Facebook Pixel
déni de service distribué
avril 14, 2023 / Gilblas Ngunte Possi

Plusieurs institutions canadiennes sont victimes des attaques du type déni de service distribué (DDoS). Qu’est-ce que c’est?

Les attaques par déni de service distribué (DDoS) sont une forme de cyberattaque qui vise à perturber l’accès à un site web, une application ou un service en ligne. Notez que ces dernières semaines, plusieurs institutions canadiennes sont victimes des attaques du type DDoS. D’après plusieurs sources, ces attaques sont réclamées par les groupes de pirates Pro Russe. Dans cet article, nous regardons ce que c’est et comment ça marche. De plus, nous verrons quelques approches de sécurité pour éviter ce type d’attaques.

Comment fonctionnent les attaques par déni de service distribué ?

Les attaques par déni de service distribué (DDoS) fonctionnent en submergeant un site web, une application ou un service en ligne avec un volume massif de trafic. En réalité, ce trafic provient de multiples sources, souvent des milliers de machines compromises appelées « bots ». Ainsi, ces bots forment un réseau appelé « botnet », qui est contrôlé par un attaquant.

1 – Infection des machines

L’attaquant exploite les vulnérabilités des systèmes ou utilise des techniques d’hameçonnage pour compromettre un grand nombre d’ordinateurs, de serveurs ou d’appareils IoT (Internet des Objets). Après cela, ces machines infectées deviennent alors des « bots » qui agissent sous un contrôle à distance.

2 – Création du botnet

Les bots se regroupent pour former un botnet. Celui agit donc comme un réseau distribué de machines compromises qui est commandé et contrôlé par l’attaquant. Cela se fait généralement via un serveur de commande et de contrôle (C&C).

3 – Planification de l’attaque

Tout d’abord, l’attaquant identifie sa cible. Celle-ci peut être un site web, un service en ligne ou une infrastructure réseau. Ensuite, il sélectionne le type d’attaque DDoS qu’il souhaite lancer. Dans ce cas, il a le choix entre une attaque par amplification, une attaque par saturation ou une attaque par exploitation d’application.

4 – Lancement de l’attaque

Enfin, l’attaquant envoie des commandes au botnet pour lancer l’attaque DDoS. Les bots génèrent alors un grand nombre de requêtes simultanées ou de paquets de données et les envoient vers la cible. Par conséquent, ils créent un trafic massif qui surcharge les ressources de la cible.

Perturbation ou interruption des services

Les pirates submergent le volume de trafic entrant. Au point que cela entraîne

  • d’une part, une dégradation des performances,
  • d’autre part, une saturation des ressources (comme la bande passante, la mémoire ou le processeur) et
  • potentiellement, une interruption complète des services.

Les attaques DDoS peuvent durer de quelques minutes à plusieurs heures, voire plusieurs jours. Tout dépend de la résilience de la cible, des contre-mesures mises en place, ainsi que des objectifs de l’attaquant. En effet, les motivations derrière les attaques DDoS sont variées, allant de la simple nuisance à l’extorsion, en passant par des actes de protestation politique ou des tentatives de nuire à la réputation d’une organisation.

Quelles sont les formes d’attaques DDoS ?

Les attaques DDoS se présentent sous différentes formes. Toutefois, elles se regroupent sous trois catégories principales :

Attaques par amplification de trafic

Elles exploitent des protocoles de communication vulnérables pour amplifier le volume de trafic envoyé vers la cible. Un exemple courant est l’amplification DNS. Dans ce cas, l’attaquant envoie de fausses requêtes DNS aux serveurs DNS vulnérables. En conséquence, le serveur répond avec un volume beaucoup plus important de données vers la cible.

Attaques par saturation

Elles visent à épuiser les ressources du système de la cible. Ici, les cybercriminels attaquent généralement la bande passante ou la mémoire, en générant un grand nombre de requêtes simultanées. Les attaques SYN flood et UDP flood sont des exemples de ce type d’attaque.

Attaques par exploitation d’application

Ces attaques ciblent les vulnérabilités spécifiques d’une application ou d’un service en générant des requêtes malveillantes qui exploitent ces faiblesses. Par exemple, une attaque Slowloris envoie des requêtes HTTP partielles et incomplètes pour saturer les connexions du serveur.

Comment se protéger des attaques du type déni de service distribué?

Se protéger contre les attaques DDoS peut être un défi. Néanmoins, plusieurs stratégies et mesures peuvent être mises en place pour minimiser les risques et atténuer l’impact des attaques. Voici quelques recommandations pour vous protéger contre les attaques DDoS :

Utiliser un service de protection DDoS

De nombreux fournisseurs proposent des services spécialisés dans la protection contre les attaques DDoS. Ces services détectent et atténuent les attaques en filtrant le trafic suspect et en absorbant le volume excessif de trafic.

Mettre en place un réseau résilient

Concevez une infrastructure réseau avec une capacité de bande passante excédentaire et une répartition géographique des ressources pour absorber le trafic DDoS. De surcroît, utilisez des réseaux de diffusion de contenu (CDN) pour distribuer le trafic et dissiper les attaques.

Utiliser un pare-feu d’application Web (WAF)

Un WAF sert à filtrer les requêtes malveillantes et les attaques ciblant les applications Web. Ainsi, il peut être configuré pour bloquer les requêtes suspectes et les adresses IP malveillantes.

Configurer correctement les équipements réseau

Assurez-vous de bien configurer vos routeurs, pare-feux et serveurs afin de limiter l’impact des attaques DDoS. Par exemple, configurez les routeurs pour bloquer les paquets défectueux et les pare-feux pour restreindre le taux de requêtes entrantes.

Mettre en œuvre des systèmes de détection d’intrusion (IDS) et de prévention d’intrusion (IPS)

Ces systèmes peuvent détecter et bloquer les attaques DDoS en temps réel en analysant le trafic réseau et en identifiant les modèles d’attaque.

Appliquer des bonnes pratiques de sécurité

Assurez-vous d’actualiser régulièrement les logiciels et le matériel, d’appliquer des correctifs de sécurité et de suivre les meilleures pratiques de sécurité pour réduire les vulnérabilités exploitables par les attaquants.

Planifier une réponse aux incidents

Élaborez un plan de réponse aux incidents DDoS qui comprend des procédures pour détecter, signaler et atténuer les attaques. Assurez-vous également que les membres de votre équipe possèdent les compétences pour réagir efficacement en cas d’attaque.

Surveillance et analyse du trafic

Mettez en place une surveillance continue du trafic réseau pour détecter les anomalies et les attaques potentielles. Ensuite, utilisez des outils d’analyse pour examiner les tendances du trafic et identifier les schémas d’attaque.

En combinant ces stratégies et en travaillant avec des partenaires spécialisés en sécurité, vous allez considérablement réduire les risques et les impacts des attaques DDoS.

 

Lectures recommandées