur d’accès aux fichiers, qu’ils soient en local ou à distance. Vous recevez aussi une quantité excessive de spams, vous êtes déconnecté(e) d’Internet et/ou vous ne parvenez pas à accéder à un site Web depuis plusieurs jours… Vous enregistrez des volumes suspects de trafic émanant d’une seule adresse IP ou une augmentation inexpliquée de requêtes vers une seule page, etc.
Extrêmement répandues, ces attaques réclament la mise en place d’une stratégie DDoS solide. Aujourd’hui, le trafic frauduleux peut se présenter sous différentes formes, allant d’attaques à source unique avec une adresse IP non usurpée à des attaques nettement plus complexes et multi-vecteurs (plusieurs voies d’attaques utilisées pour submerger la cible). Lorsqu’une attaque DDoS cible plusieurs couches OSI en même temps, il s’agit de l’atténuer par des stratégies variées afin de contrer rapidement les différentes trajectoires.
Le routage vers un trou noir permet de rediriger et d’éliminer le trafic – légitime comme malveillant du réseau. Il est aussi possible de limiter le nombre de requêtes que le serveur pourra accepter sur une période donnée (limitation du taux) – ce qui ralentira les appareils véreux. La mise en place d’un pare-feu applicatif (WAF) devrait, quant à lui, atténuer les menaces visant la couche 7. Il existe de nombreuses solutions pour contrer une attaque DDoS, reste à définir la plus performante et la moins invasive pour l’activité de votre entreprise.
