Qu’est-ce qu’une attaque DDoS et comment s’en protéger ?

Webinaire sur les stratégies de prévention et d'intervention

Découvrez les attaques DDoS et comment vous en protéger.

Pour comprendre ce qu'est une attaque par déni de service distribué (DDoS – Distributed Denial of Service), imaginez que vous vous rendez au travail en voiture sur votre itinéraire habituel. Vous arrivez à temps, mais tout à coup, des dizaines de voitures apparaissent sur l'autoroute, puis des centaines, puis des milliers.

Les embouteillages ralentissent tout le trafic, y compris votre voiture et vous finissez par devoir vous arrêter complètement. Ce que vous considérez comme un cauchemar de circulation sur l'autoroute est un cauchemar DDoS sur un réseau informatique.

DDoS (Distributed Denial of Service) : définition

Une attaque par déni de service distribué (DDoS) est une tentative malveillante de perturber le trafic normal sur un serveur, un service ou un réseau ciblé en submergeant la cible ou son infrastructure environnante par un flot de trafic Internet.

Les attaques DDoS coordonnent de nombreux systèmes informatiques compromis pour créer un trafic d'attaque. Les machines exploitées peuvent comprendre des ordinateurs et d'autres ressources en réseau comme des dispositifs IoT.[1]

Histoire des attaque DDoS

La première attaque documentée de type DoS (Denial of Service) s'est produite pendant la semaine du 7 février 2000, lorsque “mafiaboy”, un hacker canadien de 15 ans, a orchestré une série d'attaques DoS contre plusieurs sites e-commerce, dont Amazon et eBay. Ces attaques ont paralysé le commerce sur Internet. Le FBI a estimé que les sites touchés ont subi des dommages de 1,7 milliard de dollars.[2]

D'autres attaques DDoS antérieures avaient également des objectifs politiques. La Russie a été jugée responsable – sans preuves exactes – de cyber-attaques en Estonie en 2007, en Géorgie en 2008 et en Ukraine en 2014 et 2015, pendant les périodes de conflit dans la région.[3]

Parmi les plus grandes attaques DDoS au monde, on peut citer l'attaque de 2018 contre GitHub, une plateforme de développement de logiciels et filiale de Microsoft. GitHub a subi la plus grande attaque par déni de service distribué (DDoS) cette même année, qui a impliqué une attaque de 129,6 millions de paquets par seconde (PPS) contre le site.

Mais en janvier 2019, Imperva, un fournisseur de logiciels et de services de cybersécurité, a révélé que l'un de ses clients avait subi une attaque DDoS dans laquelle 500 millions de PPS étaient dirigés vers son réseau ou son site web.

Et en avril de la même année, Imperva a signalé une attaque PPS encore plus importante sur un autre client, qui a dépassé le record de janvier, atteignant un pic de 580 millions de PPS.[4]

Les différents types d'attaques DDoS

Les attaques DDoS varient selon la couche du réseau informatique qu'elles visent. En voici quelques exemples :

  • Couche 3, la couche réseau. Les attaques sont connues sous le nom d'attaques Schtroumpf, d'inondations ICMP et de fragmentation IP/ICMP.
  • Couche 4, la couche transport. Les attaques comprennent les SYN Floods, UDP Floods et TCP Connection Exhaustion.
  • Couche 7, la couche application. Principalement, des attaques cryptées HTTP.[5]

Analyse et recommandations en matière de DDoS et d’IP

Les attaquants prennent généralement le contrôle des systèmes utilisés dans les attaques DDoS en utilisant des malwares livrés par courrier électronique.

Collectivement, ces systèmes compromis sont connus sous le nom de “botnet”. Les botnets, un mot-valise créé à partir des mots “robot” et “réseau”, recrutent des robots supplémentaires par différents canaux. Une fois qu'un appareil est infecté, il peut tenter de propager lui-même le logiciel malveillant du botnet en recrutant d'autres appareils matériels sur le réseau environnant.[6]

Selon le rapport Proofpoint sur le Facteur Humain 2019, plus de 99 % des malwares nécessitent une forme d'interaction avec l'utilisateur.[7] Le courrier électronique est le principal vecteur utilisé par les attaquants pour établir leur accès.

Voici comment les entreprises peuvent mettre en œuvre une protection contre les attaques par déni de service (DDoS) :

  1. Premièrement, elles doivent éviter d'être la cible d'une attaque DDoS. Cela nécessite généralement une combinaison de contrôles réseau et de services d'atténuation des DDoS hébergés dans le cloud.
  2. Deuxièmement, elles doivent éviter de devenir un participant involontaire à une attaque DDoS. Pour éviter que leurs systèmes ne soient utilisés par un réseau de zombies, les organisations doivent protéger leur propre environnement contre toute compromission. La plupart des attaques de malwares visent les individus, et non l’infrastructure. Cette évolution appelle une approche centrée sur les personnes pour protéger votre propre environnement.

 


 

[1] Cloudflare. “What is a DDoS Attack?”
[2] Encyclopaedia Brittanica
[3] Ibid.
[4] Casey Crane, Hashed Out. “The Largest DDoS Attacks in history”
[5] Steve Weismann, NortonLifeLock. “What is a distributed denial of service attack (DDoS) and what can you do about them?”
[6] Cloudflare. “What is a DDoS Botnet?”
[7] Proofpoint. “Human Factor Report”