Une attaque DDoS vise à désactiver ou à mettre hors service un site Web, une application Web, un service cloud ou toute autre ressource en ligne en la submergeant de requêtes de connexion superflues, de faux paquets ou d’autre trafic malveillant. Incapable de gérer le volume de trafic illégitime, la cible ralentit ou tombe en panne, ce qui la rend inaccessible pour les utilisateurs légitimes.
Les attaques DDoS font partie de la grande catégorie des attaques par déni de service (DoS), laquelle inclut toutes les cyberattaques qui visent à ralentir ou stopper des applications ou des services réseau. La particularité des attaques DDoS est que le trafic malveillant provient de plusieurs sources à la fois, ce qui leur vaut la qualification d’attaque par déni de service « distribué ».
Les cybercriminels utilisent les attaques DDoS pour perturber les opérations réseau depuis plus de 20 ans déjà, mais récemment, leur fréquence et leur portée se sont multipliées. Selon un rapport, les attaques DDoS ont augmenté de 203 % au cours du premier semestre 2022, par rapport à la même période en 2021 (lien externe à ibm.com).
Contrairement à d’autres cyberattaques, les attaques DDoS n’exploitent pas les vulnérabilités des ressources en réseau pour pénétrer les systèmes informatiques. Au lieu de cela, les pirates s'appuient sur des protocoles de connexion réseau standard comme Hypertext Transfer Protocol (HTTP) et Transmission Control Protocol (TCP) pour inonder les terminaux, les applications et d'autres ressources avec plus de trafic qu’ils ne peuvent en gérer. En effet, les serveurs Web, routeurs et autres infrastructures réseau ne peuvent traiter qu’un nombre limité de requêtes et maintenir un nombre limité de connexions de manière simultanée. En accaparant la bande passante disponible d’une ressource, les attaques DDoS empêchent cette dernière de répondre aux paquets et requêtes de connexion légitimes.
Une attaque DDoS comporte trois grandes étapes.
Le choix de la cible d’une attaque DDoS dépend de la motivation de l’attaquant, qui peut être très variable. Des pirates ont déjà utilisé des attaques DDoS pour extorquer de l’argent à des entreprises, en exigeant une rançon pour mettre fin à l’attaque. D’autres encore utilisent ce type d’attaque à des fins d’activisme, en ciblant des organisations et des institutions avec lesquelles ils ne sont pas d’accord. Des acteurs peu scrupuleux ont aussi utilisé des attaques DDoS pour fermer des entreprises concurrentes, tandis que certains États s’appuient sur de telles tactiques dans le cadre de conflits.
Voici quelques-unes des attaques DDoS les plus courantes :
Détaillants en ligne. Les attaques DDoS peuvent causer un préjudice financier important aux détaillants en mettant hors service leur magasin numérique, ce qui empêche les clients de faire leurs achats pendant un certain temps.
Fournisseurs de services cloud. Les fournisseurs de services cloud tels qu’Amazon Web Services (AWS), Microsoft Azure et Google Cloud Platform sont des cibles populaires pour les attaques DDoS. Comme ces services hébergent des données et des applications pour d’autres entreprises, les pirates peuvent provoquer des pannes généralisées en une seule attaque. En 2020, AWS a été victime d’une attaque DDoS massive (lien externe à ibm.com). À son apogée, le trafic malveillant a atteint 2,3 térabits par seconde.
Institutions financières. Les attaques DDoS peuvent mettre des services bancaires hors ligne et empêcher ainsi les clients d’accéder à leurs comptes. En 2012, six grandes banques américaines ont été victimes d’attaques DDoS coordonnées dans le cadre de ce qui pourrait être un acte politiquement motivé (lien externe à ibm.com).
Fournisseurs de logiciels en tant que service (SaaS). Comme pour les fournisseurs de services cloud, les fournisseurs SaaS comme Salesforce, GitHub et Oracle sont des cibles particulièrement attrayantes puisqu’elles permettent aux pirates d’atteindre plusieurs organisations à la fois. En 2018, GitHub a subi ce qui était, à l’époque, la plus grande attaque DDoS jamais enregistrée (lien externe à ibm.com).
