A black and white laptop with a sad face on the screen being hit by missiles labeled DDoS against a black and red backdrop.

Les attaques par déni de service distribué (DDoS) sont devenues une menace croissante pour les entreprises et les particuliers utilisant Internet. Dans cet article, nous allons explorer ce qu’est une attaque DDoS ainsi que comment elle fonctionne et les mesures à prendre pour s’en protéger efficacement.

Sommaire

    Attaque par déni de service ou DDoS : définition

    Une attaque par déni de service distribué (Distributed Denial of Service ou DDoS) vise à rendre un site internet, un serveur ou un service en ligne indisponible pour les utilisateurs légitimes. Celle-ci se produit lorsqu’un grand nombre de systèmes compromis appelés botnets inondent une cible avec un trafic malveillant avec pour objectif de surcharger les ressources du serveur ou du réseau.

    Comment fonctionne une attaque DDoS ?

    La mise en œuvre d’une attaque DDoS se déroule généralement en plusieurs étapes :

    1. Compromission de Dispositifs : Les attaquants infectent des milliers, voire même des millions, de dispositifs connectés à Internet comme des ordinateurs ou des smartphones et même des objets connectés (IoT), avec des logiciels malveillants. Ces dispositifs infectés deviennent des « bots », formant ensemble un réseau appelé « botnet ».
    2. Commande et Contrôle : Les attaquants prennent le contrôle de ce botnet via un serveur de commande et contrôle (C&C). Ils envoient des instructions aux bots pour qu’ils lancent l’attaque.
    3. Lancement de l’Attaque : Les bots commencent à envoyer un flot massif de requêtes vers la cible spécifiée par un attaquant. Ce trafic est souvent déguisé pour ressembler à des requêtes légitimes, rendant difficile la distinction entre trafic normal et malveillant.
    4. Surcharge de la Cible : La cible, souvent un serveur, une application web ou un réseau, est submergée par le volume de trafic. Ses ressources sont consommées rapidement, ce qui entraîne un ralentissement ou une interruption totale des services.
    5. Interruption du Service : À cause de la surcharge, le serveur ou réseau cible devient incapable de répondre aux requêtes légitimes des utilisateurs, rendant le service indisponible ou extrêmement lent.

    Voici un schéma illustrant le processus d’une attaque DDoS :

    Une infographie montrant le flux d'un botnet, d'un attaquant à un serveur C&C, jusqu'aux bots, jusqu'à l'ordinateur portable de la victime avec une alerte.

    Ce schéma montre comment les dispositifs compromis (bots) sont contrôlés par l’attaquant via le serveur de commande et contrôle (C&C) pour inonder la cible de trafic.

    Les différents types d’attaques DDoS

    Il existe plusieurs types d’attaques DDoS différents qui peuvent être utilisés par des acteurs malveillants, ce qui constitue l’un des principaux défis lorsqu’il s’agit de se défendre contre eux.

    Les réseaux peuvent être visualisés comme des couches intégrées (selon le modèle OSI), chaque couche couvrant une partie fondamentale différente du réseau et contribuant à son fonctionnement pour les utilisateurs.

    Différentes attaques DDoS fonctionnent en ciblant des couches spécifiques de ce modèle. Mais pour compliquer encore les choses, la plupart des attaques modernes impliquent une combinaison de plusieurs types d’attaques différents.

    1. Attaques au niveau de la couche application
      Ces attaques ciblent la couche du réseau associée à la création et à la livraison des pages web lorsqu’une demande HTTP est faite. Ces requêtes HTTP peuvent être complexes à satisfaire, nécessitant plusieurs fichiers, donc si suffisamment de requêtes HTTP sont effectuées, le réseau peut rapidement être submergé.
    2. Attaques de protocole
      Une attaque de protocole fonctionne en surutilisant certaines ressources du réseau/serveur cible, telles que les équilibreurs de charge et les pare-feux. Le résultat est que le site internet ou le service cible devient inutilisable car les utilisateurs ne peuvent pas y accéder.
    3. Attaques volumétriques
      Ces attaques visent à créer une quantité de trafic ingérable dans un réseau en utilisant toute la bande passante disponible. Souvent, l’attaquant utilisera des astuces pour amplifier la quantité d’informations qu’il peut envoyer, par exemple, des requêtes provenant de différentes sources.

