Qu’est-ce qu’une attaque par déni de service (DoS) ?
Une attaque par déni de service (DoS) consiste à provoquer la paralysie d’un réseau ou d’une machine afin qu’il ou elle soit inaccessible aux utilisateurs. Pour y parvenir, les acteurs malveillants submergent leur cible de trafic ou lui envoient des informations qui la mettent hors d’état de marche. Quelle que soit la méthode, les utilisateurs légitimes (collaborateurs, adhérents, détenteurs de comptes, etc.) sont privés d’accès au service ou à la ressource voulue.
Les cibles privilégiées des attaquants sont souvent les serveurs web d’entreprises de premier plan (banques, grandes enseignes et médias), mais aussi d’organisations gouvernementales et de commerce international. En règle générale, ce type d’attaque n’entraîne ni le vol ni la perte d’informations importantes ou d’autres ressources. Mais pour la victime, le temps gaspillé et le coût financier peuvent être élevés.
Il existe principalement deux méthodes d’attaque DoS : saturer les services ou provoquer leur plantage. La première consiste à envoyer un grand volume de trafic au serveur qui, faute de pouvoir l’absorber, ralentit jusqu’à un état d’immobilisation totale. Parmi les attaques par saturation les plus souvent utilisées, on retrouve notamment :
- Les attaques de dépassement de tampon – le type d’attaque DoS le plus courant. Elles consistent à submerger une adresse réseau d’un volume de trafic supérieur à celui que peut supporter le système (tel que prévu à sa conception). Les attaques ci-dessous relèvent de cette catégorie, de même que d’autres méthodes visant à exploiter des bugs propres à certains réseaux ou applications.
- La saturation ICMP exploite les erreurs de configuration des équipements réseau à l’aide de paquets spoofés qui lancent une commande ping non pas sur une machine, mais sur tous les ordinateurs du réseau visé. En réponse, le réseau monte en charge pour absorber le trafic reçu. Cette attaque s’appelle aussi « smurf » ou « ping de la mort ».
- Le SYN flood envoie une demande de connexion au serveur, sans jamais aller au bout du processus de négociation (handshake). L’attaquant continue ainsi, saturant tous les ports ouverts de requêtes, jusqu’à ce qu’il n’en reste plus un seul de disponible pour les utilisateurs légitimes qui souhaitent se connecter.
Les autres attaques DoS exploitent simplement les vulnérabilités du système ou du service pour le paralyser. Ainsi, les cybercriminels envoient un message au système, utilisant les bugs à leur avantage pour le faire planter ou en perturber considérablement le fonctionnement. Il devient alors indisponible pour les utilisateurs, qui ne peuvent ni y accéder ni l’utiliser.
Autre type d’attaque DoS, les attaques par déni de service distribué (DDoS) ont lieu lorsque plusieurs systèmes se synchronisent pour orchestrer leur assaut contre une même cible. La principale différence, c’est que la victime est attaquée depuis une multitude d’appareils en même temps, et non un seul. Cette distribution des hôtes offre plusieurs avantages aux auteurs d’attaques DDoS :
- L’armée de machines utilisées augmente la puissance de feu et le pouvoir de nuisance de l’attaquant
- L’origine de l’attaque est difficile à détecter, tant les systèmes des assaillants sont distribués de façon aléatoire (le plus souvent à travers le monde)
- Il est plus difficile de neutraliser plusieurs machines qu’une seule
- Il est compliqué d’identifier le véritable auteur de l’attaque, car la multitude de systèmes (généralement compromis) brouille les pistes
Aujourd’hui, la plupart de technologies de sécurité prévoient des mécanismes de neutralisation de la plupart des formes d’attaque DoS. Une exception demeure néanmoins : les attaques DDoS qui, par leurs spécificités, représentent encore un risque majeur et un véritable épouvantail pour les organisations.