En 2018, GitHub a connu l’une des plus grandes attaques DDoS jamais enregistrées. Selon Wired, l’attaque a mesuré 1,35 térabits de données par seconde, et GitHub a souffert de pannes en conséquence. Heureusement, l’entreprise avait mis en place une stratégie d’atténuation et est rapidement passée au routage du trafic par son service de protection contre les DDoS, déjouant ainsi l’attaque.
Selon Netscout, dont la filiale Arbor Networks a créé une carte qui montre les attaques DDoS quotidiennes, l’entreprise a détecté 23 000 attaques chaque jour en 2019, en moyenne. Son rapport annuel sur les menaces met en garde contre l’essor de l’IdO, qui devrait donner lieu à 20 milliards d’appareils connectés cette année, ce qui augmente considérablement les risques d’attaques DDoS, dont la fréquence et l’intensité ont augmenté.
Mais comme le démontre l’expérience de GitHub, il est possible de mettre en place un plan qui peut atténuer les dommages et même repousser les attaques DDoS lorsqu’elles se produisent. Les entreprises peuvent prendre des précautions techniques, utiliser des services de protection contre les DDoS et adopter des plans commerciaux clairs en prévision d’une attaque.
Qu’est-ce qu’une attaque par déni de service distribué (DDoS) ?
Plus d’informations sur la cybersécuritéLes applications de radio de la police connaissent une hausse de popularité. Il y a juste un problème.
À quoi ressemble un déni de service ?
L’instructeur Tom Scott explique sur Computerphile que le noyau malveillant d’une attaque DDoS est le déni de service, une forme d’attaque observée pour la première fois dans les années 1990, lorsque la plupart des personnes possédant un ordinateur naviguaient sur Internet en utilisant une connexion commutée. La connexion par ligne commutée est lente : elle débite 56 000 bits par seconde, soit moins de 1 % de la vitesse des connexions modernes à large bande. Selon un billet de blog de SolarWinds, ces vitesses rendent impossible le visionnage de vidéos en temps réel, et même le chargement d’une seule page sur un site web moderne prendrait plus d’une minute en moyenne.
Dans la vidéo de Computerphile, Scott explique que les attaquants qui avaient accès à des vitesses Internet plus rapides, comme le haut débit disponible sur les ordinateurs des entreprises et des universités, choisissaient une cible et lui envoyaient un flot de données, laissant la cible incapable d’établir des connexions supplémentaires. Le facteur le plus important d’une attaque réussie était d’avoir une connexion Internet plus rapide que la cible, de sorte que cette dernière se retrouve à court de bande passante pour traiter d’autres demandes.
Scott explique que, bien que ce type de cyberattaque ne vole pas d’informations ou n’endommage pas les systèmes de façon permanente, il pose un problème aux sites Web, qui sont empêchés de servir leurs utilisateurs en raison de l’éviction par les attaquants de toutes les demandes légitimes. Pour un utilisateur qui essaierait de naviguer sur un site web soumis à une attaque par déni de service, la page ne se chargerait jamais – elle se bloquerait pendant un long moment, puis s’éteindrait tout simplement.
De nos jours, souligne Scott, ce type d’attaque par déni de service par inondation est moins populaire, car il est difficile d’avoir un seul ordinateur avec une bande passante suffisante pour faire tomber un site web à lui seul. Mais les attaquants sont plutôt créatifs, et il existe des saveurs de déni de service qui contournent ce problème.
Une tournure intéressante est connue sous le nom de Slowloris, que l’instructeur Mike Pound décrit dans une vidéo de Computerphile. Au lieu d’envoyer autant de données que possible via l’ordinateur de l’attaquant, l’attaque Slowloris prolonge indéfiniment la durée de chaque requête en tirant parti de la façon dont les serveurs web et les clients communiquent. Cette méthode bloque les connexions au serveur et finit par monopoliser tout le trafic vers le serveur ciblé. Pour les attaquants, l’avantage des attaques Slowloris est qu’elles ne prennent pas beaucoup de bande passante, mais l’attaque n’est efficace que sur les serveurs qui ont du mal à gérer un grand nombre de connexions simultanées.
