Qu’est-ce qu’une attaque par déni de service ?

Une attaque par déni de service (DoS) se produit lorsque des utilisateurs légitimes ne peuvent pas accéder à des systèmes d’information, des dispositifs ou d’autres ressources du réseau en raison des actions d’un acteur malveillant de la cybermenace. Les services touchés peuvent inclure le courrier électronique, les sites web, les comptes en ligne (par exemple, les services bancaires) ou d’autres services qui dépendent de l’ordinateur ou du réseau touché. Un déni de service consiste à inonder l’hôte ou le réseau ciblé de trafic jusqu’à ce que la cible ne puisse plus répondre ou tombe en panne, empêchant ainsi l’accès aux utilisateurs légitimes. Les attaques par déni de service peuvent faire perdre du temps et de l’argent à une organisation, dont les ressources et les services sont inaccessibles.

Quelles sont les attaques par déni de service les plus courantes ?

Il existe de nombreuses méthodes différentes pour mener une attaque par déni de service. La méthode d’attaque la plus courante consiste pour un attaquant à inonder un serveur de réseau de trafic. Dans ce type d’attaque DoS, l’attaquant envoie plusieurs requêtes au serveur cible, le surchargeant de trafic. Ces demandes de service sont illégitimes et ont des adresses de retour fabriquées, ce qui induit le serveur en erreur lorsqu’il tente d’authentifier le demandeur. Comme les demandes inutiles sont traitées en permanence, le serveur est submergé, ce qui provoque une situation de déni de service pour les demandeurs légitimes.

• Dans une attaque de type Smurf, l’attaquant envoie des paquets de diffusion Internet Control Message Protocol à un certain nombre d’hôtes avec une adresse IP source usurpée qui appartient à la machine cible. Les destinataires de ces paquets usurpés répondent alors et l’hôte ciblé est inondé par ces réponses.
• Une inondation SYN se produit lorsqu’un attaquant envoie une demande de connexion au serveur cible mais ne complète pas la connexion par ce que l’on appelle une poignée de main à trois voies, une méthode utilisée dans un réseau TCP/IP pour créer une connexion entre un hôte/client local et un serveur. La poignée de main incomplète laisse le port connecté dans un état occupé et non disponible pour d’autres demandes. Un attaquant continuera à envoyer des demandes, saturant tous les ports ouverts, de sorte que les utilisateurs légitimes ne pourront pas se connecter.

Les réseaux individuels peuvent être affectés par des attaques DoS sans être directement ciblés. Si le fournisseur de services Internet (FSI) ou le fournisseur de services en nuage du réseau a été ciblé et attaqué, le réseau subira également une perte de service.

Qu’est-ce qu’une attaque par déni de service distribué ?

• Une attaque par déni de service distribué (DDoS) se produit lorsque plusieurs machines fonctionnent ensemble pour attaquer une cible. Les auteurs d’attaques DDoS ont souvent recours à un botnet, c’est-à-dire un groupe d’appareils connectés à Internet et détournés, pour mener des attaques à grande échelle. Les attaquants profitent des failles de sécurité ou des faiblesses des appareils pour contrôler de nombreux appareils à l’aide d’un logiciel de commande et de contrôle. Une fois qu’il en a le contrôle, un attaquant peut commander à son botnet de mener des attaques DDoS sur une cible. Dans ce cas, les appareils infectés sont également victimes de l’attaque.
• Les botnets, constitués d’appareils compromis, peuvent également être loués à d’autres attaquants potentiels. Souvent, le botnet est mis à la disposition de services “d’attaque à la location”, qui permettent à des utilisateurs non qualifiés de lancer des attaques DDoS.
• Les attaques DDoS permettent d’envoyer un nombre exponentiel de requêtes à la cible, ce qui augmente la puissance de l’attaque. Elle augmente également la difficulté d’attribution, car la véritable source de l’attaque est plus difficile à identifier.
• Les attaques DDoS ont pris de l’ampleur à mesure que de plus en plus de dispositifs sont mis en ligne par l’intermédiaire de l’internet des objets (IoT) (voir Sécuriser l’internet des objets). Les appareils IoT utilisent souvent des mots de passe par défaut et ne disposent pas de solides postures de sécurité, ce qui les rend vulnérables à la compromission et à l’exploitation. L’infection des appareils IoT passe souvent inaperçue des utilisateurs, et un attaquant pourrait facilement compromettre des centaines de milliers de ces appareils pour mener une attaque à grande échelle à l’insu des propriétaires des appareils.

