De nos jours, il est impératif de se protéger contre les dangers d’Internet. Dans le cas contraire, les hackers n’auront guère de dif­fi­cul­tés à pénétrer dans les systèmes, les manipuler et les mettre hors service. Les attaques DoS sont une forme d’attaque classique. De quoi s’agit-il exac­te­ment et comment s’en protéger ?

Qu’est-ce que le DoS (Denial of Service) ?

À l’origine, le déni de service (DoS pour « Denial of Service ») renvoyait uni­que­ment à l’in­dis­po­ni­bi­lité de certains services en ligne pour une période limitée sur un système in­for­ma­tique, par exemple sur un serveur. Ce type d’in­dis­po­ni­bi­lité se produit lorsque le serveur cor­res­pon­dant est surchargé, notamment parce qu’il reçoit de trop nom­breuses requêtes des uti­li­sa­teurs. Les services peuvent être des sites Internet, des services de mes­sa­ge­rie ou des fonc­tion­na­li­tés de chat.

Lors d’une attaque DoS, l’attaquant déclenche ce « déni de service » de façon délibérée : pour ce faire, il « bombarde » la connexion réseau res­pon­sable de l’échange de données externe dans un système in­for­ma­tique avec un flot de requêtes afin de le sur­char­ger. Lorsque le nombre de requêtes dépasse la limite de capacité, le système ralentit ou s’effondre com­plè­te­ment de sorte qu’il est alors im­pos­sible de consulter des sites Internet, des boîtes de mes­sa­ge­rie ou des boutiques en ligne.

Une attaque DoS est glo­ba­le­ment com­pa­rable à une boutique physique dans laquelle af­flue­raient des centaines de personnes afin de distraire le personnel avec des questions dé­rou­tantes et de bloquer les res­sources sans rien acheter. Le personnel est surchargé jusqu’à épui­se­ment et les clients effectifs ne peuvent plus accéder à la boutique et ne sont donc pas servis.

Par essence, les attaques DoS basiques sont re­la­ti­ve­ment simples à effectuer, à plus forte raison parce qu’elles ne né­ces­si­tent pas de pénétrer dans des systèmes in­for­ma­tiques sécurisés. Il n’est pas né­ces­saire de disposer de con­nais­sances tech­niques ou d’un budget important pour effectuer ce type d’attaques illégales, par exemple sur un con­cur­rent. Dans le darknet, les cy­ber­cri­mi­nels proposent ce type d’attaques pour quelques centaines d’euros seulement. Si les en­tre­prises et les or­ga­ni­sa­tions ne sont pas préparées pour faire face à ces attaques DoS, un minimum d’effort suffit aux hackers pour réaliser un maximum de dommage.

À quoi reconnaît-on une attaque DoS ?

Le fait de constater une per­for­mance in­ha­bi­tuel­le­ment lente pour l’ensemble du réseau – iden­ti­fiable en par­ti­cu­lier lors de l’ouverture de fichiers ou de sites Internet – peut indiquer que vous êtes victime d’une attaque par déni de service. Les attaques DoS efficaces peuvent également être observées depuis l’extérieur : l’ouverture des sites Internet attaqués est très lente et certaines fonc­tion­na­li­tés – par exemple les systèmes de boutique – sont en­tiè­re­ment ino­pé­ra­tion­nelles. Au paroxysme de l’attaque, de nombreux sites Internet ne sont plus ac­ces­sibles.

Vous pouvez dé­ter­mi­ner si vous avez ef­fec­ti­ve­ment subi une attaque DoS en observant et en analysant le trafic du réseau (Network Traffic Mo­ni­to­ring and Analysis). Pour ce faire, vous pouvez utiliser le pare-feu ou un système de détection des attaques (Intrusion Detection System) spé­cia­le­ment installé à cet effet. Les ad­mi­nis­tra­teurs réseau ont ainsi la pos­si­bi­lité de définir des règles pour la détection de tout trafic « anormal ». En cas d’aug­men­ta­tion du nombre de requêtes suspectes adressées au système, une alarme est au­to­ma­ti­que­ment dé­clen­chée et des contre-mesures peuvent être mises en place.

Comment se déroulent les attaques par déni de service (denial of service) ?