Types d’attaques DDoS
DDoS – qui signifie déni de service distribué – est l’une des versions les plus populaires des attaques par déni de service. Cloudflare, une société qui propose des services de protection contre les DDoS, ainsi que d’autres produits d’infrastructure et de sécurité web, explique la stratégie d’attaque sur son site web. Au lieu de lancer l’attaque à partir d’un seul ordinateur, les attaquants utilisent de nombreuses machines distribuées à différents endroits qui travaillent de concert pour submerger la cible. Les machines distribuées sont souvent des ordinateurs, ou même des appareils intelligents tels que des babyphones, qui ont été secrètement infectés par des logiciels malveillants et enrôlés dans un botnet sous le contrôle de l’attaquant. L’attaquant est alors en mesure d’utiliser les machines distribuées – ou bots – pour envoyer du trafic partout où cela est nécessaire pour mener n’importe quel type d’attaque DDoS.
Selon le directeur technique de Cloudflare, John Graham-Cumming, de nos jours, il est courant que les attaques utilisent plusieurs types de DDoS dans une seule attaque : « C’est juste une tentative de submerger le réseau, donc ils vont essayer d’envoyer autant de choses différentes que possible », a-t-il déclaré à Built In.
Cela dit, les attaques ont tendance à se répartir en trois catégories.
Le premier type d’attaque DDoS, connu sous le nom d’attaque de la couche applicative, fonctionne comme les attaques par déni de service par inondation, juste à plus grande échelle, selon le site Web de Cloudflare. Les robots envoient un torrent de trafic vers une cible, évinçant les autres utilisateurs qui tentent d’accéder au serveur cible. Les attaquants dirigent généralement le trafic vers des points d’extrémité à forte intensité de temps sur la cible – pensez aux requêtes qui nécessitent de grandes requêtes de base de données ou qui génèrent de gros fichiers. Ces types de points finaux ne nécessitent pas beaucoup de ressources de la part de l’attaquant pour les atteindre, mais ils consomment beaucoup de bande passante pour que la cible y réponde. Cela signifie que la cible peut rapidement brûler ses ressources.
« C’est juste une tentative de submerger le réseau, donc ils vont essayer d’envoyer autant de choses différentes que possible. »
Un autre type d’attaque DDoS cible la façon dont les protocoles Internet – les règles qui facilitent la façon dont les ordinateurs communiquent sur Internet – sont censés fonctionner. Cloudflare cite l’exemple de l’attaque SYN flood, qui vise le protocole de contrôle de la transmission (TCP). Dans une transaction TCP normale, le client et le serveur établissent une connexion en échangeant une série de messages normalisés appelés « poignée de main », de la même manière que, dans l’escalade, le grimpeur communique avec l’assureur avec des accusés de réception normalisés. Cette poignée de main indique aux deux parties qu’une connexion a été établie avec succès.
Une attaque SYN flood partage certaines similitudes avec un déni de service Slowloris. Au cours de l’attaque, l’attaquant n’envoie que la première des trois parties du handshake au serveur cible. Le serveur répond ensuite avec la deuxième partie, mais l’attaquant n’envoie pas l’accusé de réception final, laissant le serveur en attente et incapable d’utiliser cette connexion pour répondre à d’autres demandes pendant un certain temps. Le fait qu’un botnet fasse cela multiplie l’effet sur la cible.
Le troisième type d’attaque DDoS est l’attaque par amplification. Selon Cloudflare, ces attaques tirent parti d’une variété de protocoles Internet pour multiplier la taille de chaque requête envoyée par un attaquant. Par exemple, l’attaque par amplification du système de noms de domaine (DNS) utilise le protocole DNS, que les ordinateurs utilisent normalement pour rechercher l’adresse IP correspondant à l’URL d’un site Web donné, une étape qui rend la navigation sur Internet possible. Les clients envoient normalement une requête contenant l’URL du site Web qu’ils veulent consulter à un serveur DNS, et reçoivent en retour une réponse avec l’adresse IP correspondante.
