Description attaques DDoS & protection

Quand l’attaque DDoS fonctionne


Les cyberattaques par DDoS (Distributed Denial of Service) paralysent des sites Internet et des systèmes informatiques complets. Quel peut être l’impact d’un tel déluge de données et comment les entreprises peuvent-elles se protéger de telles attaques.


Texte: Felix Raymann/Andreas Heer, photos: Swisscom, 14 novembre 2018, actualisé le 11.06.2024




La situation géopolitique favorise les cyberattaques. Concrètement, en Suisse, il s’agit surtout de tentatives de perturber la disponibilité des infrastructures informatiques et de paralyser des sites Internet. Ceci en réaction directe à des activités politiques. La méthode de prédilection pour de telles actions: les attaques DDoS (Distributed Denial of Service) pour faire tomber les serveurs avec un grand nombre d’accès simultanés.

 

C’est ce qui s’est passé en juin 2023, lorsque différents sites Internet de la Confédération et de grandes villes ont été temporairement inaccessibles, en tout ou partie, pendant deux semaines, en raison d’attaques. Durant cette période, l’Office fédéral de la cybersécurité (OFCS) a reçu 85 signalements d’attaques de ce type, dont environ un tiers a pu être bloqué.


Attaques DDoS à caractère politique

Les motivations criminelles n’étaient pas tant financières que politiques. Les hacktivistes de «Noname057(16)», à l’origine des attaques DDoS sur les sites Internet suisses, dirigeaient leurs attaques contre les pouvoirs publics dans le contexte de la guerre en Ukraine. NoName profite à cet égard, dans le cadre de son projet d’attaque «DDoSia», de volontaires qui mettent leurs ordinateurs à disposition pour les attaques, vraisemblablement contre rémunération. Selon le fournisseur français de cybersécurité Sekoia, le projet compte environ 10 000 personnes.

 

La Suisse, et avec elle les entreprises locales, sont tout aussi touchées par les attaques DDoS. Les exemples ne font que démontrer à quel point les raisons sont multiples et qu’il y a toujours un risque sous-jacent. Le dernier Swisscom Cybersecurity Threat Radar qualifie également les attaques DDoS de menace dont les entreprises devraient tenir compte dans leurs mesures de cybersécurité.


Chantage à la menace DDoS

Une grande partie des attaques sont probablement motivées par des motifs purement financiers. Notamment pour exercer une pression supplémentaire sur les victimes d’une attaque de ransomware avec une menace DDoS afin qu’elles paient une rançon. En effet, de telles défaillances de l’infrastructure peuvent entraîner des dommages considérables pour l’entreprise. Des services web indisponibles pendant un certain temps peuvent entraîner un manque à gagner non négligeable. Pour les boutiques en ligne, les banques ou tout autre prestataire de services tributaire de sa présence sur le web, cela peut se traduire par des pertes considérables, mais aussi par une atteinte à la réputation si le site web en vient à être considéré comme «non sécurisé». Enfin, le rétablissement de la situation implique également des coûts, sans compter que les entreprises touchées peuvent subir des pertes de données à la suite d’une attaque.


Des attaques de plus en plus sophistiquées

Les attaques DDoS suivent toutes un schéma similaire: les serveurs Internet d’une entreprise sont bombardés d’innombrables requêtes, de sorte qu’ils ne parviennent plus à traiter le grand volume de données ou le nombre élevé de paquets IP et s’effondrent sous la charge. Pour pouvoir émettre autant de requêtes, les attaquants doivent disposer d’une infrastructure appropriée ou louer un botnet avec des appareils contaminés. Il peut s’agir de PC insuffisamment protégés, mais aussi d’appareils du quotidien connectés à Internet, tels que des caméras de surveillance, des routeurs, des appareils ménagers, etc.

 

Face à des attaques toujours plus sophistiquées, il devient de plus en plus difficile de se protéger. Au départ, les attaques avaient souvent lieu au niveau des couches de réseau inférieures (couche OSI), par exemple par PING Flood ou SYN Flood. De telles initiatives peuvent être filtrées assez facilement à l’aide de systèmes de protection tels que des pare-feux ou des IDS/IPS.

