Qu’est-ce qu’une attaque par déni de service distribuée (DDoS) ?

Les attaques par déni de service distribué sont un type d’attaque par déni de service (attaque DoS), une catégorie qui comprend toutes les cyberattaques qui ralentissent ou arrêtent des applications ou des services. Les attaques DDoS sont uniques en ce sens qu’elles envoient un trafic d’attaque provenant de multiples sources à la fois, ce qui les rend potentiellement plus difficiles à reconnaître et à défendre. C’est de là que vient le terme « distribué » dans « déni de service distribué ».

Selon l’IBM® X-Force Threat Intelligence Index, les attaques DDoS représentent 2 % des attaques auxquelles X-Force répond. Cependant, les perturbations qu’elles engendrent peuvent être coûteuses. Les temps d’arrêt des systèmes peuvent entraîner des interruptions de service, des pertes de revenus et des atteintes à la réputation. Selon le rapport sur le coût d’une violation de données d’IBM, le coût de la perte d’activité due à une cyberattaque s’élève en moyenne à 1,47 million de dollars.  

Contrairement à d’autres cyberattaques, les attaques DDoS n’exploitent pas les vulnérabilités des ressources en réseau pour pénétrer les systèmes informatiques. Au lieu de cela, les pirates s’appuient sur des protocoles de connexion réseau standard comme Hypertext Transfer Protocol (HTTP) et Transmission Control Protocol (TCP) pour inonder les terminaux, les applications et d’autres ressources avec plus de trafic qu’ils ne peuvent en gérer.

En effet, les serveurs Web, routeurs et autres infrastructures réseau ne peuvent traiter qu’un nombre limité de requêtes et maintenir un nombre limité de connexions de manière simultanée. En accaparant la bande passante disponible d’une ressource, les attaques DDoS empêchent cette dernière de répondre aux paquets et requêtes de connexion légitimes.

Une attaque DDoS se déroule en deux étapes principales : la création d’un botnet et l’exécution de l’attaque. 

Une attaque DDoS implique généralement un botnet, c’est-à-dire un réseau d’appareils connectés à Internet qui ont été infectés par un logiciel malveillant, ce qui permet aux pirates de les contrôler à distance.

Les botnets peuvent inclure des ordinateurs portables et de bureau, des téléphones mobiles, des appareils IdO et d’autres points de terminaison grand public ou commerciaux. Les propriétaires de ces appareils compromis ne savent généralement pas qu’ils ont été infectés ou sont utilisés pour une attaque DDoS.

Certains cybercriminels construisent leurs propres botnets afin de propager activement des logiciels malveillants et de prendre le contrôle des appareils. D’autres achètent ou louent des botnets préétablis à d’autres cybercriminels sur le dark web dans le cadre d’un modèle appelé « déni de service en tant que service ».

Toutes les attaques DDoS n’utilisent pas les botnets. Certaines exploitent les opérations normales d’appareils non infectés à des fins malveillantes. (Pour en savoir plus, consultez la section sur les « attaques Smurf »). 

Les pirates commandent aux appareils du botnet d’envoyer des requêtes de connexion ou d’autres paquets à l’adresse IP du serveur, de l’appareil ou du service ciblé.

La plupart des attaques DDoS s’appuient sur la force brute en envoyant un grand nombre de requêtes pour consommer la totalité de la bande passante de la cible. À l’inverse, d’autres attaques DDoS envoient un plus petit nombre de demandes plus complexes qui contraignent la cible à mobiliser beaucoup de ressources pour y répondre. Dans les deux cas, le résultat est le même : le trafic lié à l’attaque submerge le système ciblé, provoquant un déni de service et empêchant le trafic légitime d’y accéder.

Les pirates masquent souvent la source de leurs attaques en usurpant des adresses IP, une technique qui consiste à forger de fausses adresses IP source pour les paquets envoyés depuis le botnet. Dans une forme d’usurpation d’adresse IP, appelée « attaque par réflexion », les pirates font croire que le trafic malveillant a été envoyé à partir de l’adresse IP de la victime.

Les attaques DDoS ne constituent pas toujours l’attaque principale. Les pirates les emploient parfois pour détourner l’attention de la victime d’un autre acte cybercriminel. Ainsi, les attaquants peuvent exfiltrer des données ou déployer un ransomware sur un réseau pendant que l’équipe de cybersécurité est occupée à repousser l’attaque DDoS.

Les pirates informatiques ont recours aux attaques DDoS pour toutes sortes de raisons : l’extorsion, la fermeture d’organisations et d’institutions avec lesquelles ils ne sont pas d’accord, l’étouffement d’entreprises concurrentes, voire même la cyberguerre.

