Skip to main content

Une attaque très répandue : l’attaque DDoS

L’attaque DoS ou l’attaque DDoS, on entend souvent parler de ses deux termes mais sans pour autant savoir les différencier, ni même savoir ce qu’ils représentent. Et pourtant il y en a en continu, des milliers tous les jours formant un gigantesque champ de bataille. Dans cet article nous verrons ce que tout cela signifie ainsi que leur utilité et leur fonctionnement.

L’attaque DoS et l’attaque DDoS, c’est quoi ?

L’attaque par déni de service (DoS pour Denial of Service en anglais) est une attaque informatique dont l’objectif est de rendre inaccessible un service ou un site internet en envoyant un nombre trop important de requêtes sur le serveur de ce dernier afin de saturer sa bande passante ou dans d’autres cas d’épuiser les ressources systèmes de la machine. Ainsi, le réseau se trouve surchargé et n’arrive plus à traiter les paquets légitimes tant la masse d’informations est dense.

On dit attaque par déni de service pour désigner une attaque réalisée à partir d’une seule machine, un seul attaquant, mais étant donné la capacité de traitement des serveurs actuels et les nouvelles techniques de répartition des charges, les attaques DoS sont de moins en moins fréquentes, et on parle plutôt aujourd’hui d’attaque DDoS.

attaque DDoS

L’attaque DDoS pour attaque par déni de service distribuée suit le principe de l’attaque DoS classique mais depuis plusieurs machines, permettant une plus grande puissance d’attaque. Il s’agit généralement d’un groupe de hackers qui envoient des requêtes en simultanées comme le groupe de hacktivistes Anonymous qui ont réalisé plusieurs fois ce type d’attaque notamment contre des sites du gouvernement américain en protestation à la fermeture de Megaupload en 2012. Ou alors via l’utilisation de « machines zombies » dans un botnet (déjà présenté dans un autre article) qui permet des attaques de très grande ampleur avec un nombre de machines suffisant, ces attaques sont d’ailleurs réalisées dans la majorité des cas depuis un botnet.

Le fonctionnement d’une attaque DDoS

Le parcours de l’information sur un réseau peut être représenté sous la forme de couches et cette information va parcourir les différentes couches. C’est-à-dire qu’une donnée que vous envoyez va être découpée puis encapsulé, avec ajout d’un en-tête devant ce morceau de données, qui contient l’adresse IP source, l’adresse IP de destination et enfin le protocole, TCP ou UDP, qui va permettre, en gros, de recoller les bouts de données. Et bien tout ces éléments forment une chaîne qu’on appel un paquet, et c’est lui qui va transiter dans le réseau afin d’être transmis à une source.

modelisation-osi

D’accord, mais c’est quoi le rapport ? Et bien une ressource réseau tel un serveur possède une capacité maximale de requêtes (donc de paquets) qu’elle peut traiter simultanément. De plus le canal qui relie la ressource à internet possède lui aussi une certaine bande passante. L’attaque DDoS consiste à envoyer des paquets en masse, idéalement au-delà de la capacité maximale de la ressource, afin de bloquer celle-ci. Il existe bien sûr différents types de DDoS (SYN Flood, UDP Flooding, Smurfing, etc.) mais celles-ci sont très techniques et l’essentiel est de comprendre le principe de base d’une attaque par déni de service.

Les raisons principales d’une attaque DDoS

Malheureusement ce sont généralement des groupes de cybercriminels qui utilisent les attaques par déni de service à des fins de chantage envers des entreprises pour qui l’activité repose sur leur site internet.

Il existe également de nombreux script kiddies, des néophytes en informatique qui tentent d’introduire des systèmes via des outils trouvés sur internet et développés par d’autres personnes (vous savez celui qui fait un tutoriel YouTube dans sa chambre pour apprendre aux gens à faire une attaque DDoS via l’invité de commande) qui réalisent ces attaques souvent pour leur satisfaction personnelle ou pour des raisons généralement absurdes, par exemple pour nuire à certains streamers Twitch comme cela a déjà été le cas.

ddos fonctionnement

De nombreux acteurs font ça en guise de représailles ou pour revendiquer quelque chose. C’est arrivé de nombreuses fois avec, comme déjà cités, les Anonymous, que ce soit l’opération Payback où Paypal, Visa, MasterCard et bien d’autres acteurs s’étant opposés à WikiLeaks ont été visés. C’était selon eux pour défendre un « internet libre et ouvert à tous » même si cela a été vivement critiqué.

J’aimerais vous partager un site internet : www.digitalattackmap.com. Celui-ci permet de consulter en temps réel toutes les attaques DDoS qui ont lieues sur le globe, de quoi se rendre compte de l’omniprésence de celles-ci.

Se protéger face aux attaques DDoS

Quant à la protection de ces attaques, rassurez-vous si vous êtes un simple particulier vous ne risquez pas grand-chose, à moins d’avoir fortement vexé un groupe de cybercriminels. Les attaques DDoS sont dans une grande majorité des cas concentrées sur les entreprises de moyenne ou grande taille, les banques ou les grandes firmes.  Mais celles-ci se protègent un maximum face à ces attaques notamment via la répartition des charges en ayant plusieurs serveurs pour que chaque client soit pris en charge par l’un d’entre eux et, en cas d’attaque, le ralentissement restera souvent acceptable.

Ces entreprises ont bien sûr beaucoup d’autres moyens de se protéger des attaques DDoS, en surveillant continuellement les niveaux de trafics pour détecter une activité anormale et donc une attaque, en augmentant leur bande passante, via l’installation d’un VPS, etc. Les hébergeurs comme OVH proposent également des technologies toujours plus poussées pour la sécurité de leurs clients face à ces attaques, notamment via la mitigation de DDoS.

ovh

En conclusion, le nombre d’attaques DDoS augmente depuis plusieurs années à une vitesse plutôt inquiétante. Il y a plusieurs années, les attaques ne dépassaient pas 100 Go/s, puis 400 Go/s, jusqu’à 1 To/s pour les plus grosses attaques. De plus en plus puissantes mais aussi de plus en plus présentes, de par leur coût assez faible, leur exécution relativement simple et la préservation de l’anonymat de l’attaquant, celles-ci risquent d’être toujours plus grandissantes dans les années à venir.

De plus, les botnet utilisés pour ces attaques se tournent davantage vers les objets connectés aujourd’hui puisqu’ils sont bien plus vulnérables qu’un ordinateur, et que leur mot de passe générique utilisé par le constructeur est rarement changé et leur firmware très peu tenu à jour. Avec de plus en plus d’objets connectés vulnérables, et une puissance des attaques croissante, à quel genre d’attaques DDoS seront-nous confrontés d’ici quelques années ?

Joffrey Outtier

Joffrey Outtier est le fondateur de sforsecure.fr, ce blog sur la sécurité informatique a été créé pour partager mes connaissances en cybersécurité et sensibiliser les utilisateurs aux dangers du numérique. Pour le suivre sur Twitter : @JoffreyO.