 

Certains assaillants combinent en revanche différents vecteurs d’attaque et des attaques par réflexion UDP. Les cybercriminels profitent du fait qu’avec des services tels que le DNS (Domain Name Service), il suffit d’un petit paquet de requêtes pour obtenir une réponse étendue. En adoptant une approche de type DNS Amplification, il suffit par conséquent d’envoyer de nombreuses requêtes avec l’adresse IP de la victime (IP spoofing) pour que cette dernière soit submergée par une quantité nettement plus importante de données. Combiné à d’autres formes d’attaque au niveau de la couche application (Layer 7), par exemple un HTTP(S) Flooding, ce type d’attaques DDoS est très efficace et difficile à bloquer sur les systèmes de la victime.


Protection efficace contre les attaques DDoS

Des attaques DDoS ont lieu quotidiennement et ciblent tous types d’équipements accessibles via Internet. Potentiellement, tous les fournisseurs de services web et Internet, c’est-à-dire chaque adresse IP publiquement accessible, peuvent devenir la cible d’une attaque. Des mesures préventives (voir liste ci-dessous) sont par conséquent indispensables. Celles-ci ne sont toutefois pas suffisantes pour être parfaitement préparé. Les entreprises ne peuvent se protéger contre les attaques DDoS que dans une certaine mesure. Par exemple, si un simple filtre DoS est activé sur le pare-feu de l’entreprise, celui-ci pourra certes analyser et filtrer le trafic de données entrant, mais s’il s’agit d’une attaque distribuée dépassant la bande passante disponible de la connexion Internet ou les performances du pare-feu, ce filtre ne servira plus à rien. Une situation similaire se produit avec un grand nombre de paquets IP.

Une protection DDoS efficace commence donc au niveau de la dorsale Internet du fournisseur de services. Là, une attaque distribuée est repoussée grâce à un «mécanisme de défense distribué». Avec le DDoS Protection Service de Swisscom, par exemple, des capteurs installés sur différents routeurs de la dorsale Internet fournissent à tout moment des informations importantes sur le trafic Internet en cours. Cela permet aux systèmes de protection de réagir en temps réel et d’activer les filtres appropriés. Cela permet de prévenir les attaques tout en garantissant que seul le trafic légitime est acheminé vers l’infrastructure des clients.


Prévention et mesures de protection contre les DDoS


Exploiter un service web sans mesures de protection DDoS efficaces et espérer ne pas être perçu comme une cible intéressante par les cybercriminels devrait être assimilé à une négligence intentionnelle du point de vue d’un entrepreneur. C’est pourquoi des précautions doivent être prises pour éviter les dommages dans l’éventualité d’une attaque:


Prévention au sein de la dorsale Internet

Le DDoS Protection Service de Swisscom constitue un bon moyen de se préparer efficacement à une attaque DDoS. Tous les services concernés fonctionnant sur différents serveurs doivent être protégés par le même service de protection DDoS.


Détection précoce

Les responsables informatiques doivent connaître l’état normal des systèmes (baseline) afin d’identifier immédiatement les événements particuliers. Des évaluations automatiques régulières des fichiers journaux renseignent sur les anomalies. La surveillance doit également inclure un point de vue extérieur: la disponibilité des services à l’extérieur de l’entreprise doit être contrôlée via Internet.


Analyse d’impact

Quelles seraient les conséquences d’une défaillance du système suite à une attaque DDoS? Les entreprises devraient chiffrer les dommages directs et indirects pouvant résulter d’une interruption de leurs systèmes pendant plusieurs heures, jours ou même semaines.


Plan d’urgence

Un plan d’urgence interne prévoyant le pire des scénarios devrait être mis en place. Les personnes responsables doivent être formées en conséquence, connaître la procédure nécessaire et être en mesure de notifier rapidement les contacts pertinents (internes et externes).


Limiter les accès

L’accès à votre propre service web peut être restreint en fonction de l’IP de l’expéditeur. Toutes les requêtes de serveurs provenant de l’extérieur de la Suisse ou de certains pays peuvent par exemple être bloquées si nécessaire. Par ailleurs, l’attribution des droits devrait à tout moment être strictement respectée pour l’ensemble du réseau.


Pare-feu basé sur le cloud avec des ressources évolutives

Le pare-feu devrait disposer de ressources suffisantes et pouvoir être rapidement doté de règles de blocage supplémentaires en cas d’attaque. Un Managed Firewall basé sur le cloud constitue une bonne solution à cet égard.


Menaces

En cas de menace d’attaque, des mesures techniques devraient être prises avec le fournisseur d’accès à Internet afin de s’y préparer. Les demandes de rançon ne devraient jamais être honorées.




Hand with smartphone

Newsletter

Vous souhaitez recevoir régulièrement des articles et Whitepapers passionnants sur des activités TIC actuelles?




En savoir plus sur ce thème