Des articles concernant des attaques DDoS apparaissent dans les journaux tous les deux ou trois mois. Les serveurs tombent en panne, les sites tombent en panne et les entreprises peuvent perdre des millions de dollars lorsque leurs services sont interrompus. Des services allant de Netflix et Reddit aux fournisseurs d’électricité, parmi tant d’autres, ont subi de telles attaques.
Comment les attaques DDoS (par déni de service distribué) sont-elles menées ?
En termes simples, une attaque de déni de service distribué (DDoS) vise à rendre un service Web indisponible. Son principe consiste à surcharger la capacité d’un site Web à traiter plusieurs requêtes à la fois. Cette surcharge signifie que les visiteurs/utilisateurs légitimes se voient refuser l’accès à ce site.
Les attaques DDoS sont généralement menées en utilisant un réseau de “bots” appelés botnets. Un bot est simplement un script ou un logiciel conçu pour effectuer des tâches répétitives. Par exemple, les robots d’exploration et les moteurs de recherche sont des robots. Dans le cas d’une attaque DDoS, la tâche répétitive pourrait consister à lancer continuellement une requête à un serveur web, encore et encore.
Un ordinateur, un serveur ou un périphérique IdO (Internet des Objets) peut devenir un bot si l’utilisateur télécharge par inadvertance un logiciel malveillant d’un agent malveillant. Ce bot se connecte ensuite aux serveurs de commande et de contrôle, qui ont des instructions pour lancer une attaque. Une fois que le malware s’est suffisamment répandu et a créé une armée de bots, le botnet est prêt à être déployé à des fins malveillantes. Le but est généralement une attaque DDoS ou le vol de données, l’envoi de spam ou la diffusion de logiciels de rançon (rançongiciels).
Différents types d’appareils peuvent être transformés en bot dans le cadre d’une attaque : ordinateurs, serveurs, et même des appareils d’IdO. Par exemple, en 2016, le service de noms de domaine (DNS) Dyn a subi une attaque DDoS massive venant d’un botnet. Le réseau de bots Mirai a exploité les faiblesses de sécurité de 30 000 caméras WiFi, ce qui a permis aux pirates d’accéder aux routeurs WiFi des utilisateurs et de créer un énorme réseau de bots. Cette attaque a eu des répercussions sur des milliers d’autres sites Web utilisant les services de Dyn.
Choisissez votre poison
Il existe trois types différents d’attaques DDoS. Les plus courantes sont les attaques volumétriques, qui représentent environ les deux tiers des attaques DDoS. Les attaques volumétriques utilisent un botnet pour lancer des requêtes aux serveurs simultanément, pour surcharger leur capacité de bande passante. Elles bloquent ainsi l’accès du trafic authentique. Un type courant d’attaque volumétrique est l’attaque de surcharge par protocole de données utilisateur (User Data Protocol, ou UDP). Comme son nom l’indique, cette attaque consiste à envoyer un flot de paquets UDP, auquel le serveur tente alors en vain de répondre.
Les attaques de protocole sont le deuxième type d’attaque DDoS le plus courant, représentant environ 20 % des cas. Ces attaques ciblent les faiblesses de la couche réseau (couche 3) ou de la couche transport (couche 4). Les SYN floods, un type d’attaque de protocole, envoient un grand nombre de requêtes à la cible avec des adresses IP sources usurpées. L’identité de l’expéditeur est masquée par l’usurpation d’une autre adresse. Ce type d’attaque exploite le processus établissement d’une liaison du protocole TCP (Transmission Control Protocol). Il s’agit d’un processus en trois étapes qui implique l’échange d’informations entre un client et un serveur afin d’établir une connexion pour envoyer et recevoir des données. Dans une attaque SYN flood, le volume énorme de ces demandes empêche la cible de répondre à toutes, ce qui épuise ses ressources.