- Sociétés de jeux vidéo. Les attaques DDoS peuvent perturber les jeux en ligne en inondant leurs serveurs de trafic. Ces attaques sont souvent lancées par des joueurs mécontents qui souhaitent se faire justice, comme ce fut le cas pour le botnet Mirai initialement conçu pour cibler les serveurs Minecraft (lien externe à ibm.com).
Une attaque DDoS implique généralement un botnet, c’est-à-dire un réseau d’appareils connectés à Internet qui ont été infectés par un logiciel malveillant, ce qui permet aux pirates de les contrôler à distance. Les botnets peuvent inclure des ordinateurs portables et de bureau, des téléphones mobiles, des appareils IoT et d’autres terminaux grand public ou commerciaux. Les propriétaires de ces appareils compromis ne savent généralement pas qu’ils ont été infectés ou sont utilisés pour une attaque DDoS.
Certains cybercriminels construisent leurs botnets de toutes pièces, tandis que d’autres achètent ou louent des botnets préétablis dans le cadre d’un modèle appelé « déni de service en tant que service ».
(REMARQUE : toutes les attaques DDoS n’utilisent pas les botnets ; certaines exploitent les opérations normales d’appareils non infectés à des fins malveillantes. Voir « Attaques Smurf » ci-dessous.)
Les pirates commandent aux appareils du botnet d’envoyer des requêtes de connexion ou d’autres paquets à l’adresse IP du serveur, de l’appareil ou du service ciblé. La plupart des attaques DDoS s’appuient sur la force brute en envoyant un grand nombre de requêtes pour consommer la totalité de la bande passante de la cible. À l'inverse, d’autres attaques DDoS envoient un plus petit nombre de demandes plus complexes qui contraignent la cible à mobiliser beaucoup de ressources pour y répondre. Dans les deux cas, le résultat est le même : le trafic lié à l’attaque submerge le système ciblé, provoquant un déni de service et empêchant le trafic légitime d’accéder au site Web, à l’application Web, à l’ API ou au réseau.
Les hackers masquent souvent la source de leurs attaques en usurpant des adresses IP, une technique qui consiste à forger de fausses adresses IP source pour les paquets envoyés depuis le botnet. Dans une forme d’usurpation d’adresse IP, appelée « réflexion », les pirates font croire que le trafic malveillant a été envoyé à partir de l’adresse IP de la victime.
Les types d’attaques DDoS sont souvent nommés ou décrits selon la terminologie du modèle de référence OSI (Open Systems Interconnection), une norme qui définit les sept « couches » du réseau (aussi parfois appelée le modèle OSI à 7 couches).
Comme leur nom l’indique, les attaques de la couche application ciblent la couche application (couche 7) du modèle OSI, c’est-à-dire la couche au niveau de laquelle les pages Web sont générées en réponse aux demandes des utilisateurs. Les attaques de la couche applicative perturbent les applications Web en les inondant de requêtes malveillantes.
L’une des attaques les plus courantes de la couche application est l’attaque par inondation HTTP (ou HTTP flood) : un pirate envoie en permanence un grand nombre de requêtes HTTP provenant de plusieurs appareils vers le même site Web. Dans l'incapacité de prendre en charge toutes ces requêtes HTTP, le site Web ralentit considérablement ou plante complètement. Les attaques par inondation HTTP s’apparentent à des centaines ou des milliers de navigateurs Web actualisant à plusieurs reprises la même page Web.
Les attaques de la couche application sont relativement faciles à lancer, mais elles peuvent être difficiles à prévenir et à atténuer. À mesure que de plus en plus d’entreprises optent pour l’utilisation de microservices et d’applications basées sur des conteneurs, le risque d’attaques de la couche application désactivant des services Web et cloud critiques augmente.
Les attaques par protocole ciblent la couche réseau (couche 3) et la couche transport (couche 4) du modèle OSI. Elles visent à submerger les ressources réseau critiques, telles que les pare-feux, les équilibreurs de charge et les serveurs Web, avec des requêtes de connexion malveillantes.
Les attaques par protocole les plus courantes incluent :
Attaques par inondation SYN. Une attaque par inondation SYN tire parti du protocole d’établissement de liaison TCP, le processus par lequel deux appareils établissent une connexion l’un avec l’autre.
Lors d’un établissement de liaison TCP standard, un dispositif envoie un paquet SYN pour initier la connexion, l’autre répond avec un paquet SYN/ACK pour confirmer la demande, puis le dispositif d’origine renvoie un paquet ACK pour finaliser la connexion.