Cloudflare explique que l’attaquant réalise l’amplification DNS en « usurpant » la provenance de la requête – en faisant croire au serveur DNS que la requête a été envoyée par la cible plutôt que par l’attaquant. La requête demande généralement au serveur DNS une grande quantité de données, que le serveur DNS envoie ensuite à la cible. L’effet d’amplification provient de la bande passante relativement faible nécessaire à l’attaquant pour envoyer la demande, par rapport à la bande passante nécessaire à la cible pour recevoir la réponse, et de la capacité de l’attaquant à envoyer des demandes à plusieurs serveurs DNS. Comme pour toutes les attaques distribuées, ce phénomène est multiplié par le nombre de bots du botnet qui réalise l’attaque.
Réduire les effets des DDoS
Les attaques DDoS, comme les autres cyberattaques, sont illégales en vertu de la loi américaine sur la fraude et les abus informatiques, mais cela n’a pas empêché les gens de les utiliser. Les activistes ont utilisé le DDoS comme une forme de protestation en ligne, et le collectif de pirates informatiques Anonymous a même demandé que le DDoS soit rendu légal, arguant qu’il s’agit d’une forme de liberté d’expression similaire aux manifestants en personne qui refusent l’accès à un bâtiment. Les attaques contre les joueurs en ligne sont si fréquentes que les sociétés de jeux vidéo publient même des guides sur les stratégies de prévention. Les gouvernements ont également été des cibles et des auteurs d’attaques DDoS.
Pour éviter de devenir la prochaine victime, les entreprises peuvent prendre des mesures préventives. Dans le cours Pluralsight « Ethical Hacking : Denial of Service », l’instructeur Troy Hunt explique que les DDoS font leurs dégâts en accaparant toutes les connexions réseau ou la bande passante que l’entreprise devrait consacrer aux utilisateurs légitimes. La mise à l’échelle rapide des serveurs pour gérer davantage de connexions et de bande passante peut atténuer le problème, mais elle peut aussi être coûteuse. Les entreprises qui hébergent leurs sites sur des fournisseurs de cloud ont généralement un accès facile à cette option.
Hunt explique dans son cours qu’une autre stratégie consiste, pour les entreprises, à placer les points d’extrémité qui exécutent des fonctions gourmandes en ressources derrière une sorte de protection, ce qui rend difficile leur accès par les bots. Par exemple, les entreprises peuvent empêcher les robots d’accaparer rapidement les ressources des serveurs en plaçant les points d’extrémité qui effectuent des requêtes intensives dans les bases de données ou des téléchargements de fichiers volumineux derrière des pages de connexion. Le test omniprésent, avec ses mots ou ses images ondulées que les utilisateurs doivent déchiffrer, est un autre moyen de protéger les points finaux gourmands en ressources contre les bots.
La façon dont les entreprises architecturent leurs sites Web est également importante, selon Hunt. Coder un site Web en tant que composants interconnectés, au lieu d’un monolithe interdépendant, permettrait aux autres sections d’un site de rester fonctionnelles même si une section est affectée par une attaque DDoS.
Comment fonctionnent les services de protection contre les DDoS
Aujourd’hui, de nombreuses entreprises proposent une protection contre les DDoS sous forme de service.
Cloudflare est l’un des plus importants de ces services de protection contre les DDoS. Il utilise certaines des mêmes techniques que les entreprises individuelles pour se protéger contre les DDoS, mais selon le blog de l’entreprise, sa plus grande arme est un grand réseau de serveurs dans le monde entier qui interceptent le trafic web pour le compte des clients.
Le réseau de Cloudflare se situe entre les serveurs d’un client et le reste de l’Internet, acceptant les demandes entrantes des clients et les transmettant aux serveurs du client. En tant qu’intermédiaire, Cloudflare peut rechercher toute activité suspecte et filtrer les demandes malveillantes, les abandonnant avant qu’elles n’atteignent le client.
Même lorsqu’une attaque DDoS est dirigée contre un client, Cloudflare est capable d’absorber l’assaut de données en les répartissant sur le réseau de Cloudflare et en divisant le travail entre de nombreux serveurs. Sur chaque serveur, Cloudflare vérifie chaque type d’attaque DDoS et filtre les demandes en conséquence.
