Fondamentaux

De nombreux sites Internet sont la cible d’une attaque DDoS (attaque par déni de service distribué). Ce type d’incident de sécurité touche n’importe quelle infrastructure, grande ou petite. Cette attaque impacte directement le fonctionnement des services. Son but : vous faire perdre de l’argent et dégrader l’image de votre entreprise. Découvrez toutes les informations sur les attaques DDoS et comment vous en préserver.

Qu’est-ce qu’une attaque DDoS ?

Les attaques contre les réseaux distribués sont courantes. Elles sont, d’une part, faciles à mettre en place et se montrent très efficaces contre des sites non protégés. L’attaque par déni de service distribué consiste à envoyer de nombreuses requêtes malveillantes à un service et de le submerger. Le site, réseau, application, etc., est alors inaccessible et les requêtes légitimes, issues de vrais utilisateurs, ne peuvent plus aboutir. Le site et l’ensemble de votre réseau sont inaccessibles, les ventes de produits ou de services deviennent impossibles.

Comment fonctionne une attaque DDoS ?

L’attaque DDoS s’appuie sur la capacité limitée d’un serveur Web. Les réseaux informatiques sont conditionnés pour recevoir un nombre limité de requêtes. Lorsque l’attaque DDoS simule de multiples connexions à un service, les serveurs ne sont pas en mesure de toutes les accueillir. Ce trafic surdimensionné et indésirable suscite alors de nombreux dysfonctionnements au niveau des services en ligne.

La création d’une attaque DDoS sur les réseaux connectés

L’envoi d’un nombre important de requêtes est facile à mettre en place. Il s’agit pour l’attaquant de créer un « réseau zombie » ou un botnet. Les hackers peuvent également rassembler une communauté d’utilisateurs partageant une idéologie politique pour attaquer une cible « ennemie ». Si vous n’avez aucune compétence en attaque DDoS, vous pouvez également louer un réseau zombie pour quelques dollars sur le darknet.

Le lancement d’une attaque DDoS sur les serveurs Web

Les requêtes malveillantes sont lancées à partir d’ordinateurs connectés à Internet partout dans le monde, mais aussi de téléphones, des serveurs réseau, etc. L’attaquant dispose d’une petite armée de bots qui se multiplient sur les réseaux connectés.

L’attaquant n’a plus qu’à les orienter sur sa victime. Le trafic devient démesuré et entraîne le déni de services des serveurs, en incapacité de répondre à toutes les requêtes entrantes. Les utilisateurs légitimes du service attaqué n’ont plus accès au site ou à l’application.

L’objectif d’une attaque DDoS sur sa victime

L’objectif d’une attaque DDoS est purement et simplement de bloquer l’accès aux services en ligne aux utilisateurs légitimes. Le site Internet n’est plus accessible, l’e-commerçant ne réalise plus de vente. La perte de revenus est notable. Quand le réseau d’une entreprise est attaqué, cela se traduit par une impossibilité des salariés de travailler. Les lanceurs d’attaques DDoS peuvent alors se montrer plus malveillants et demander des rançons pour arrêter l’attaque.

Lors de la tentative de connexion, les utilisateurs n’ont pas connaissance d’une attaque DDoS. Ils remarquent simplement la lenteur des applications, voire une erreur 503 et l’impossibilité d’établir la connexion au serveur. Cette situation jette un discrédit sur le service, d’autant plus si elle est durable. Les utilisateurs se tournent vers la concurrence et ne reviendront sans doute pas sur le site ou l’application en question. La réputation de votre entreprise est directement impactée par une attaque DDoS.

Quels sont les différents types d’attaques DDoS ?

Les hackers utilisent plusieurs types d’attaques DDoS en fonction de leur cible et du niveau de malveillance qu’ils souhaitent appliquer. Du simple empêchement d’accéder à un site Web à l’arrêt complet d’un réseau informatique d’une entreprise, les attaques DDoS ne touchent pas la même connexion réseau.

Des attaques ciblant différents niveaux de la connexion réseau

La connexion réseau sur Internet se compose de différents niveaux. Le modèle OSI définit ses 7 couches, dont toutes jouent un rôle différent dans le mode de connexion. Par exemple, la première couche « Physical Layer«  représente le mode de connexion physique (câble, WiFi, etc.). La couche 5 constitue la connexion entre le serveur et les utilisateurs. Quant à la couche 7, cible de l’attaque DDoS de la couche application, elle représente l’accès à l’application Web.

Selon la volonté du hacher ou les protections de sécurité déjà en place, l’attaque DDoS ciblera l’une de ces 7 couches de la connexion au réseau.

Les attaques DDoS les plus courantes

Parmi les différentes attaques, citons : 

  • l’attaque DDoS volumétrique ;
  • l’attaque DDoS UDP flood ;
  • l’attaque DDoS réflexion/amplification du DNS ;
  • l’attaque DDoS ICMP flood ;
  • l’attaque DDoS de protocole ;
  • l’attaque DDoS SYN flood ;
  • l’attaque DDoS Smurf ;
  • l’attaque DDoS de la couche application.

Quelles sont les cibles principales des attaques DDoS ?

Les attaques par déni de service distribué peuvent cibler toutes les entreprises possédant une infrastructure réseau connectée à Internet. Un site e-commerce, un site Web, un site Web institutionnel ou gouvernemental, une application en ligne, une API Web, un réseau informatique ou encore une infrastructure de données peuvent être confrontés à une attaque DDoS.

