De nos jours, il est impératif de se protéger contre les dangers d’Internet. Dans le cas contraire, les hackers n’auront guère de difficultés à pénétrer dans les systèmes, les manipuler et les mettre hors service. Les attaques DoS sont une forme d’attaque classique. De quoi s’agit-il exactement et comment s’en protéger ?
À l’origine, le déni de service (DoS pour « Denial of Service ») renvoyait uniquement à l’indisponibilité de certains services en ligne pour une période limitée sur un système informatique, par exemple sur un serveur. Ce type d’indisponibilité se produit lorsque le serveur correspondant est surchargé, notamment parce qu’il reçoit de trop nombreuses requêtes des utilisateurs. Les services peuvent être des sites Internet, des services de messagerie ou des fonctionnalités de chat.
Lors d’une attaque DoS, l’attaquant déclenche ce « déni de service » de façon délibérée : pour ce faire, il « bombarde » la connexion réseau responsable de l’échange de données externe dans un système informatique avec un flot de requêtes afin de le surcharger. Lorsque le nombre de requêtes dépasse la limite de capacité, le système ralentit ou s’effondre complètement de sorte qu’il est alors impossible de consulter des sites Internet, des boîtes de messagerie ou des boutiques en ligne.
Une attaque DoS est globalement comparable à une boutique physique dans laquelle afflueraient des centaines de personnes afin de distraire le personnel avec des questions déroutantes et de bloquer les ressources sans rien acheter. Le personnel est surchargé jusqu’à épuisement et les clients effectifs ne peuvent plus accéder à la boutique et ne sont donc pas servis.
Par essence, les attaques DoS basiques sont relativement simples à effectuer, à plus forte raison parce qu’elles ne nécessitent pas de pénétrer dans des systèmes informatiques sécurisés. Il n’est pas nécessaire de disposer de connaissances techniques ou d’un budget important pour effectuer ce type d’attaques illégales, par exemple sur un concurrent. Dans le darknet, les cybercriminels proposent ce type d’attaques pour quelques centaines d’euros seulement. Si les entreprises et les organisations ne sont pas préparées pour faire face à ces attaques DoS, un minimum d’effort suffit aux hackers pour réaliser un maximum de dommage.
Le fait de constater une performance inhabituellement lente pour l’ensemble du réseau – identifiable en particulier lors de l’ouverture de fichiers ou de sites Internet – peut indiquer que vous êtes victime d’une attaque par déni de service. Les attaques DoS efficaces peuvent également être observées depuis l’extérieur : l’ouverture des sites Internet attaqués est très lente et certaines fonctionnalités – par exemple les systèmes de boutique – sont entièrement inopérationnelles. Au paroxysme de l’attaque, de nombreux sites Internet ne sont plus accessibles.
Vous pouvez déterminer si vous avez effectivement subi une attaque DoS en observant et en analysant le trafic du réseau (Network Traffic Monitoring and Analysis). Pour ce faire, vous pouvez utiliser le pare-feu ou un système de détection des attaques (Intrusion Detection System) spécialement installé à cet effet. Les administrateurs réseau ont ainsi la possibilité de définir des règles pour la détection de tout trafic « anormal ». En cas d’augmentation du nombre de requêtes suspectes adressées au système, une alarme est automatiquement déclenchée et des contre-mesures peuvent être mises en place.
On distingue aujourd’hui différents types d’attaques DoS : les attaques contre la bande passante, les attaques contre les ressources du système et les attaques exploitant les failles de sécurité et les erreurs logicielles. Le plus simple pour expliquer comment procèdent concrètement les attaquants lors d’une attaque par déni de service et les mesures à prendre pour protéger le système est de prendre l’exemple d’une attaque par rebond (ang. « smurf attack ») : une attaque par rebond est un type particulier d’attaque DoS visant le système d’exploitation ou la connexion Internet d’un système informatique ou d’un réseau. Dans ce cadre, l’attaquant envoie des pings, des paquets de données ICMP de type « Echo Request », à l’adresse de broadcast d’un réseau. Dans ces paquets de données, l’attaquant saisit l’adresse du système à attaquer. Tous les ordinateurs du réseau répondent ensuite au système à attaquer, en émettant la supposition que les requêtes sont parties de ce système. Plus le réseau utilisé par l’attaquant comporte d’ordinateurs, plus nombreuses seront les « réponses » supposées et donc plus l’attaque aura d’impact.
