Qu'est-ce qu'une attaque par déni de service distribué (DDoS) ?
L'acronyme anglais DDoS signifie "distributed denial-of-service", ou attaque par déni de service distribué en français. Une attaque par déni de service distribué est une attaque visant à interrompre un service en ligne en l'inondant de trafic factice.
L'objectif de l'attaque est d'empêcher une entreprise de servir ses utilisateurs. Les cybercriminels recourent aux attaques DDoS à différentes fins :
- Saboter la concurrence
- Se venger
- Mener des activités à la solde d'États
- Provoquer l'anarchie et le chaos
Comment fonctionne une attaque DDoS ?
Les attaques par déni de service distribué sont étroitement liées aux réseaux de robots. Un réseau de robots ou botnet est un réseau d'ordinateurs infectés par un logiciel malveillant qui permet aux cybercriminels de contrôler ces ordinateurs à distance. On dit de ces réseaux de robots qu'ils sont "distribués" dans le sens où ils peuvent être situés n'importe où et appartenir à n'importe qui. Les propriétaires innocents de ces ordinateurs infectés peuvent ne jamais découvrir que leur ordinateur fait partie d'un réseau de robots.
Après avoir créé un vaste réseau de robots composé de millions de terminaux compromis, l'auteur de l'attaque DDoS commande chaque robot à distance pour qu'il envoie des requêtes à une adresse IP cible. L'objectif est de dépasser les limites de capacité des ressources web de la victime en l'inondant de demandes de connexion ou de données afin de rendre le service inaccessible.
Types d'attaques DDoS
Les attaques DDoS peuvent être classées de différentes manières, mais on en distingue généralement trois types :
1. Attaque volumétrique
Les réseaux de robots envoient des volumes massifs de trafic factice à une ressource. Ce type d'attaque peut recourir à des inondations ping, de paquets frauduleux ou UDP. Une attaque volumétrique se mesure en bits par seconde (bit/s).
2. Attaque de la couche réseau
Les attaques de la couche réseau envoient des quantités importantes de paquets à une cible. Elles ne requièrent aucune connexion TCP ouverte, ne ciblent pas de port spécifique et se mesurent en paquets par seconde.
Les attaques de la couche réseau peuvent notamment prendre les formes suivantes :
- Attaque smurf
- Inondation SYN
3. Attaque de la couche application
Les attaques de la couche application exploitent des requêtes courantes, telles que HTTP GET et HTTP POST. Elles affectent à la fois les ressources du serveur et du réseau, de sorte qu'elles ont le même effet perturbateur que les autres types d'attaques DDoS, mais en utilisant moins de bande passante. Il est très difficile de distinguer le trafic légitime du trafic factice au niveau de cette couche, car le trafic n'est pas frauduleux et semble donc normal. Une attaque de la couche application se mesure en requêtes par seconde.
Parallèlement aux attaques DDoS volumétriques, il existe des attaques DDoS lentes et basses. Celles-ci contournent les outils de détection en envoyant un flux stable et peu important de requêtes susceptibles d'affecter les performances tout en passant inaperçues pendant une période prolongée. Les attaques lentes et basses ciblent des serveurs web basés sur les threads et transmettent les données à des utilisateurs légitimes de manière très lente, mais pas suffisamment lente que pour provoquer une erreur de temporisation. Elles reposent notamment sur des outils tels que Slowloris, R.U.D.Y. et Sockstress.
Quelle est la différence entre une attaque DoS et une attaque DDoS ?
Les attaques DDoS sont lancées à partir de plusieurs systèmes, tandis que les attaques par déni de service (DoS, denial-of-service) émanent d'un système unique. Les attaques DDoS sont plus rapides et plus difficiles à contrer que les attaques DoS. En effet, ces dernières sont plus faciles à bloquer dans la mesure où une seule machine malveillante doit être identifiée.
Pourquoi les attaques DDoS représentent-elles une menace grandissante ?
Les attaques DDoS se multiplient à la vitesse grand V. Malgré une baisse du nombre d'attaques DDoS en 2018 à la suite de la fermeture par le FBI des principaux sites de location d'attaques DDoS sur le Dark Web, ces attaques ont enregistré une hausse de 151 % au premier semestre 2020. Dans certains pays, les attaques DDoS représentent jusqu'à 25 % du trafic Internet total lors d'une attaque.
Cette montée en puissance s'explique par l'avènement de l'Internet des objets (IoT). La plupart des terminaux IoT ne disposent pas de firmware intégré ni de contrôles de sécurité. Étant donné que les terminaux IoT sont légion et souvent implémentés sans faire l'objet de contrôles ou d'essais de sécurité préalables, ils sont susceptibles d'être piratés en vue d'être intégrés à un réseau de robots IoT.
Les interfaces de programmation des applications (API) constituent un autre point faible de plus en plus exploité. Les API sont des éléments de code qui permettent le partage de données entre différents systèmes. Par exemple, un site de voyage qui publie les horaires de vol utilise des API pour extraire les données des sites des compagnies aériennes et les intégrer dans ses pages web. Les API « publiques », accessibles à tout un chacun, ne sont pas toujours protégées de manière adéquate. Elles peuvent notamment présenter les vulnérabilités suivantes : contrôles d'authentification peu efficaces, sécurité inadéquate des endpoints, absence de chiffrement robuste et logique métier défaillante.
Quels sont les signes d'une attaque DDoS ?
Les victimes d'une attaque DDoS observent généralement un ralentissement de leur réseau, de leur site web ou de leur terminal, ou une absence de réponse. Ces symptômes ne sont toutefois pas spécifiques aux attaques DDoS – ils peuvent être dus à bien d'autres facteurs, comme un dysfonctionnement du serveur, une hausse du trafic légitime ou encore un câble endommagé. Pour détecter les attaques par déni de service distribué, les seules observations manuelles ne suffisent donc pas. Un outil d'analyse du trafic est indispensable.
Protection contre les attaques DDoS
L'atténuation et la neutralisation des attaques DDoS requièrent une approche pluridimensionnelle, car aucun outil ne peut garantir à lui seul une protection complète contre tous les types d'attaques DDoS. Voici quelques outils de base à ajouter à votre arsenal de sécurité :
Pare-feu d'application web (WAF, Web Application Firewall) : un pare-feu d'application web s'apparente à un point de contrôle pour les applications web dans le sens où il surveille les requêtes de trafic HTTP entrant et filtre le trafic malveillant. Lorsqu'une attaque DDoS de la couche application est détectée, les règles du WAF peuvent être rapidement modifiées pour limiter le débit des requêtes et bloquer le trafic malveillant en mettant à jour la liste de contrôle d'accès (ACL, Access Control List).
Solution de gestion des événements et des informations de sécurité (SIEM) : une solution SIEM est un outil qui procure une visibilité sur les activités malveillantes en extrayant des données dans les moindres recoins d'un environnement et en les regroupant au sein d'une interface unique centralisée, où elles sont utilisées pour caractériser les alertes, produire des rapports et appuyer la réponse à incident.
Réseaux de diffusion de contenus et répartiteurs de charge : les réseaux de diffusion de contenus (CDN, Content Delivery Networks) et les répartiteurs de charge (load balancers) peuvent être utilisés pour atténuer le risque de surcharge d'un serveur et les problèmes de performances/disponibilité subséquents en distribuant automatiquement les flux entrants de trafic sur plusieurs serveurs.