Dans une attaque par inondation SYN, l’attaquant envoie au serveur cible un grand nombre de paquets SYN associés à des adresses IP source usurpées. Le serveur envoie sa réponse à l’adresse IP usurpée et attend le paquet ACK final. Comme l’adresse IP source a été usurpée, ces paquets n’arrivent jamais. Le serveur est bloqué par un grand nombre de connexions inachevées, ce qui le rend indisponible pour les établissements de liaison TCP légitimes.
Les attaques Smurf. Une attaque Smurf tire parti du protocole ICMP (Internet Control Message Protocol), un protocole de communication utilisé pour évaluer l’état d’une connexion entre deux appareils. Lors d'un échange ICMP typique, un appareil envoie une demande d’écho ICMP à un autre, puis ce dernier répond avec une réponse d’écho ICMP.
Lors d’une attaque Smurf, le pirate envoie une demande d’écho ICMP à partir d’une adresse IP usurpée correspondant à l’adresse IP de la victime. Cette demande d’écho ICMP est envoyée à un réseau de diffusion IP qui transmet la demande à chaque appareil d’un réseau donné. Chaque appareil qui reçoit la demande d’écho ICMP (soit plusieurs centaines ou milliers d’appareils potentiels) répond en envoyant une réponse d’écho ICMP à l’adresse IP de la victime, inondant l’appareil avec plus d’informations qu’il ne peut traiter. Contrairement à de nombreux autres types d’attaques DDoS, les attaques Smurf n’impliquent pas nécessairement de botnet.
Les attaques DDoS volumétriques consomment toute la bande passante disponible au sein d’un réseau cible ou entre un service cible et le reste d’Internet, empêchant ainsi les utilisateurs légitimes de se connecter aux ressources du réseau. Les attaques volumétriques inondent souvent les réseaux et les ressources avec des volumes de trafic très élevés, même par rapport aux autres types d’attaques DDoS. Des attaques volumétriques sont déjà parvenues à submerger des mesures de protection DDoS telles que les « scrubbing centers », qui sont conçus pour filtrer le trafic malveillant au sein de trafic légitime.
Les types courants d’attaques volumétriques comprennent :
Inondations UDP. Ces attaques consistent à envoyer de faux paquets UDP (User Datagram Protocol) aux ports d’un hôte cible, invitant ce dernier à rechercher une application qui recevra les paquets. Or, comme les paquets UDP sont factices, aucune application ne peut les recevoir et l’hôte doit renvoyer un message ICMP « Destination inaccessible » à l’expéditeur. Les ressources de l’hôte sont accaparées par la réponse au flux constant de faux paquets UDP et l’hôte n’est donc plus disponible pour répondre aux paquets légitimes.
Inondations ICMP. Également appelées « attaques par inondation ping », ces attaques bombardent les cibles de demandes d’écho ICMP provenant de plusieurs adresses IP usurpées. Contraint de répondre à toutes ces requêtes, le serveur cible est surchargé et ne peut plus traiter les demandes d’écho ICMP valides. Les inondations ICMP se distinguent des attaques Smurf, car les pirates envoient un grand nombre de requêtes ICMP à partir de leurs botnets au lieu de détourner des appareils en réseau pour envoyer des réponses ICMP à l’adresse IP de la victime.
Attaques par amplification DNS. Ici, le pirate envoie plusieurs requêtes de recherche DNS (Domain Name System) à un ou plusieurs serveurs DNS publics. Ces requêtes de recherche utilisent une adresse IP usurpée appartenant à la victime afin de demander aux serveurs DNS de renvoyer une grande quantité d’informations par demande. Le serveur DNS répond ensuite aux requêtes en inondant l’adresse IP de la victime avec de grandes quantités de données.
Comme leur nom l’indique, les attaques multi-vectorielles exploitent plusieurs vecteurs d’attaque afin de maximiser les dommages et de contrecarrer les efforts d’atténuation des attaques DDoS. Les attaquants peuvent utiliser plusieurs vecteurs simultanément ou passer d’un vecteur à l’autre en cours d’attaque, lorsque l’un d’eux est contrecarré. Par exemple, les pirates peuvent commencer par une attaque Smurf, puis, une fois que le trafic provenant des appareils du réseau est coupé, lancer une inondation UDP à partir de leur botnet.
