Une attaque par déni de service, ou DDoS, est un type de cyberattaque visant à rendre un serveur inaccessible, au moins temporairement, afin de nuire à une entreprise ou à une organisation. La mise hors service de ces serveurs peut provoquer de lourdes pertes, notamment financières. Heureusement, il existe des moyens de repérer une attaque DDoS, et de s’en protéger.

L’attaque DDoS, qu’est-ce que c’est ?

L’attaque par déni de service distribuée : définition

Comme évoqué, une attaque par DDoS vise à rendre un serveur inaccessible. Mais rentrons un peu plus dans les détails.

D’abord, DDoS signifie Distributed Denial of Service attack, soit attaque par déni de service distribuée, en français. Le terme “distribuée” vient du fait que l’attaque a pour origine plusieurs sources, et non une seule, comme c’était le cas aux débuts de ces cyberattaques (on parlait alors de DoS - Denial of Service attack).

Il y a plusieurs façons de rendre un serveur inaccessible via une attaque par déni de service. Néanmoins, quand on évoque le terme DDoS, on entend généralement la mise hors service d’un serveur par sa saturation.

En clair, on surcharge le serveur d’informations via des requêtes, afin de le saturer et le rendre inopérable.

Ce qu’il faut comprendre, c’est qu’un serveur informatique est comme un ordinateur : si on lui demande d’exécuter plus de tâches qu’il en est capable de gérer, il cessera de fonctionner correctement.

Les conséquences d’une attaque par déni de service

Une attaque par déni de service a pour but, nous l’avons dit, de rendre inaccessible un serveur. Donc, logiquement, cela bloque tous les services mis à disposition par ce serveur, par exemple :

• le site web de l’entreprise, et donc ses ventes s’il s’agit d’un e-commerce ;
• l’accès aux fichiers stockés sur le serveur ;
• le serveur mail, si l’entreprise en possède un.

Et ce ne sont que des exemples !

Le serveur pouvant rester inaccessible plusieurs jours, les pertes peuvent être dramatiques. Si une entreprise utilise son site pour de la vente, par exemple en ayant un e-commerce, les conséquences peuvent aller jusqu’à faire couler l’entreprise.

Pourquoi faire une attaque DDoS ?

Les raisons qui peuvent pousser des attaquants à faire une attaque par dénis de service sont nombreuses.

Déjà, pour causer des dégâts économiques. On pourrait imaginer une équipe de pirates informatiques engagée par une société A pour attaquer une société B, concurrente de A.

Ensuite, il est possible qu’une attaque par déni de service soit liée à une demande de rançon : soit un amont, sous forme de menace, soit durant l’attaque, en l’échange de son arrêt.

Une attaque DDoS peut également se faire de manière activiste. C’est d’ailleurs le cas du groupe de hackers Anonymous, qui s’en prend à des serveurs pour des raisons éthiques.

Enfin, une attaque DDoS peut très bien cacher une attaque de plus grande intensité. Cela peut être un moyen de détourner l’attention, pour ne pas que la cible de la cyberattaque se rende compte qu’on est en train, par exemple, de piller et utiliser ses données privées.

Quelques exemples d’attaque DDoS

Pour mieux se rendre compte de l'ampleur que peut prendre une attaque DDoS, il est intéressant de citer quelques exemples :

• en 2014, une attaque depuis la Chine a visé Facebook, rendant temporairement le réseau social inaccessible ;
• le 21 octobre 2016, ce sont les sites Twitter, PayPal et Ebay qui ont été attaqués, les rendant hors service dans une partie des États-Unis pendant une dizaine d'heures ;
• la bourse de Nouvelle-Zélande a été victime d'une cyberattaque par DDoS en 2020, causant sa mise hors service pendant trois jours (et la perte de millions de dollars).

Si de grands groupes comme Facebook et Twitter ne sont pas à l'abri, on se doute que c'est encore plus difficile d'être protégé lorsqu'on est une plus petite entreprise.

L’attaque DDos en détails

Comment savoir si on est victime d’une attaque DDoS ? 

Une attaque par dénis de service ayant pour but de rendre hors service un serveur, la façon la plus sûre de savoir si on est victime d’une de ces attaques, c’est lorsque le serveur ne répond pas !