Voici quelques-unes des attaques DDoS les plus courantes :

• Les détaillants en ligne
• Les fournisseurs d’accès Internet (FAI)
• Les fournisseurs de services cloud
• Institutions financières
• Les fournisseurs de logiciels en tant que service (SaaS)
• Les sociétés de jeux vidéo
• Agences gouvernementales

Les attaques DDoS sont classées en fonction des tactiques qu’elles emploient et de l’architecture réseau qu’elles ciblent. Les types courants sont les suivants :

• Attaques au niveau de la couche application
• Attaques par protocole
• Attaques volumétriques
• Attaques multi-vectorielles

Comme leur nom l’indique, les attaques de la couche applicative ciblent la couche applicative d’un réseau. Dans le cadre des exigences du modèle d’interconnexion de systèmes ouverts (modèle OSI), cette couche est là où les utilisateurs interagissent avec les pages Web et les applications. Les attaques de la couche applicative perturbent les applications Web en les inondant de requêtes malveillantes.

L’une des attaques les plus courantes de la couche applicative est l’attaque par inondation HTTP : un pirate envoie en continu un grand nombre de requêtes HTTP provenant de plusieurs appareils vers le même site Web. Dans l’incapacité de prendre en charge toutes ces requêtes, le site ralentit ou plante. Les attaques par inondation HTTP s’apparentent à des centaines ou des milliers de navigateurs web actualisant à plusieurs reprises la même page Web.

Les attaques par protocole ciblent la couche réseau (couche 3) et la couche transport (couche 4) du modèle OSI. Elles visent à submerger les ressources réseau critiques, telles que les pare-feux, les équilibreurs de charge et les serveurs Web, avec des requêtes de connexion malveillantes.

Les attaques par inondation SYN et les attaques Smurf sont deux des types d’attaques de protocole les plus courants. 

Une attaque par inondation SYN tire parti du protocole d’établissement de liaison TCP, le processus par lequel deux appareils établissent une connexion l’un avec l’autre. Un processus TCP classique comporte trois étapes :

1. Un appareil envoie un paquet de synchronisation (SYN) pour initier la connexion.
2. L’autre appareil répond avec un paquet de synchronisation et d’accusé de réception (SYN/ACK) pour confirmer la demande.
3. L’appareil d’origine renvoie un paquet ACK pour finaliser la connexion.

Dans une attaque par inondation SYN, l’attaquant envoie au serveur cible un grand nombre de paquets SYN associés à des adresses IP source usurpées. Le serveur répond aux adresses IP usurpées et attend les paquets ACK finaux. Comme les adresses source ont été usurpées, ces paquets n’arrivent jamais. Le serveur est bloqué par un grand nombre de connexions inachevées, ce qui le rend indisponible pour les établissements de liaison TCP légitimes.

Une attaque Smurf tire parti du protocole ICMP (Internet Control Message Protocol), un protocole de communication utilisé pour évaluer l’état d’une connexion entre deux appareils.

Lors d'un échange ICMP typique, un appareil envoie une demande d’écho ICMP à un autre, puis ce dernier répond avec une réponse d’écho ICMP.

Lors d’une attaque Smurf, le pirate envoie une demande d’écho ICMP à partir d’une adresse IP usurpée correspondant à l’adresse IP de la victime. Cette demande d’écho ICMP est envoyée à un réseau de diffusion IP qui transmet la demande à chaque appareil d’un réseau.

Chaque appareil qui reçoit la demande d’écho ICMP (soit plusieurs centaines ou milliers d’appareils potentiels) répond en envoyant une réponse d’écho ICMP à l’adresse IP de la victime. Le volume de réponses dépasse la capacité de l’appareil. Contrairement à de nombreux autres types d’attaques DDoS, les attaques Smurf n’impliquent pas nécessairement de botnet.

Les attaques DDoS volumétriques consomment toute la bande passante disponible au sein d’un réseau cible ou entre un service cible et le reste d’Internet, empêchant les utilisateurs légitimes de se connecter aux ressources du réseau.

Ces attaques inondent souvent les réseaux et les ressources avec des volumes de trafic élevés, même par rapport aux autres types d’attaques DDoS. Des attaques volumétriques sont déjà parvenues à submerger des mesures de protection DDoS telles que les centres de nettoyage du trafic, qui sont conçus pour filtrer le trafic malveillant au sein de trafic légitime.

Les types d’attaques volumétriques les plus courants incluent les inondations UDP, les inondations ICMP et les attaques par amplification DNS.

Les inondations UDP consistent à envoyer de faux paquets UDP (User Datagram Protocol) aux ports d’un hôte cible, invitant ce dernier à rechercher une application qui recevra les paquets. Or, comme les paquets UDP sont factices, aucune application ne peut les recevoir et l’hôte doit renvoyer un message ICMP « Destination inaccessible » à l’expéditeur.