    L’objectif des attaques DDoS

    Les attaques DDoS (Distributed Denial of Service) ont plusieurs objectifs malveillants, ciblant différents aspects des services en ligne. Voici un aperçu des principales motivations et des risques associés à ces attaques :

    1. Perturbation des Services
      L’objectif principal d’une attaque DDoS est de rendre un service en ligne indisponible. Les attaquants submergent les serveurs ou réseaux cibles avec un trafic massif, causant une interruption de service.
    2. Extorsion et demandes de rançon
      Les cybercriminels utilisent parfois les attaques DDoS pour extorquer de l’argent. Ils menacent de lancer ou de continuer une attaque à moins que la victime ne paie une rançon.
    3. Sabotage et concurrence déloyale
      Les attaques DDoS peuvent être utilisées pour saboter des concurrents. Par exemple, une entreprise peut lancer une attaque DDoS contre le site web d’un concurrent pendant une période de forte activité, comme les soldes, pour détourner les clients vers son propre site internet.
    4. Distraction pour d’autres activités malveillantes
      Les attaques DDoS peuvent servir de diversion, permettant aux attaquants de mener d’autres activités malveillantes pendant que les équipes de sécurité sont occupées à gérer l’attaque. Ces activités peuvent inclure :
    • Vol de Données : Exploitation des vulnérabilités pour accéder aux données sensibles.
    • Installation de Logiciels Malveillants : Infiltration de logiciels malveillants dans le réseau pour un usage ultérieur.
    1. Test et démonstration de force
      Certaines attaques DDoS sont réalisées pour tester les capacités de défense d’une organisation ou pour démontrer la puissance du botnet contrôlé par l’attaquant. Ces attaques peuvent être motivées pour démontrer les capacités techniques à des clients potentiels pour des services illégaux ou gagner en notoriété et en crédibilité dans les cercles de cybercriminels.

    Exemples d’attaques DDoS passées

    Voici quelques exemples notables d’attaques DDoS qui ont eu lieu par le passé :

    • GitHub (2018) : GitHub, un site internet populaire pour les développeurs de logiciels, a été temporairement inaccessible à cause d’un énorme DDoS atteignant un pic de 1,35 Tbps.
    • Dyn (2016) : Dyn, un fournisseur de services Internet, a été attaqué, rendant des sites comme Twitter et Netflix inaccessibles pour des millions de personnes aux États-Unis.
    • OVH (2016) : L’hébergeur de sites web français OVH a subi une attaque massive utilisant des millions d’objets connectés comme des caméras de sécurité, entraînant une surcharge de ses serveurs et rendant des milliers de sites web inaccessibles.
    • BBC (2015) : Les services en ligne de la BBC ont été rendus indisponibles pendant plusieurs heures suite à une attaque DDoS revendiquée par le groupe New World Hacking.
    • Spamhaus (2013) : Le service anti-spam Spamhaus a subi une attaque DDoS de 300 Gbps, l’une des plus importantes à l’époque, perturbant une partie de l’infrastructure Internet mondiale.
    • Estonie (2007) : Des attaques DDoS coordonnées ont paralysé les sites gouvernementaux, bancaires et médiatiques de l’Estonie pendant plusieurs semaines, en réponse à une décision politique controversée.

    Comment identifier une attaque DDoS

    Il n’est pas toujours facile de distinguer un trafic internet élevé normal d’une attaque DDoS. Pour identifier une véritable attaque et s’en protéger, plusieurs éléments sont à prendre en compte, notamment une lenteur inattendue ou une interruption du service en ligne.

