Comprendre les attaques par déni de service et s’en protéger
Comprendre les attaques DDoS
Dans le paysage toujours mouvant des cybermenaces, les attaques par déni de service, ou DDoS (Distributed Denial of Service), occupent une place prépondérante. Il s’agit, en effet, d’un grand classique des cyberattaques. Ces attaques ont pour objectif de perturber, voire d'interrompre le fonctionnement normal d'un service ou d'un réseau (sites web, bases de données, service de messagerie, serveur d’entreprise, applications…).
Qu'est-ce qu'une attaque par déni de service ?
Dans le cadre des attaques de masse, les pirates peuvent rechercher des machines (téléphones, ordinateurs, caméras, imprimantes, etc.) non sécurisées pour pouvoir les infecter et en prendre le contrôle à distance puis commettre ensuite des attaques ciblées. Les attaquants se constituent alors ce que l’on appelle un réseau de botnet. C’est l’équivalent d’une armée de zombies informatisés.
Une attaque DDoS se produit lorsque ce réseau de machines envoie un nombre de requêtes très important à un service jusqu’à le saturer complètement et rendre impossible l’accès au service. Ces attaques ne sont pas forcément visibles et nous pouvons parfaitement utiliser des appareils compromis sans le savoir.
Pour vous donner une image, c'est comme si de nombreuses personnes venaient vous poser des questions exactement au même moment. Vous seriez dans l'incapacité de répondre à tout le monde et vous ignoreriez la plupart des questions qui vous ont été posées à ce moment.
Ces cyberattaques sont principalement motivées par une volonté de porter atteinte à l’image ou la réputation d’une entreprise, par l’appât du gain, par une volonté de nuire ou dans un souci de revendication politique.
Par exemple, en 2016, OVH, un des plus grands hébergeurs en Europe, a été victime d’une attaque par déni de service : 145 000 objets connectés sur Internet et en particulier des caméras de sécurité, ont été utilisés pour se connecter aux serveurs de l’hébergeur. Cela a eu pour effet de les rendre instables et d’impacter l’accès à certains sites hébergés chez OVH.
En 2018, plusieurs sites gouvernementaux ont été victimes d’une attaque DDoS les rendant inaccessibles. Cette action a été revendiquée par des réseaux de pirates en soutien au mouvement des « Gilets Jaunes ».
Plus récemment, Google a signalé la plus grande attaque DDoS jamais enregistrée avec plus de 398 millions de requêtes par seconde ! C'est plus de requêtes en une seconde que le nombre de requêtes légitimes sur Wikipédia en septembre 2023. Les mesures de protection de Google avaient alors permis de contrer efficacement la menace et d'assurer le service pour ses utilisateurs.
Les différentes formes d'attaques DDoS
Envoient un volume considérable de requêtes vers un service afin de le saturer et de rendre l’utilisation difficile voire impossible.
Exploitent des faiblesses dans les protocoles / piles réseau et visent à épuiser les ressources des équipements et serveurs.
Ciblent les applications en épuisant leurs ressources (CPU, threads, DB, etc.) pour les rendre indisponibles.
Les conséquences des attaques DDoS
Ce type d’attaque va impacter un des piliers de la sécurité des données : leur disponibilité. En effet, les données ne sont plus accessibles au moment où des personnes autorisées souhaitent y avoir accès.
Au-delà de l'interruption immédiate du service, les attaques DDoS peuvent également avoir des conséquences durables pour les entreprises en termes de :
L'indisponibilité d'un service (surtout commercial) peut entraîner d'importantes pertes, directes et indirectes.
La confiance des clients et partenaires peut être érodée, parfois durablement, après une cyberattaque.
Communication, investigation, remédiation… la reprise du service mobilise souvent beaucoup de temps et de ressources.
Une attaque DDoS peut aussi être utilisée comme une diversion pour attirer l'attention des équipes de sécurité informatique sur un événement très visible et très perturbateur pendant qu'une autre forme d'attaque est menée. Le flux généré par l'attaque DDoS en cours peut rendre l'analyse des données plus fastidieuse et masquer l'attaque principale.
Comment se protéger ?
Comme nous l'avons vu dans cet article, une attaque DDoS comprend deux éléments principaux :
- Une armée de terminaux "zombies" (mobile, ordinateur, objet connecté...) infectés
- Une cible (site internet, serveur applicatif...)
Éviter de faire partie d'une armée de zombies (sans le savoir)
Effectuer des mises à jour régulières
Il est nécessaire d’effectuer régulièrement ses mises à jour (systèmes d’exploitation, logiciels, applications…).
Utiliser un antivirus (à jour)
Cela peut sembler dit et redit, mais un antivirus à jour reste une protection réellement efficace dans de nombreux cas.
Télécharger sur les sites officiels
Les sites tiers peuvent distribuer des installateurs modifiés intégrant des logiciels indésirables (et parfois malveillants).
Choisir des objets connectés fiables
Mieux vaut un fabricant sérieux (mises à jour, sécurité, support) qu’un appareil “pas cher” et non maintenu.
Sécuriser son réseau internet
Utilisez un mot de passe Wi-Fi fort et évitez les configurations par défaut (admin/admin, WPS actif, etc.).
Il en va de l'effort collectif de sécuriser nos dispositifs connectés à Internet pour éviter de participer à ce type d'attaques.
Réduire l’impact côté cible (site / service)
Surveiller le trafic sur votre site
Utiliser des outils de surveillance (RGPD-friendly) comme Matomo Analytics peut aider à identifier des pics inhabituels et détecter une potentielle attaque DDoS.
Surveiller l’activité des serveurs
Mettez en place du monitoring (CPU/RAM/IO), des alertes, et surveillez régulièrement les logs.
Effectuer des mises à jour régulières
On ne le répètera jamais assez : une vulnérabilité sur un seul composant peut devenir un point d’entrée (ou d’amplification) d’une attaque.
Utiliser des pare-feux
Les pare-feux (logiciels ou matériels) filtrent le trafic entrant/sortant et peuvent bloquer des sources suspectes (IP, pays, patterns…).
Pour savoir comment réagir en cas de cyberattaque, consultez notre article consacré à la question ici.
Les attaques par déni de service demeurent l'une des menaces les plus perturbatrices dans le domaine de la cybersécurité. Toutefois, avec une compréhension approfondie de cette menace et des mesures de protection adéquates, les entreprises et les institutions peuvent réduire considérablement leur vulnérabilité.