« Tous ces différents types d’attaques, ce que vous voulez faire, c’est les diviser pour qu’elles aillent dans autant de villes différentes que possible », a déclaré Graham-Cumming à Built In. « Dans chaque centre de données, vous identifiez ensuite ce qui est mauvais et vous vous en débarrassez. Donc, que ce soit comme une inondation SYN, une attaque ACK, quelque chose qui utilise l’amplification DNS, c’est à bien des égards la même chose. »
« Littéralement, vous pouvez regarder le modèle de données dans le paquet et dire : ‘C’est une inondation SYN.' »
Il peut être difficile pour les entreprises individuelles de gérer les attaques impliquant plusieurs types de DDoS, notamment parce que certaines variétés sont plus difficiles à détecter que d’autres. Graham-Cumming a déclaré que les types les plus difficiles à détecter pour les entreprises sont les attaques de la couche applicative, où les attaques DDoS peuvent ressembler à des requêtes ordinaires, à part le volume.
Cloudflare traite les attaques de la couche applicative en analysant les signes d’intention malveillante. Une partie de cette analyse est aidée par l’apprentissage automatique, a déclaré Graham-Cumming.
« En raison de l’échelle d’un réseau cloud-first – avec un si grand nombre d’utilisateurs utilisant Cloudflare, le trafic passant par nous – nous pouvons effectivement rechercher un comportement anormal sur notre réseau, qui serait l’indication d’un certain type d’attaque, et ensuite nous pouvons utiliser cela pour protéger les autres utilisateurs », a-t-il déclaré. « Il s’agit plutôt de regarder le trafic, de regarder les paquets qui viennent vers vous, de faire une empreinte digitale sur eux et de dire : ‘Nous savons que ce paquet, en fait, participe à un DDoS en raison d’une certaine caractéristique du paquet lui-même' »
Les empreintes digitales que Cloudflare a développées pour reconnaître les modèles d’attaque sont assez sensibles, a-t-il dit.
« Littéralement, vous pouvez regarder le modèle de données dans le paquet et dire : ‘C’est un SYN flood' », a déclaré Graham-Cummings.
Mais les entreprises qui utilisent des services de protection contre les DDoS doivent rester vigilantes.
« Les attaquants essaient ensuite de contourner le service », a-t-il déclaré. « Ils essaieront de trouver l’adresse IP d’origine de votre service et de s’en prendre directement à lui. »
Graham-Cumming a recommandé aux clients utilisant des services de protection contre les DDoS de mettre en place un filtrage de leur trafic – afin que leurs serveurs n’acceptent que le trafic provenant de l’adresse IP du service – pour résoudre ce problème.
Ce dont chaque entreprise a besoin en cas d’attaque DDoS
Les DDoS peuvent nuire à la réputation d’une entreprise, avoir un impact négatif sur les revenus et nécessiter des dépenses importantes pour remédier à l’attaque. Hunt explique dans son cours Pluralsight que les utilisateurs et les clients légitimes ne sont pas en mesure d’accéder au site ciblé, ce qui empêche les entreprises de fonctionner normalement et coupe les achats et les revenus publicitaires du site.
Les attaques DDoS ne peuvent pas directement voler des informations à une cible, mais les attaquants sont connus pour utiliser les DDoS pour distraire les entreprises des cyberattaques concurrentes – pendant que l’organisation est occupée à essayer de gérer les DDoS, les attaquants s’attaquent à leurs véritables objectifs. Et les attaques DDoS qui se poursuivent pendant une période prolongée peuvent être utilisées pour extorquer leurs cibles, de manière similaire aux attaques par ransomware.
Hunt explique dans son cours que la meilleure façon de répondre à une attaque DDoS est d’avoir déjà un plan en place lorsqu’elle se produit. C’est une bonne idée de préparer une déclaration de l’entreprise qui serait diffusée au public en cas d’attaque. Les entreprises devraient également réfléchir aux coûts associés à une attaque DDoS sur leurs sites particuliers et utiliser cette estimation pour déterminer ce qu’elles sont prêtes à payer pour résoudre une attaque.
Essayer de faire un calcul coûts-avantages au milieu d’une crise n’est pas une bonne idée, dit Hunt, surtout si l’attaque fait perdre des revenus à l’entreprise à chaque minute. Mais avec des stratégies commerciales préparées à l’avance et des mesures de protection techniques en place, les entreprises ne seront pas prises au dépourvu et pourront survivre à une attaque DDoS.
Plus d’informations sur la cybersécuritéVoici ce qui se passe après qu’une entreprise ait été piratée