Les ressources de l’hôte sont accaparées par la réponse au flux constant de faux paquets UDP, et l’hôte n’est donc plus disponible pour répondre aux paquets légitimes.

Également appelées « attaques par inondation ping », les inondations ICMP bombardent les cibles de demandes d’écho ICMP provenant de plusieurs adresses IP usurpées. Contraint de répondre à toutes ces requêtes, le serveur cible est surchargé et ne peut plus traiter les demandes d’écho ICMP valides.

Les inondations ICMP se distinguent des attaques Smurf car les pirates envoient un grand nombre de requêtes ICMP à partir de leurs botnets. Dans le cadre d’une attaque Smurf, ils incitent les dispositifs du réseau à envoyer des réponses ICMP à l’adresse IP de la victime.

Lors d’une attaque par amplification DNS, le pirate envoie plusieurs requêtes de recherche DNS (Domain Name System) à un ou plusieurs serveurs DNS publics. Ces requêtes de recherche utilisent une adresse IP usurpée appartenant à la victime afin de demander aux serveurs DNS de renvoyer une grande quantité d’informations par demande. Le serveur DNS répond aux requêtes en inondant l’adresse IP de la victime avec de grandes quantités de données.

Comme leur nom l’indique, les attaques multi-vectorielles exploitent plusieurs vecteurs d’attaque plutôt qu’une seule source afin de maximiser les dommages et de contrecarrer les efforts d’atténuation des attaques DDoS.

Les attaquants peuvent utiliser plusieurs vecteurs simultanément ou passer d’un vecteur à l’autre en cours d’attaque, lorsque l’un d’eux est contrecarré. Par exemple, les pirates peuvent commencer par une attaque Smurf, puis, une fois que le trafic provenant des appareils du réseau est coupé, lancer une inondation UDP à partir de leur botnet.

Les menaces DDoS peuvent également être employées conjointement à d’autres cybermenaces. Par exemple, les auteurs d’attaques par ransomware peuvent faire pression sur leurs victimes en menaçant de lancer une attaque DDoS si la rançon n’est pas payée.

Les attaques DDoS restent une tactique cybercriminelle courante pour de nombreuses raisons.

Un cybercriminel n’a même plus besoin de savoir coder pour lancer une attaque DDoS. Les marketplaces de la cybercriminalité prospèrent sur le dark web, où les acteurs de la menace peuvent acheter et vendre des botnets, des logiciels malveillants et d’autres outils pour mener ce type d’attaque.

En louant des botnets prêts à l’emploi auprès d’autres pirates, les cybercriminels peuvent facilement lancer des attaques DDoS de leur propre chef, avec peu de préparation ou de planification.

Les botnets étant principalement composés d’appareils grand public et commerciaux, il peut être difficile pour les entreprises de distinguer le trafic malveillant des utilisateurs réels.

De plus, les symptômes des attaques DDoS (service lent et sites et applications temporairement indisponibles) peuvent être provoqués par des pics soudains de trafic légitime, ce qui complexifie encore la détection précoce des attaques DDoS.

Une fois qu’une attaque DDoS a été identifiée, sa nature distribuée empêche les entreprises de la bloquer simplement en stoppant une source de trafic unique. En outre, les contrôles de sécurité réseau standard destinés à contrecarrer les attaques DDoS, tels que la limitation du débit, peuvent également ralentir les opérations des utilisateurs légitimes.

L’essor de l’Internet des objets a offert aux pirates une source inépuisable d’appareils à transformer en bots.

Les appareils connectés à Internet, y compris les technologies opérationnelles (OT) telles que les appareils de soins de santé et les systèmes de fabrication, sont souvent vendus et exploités avec des valeurs par défaut universelles et des contrôles de sécurité faibles ou inexistants, ce qui les rend vulnérables aux infections par des logiciels malveillants.

De plus, il peut être difficile pour les propriétaires de ces appareils de remarquer qu’ils ont été compromis, puisque les appareils IdO sont souvent utilisés de manière passive ou peu fréquente.

Les attaques DDoS deviennent de plus en plus sophistiquées à mesure que les pirates adoptent les outils d’intelligence artificielle (IA) et de machine learning (ML) pour orienter leurs attaques. Les attaques DDoS adaptatives ont recours à l’IA et au ML pour identifier les aspects les plus vulnérables des systèmes et modifier automatiquement les vecteurs et les stratégies d’attaque en réponse aux efforts d’atténuation de l’équipe de cybersécurité.

Plus vite une attaque DDoS est identifiée, plus vite la défense et la résolution peuvent commencer. Voici quelques signes indiquant qu’une attaque est en cours :

• Un site ou un service commence à ralentir de manière inattendue ou est complètement indisponible.
  