Les menaces DDoS peuvent également être utilisées conjointement à d’autres cyberattaques. Par exemple, les auteurs d’attaques par ransomware peuvent faire pression sur leurs victimes en menaçant de lancer une attaque DDoS si la rançon n’est pas payée.
Plusieurs raisons expliquent la longévité et la popularité croissante des attaques DDoS :
- Elles requièrent peu ou pas de compétences. En louant des botnets prêts à l’emploi auprès d’autres pirates, les cybercriminels peuvent facilement lancer des attaques DDoS de leur propre chef, avec peu de préparation ou de planification.
- Elles sont difficiles à détecter. Les botnets étant principalement composés d’appareils grand public et commerciaux, il peut être difficile pour les entreprises de distinguer le trafic malveillant des utilisateurs réels. De plus, les symptômes des attaques DDoS (service lent et sites et applications temporairement indisponibles) peuvent également être provoqués par des pics soudains de trafic légitime, ce qui complexifie encore la détection des attaques DDoS en amont.
- Elles sont difficiles à contrer. Une fois qu’une attaque DDoS a été identifiée, sa nature distribuée empêche les organisations de la bloquer simplement en stoppant une source de trafic unique. En outre, les contrôles de sécurité réseau standard destinés à contrecarrer les attaques DDoS, tels que la limitation du débit, peuvent également ralentir les opérations des utilisateurs légitimes.
- Il y a plus d’appareils à exploiter que jamais. L’essor de l’Internet des objets (IoT) a offert aux pirates une source inépuisable d’appareils à transformer en bots. Les appareils, outils et gadgets connectés à Internet, y compris les technologies opérationnelles (OT) telles que les appareils de soins de santé et les systèmes de fabrication, sont souvent vendus et exploités avec des valeurs par défaut universelles et des contrôles de sécurité faibles ou inexistants, ce qui les rend particulièrement vulnérables aux infections par des logiciels malveillants. De plus, il peut être difficile pour les propriétaires de ces appareils de remarquer qu’ils ont été compromis, puisque les appareils IoT et OT sont souvent utilisés de manière passive ou peu fréquente.
Les attaques DDoS deviennent de plus en plus sophistiquées à mesure que les pirates adoptent les outils d’intelligence artificielle (IA) et de machine learning (ML) pour orienter leurs attaques. Cela a conduit à une augmentation des attaques DDoS adaptatives, qui utilisent l’IA et le ML pour identifier les aspects les plus vulnérables des systèmes et modifier automatiquement les vecteurs et les stratégies d’attaque en réponse aux efforts d’atténuation de l’équipe de cybersécurité.
L’objectif d’une attaque DDoS est de perturber les opérations du système, ce qui peut coûter cher aux entreprises. Selon le rapport Cost of a Data Breach 2022 d’IBM, les interruptions de service, temps d’arrêt du système et autres interruptions d’activité causées par une cyberattaque coûtent aux organisations en moyenne 1,42 million de dollars. En 2021, une attaque DDoS a ainsi fait perdre près de 12 millions de dollars à un fournisseur de VoIP (lien externe à ibm.com).
La plus grande attaque DDoS enregistrée, qui a généré 3,47 térabits de trafic malveillant par seconde, a ciblé un client Microsoft Azure en novembre 2021 (lien externe à ibm.com). Les attaquants ont utilisé un botnet de 10 000 appareils répartis dans le monde entier pour bombarder la victime de 340 millions de paquets par seconde.
Les attaques DDoS ont également été utilisées contre des gouvernements, notamment en 2021, à l’encontre de la Belgique (lien externe à ibm.com). Des pirates informatiques ont pris pour cible un fournisseur d’accès à Internet (FAI) géré par le gouvernement afin de couper les connexions Internet de plus de 200 agences gouvernementales, universités et instituts de recherche.
De plus en plus de pirates utilisent les attaques DDoS non pas comme attaque principale, mais pour détourner l’attention de la victime avant une attaque de plus grande ampleur, par exemple, en exfiltrant des données ou en déployant un ransomware sur un réseau pendant que l’équipe de cybersécurité est occupée à repousser l’attaque DDoS.
