Attaque par déni de service : que se passe-t-il en cas d’attaque DoS ?

De nos jours, il est impératif de se protéger contre les dangers d’Internet. Dans le cas contraire, les hackers n’auront guère de difficultés à pénétrer dans les systèmes, les manipuler et les mettre hors service. Les attaques DoS sont une forme d’attaque classique. De quoi s’agit-il exactement et comment s’en protéger ?

À l’origine, le déni de service (DoS pour « Denial of Service ») renvoyait uniquement à l’indisponibilité de certains services en ligne pour une période limitée sur un système informatique, par exemple sur un serveur. Ce type d’indisponibilité se produit lorsque le serveur correspondant est surchargé, notamment parce qu’il reçoit de trop nombreuses requêtes des utilisateurs. Les services peuvent être des sites Internet, des services de messagerie ou des fonctionnalités de chat.

Lors d’une attaque DoS, l’attaquant déclenche ce « déni de service » de façon délibérée : pour ce faire, il « bombarde » la connexion réseau responsable de l’échange de données externe dans un système informatique avec un flot de requêtes afin de le surcharger. Lorsque le nombre de requêtes dépasse la limite de capacité, le système ralentit ou s’effondre complètement de sorte qu’il est alors impossible de consulter des sites Internet, des boîtes de messagerie ou des boutiques en ligne.

Une attaque DoS est globalement comparable à une boutique physique dans laquelle afflueraient des centaines de personnes afin de distraire le personnel avec des questions déroutantes et de bloquer les ressources sans rien acheter. Le personnel est surchargé jusqu’à épuisement et les clients effectifs ne peuvent plus accéder à la boutique et ne sont donc pas servis.

Par essence, les attaques DoS basiques sont relativement simples à effectuer, à plus forte raison parce qu’elles ne nécessitent pas de pénétrer dans des systèmes informatiques sécurisés. Il n’est pas nécessaire de disposer de connaissances techniques ou d’un budget important pour effectuer ce type d’attaques illégales, par exemple sur un concurrent. Dans le darknet, les cybercriminels proposent ce type d’attaques pour quelques centaines d’euros seulement. Si les entreprises et les organisations ne sont pas préparées pour faire face à ces attaques DoS, un minimum d’effort suffit aux hackers pour réaliser un maximum de dommage.

Le fait de constater une performance inhabituellement lente pour l’ensemble du réseau – identifiable en particulier lors de l’ouverture de fichiers ou de sites Internet – peut indiquer que vous êtes victime d’une attaque par déni de service. Les attaques DoS efficaces peuvent également être observées depuis l’extérieur : l’ouverture des sites Internet attaqués est très lente et certaines fonctionnalités – par exemple les systèmes de boutique – sont entièrement inopérationnelles. Au paroxysme de l’attaque, de nombreux sites Internet ne sont plus accessibles.

Vous pouvez déterminer si vous avez effectivement subi une attaque DoS en observant et en analysant le trafic du réseau (Network Traffic Monitoring and Analysis). Pour ce faire, vous pouvez utiliser le pare-feu ou un système de détection des attaques (Intrusion Detection System) spécialement installé à cet effet. Les administrateurs réseau ont ainsi la possibilité de définir des règles pour la détection de tout trafic « anormal ». En cas d’augmentation du nombre de requêtes suspectes adressées au système, une alarme est automatiquement déclenchée et des contre-mesures peuvent être mises en place.

On distingue aujourd’hui différents types d’attaques DoS : les attaques contre la bande passante, les attaques contre les ressources du système et les attaques exploitant les failles de sécurité et les erreurs logicielles. Le plus simple pour expliquer comment procèdent concrètement les attaquants lors d’une attaque par déni de service et les mesures à prendre pour protéger le système est de prendre l’exemple d’une attaque par rebond (ang. « smurf attack ») : une attaque par rebond est un type particulier d’attaque DoS visant le système d’exploitation ou la connexion Internet d’un système informatique ou d’un réseau. Dans ce cadre, l’attaquant envoie des pings, des paquets de données ICMP de type « Echo Request », à l’adresse de broadcast d’un réseau. Dans ces paquets de données, l’attaquant saisit l’adresse du système à attaquer. Tous les ordinateurs du réseau répondent ensuite au système à attaquer, en émettant la supposition que les requêtes sont parties de ce système. Plus le réseau utilisé par l’attaquant comporte d’ordinateurs, plus nombreuses seront les « réponses » supposées et donc plus l’attaque aura d’impact.

Afin d’empêcher les attaques par rebond, les systèmes ne répondent plus par défaut aux paquets ICMP du type « Echo Request » et les routeurs ne transmettent plus les paquets adressés aux adresses de broadcast. Grâce à ces mesures de sécurité générales, les attaques par rebond efficaces sont devenues rares.

Afin de protéger votre infrastructure contre les attaques par déni de service, vous pouvez prendre plusieurs mesures. Tout d’abord, le ou les routeurs doivent être correctement configurés et dotés de mots de passe forts. Prendre des mesures de blocage au niveau de ce carrefour permet déjà d’éviter de nombreuses attaques DoS. Les paquets servant à l’attaque ne sont alors pas autorisés à entrer dans l’infrastructure interne. Un bon pare-feu permet une sécurité supplémentaire.

Si vous constatez que vous êtes la cible d'une attaque, vous pouvez également mettre à disposition d’autres ressources. Il est par exemple possible de demander aux fournisseurs d’hébergement d’obtenir des capacités supplémentaires à court terme afin de faire échouer l’attaque en répartissant la charge.

Une liste détaillée des mesures est disponible dans notre article expliquant la différence entre les attaques DDoS et DoS.

La plupart des attaques DoS sont aujourd’hui effectuées sous la forme d’attaques Distributed Denial of Service, abrégées en attaques DDoS. La principale différence entre les attaques DDoS et DoS est la suivante : alors que les attaques DoS proviennent d’une source unique (par ex. d’un ordinateur ou d’un réseau), les attaques DDoS sont exécutées indirectement et de façon distribuée – d’où son nom de « Distributed » – via un botnet souvent étendu.

Un botnet est un réseau d’ordinateurs détournés que l’on appelle « zombies ». Ces ordinateurs sont généralement mal entretenus et leurs propriétaires remarquent rarement qu’un programme malveillant est installé sur leur appareil ou que ce dernier est utilisé de façon abusive pour des actions cybercriminelles. Avec cette « armée d’ordinateurs zombies », l’exploitant d’un botnet peut exécuter des attaques contre d’autres systèmes informatiques.

Il existe des botnets composés de plusieurs millions d’ordinateurs. En utilisant tous ces ordinateurs dans une attaque DDos, le nombre de « requêtes illégitimes » adressées à un réseau peut augmenter de façon incommensurable. C’est l’une des principales raisons pour laquelle, même avec des ressources colossales, les portails comme Facebook ne peuvent pas être protégés entièrement contre les attaques DDoS de grande ampleur.