On distingue aujourd’hui dif­fé­rents types d’attaques DoS : les attaques contre la bande passante, les attaques contre les res­sources du système et les attaques ex­ploi­tant les failles de sécurité et les erreurs lo­gi­cielles. Le plus simple pour expliquer comment procèdent con­crè­te­ment les at­ta­quants lors d’une attaque par déni de service et les mesures à prendre pour protéger le système est de prendre l’exemple d’une attaque par rebond (ang. « smurf attack ») : une attaque par rebond est un type par­ti­cu­lier d’attaque DoS visant le système d’ex­ploi­ta­tion ou la connexion Internet d’un système in­for­ma­tique ou d’un réseau. Dans ce cadre, l’attaquant envoie des pings, des paquets de données ICMP de type « Echo Request », à l’adresse de broadcast d’un réseau. Dans ces paquets de données, l’attaquant saisit l’adresse du système à attaquer. Tous les or­di­na­teurs du réseau répondent ensuite au système à attaquer, en émettant la sup­po­si­tion que les requêtes sont parties de ce système. Plus le réseau utilisé par l’attaquant comporte d’or­di­na­teurs, plus nom­breuses seront les « réponses » supposées et donc plus l’attaque aura d’impact.

Afin d’empêcher les attaques par rebond, les systèmes ne répondent plus par défaut aux paquets ICMP du type « Echo Request » et les routeurs ne trans­met­tent plus les paquets adressés aux adresses de broadcast. Grâce à ces mesures de sécurité générales, les attaques par rebond efficaces sont devenues rares.

En résumé

Les attaques DoS se déroulent aujourd’hui toujours de façon similaire. Le réseau à attaquer est inondé de paquets de données et doit ensuite in­ter­rompre le service.

Mesures contre les attaques DoS

Afin de protéger votre in­fras­truc­ture contre les attaques par déni de service, vous pouvez prendre plusieurs mesures. Tout d’abord, le ou les routeurs doivent être cor­rec­te­ment con­fi­gu­rés et dotés de mots de passe forts. Prendre des mesures de blocage au niveau de ce carrefour permet déjà d’éviter de nom­breuses attaques DoS. Les paquets servant à l’attaque ne sont alors pas autorisés à entrer dans l’in­fras­truc­ture interne. Un bon pare-feu permet une sécurité sup­plé­men­taire.

Si vous constatez que vous êtes la cible d'une attaque, vous pouvez également mettre à dis­po­si­tion d’autres res­sources. Il est par exemple possible de demander aux four­nis­seurs d’hé­ber­ge­ment d’obtenir des capacités sup­plé­men­taires à court terme afin de faire échouer l’attaque en ré­par­tis­sant la charge.

Une liste détaillée des mesures est dis­po­nible dans notre article ex­pli­quant la dif­fé­rence entre les attaques DDoS et DoS.

Attaques DDoS, le déni de service au­jour­d'hui

La plupart des attaques DoS sont aujourd’hui ef­fec­tuées sous la forme d’attaques Dis­tri­bu­ted Denial of Service, abrégées en attaques DDoS. La prin­ci­pale dif­fé­rence entre les attaques DDoS et DoS est la suivante : alors que les attaques DoS pro­vien­nent d’une source unique (par ex. d’un or­di­na­teur ou d’un réseau), les attaques DDoS sont exécutées in­di­rec­te­ment et de façon dis­tri­buée – d’où son nom de « Dis­tri­bu­ted » – via un botnet souvent étendu.

Un botnet est un réseau d’or­di­na­teurs détournés que l’on appelle « zombies ». Ces or­di­na­teurs sont gé­né­ra­le­ment mal en­tre­te­nus et leurs pro­prié­taires re­mar­quent rarement qu’un programme mal­veil­lant est installé sur leur appareil ou que ce dernier est utilisé de façon abusive pour des actions cy­ber­cri­mi­nelles. Avec cette « armée d’or­di­na­teurs zombies », l’ex­ploi­tant d’un botnet peut exécuter des attaques contre d’autres systèmes in­for­ma­tiques.

Il existe des botnets composés de plusieurs millions d’or­di­na­teurs. En utilisant tous ces or­di­na­teurs dans une attaque DDos, le nombre de « requêtes il­lé­gi­times » adressées à un réseau peut augmenter de façon in­com­men­su­rable. C’est l’une des prin­ci­pales raisons pour laquelle, même avec des res­sources co­los­sales, les portails comme Facebook ne peuvent pas être protégés en­tiè­re­ment contre les attaques DDoS de grande ampleur.

Conseil

Prévoyez une sécurité maximale : les cer­ti­fi­cats SSL ga­ran­tis­sent aux visiteurs de votre site Internet que l’échange de données est chiffré et qu’il ne peut pas être consulté par des tiers.

Aller au menu principal