    Cependant, ces problèmes peuvent aussi avoir d’autres causes. Il est donc crucial d’utiliser des outils d’analyse de trafic pour rechercher d’autres signes avant de conclure à une attaque DDoS, afin de ne pas interrompre par erreur un trafic légitime.

    1. Adresses IP
      Lorsqu’un grand volume de trafic provient d’une seule adresse IP, c’est un signe qu’il faut prêter une attention particulière. Cela ne doit pas nécessairement provenir d’une seule adresse IP, mais plutôt d’une plage spécifique d’adresses IP.
    2. Trafic à des heures inhabituelles
      Il n’est pas courant que des pics de trafic se produisent à des moments où cela ne se produit normalement pas. À moins qu’il n’y ait une explication à cela, comme des campagnes ou des publicités à des moments spécifiques. Cependant, si cela se produit sans qu’aucune action n’ait été prise, il vaut la peine de prêter une attention particulière car cela peut être un type d’intrus.
    3. Schémas répétitifs
      Un autre point est l’apparition de certains schémas de trafic qui augmentent, par exemple, toutes les demi-heures, ou toutes les heures, ou toutes les 10 minutes. En d’autres termes, des tentatives et des schémas répétitifs.
    4. Augmentation du trafic vers des pages spécifiques
      Lorsqu’une page spécifique de votre site Web connaît un volume de trafic beaucoup plus élevé que prévu d’un moment à l’autre sans explication apparente, il vaut la peine de faire attention car il pourrait s’agir d’une attaque DDoS. Mais, encore une fois, il vaut la peine de se rappeler de toujours exclure les autres causes possibles de l’augmentation soudaine du trafic.

    Comment prévenir une attaque par déni de service ?

    Pour les individus (en particulier les joueurs)

    Bien que les attaques DDoS puissent cibler n’importe qui, certaines des cibles les plus courantes sont, peut-être de manière surprenante, les joueurs. En effet, le jeu en ligne est une industrie massive et hautement compétitive qui passionne de nombreuses personnes. De plus, il y a beaucoup de paris sur les résultats des tournois, ce qui en fait une cible pour les attaquants cherchant à influencer les résultats et à réaliser un profit facile.

    Voici quelques-unes des mesures les plus efficaces que vous pouvez prendre :

    • Utilisez un VPN : Les fournisseurs de réseaux privés virtuels (VPN) dissimulent votre véritable adresse IP en acheminant le trafic via un autre serveur. Télécharger un VPN est un moyen abordable et efficace pour éviter les attaques DDoS ;
    • Réinitialisez périodiquement votre adresse IP : Réinitialiser votre adresse IP rend difficile pour les attaquants potentiels de vous repérer et de vous cibler. Débranchez et rebranchez votre routeur ou changez-la manuellement via les paramètres de votre ordinateur. Le moyen le plus simple de le faire est, bien sûr, d’utiliser un VPN et de se connecter à un autre serveur ;
    • Évitez de suivre des liens dans les chats : Une tactique courante utilisée par les attaquants est de poster des liens malveillants dans un chat en jeu. Ils peuvent être déguisés pour sembler légitimes, mais cliquer dessus peut vous rendre vulnérable, ce qui pourrait d’ailleurs s’apparenter à du phishing. La meilleure défense est de les éviter complètement ;
    • Installez un logiciel de sécurité : Si vous n’en avez pas, nous vous recommandons d’installer un logiciel de sécurité d’un fournisseur de confiance. Il est également important de mettre régulièrement à jour tout logiciel pour corriger les vulnérabilités qui pourraient apparaître au fil du temps ;
    • Améliorez votre connexion domestique : Il est judicieux de renouveler régulièrement (tous les trois à cinq ans) le matériel de votre réseau domestique. De nombreux matériels disposent désormais d’une protection intégrée, ce qui peut être un bon choix si vous souhaitez ajouter une couche de protection supplémentaire contre les attaques DDoS.

