Comprendre les attaques par déni de service et s’en protéger

Dans le paysage toujours mouvant des cybermenaces, les attaques par déni de service, ou DDoS (Distributed Denial of Service), occupent une place prépondérante. Il s’agit, en effet, d’un grand classique des cyberattaques. Ces attaques ont pour objectif de perturber, voire d’interrompre le fonctionnement normal d’un service ou d’un réseau (sites web, bases de données, service de messagerie, serveur d’entreprise, applications…).

Dans le cadre des attaques de masse, les pirates peuvent rechercher des machines (téléphones, ordinateurs, caméras, imprimantes, etc) non sécurisées pour pouvoir les infecter et en prendre le contrôle à distance puis commettre ensuite des attaques ciblées. Les attaquants se constituent alors ce que l’on appelle un réseau de botnet. C’est l’équivalent d’une armée de zombies informatisés.

Une attaque DDoS se produit lorsque ce réseau de machines envoie un nombre de requête très important à un service jusqu’à le saturer complètement et rendre impossible l’accès au service. Ces attaques ne sont pas forcément visibles et nous pouvons parfaitement utiliser des appareils compromis sans le savoir.
Pour vous donner une image, c’est comme si de nombreuses personnes venaient vous poser des questions exactement au même moment. Vous seriez dans l’incapacité de répondre à tout le monde et vous ignoreriez la plupart des questions qui vous ont été posées à ce moment.

Ces cyberattaques sont principalement motivées par une volonté de porter atteinte à l’image ou la réputation d’une entreprise, par l’appât du gain, par une volonté de nuire ou dans un soucis de revendication politique.

Par exemple, en 2016, OVH, un des plus grands hébergeurs en Europe, a été victime d’une attaque par déni de service : 145 000 objets connectés sur Internet et en particulier des caméras de sécurité, ont été utilisés pour se connecter aux serveurs de l’hébergeur. Cela a eu pour effet de les rendre instables et d’impacter l’accès à certains sites hébergés chez OVH.

En 2018, plusieurs sites gouvernementaux ont été victimes d’une attaque DDOS les rendant inaccessibles. Cette action a été revendiquée par des réseaux de pirates en soutien au mouvement des « Gilets Jaunes ».

Plus récemment, Google a signalé la plus grande attaque DDoS jamais enregistrée avec plus de 398 millions de requêtes par secondes ! C’est plus de requêtes en une seconde que le nombre de requêtes légitimes sur Wikipédia en septembre 2023. Les mesures de protections de Google avaient alors permis de contrer efficacement la menace et d’assurer le service pour ses utilisateurs.

Il existe plusieurs formes d’attaques DDoS, dont :

• Les attaques volumétriques : Ces attaques envoient un nombre considérable de requête vers un service afin de le saturer et de rendre difficile voire impossible l’utilisation du service ou la navigation sur le site.
• Les attaques de protocole : Elles exploitent les vulnérabilités dans les protocoles de serveurs pour les rendre indisponibles.
• Les attaques d’application : Ces attaques ciblent les applications en épuisant leurs ressources pour les rendre indisponibles.

Ce type d’attaque va impacter un des piliers de la sécurité des données : leur disponibilité. En effet, les données ne sont plus accessibles au moment où des personnes autorisées souhaitent y avoir accès.

Au-delà de l’interruption immédiate du service, les attaques DDoS peuvent également avoir des conséquences durables pour les entreprises en termes de :

• Pertes financières : L’indisponibilité d’un service, surtout s’il est commercial, peut entraîner d’importantes pertes financières.
• Réputation : La confiance des clients et des partenaires peut être érodée après une cyberattaque, d’autant plus si des données sont compromises.
• Coûts de gestion de la crise : Communiquer autours de la cyberattaque et restaurer le service après une attaque peut nécessiter des ressources financières et humaines considérables.

Une attaque DDoS peut aussi être utilisée comme une diversion pour attirer l’attention des équipes de sécurité informatique sur un événement très visible et très perturbateur pendant qu’une autre forme d’attaque est menée. Le flux généré par l’attaque DDoS en cours peut rendre l’analyse des données concernant l’attaque plus fastidieuse et masquer l’attaque principale.

Comme nous l’avons vu dans cet article, une attaque DDoS comprend deux éléments principaux :

1. une armée de terminaux « zombies » (mobile, ordinateur, objet connecté…) infectés
2. Une cible (site internet, serveur applicatif…)

Pour évitez de faire partie d’une armée de zombies à son insu :

1. Effectuer des mises à jour régulières : il est nécessaire d’effectuer régulièrement ses mises à jour (systèmes d’exploitation, logiciels, applications…).
2. Utiliser un anti-virus : Cela peut sembler dit et redit mais l’action d’un antivirus à jour est réellement efficace.
3. Télécharger ses logiciels sur les sites officiels des éditeurs : de nombreux logiciels sont disponibles au téléchargement sur des sites tiers. Ces logiciels ne sont pas sûrs, la couche d’installation peut avoir été modifiée pour intégrer d’autres logiciels dont de quoi faire de votre appareil un « zombie ».
4. Utiliser des objets connectés fiables : il s’agit peut être de la partie la plus difficile mais on préférera toujours acheter un objet connecté d’une entreprise fiable plutôt que d’une entreprise inconnue, à un prix bien moins cher mais qui n’a pas sécurisé correctement ses dispositifs.
5. Sécuriser son réseau internet : utilisez un mot de passe fort pour votre réseau wifi pour qu’il ne soit pas facilement compromis.

Il en va de l’effort collectif de sécuriser nos dispositifs connectés à Internet pour éviter de participer à ce type d’attaques.

Pour se prémunir des attaques DDoS, plusieurs mesures peuvent être prises :

1. Surveiller le trafic sur votre site : utiliser des outils de surveillance de trafic, conformes au RGPD comme Matomo Analytics peut vous permettre d’identifier des pics de trafic inhabituels et ainsi de détecter une potentielle attaque DDOS.
2. Surveiller l’activité de vos serveurs : Utilisez des applications de monitoring et surveillez les logs de vos serveurs
3. Effectuer des mises à jour régulières : On ne le répètera jamais assez : il est nécessaire d’effectuer régulièrement ses mises à jour (systèmes d’exploitation, logiciels, applications…) et y compris celles sur son propre site web. En effet, une vulnérabilité d’un seul élément peut constituer le point d’entrée d’une attaque DDoS.
4. Utiliser des pares-feux : Les pares-feux constituent de systèmes de protection (logiciel ou matériel) qui ont pour mission de filtrer le trafic entrant et sortant sur votre réseau informatique. Ils peuvent donc bloquer le trafic indésirable provenant d’adresses IP suspectes.

Pour savoir comment réagir en cas de cyberattaque, consultez notre article consacrée à la question ici.

Les attaques par déni de service demeurent l’une des menaces les plus perturbatrices dans le domaine de la cybersécurité. Toutefois, avec une compréhension approfondie de cette menace et des mesures de protection adéquates, les entreprises et les institutions peuvent réduire considérablement leur vulnérabilité.