Les efforts d’atténuation et de protection contre les attaques DDoS consistent généralement à détourner le flux de trafic malveillant aussi rapidement que possible, par exemple en acheminant le trafic réseau vers des scrubbing centers ou en utilisant des équilibreurs de charge pour redistribuer le trafic lié à l’attaque. À cette fin, les entreprises qui souhaitent renforcer leurs défenses contre les attaques DDoS peuvent adopter des technologies capables d’identifier et d’intercepter le trafic malveillant, notamment :
- Pare-feux d’application Web. La plupart des organisations utilisent aujourd’hui des pare-feux de périmètre et d’application Web (WAF) pour protéger leurs réseaux et leurs applications contre les activités malveillantes. Alors que les pare-feux classiques offrent une protection au niveau du port, les WAF s’assurent que les requêtes sont sûres avant de les transmettre aux serveurs Web. Le WAF sait quels types de requêtes sont légitimes et lesquels ne le sont pas, ce qui lui permet d’éliminer le trafic malveillant et de prévenir les attaques au niveau de la couche application.
Réseaux de distribution de contenu (CDN). Un CDN est un réseau de serveurs distribués qui peut aider les utilisateurs à accéder à des services en ligne plus rapidement et de manière plus fiable. Avec un CDN en place, les requêtes des utilisateurs ne remontent pas jusqu’au serveur d’origine du service, mais sont acheminées vers un serveur CDN géographiquement plus proche qui fournit le contenu. Les CDN contribuent ainsi à lutter contre les attaques DDoS en augmentant la capacité globale de trafic d’un service. Dans le cas où un serveur CDN est mis hors service par une attaque DDoS, le trafic des utilisateurs peut être acheminé vers d’autres serveurs disponibles sur le réseau.
- SIEM (gestion des événements et des informations de sécurité). Les systèmes SIEM offrent une série de fonctions permettant de détecter les attaques DDoS et d'autres cyberattaques à un stade précoce de leur cycle de vie, telles que la gestion des journaux et la surveillance du réseau. Les solutions SIEM centralisent la gestion des données de sécurité générées par les outils de sécurité sur site et dans le cloud. Les SIEM peuvent ainsi surveiller les appareils et les applications connectés pour détecter les incidents de sécurité et les comportements anormaux, tels que les pings excessifs ou les demandes de connexion illégitimes. Le SIEM signale alors ces anomalies pour que l’équipe de cybersécurité prenne les mesures qui s’imposent.
- Technologies de détection et de réponse. Les solutions de détection et de réponse des terminaux (EDR), de détection et de réponse des réseaux (NDR) et de détection et de réponse étendues (XDR) utilisent toutes une analytique et une IA avancées pour surveiller l’infrastructure réseau à la recherche d’indicateurs de compromission (par exemple, des modèles de trafic anormaux qui peuvent témoigner d’attaques DDoS), ainsi que des capacités d’automatisation pour répondre aux attaques en cours en temps réel (par exemple, mettre fin à des connexions réseau suspectes).
Détectez les menaces cachées dans votre réseau, avant qu’il ne soit trop tard. IBM Security QRadar Network Detection and Response (NDR) aide vos équipes de sécurité en analysant l’activité du réseau en temps réel. Cette solution associe une visibilité d’une grande ampleur avec des données et des analyses de haute qualité pour permettre d’obtenir des renseignements et des réponses exploitables.
Obtenez la protection de sécurité dont votre organisation a besoin pour améliorer sa préparation aux violations grâce à un abonnement à la réponse aux incidents d’IBM Security. Lorsque vous vous engagez avec notre équipe d’élite de consultants en RI, vous disposez de partenaires de confiance prêts à vous aider à réduire le temps de réponse à un incident, à minimiser son impact et à vous aider à vous rétablir plus rapidement avant qu’un incident de cybersécurité ne soit suspecté.
Combinez expertise et renseignements sur les menaces pour enrichir votre analyse des menaces et automatiser votre plateforme de cybermenaces.
Une cyberattaque vise à dérober des informations sensibles ou à désactiver des systèmes critiques en accédant de manière frauduleuse à des réseaux ou à des appareils informatiques.
Les ransomwares sont des logiciels malveillants qui prennent en otage les appareils et les données des victimes, jusqu’à ce qu’une rançon soit payée.
Un plan formel de réponse aux incidents permet aux équipes de cybersécurité de limiter ou d’empêcher les dommages causés par des cyberattaques ou des violations de sécurité.