    Pour les entreprises

    Les entreprises doivent adopter des procédures spécifiques pour prévenir les attaques DDoS. Réinitialiser un routeur n’est pas réaliste ; il est préférable de contacter votre fournisseur de services Internet (ISP) pour changer d’adresse IP, notamment pour prévenir les attaques futures.

    Une défense efficace consiste à acheter et installer des équipements spéciaux qui filtrent le trafic entrant pour ne laisser passer que le trafic légitime et détecter les tentatives d’attaques DDoS.

    Il existe également des systèmes de défense basés sur le cloud computing pour aider à filtrer et bloquer le trafic entrant suspect. De plus, il peut être bénéfique de disposer d’un réseau large et à haute capacité capable d’absorber la plupart des attaques.

    Aucune de ces méthodes n’est totalement infaillible, mais elles devraient aider les entreprises à éviter la plupart des attaques DDoS.

    Victime d’une attaque par déni de service, que faire ?

    Se remettre d’une attaque DDoS est légèrement différent pour les utilisateurs et les entreprises.

    Pour les joueurs et autres utilisateurs

    • Réinitialisez votre routeur : cela signifie l’éteindre/le débrancher pendant 10 à 15 minutes ;
    • Contactez votre fournisseur d’accès Internet (ISP) : une attaque DDoS signifie que quelqu’un connaît votre adresse IP et peut lancer des attaques ultérieures. L’ISP peut changer votre adresse IP réelle ;
    • Utilisez un VPN : si vous utilisez toujours un VPN pour jouer ou naviguer, votre adresse IP réelle devrait rester masquée et ainsi toutes les attaques DDoS toucheront le serveur VPN et non vous.

    Pour les entreprises

    • Rétablir vos connexions : en raison de la manière dont votre protocole de passerelle frontière (BGP) réagit aux attaques DDoS, vos connexions avec les partenaires peuvent avoir été interrompues. Vous devez les rétablir ;
    • Contactez votre ISP : dans certains cas, votre ISP peut vous avoir bloqué en raison du trafic que vous recevez, ce qui surcharge les autres utilisateurs ;
    • Redémarrez chaque pare-feu : vos systèmes de défense auront été submergés et perturbés, nécessitant un redémarrage ;
    • Reconnectez progressivement les clients : après une attaque DDoS, vous pouvez faire face à une version plus bénigne : une ruée de clients essayant d’accéder à vos services. Cela peut entraîner un autre événement de type DDoS ;
    • Analysez l’attaque : cela doit être fait dès que possible pour savoir quels outils ont été utilisés et combien l’attaquant était prêt à investir ;
    • Analysez vos points faibles : votre système doit également être analysé pour repérer les points faibles ;
    • Évaluez votre stratégie de protection contre les DDoS : a-t-elle fonctionné aussi bien qu’elle le pourrait ? Ou peut-être avez-vous des pratiques insuffisantes ?
    Protégez-vous avec un antivirus et VPN dans un seul pack
    Le forfait Surfshark One comprend Surfshark VPN et Surfshark Antivirus et bien plus encore
    Surfshark

    Questions Fréquentes

    Quelle est la différence entre une attaque DoS et DDoS ?

    Une attaque DoS (Denial of Service) provient d’une seule source qui inonde une cible de trafic pour la rendre inaccessible. Une attaque DDoS (Distributed Denial of Service) utilise plusieurs sources, souvent des réseaux d’ordinateurs compromis, pour générer un trafic encore plus important et difficile à contrer.

    Quel est l’objectif principal d’une attaque de déni de service ?

    L’objectif principal d’une attaque de déni de service est de rendre un service, un site web ou une ressource réseau inaccessible aux utilisateurs légitimes en le submergeant de trafic ou de requêtes, épuisant ainsi ses ressources et provoquant son dysfonctionnement ou son arrêt.

    Comment fonctionne une attaque par déni de service ?

    Une attaque par déni de service (DoS) submerge un serveur de demandes excessives, épuisant ses ressources et rendant le service inaccessible aux utilisateurs légitimes. Les attaquants envoient massivement des requêtes pour provoquer cette surcharge.