Qu'est-ce qu'une attaque par déni de service distribué (DDoS) ?
Aperçu des attaques DDoS
Une attaque par déni de service distribué (DDoS) est une variante d'une attaque par déni de service qui utilise un très grand nombre d'ordinateurs attaquants pour submerger la cible avec du faux trafic. Pour atteindre l'échelle nécessaire, les DDoS sont souvent réalisés par des botnets qui peuvent coopter des millions de machines infectées pour qu'elles participent involontairement à l'attaque, même si elles ne sont pas la cible de l'attaque elle-même. Au lieu de cela, l'attaquant tire parti du nombre massif de machines infectées pour inonder la cible distante de trafic et provoquer un déni de service (DoS).
Bien que l'attaque DDoS soit un type d'attaque par déni de service, son utilisation est nettement plus répandue en raison des caractéristiques qui la différencient et la renforcent par rapport aux autres types d'attaques par déni de service :
- La partie attaquante peut exécuter une attaque d'une échelle perturbatrice grâce au vaste réseau d'ordinateurs infectés - en fait une armée de zombies - sous son commandement .
- La répartition (souvent mondiale) des systèmes d'attaque rend très difficile la détection de l'emplacement de la partie attaquante réelle
- Il est difficile pour le serveur cible de reconnaître le trafic comme illégitime et de le rejeter en raison de la distribution apparemment aléatoire des systèmes d'attaque .
- Les attaques DDoS sont beaucoup plus difficiles à arrêter que les autres attaques DoS en raison du nombre de machines qui doivent être arrêtées, au lieu d'une seule.
Les attaques DDoS ciblent souvent des organisations spécifiques (entreprises ou organismes publics) pour des raisons personnelles ou politiques, ou pour extorquer un paiement à la cible en échange de l'arrêt de l'attaque DDoS. Les dommages causés par une attaque DDoS se traduisent généralement par des pertes de temps et d'argent dues aux interruptions de service et à la perte de productivité qui en résultent.
Les exemples d'attaques DDoS sont nombreux. En janvier 2012, le cybergroupe hacktiviste Anonymous a mené une attaque contre plusieurs partisans majeurs de la loi "Stop Online Piracy Act" (SOPA). En désaccord avec la loi SOPA, les Anonymous ont mené des attaques DDoS qui ont mis hors service les sites web du ministère américain de la justice, du Federal Bureau of Investigations (FBI), de la Maison Blanche, de la Motion Picture Association of America (MPAA), de la Recording Industry Association of America (RIAA), d'Universal Music Group et de Broadcast Music, Inc (BMI). Pour faciliter l'attaque, Anonymous a construit son botnet en utilisant un modèle non conventionnel qui permettait aux utilisateurs souhaitant soutenir l'organisation de proposer leurs ordinateurs comme bot pour les attaques. Les utilisateurs qui souhaitaient apporter leur soutien bénévole pouvaient rejoindre le botnet Anonymous en cliquant sur des liens que l'organisation avait publiés à divers endroits en ligne, notamment sur Twitter.
L'attaque DDoS est également utilisée comme arme de cyberguerre. Par exemple, en 2008, pendant la guerre d'Ossétie du Sud, les sites web du gouvernement géorgien ont été paralysés par ce que l'on pense être des gangs criminels russes sous les auspices des services de sécurité russes. L'attaque a eu lieu juste avant les premières attaques de la Russie sur le sol géorgien.
Il existe un certain nombre de techniques d'atténuation des attaques DDoS que les organisations peuvent mettre en œuvre pour minimiser la possibilité d'une attaque. L'infrastructure de sécurité du réseau devrait inclure des outils de détection DDoS capables d'identifier et de bloquer à la fois les exploits et les outils utilisés par les attaquants pour lancer une attaque. En outre, les administrateurs de réseau peuvent créer des profils pour observer et contrôler des flux de trafic spécifiques (c'est-à-dire les flux SYN, UDP et ICMP). En examinant l'ensemble du trafic, des seuils peuvent être définis pour surveiller et couper les comportements qui indiquent une éventuelle attaque DDoS.