Comment éviter de faire partie du problème ?

S’il est impossible d’éviter complètement de devenir la cible d’une attaque DoS ou DDoS, il existe des mesures proactives que les administrateurs peuvent prendre pour réduire les effets d’une attaque sur leur réseau.

• Souscrivez à un service de protection contre les attaques DoS qui détecte les flux de trafic anormaux et redirige le trafic hors de votre réseau. Le trafic DoS est filtré et le trafic propre est transmis à votre réseau.
• Créez un plan de reprise après sinistre pour garantir une communication, une atténuation et une reprise efficaces en cas d’attaque.

Il est également important de prendre des mesures pour renforcer la sécurité de tous vos appareils connectés à Internet afin d’éviter qu’ils ne soient compromis.

• Installez et maintenez un logiciel antivirus.
• Installez un pare-feu et configurez-le pour limiter le trafic entrant et sortant de votre ordinateur (voir Comprendre les pare-feu pour les particuliers et les petites entreprises).
• Évaluez les paramètres de sécurité et suivez les bonnes pratiques de sécurité afin de minimiser l’accès d’autres personnes à vos informations et de gérer le trafic indésirable (voir Bonnes habitudes de sécurité).

Comment savoir si une attaque est en cours ?

Les symptômes d’une attaque DoS peuvent ressembler à des problèmes de disponibilité non malveillants, tels que des problèmes techniques sur un réseau particulier ou un administrateur système effectuant une maintenance. Cependant, les symptômes suivants peuvent indiquer une attaque DoS ou DDoS :

• Des performances réseau anormalement lentes (ouverture de fichiers ou accès à des sites Web),
• indisponibilité d’un site web particulier, ou
• impossibilité d’accéder à un site Web quelconque.

La meilleure façon de détecter et d’identifier une attaque DoS est de surveiller et d’analyser le trafic réseau. Le trafic réseau peut être surveillé par un pare-feu ou un système de détection des intrusions. Un administrateur peut même configurer des règles qui créent une alerte en cas de détection d’une charge de trafic anormale et identifient la source du trafic ou abandonnent les paquets réseau qui répondent à certains critères.

Que faire si vous pensez être victime d’une attaque ?

Si vous pensez que vous ou votre entreprise subissez une attaque DoS ou DDoS, il est important de contacter les professionnels techniques appropriés pour obtenir de l’aide.

• Contactez votre administrateur réseau pour confirmer si l’interruption de service est due à la maintenance ou à un problème interne au réseau. Les administrateurs réseau peuvent également surveiller le trafic réseau pour confirmer la présence d’une attaque, identifier la source et atténuer la situation en appliquant des règles de pare-feu et éventuellement en réacheminant le trafic par le biais d’un service de protection contre les attaques DoS.
• Contactez votre fournisseur d’accès à Internet pour lui demander s’il y a une panne de son côté ou même si son réseau est la cible de l’attaque et que vous êtes une victime indirecte. Il pourra peut-être vous conseiller sur la marche à suivre.

En cas d’attaque, ne perdez pas de vue les autres hôtes, actifs ou services résidant sur votre réseau. De nombreux attaquants mènent des attaques DoS ou DDoS pour détourner l’attention de leur cible et en profiter pour mener des attaques secondaires sur d’autres services de votre réseau.