Les attaques de la couche applicative (couche 7) représentent environ 15 % des attaques DDoS. La couche d’application (application layer) est l’endroit où les requêtes sont faites à un serveur web, par exemple pour charger une page particulière et ses ressources. Le botnet surchargera ce serveur de requêtes, de telle sorte que le serveur aura plusieurs requêtes à gérer pour charger certaines ressources telles que des fichiers ou des requêtes de base de données. Ce serait un peu comme si on travaillait dans une sandwicherie et qu’on lui demandait soudainement de fabriquer 63 sandwiches.
Impact profond des attaques DDos
L’impact commercial d’un DDoS peut être énorme. Les interruptions prolongées d’un site Web de commerce électronique pourraient entraîner des pertes de revenus se chiffrant en millions de dollars, sans parler des atteintes à la réputation causées par une panne de service. Les clients peuvent s’inquiéter et cesser de faire appel à votre service, et des problèmes juridiques peuvent résulter d’interruptions de service.
Pire encore, les attaques DDoS sont relativement peu coûteuses à réaliser. Il est possible de louer un service de botnet pour un montant aussi modique que 5 $ l’heure, afin d’attaquer une cible pendant 24 heures. De tels services sont souvent annoncés sous le prétexte d’offrir des services de “stressing” pour les personnes souhaitant tester leurs serveurs.
Mieux vaut prévenir que guérir les attaques DDos
Compte tenu du danger et des conséquences des attaques DDoS, que peut-on faire pour les prévenir ? Il existe des mesures préventives, tant en interne qu’avec l’aide de tierces parties.
Le Software Engineering Institute de l’Université Carnegie Mellon propose quelques conseils pratiques pour l’architecture informatique. Des mesures telles que le positionnement des serveurs dans différents centres de données ou l’élimination des goulots d’étranglement et des points de défaillance uniques réduisent la probabilité d’être mis hors ligne par une attaque DDoS. Les pare-feu et les répartiteurs de charge peuvent également protéger contre les attaques de protocole de la couche 4 (couche transport).
Il existe également un certain nombre de services externes qui offrent une protection DDoS. Amazon offre par exemple une protection contre les DDoS à tous ses clients AWS sans frais supplémentaires, qui devrait suffire à décourager la plupart des attaquants. Cependant, pour les attaques plus graves, il existe des niveaux plus élevés à un coût supplémentaire.
Pour les organisations axées sur les libertés civiles, mais ne disposant pas des budgets des grandes entreprises de technologie, Project Shield offre une protection. Construit par Jigsaw et appartenant à la société mère de Google, Alphabet, il protège les services Web des services de surveillance électorale et des organisations de défense des droits humains.
Enfin, les ingénieurs cherchent de nouvelles façons d’arrêter les attaques DDoS. L’une de ces méthodes est celle d’un brevet récemment déposé par Amazon qui utilise les concepts sous-jacents de la blockchain bitcoin pour protéger les services des attaques DDoS. Dans le cadre de ce système, une demande faite au serveur Web de la cible devrait être accompagnée d’un casse-tête cryptographique. Ce concept s’appelle la preuve de travail (‘Proof-of-Work’). Il ne serait pas si compliqué pour un ordinateur individuel lançant cette requête de résoudre le casse-tête. En revanche, une attaque coordonnée de botnet entraînerait un coût élevé sous la forme d’une puissance de calcul pour compléter ces énigmes. Cela est susceptible de dissuader les attaquants.
Conclusion
Les attaques DDoS s’avèrent être un moyen efficace pour perturber les services Web. Malgré les progrès des techniques de protection et de prévention, les attaques DDoS resteront une menace constante pour les organisations, grandes et petites. Un bon point de départ consiste à être actif en matière de confidentialité et de sécurité, en commençant par l’utilisation d’une messagerie électronique chiffrée, et en suivant de bonnes pratiques en matière de sécurité et de protection de la vie privée en ligne. Cela réduit les risques que vos appareils se transforment en bot contribuant aux attaques DDOS.
Etant l’une des solutions de messagerie électronique les plus sécurisées et privées, nous considérons la sécurité de notre infrastructure comme très importante et nous nous efforçons d’améliorer la sécurité de notre service de toutes les façons possibles. N’hésitez pas à nous faire part de vos commentaires.