Afin d’empêcher les attaques par rebond, les systèmes ne répondent plus par défaut aux paquets ICMP du type « Echo Request » et les routeurs ne transmettent plus les paquets adressés aux adresses de broadcast. Grâce à ces mesures de sécurité générales, les attaques par rebond efficaces sont devenues rares.
Les attaques DoS se déroulent aujourd’hui toujours de façon similaire. Le réseau à attaquer est inondé de paquets de données et doit ensuite interrompre le service.
Afin de protéger votre infrastructure contre les attaques par déni de service, vous pouvez prendre plusieurs mesures. Tout d’abord, le ou les routeurs doivent être correctement configurés et dotés de mots de passe forts. Prendre des mesures de blocage au niveau de ce carrefour permet déjà d’éviter de nombreuses attaques DoS. Les paquets servant à l’attaque ne sont alors pas autorisés à entrer dans l’infrastructure interne. Un bon pare-feu permet une sécurité supplémentaire.
Si vous constatez que vous êtes la cible d'une attaque, vous pouvez également mettre à disposition d’autres ressources. Il est par exemple possible de demander aux fournisseurs d’hébergement d’obtenir des capacités supplémentaires à court terme afin de faire échouer l’attaque en répartissant la charge.
Une liste détaillée des mesures est disponible dans notre article expliquant la différence entre les attaques DDoS et DoS.
La plupart des attaques DoS sont aujourd’hui effectuées sous la forme d’attaques Distributed Denial of Service, abrégées en attaques DDoS. La principale différence entre les attaques DDoS et DoS est la suivante : alors que les attaques DoS proviennent d’une source unique (par ex. d’un ordinateur ou d’un réseau), les attaques DDoS sont exécutées indirectement et de façon distribuée – d’où son nom de « Distributed » – via un botnet souvent étendu.
Un botnet est un réseau d’ordinateurs détournés que l’on appelle « zombies ». Ces ordinateurs sont généralement mal entretenus et leurs propriétaires remarquent rarement qu’un programme malveillant est installé sur leur appareil ou que ce dernier est utilisé de façon abusive pour des actions cybercriminelles. Avec cette « armée d’ordinateurs zombies », l’exploitant d’un botnet peut exécuter des attaques contre d’autres systèmes informatiques.
Il existe des botnets composés de plusieurs millions d’ordinateurs. En utilisant tous ces ordinateurs dans une attaque DDos, le nombre de « requêtes illégitimes » adressées à un réseau peut augmenter de façon incommensurable. C’est l’une des principales raisons pour laquelle, même avec des ressources colossales, les portails comme Facebook ne peuvent pas être protégés entièrement contre les attaques DDoS de grande ampleur.
Prévoyez une sécurité maximale : les certificats SSL garantissent aux visiteurs de votre site Internet que l’échange de données est chiffré et qu’il ne peut pas être consulté par des tiers.
Envoyer des données via des réseaux est une fonction fondamentale et très pratique de l’ère informatique moderne. Cependant, la structure des connexions TCP/IP rend très facile pour des cybercriminels l’interception des paquets de données, ces derniers peuvent ainsi les lire et même modifier le contenu. Une des méthodes d’attaque les plus courantes est l’usurpation d’adresse IP qui permet...
Lorsqu’il s’agit de sécurité réseau, les administrateurs se concentrent en priorité sur les attaques venant du Web. Pourtant, souvent, le danger se cache dans le réseau interne. Si le LAN présente des failles de sécurité informatique, la tâche n’en sera que plus facile pour les pirates internes. L’ARP spoofing est l’une des méthodes d’attaque les plus répandues. De cette façon, les pirates se...
Le ping flood est une attaque par déni de service qui peut concerner les professionnels ou les utilisateurs privés. L’attaque repose sur le protocole ICMP et la commande ping. Pour générer un flot particulièrement puissant, les hackers ont souvent recours à des réseaux de bots complets. Dans cet article, vous découvrirez comment fonctionne le ping flood exactement et comment vous protégez.
Offrez un service performant et fiable à vos clients avec l'hébergement web de IONOS.
Créez une adresse personnalisée Affichez votre sérieux sur Internet Nom de domaine inclus