Si ses services sont inaccessibles (serveur mail, connexion à l’intranet, site web, etc.), il y a de fortes chances que le serveur soit atteint.

Attention toutefois, la perte d’un ou de plusieurs de ces services ne signifie pas pour autant qu’il s’agit d’une attaque DDoS ! Un serveur peut être inaccessible pour d’autres raisons : panne d’électricité, dégât physique, erreur logicielle, etc.

Pour savoir si on a été victime d’une de ces attaques, le mieux est d’essayer d’en repérer les caractéristiques.

Quelle caractéristique décrit une attaque DDoS ?

Car une attaque DDoS laisse des traces, qu'elle soit en cours ou qu'elle soit déjà terminée.

Comment détecter une attaque DDoS ? Les signes suivant doivent alerter :

• une latence excessive des services du serveur ;
• un trafic inhabituel (une fréquence anormalement haute sur le site web, par exemple) ;
• des requêtes venant du même groupe d’utilisateurs (qu’on pourra reconnaître via leurs adresses IP) ;
• toute alerte lancée par les systèmes de protection (pare-feu, etc.), s’ils existent.

Si un ou plusieurs de ces signes est constaté, alors il est possible qu’une attaque par déni de service ait lieu.

Quelles contre-mesures de sécurité peut-on prendre pour éviter les attaques DDoS ?

Une attaque par DDoS ayant pour but de surcharger un serveur de requêtes, l'unique façon d'y résister est d'avoir une capacité d'absorption plus importante que l'ampleur de l'attaque. Il existe aujourd'hui des sociétés spécialisées, qui proposent ce genre de services et qui mettent à disposition leur immense bande passante, créant ainsi un véritable bouclier face aux attaques par déni de service. La plus connue d'entre elles est Cloudflare

Si on n'utilise pas ce genre de services, une attaque par DDoS est difficile à stopper en temps réel. Le meilleur moyen de s’en prémunir est donc de prendre des mesures préventives.

Une attaque DDoS se caractérisant par un flux trop important de requêtes réseau venant d’un groupe d’adresses IP, il est recommandé de mettre en place le blocage des adresses IP si elles envoient trop de demandes au serveur, ou si elles ne sont pas dans la liste des adresses autorisées à appeler ce serveur. Cela se fait depuis le pare-feu ou dans la configuration des serveurs.

L'attaque DDoS se concentrant sur la mise hors service d'un serveur (d'un site web, par exemple), on peut en limiter l'impact en stockant, ou répliquant, le contenu du serveur principal sur d'autres serveurs, distribués dans d'autres localités. Ainsi, si un serveur tombe, les autres seront capables de distribuer les fichiers, limitant ainsi la panne, au moins géographiquement. C'est ce qu'on appelle le CDN (Content Delivery Network - réseau de diffusion de contenu en Français).

Enfin, une des mesures principales à mettre en place, notamment au sein d’une entreprise, c’est la sensibilisation. L’humain étant le facteur le plus fragile de la chaîne de cyberprotection, sensibiliser chacun à reconnaître une attaque par DDoS et à ne pas créer de brèche involontaire est essentiel.

Sources : 

• ‍‍https://fr.wikipedia.org/wiki/Attaque_par_d%C3%A9ni_de_service
• https://www.ovhcloud.com/fr/security/anti-ddos/ddos-definition/
• https://www.ssi.gouv.fr/uploads/2015/03/NP_Guide_DDoS.pdf
• https://www.cybermalveillance.gouv.fr/tous-nos-contenus/fiches-reflexes/attaque-en-deni-de-service-ddos
• https://www.informatique-mania.com/securite/comment-reconnaitre-si-nous-sommes-confrontes-a-une-attaque-ddos-et-comment-nous-proteger/
• https://www.usine-digitale.fr/article/il-est-urgent-de-trouver-une-solution-aux-problemes-d-assurance-cyber.N1779877
• https://www.usinenouvelle.com/article/il-faut-s-assurer-contre-le-risque-cyber.N923299
• https://www.cloudflare.com/fr-fr/ddos/