  
• Un volume inhabituellement élevé de trafic arrive d’une seule adresse IP ou d’une série d’adresses IP.
  
  
• Le trafic provenant de nombreux profils similaires, par exemple d’un type d’appareil ou d’une région géographique spécifique, augmente soudainement.
  
  
•  Les demandes pour une seule action, un seul point de terminaison ou une seule page augmentent soudainement.
  
  
• Des pics de trafic surviennent à une heure inhabituelle de la journée, un jour de la semaine ou à intervalles réguliers (toutes les cinq minutes, par exemple).
  
  
• Des erreurs ou des dépassements de délai inexpliqués se produisent.
  
  
•  Des services partageant le même réseau commencent simultanément à ralentir.

Bon nombre de ces comportements peuvent être causés par d’autres facteurs. Toutefois, le fait de vérifier d’abord s’il s’agit d’une attaque DDoS permet de gagner du temps et d’atténuer les dommages si c’est le cas.

Les solutions de protection contre les attaques DDoS permettent de détecter les anomalies de trafic et de déterminer si elles sont bénignes ou malveillantes. En effet, un afflux soudain de requêtes peut être le résultat d’une campagne de marketing réussie. Dans ce cas, bloquer ces requêtes serait un désastre pour l’entreprise.

Les efforts d’atténuation des attaques DDoS visent généralement à détourner le flux de trafic malveillant aussi rapidement que possible. 

Voici quelques-unes des mesures de prévention et d’atténuation des attaques DDoS les plus courantes :

Alors que les pare-feux classiques protègent les réseaux au niveau du port, les WAF s’assurent que les requêtes sont sûres avant de les transmettre aux serveurs Web. Un WAF peut déterminer quels types de requêtes sont légitimes et lesquels ne le sont pas, ce qui lui permet d’éliminer le trafic malveillant et de prévenir les attaques au niveau de la couche application.

Un CDN est un réseau de serveurs distribués qui peut aider les utilisateurs à accéder à des services en ligne plus rapidement et de manière plus fiable. Avec un CDN en place, les requêtes des utilisateurs ne remontent pas jusqu’au serveur d’origine du service, mais sont acheminées vers un serveur CDN géographiquement plus proche qui fournit le contenu.

Les CDN contribuent ainsi à lutter contre les attaques DDoS en augmentant la capacité globale de trafic d’un service. Lorsqu’un serveur CDN est mis hors service par une attaque DDoS, le trafic des utilisateurs peut être acheminé vers d’autres serveurs disponibles sur le réseau.

La détection et réponse des terminaux (EDR), la détection et réponse du réseau (NDR) et d’autres outils permettent de surveiller l’infrastructure du réseau pour y repérer tout indicateur de compromission. Lorsque ces systèmes détectent des signes potentiels de DDoS, tels que des modèles de trafic anormaux, ils peuvent déclencher des réponses aux incidents en temps réel, par le biais notamment de l’interruption des connexions suspectes.

Un « trou noir » fait partie d’un réseau où le trafic entrant est supprimé sans être traité ni stocké. Le routage par trou noir consiste à détourner le trafic entrant vers un trou noir lorsqu’une attaque DDoS est suspectée.

L’inconvénient est qu’il peut également se débarrasser du trafic valide et parfois très important, faisant du routage par trou noir un instrument simple mais peu efficace face à une attaque.

La limitation du débit consiste à limiter le nombre de requêtes entrantes qu’un serveur est autorisé à accepter au cours d’une période donnée. Le service peut également ralentir pour les utilisateurs légitimes, mais le serveur n’est pas surchargé. 

L’équilibrage de charge consiste à répartir le trafic réseau entre plusieurs serveurs afin d’optimiser la disponibilité des applications. Il peut aider à se défendre contre les attaques DDoS en acheminant automatiquement le trafic à l’écart des serveurs surchargés.

Les entreprises peuvent installer des équilibreurs de charge matériels ou logiciels pour traiter le trafic. Elles peuvent également utiliser les réseaux Anycast, qui permettent d’attribuer une adresse IP unique à plusieurs serveurs ou nœuds répartis sur plusieurs sites afin de partager le trafic entre ces serveurs. Normalement, une requête est envoyée au serveur optimal. Lorsque le trafic augmente, la charge est répartie, et les serveurs sont donc moins susceptibles d’être surchargés.

Les centres de nettoyage sont des réseaux ou des services spécialisés qui peuvent filtrer le trafic malveillant du trafic légitime à l’aide de techniques telles que l’authentification du trafic et la détection des anomalies. Ces centres bloquent le trafic malveillant tout en permettant au trafic légitime d’arriver à destination.