LEBIGDATA.FR I.A, Cloud & Cybersécurité
Une attaque DDoS (Distributed Denial of Service) ou en français « attaque par déni de service » est une attaque informatique consistant à prendre pour cible un système informatique en l'inondant de messages entrants ou de requêtes de connexion afin de provoquer un déni de service. Découvrez tout ce que vous devez savoir à ce sujet.
Les initiales DDoS désignent le terme Distributed Denial of Service. En français, on parle d'une attaque par déni de service. Il s'agit d'une attaque informatique de type DOS (Denial Attack on Servic) consistant à attaquer un système informatique en utilisant un grand nombre de systèmes informatiques détournés (ou volontairement utilisés).
Cette forme de piratage connaît un gain de popularité important. Selon une étude menée par US Signal, un fournisseur de services pour Data center, 83 % des 101 entreprises interrogés ont subi une attaque de déni de service en deux ans, entre 2017 et 2018. Plus de la moitié (51 %) d'entre eux ont remarqué plusieurs attaques. En moyenne une attaque cause un arrêt de services d'environ 12 heures. Seulement 8 % d'entre elles ont vécu un blocage pendant plus de 20 heures.
Exemples d'attaques
Au début du mois septembre, Wikipedia a subi une attaque qui a touché ses infrastructures européennes. Les versions espagnoles, françaises, polonaises, croates, autrichiennes, allemandes, britanniques et russes n'étaient plus totalement accessibles. En parallèle, Blizzard, l'éditeur du jeux vidéo World of Warcraft a signalé un DDoS ciblant la version Classic du MMORPG. Là encore, les utilisateurs ne pouvaient se connecter pendant plusieurs heures. Ici, les structures visées n'ont pas une importance vitale. Cependant, cela entraîne de fortes pertes économiques. Dans certains cas, les cibles sont des hôpitaux ou des administrations qui gèrent des données sensibles ou opèrent des services critiques.
DDoS : comment fonctionnent les attaques par déni de service ?
En règle générale, lors d'une attaque DDoS typique, le cybercriminel (DDoS Master) commence tout d'abord par prendre le contrôle de nombreux systèmes informatiques à l'aide d'un malware ou en contournant leurs systèmes de sécurité. Il crée ensuite un serveur de type command-and-control. Celui-ci donne des directives à son réseau de systèmes détournés que l'on appelle aussi botnet. Une fois le réseau assemblé, le DDoS Master peut ordonner à son armée de générer un trafic artificiel sur le système ciblé. Il envoi alors un grand nombre de requête pour affaiblir sa cible, généralement un serveur Web.
Comment savoir si on subit un DDoS ?
Le système informatique ciblé subit alors un trafic anormalement élevé en provenance d'un grand nombre de sources. Plusieurs centaines, voire plusieurs milliers de systèmes détournés peuvent solliciter le système ciblé simultanément. Ceci provoque un déni de service. C'est à dire que le service devient indisponible pour ses utilisateurs légitimes.
L'utilisation d'un grand nombre de systèmes détournés rend l'attaque très difficile à parer. Il est impossible d'arrêter l'attaque en bloquant une seule adresse IP. De plus, distinguer un utilisateur légitime d'un système détourné est très difficile.
Dans certains cas, précisons que les systèmes informatiques utilisés pour solliciter le système ciblé ne sont pas toujours détournés. Il arrive qu'un grand nombre d'internautes se joignent volontairement à la cause d'un cybercriminel et assaillent tous un même système simultanément pour provoquer le déni de service. Toutefois, lorsqu'un système est bien codé, mis à jour, stable et sécurisé, les requêtes légitimes ne sont pas supposées provoquer un déni de service.
Quelle différence avec une attaque DoS ?
Une attaque DoS (déni de service) est différente d'une attaque DDoS. Dans le cas d'une attaque DoS, en règle générale, un seul ordinateur et une seule connexion internet servent à inonder un système ou une ressource prise pour cible.
De son côté, l'attaque Distributed Denial of Service implique de nombreux ordinateurs et connexions internet pour inonder la source. Bien souvent, les attaques DDoS sont des attaques d'envergure mondiale, distribuées par le biais de botnets.
Quels sont les différents types d'attaques DDoS ?
Il existe de nombreux types d'attaques DDoS différents. On dénombre toutefois trois catégories principales. Les attaques de trafic (traffic attacks) sont les plus courantes. Elles consistent à envoyer un immense volume de paquets TCP, UDP et ICPM à la cible. Ainsi, les requêtes légitimes sont perdues. Ces attaques peuvent être effectuées via l'exploitation de malwares.
Les attaques de bande-passante consistent à surcharger la cible de données inutiles. Ceci provoque une perte de bande-passante et des ressources nécessaires à son fonctionnement, provoquant un déni de service.
Enfin, les attaques d'application consistent à envoyer des messages en grand nombre à l'application ciblée pour consommer ses ressources, rendant indisponibles les ressources du système cible.
Comment les éviter ?
Dans un article publié sur le site de l'ANSSI, l'autorité partage un document dans lequel figure des moyens pour réduire les effets d'un DDoS. L'une des solutions est de déployer des équipements de filtrage en bordure d'un système d'information. En revanche, cela ne protège que partiellement l'entreprise. Si les attaques surpassent les capacités des liens réseau alors l'attaquant peut se frayer un chemin. Les équipements capables d'offrir cette protection partielle sont par exemple les pares-feux.
L'on se sert également d'équipements spécialisés qui permettent d'établir des règles spécifiques de filtrage et limiter les requêtes. Malheureusement certaines contres-mesures ne sont pas directement appliquées. Ce temps de réponse allongé de quelques minutes suffit à provoquer de larges dégâts.
D'autres mesures demandent l'intervention de prestataires externes comme les fournisseurs de DNS et les fournisseurs Internet. Vous pouvez les lire dans ce document.
De leur côté, les entreprises adoptent des services de protection gérés. Elles souhaitent avant tout protéger les mails, les pare-feux et les systèmes vitaux comme les ERP.
Dans la pratique, nombreuses sont les méthodes permettant de se défendre contre les attaques mises au point par les hackers malveillants. En principe, il faut commencer par comprendre l'intérêt, la définition et le champ d'application de la cybersécurité ainsi que de la protection des données. Il s'avère également nécessaire de savoir les raisons pour lesquelles les pirates informatiques se prolifèrent dangereusement de nos jours. Dans tous les cas, il faut toujours garder à l'esprit que l'insuffisance des mesures de protection peut donner lieu à des problèmes particulièrement graves. Pour les entreprises, par exemple, chaque dysfonctionnement causé par une cyberattaque est susceptible d'occasionner des pertes financières considérables. Il vaut mieux prévenir les risques que subir les conséquences désastreuses d'une protection trop faible.
- Partager l'article :
vraiment très bon comme site