Si les grandes institutions gouvernementales, bancaires et les gros sites e-commerces sont préparées aux attaques DDoS, les infrastructures les plus modestes sont des cibles faciles. Si les hackers expérimentés privilégient des cibles à haut potentiel (dans le cas d’un détournement bancaire par exemple), de plus jeunes hackers se font leur expérience sur des victimes plus vulnérables. 

Il est donc nécessaire de se prémunir de ces attaques fréquentes en mettant en place différentes solutions.

Comment se défendre contre les attaques DDoS ?

De nombreuses solutions peuvent être mises en place pour se défendre des attaques de déni de service. Vous pouvez même les combiner entre elles pour vous assurer un plus haut niveau de protection.

Le filtrage en bordure de réseau : le pare-feu

Vous pouvez mettre en place un pare-feu ou un répartiteur de charge en bordure de réseau. Cette solution peut vous défendre contre certaines attaques DDoS, mais pas toutes. Elle est, par exemple, inefficace contre les attaques applicatives. Le pare-feu et le répartiteur de charge servent à filtrer votre trafic et limiter les requêtes par adresse IP. Vous devez également procéder à un paramétrage minutieux de ces outils de protection. 

Des équipements plus spécifiques aux attaques DDoS peuvent être installés, mais ils nécessitent une prise en main et un niveau de paramétrage poussé.

Services de protection externalisée contre les attaques DDoS

Les hébergeurs peuvent vous proposer des services de protection aux attaques DDoS. Certains de ces services sont même inclus dans les offres d’hébergement. Il suffit de les paramétrer pour obtenir le niveau de protection souhaité.

Vous pouvez également envisager un système de protection plus avancé. Il s’agit alors de contrôles de cybersécurité spécifiques aux attaques DDoS basées sur le cloud. Le concept est d’installer devant votre serveur un cloud qui intercepte tout le trafic malveillant. L’expert en cybersécurité externe peut mettre en place trois solutions de protection : 

  • le service de nettoyage du cloud DDoS ;
  • le service DNS basé sur le cloud ;
  • un réseau de diffusion de contenu (CDN) pour la protection Web.

Les solutions de protection contre les attaques DDoS dépendent de la nature des services de l’entreprise et du niveau de protection souhaité des différentes couches du réseau Internet.

L’avantage de passer par un prestataire pour contrer les attaques DDoS est multiple. Le prestataire spécialisé se tient en alerte de l’évolution des attaques par déni de service. Il fait donc évoluer ses outils de manière à rester performant. Pendant une attaque DDoS, vos utilisateurs légitimes peuvent accéder à vos services en ligne.

Comment prévenir les attaques DDoS ?

Les attaques DDoS sont fréquentes : vous devez donc mettre en place les mesures nécessaires pour les prévenir. La première habitude à prendre est de réaliser les mises à jour de sécurité de vos logiciels et applications. Un paramétrage soigné de votre pare-feu est lui aussi essentiel. Vérifiez le niveau de complexité de vos mots de passe et changez-les régulièrement.

Enfin, consultez votre hébergeur pour connaître le niveau de protection contre les attaques DDoS dont vous avez droit sur l’ensemble de votre réseau. N’hésitez pas à faire appel à un expert en cybersécurité si vous avez le moindre doute quant à la sécurité de vos infrastructures.

Que faire en cas d’attaque DDoS ?

Si vous êtes victime d’une attaque DDoS, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) recommande différentes actions.

Analysez l’origine de l’attaque DDoS

Dans un premier temps, vous devez identifier quelle couche du réseau Internet est ciblée et quel protocole d’attaque est utilisé. Vous pouvez obtenir cette information auprès de votre hébergeur ou de votre équipe informatique. Vous pouvez alors, en premier lieu, bloquer les adresses IP malveillantes.

Faites appel à des experts en cybersécurité en cas d’attaque DDoS

Il est également déconseillé de payer les demandes de rançon. Il est préférable de faire appel à des experts en cybersécurité, capables de solutionner l’attaque en cours. Les spécialistes réaliseront ensuite un contrôle de votre infrastructure réseau pour identifier vos problèmes de sécurité.

Communiquez les infos relatives à l’attaque DDoS à l’ANSSI

En matière de cybersécurité, les attaques sont répertoriées au niveau de l’ANSSI. Ce partage d’informations permet aux experts de suivre les modes opératoires des hackers et leur évolution. Vous devez donc récupérer toutes les données de cette attaque. Elles comportent les fichiers de journalisation du pare-feu pour collecter d’éventuelles adresses IP et les fichiers des serveurs touchés. Réalisez également une copie intégrale de vos machines et de leurs mémoires.

Après l’attaque, vérifiez que des données n’ont pas été volées. Une attaque DDoS peut en effet servir à détourner votre attention le temps de voler des données confidentielles. Dans ce cas, vous devez prévenir vos clients, notifiez la CNIL et alerter les autorités compétentes.

Les attaques DDoS sont récurrentes. Elles comptent parmi les cyberattaques les plus connues dans le monde. À ce titre, il devient nécessaire de faire de la prévention auprès des entreprises pour assurer la protection de leur réseau de connexion Internet.