Une attaque par déni de service est un type d’attaque informatique visant à empêcher des utilisateurs d’accéder à un serveur ou plus généralement à rendre indisponible un service.
DoS ou DDos?
Les attaques par déni de service sont nommées par facilité avec les acronymes DoS et DDos, ce qui signifie en anglais denial of service attack et distributed denial of service attack.
La différence entre DoS et DDos réside dans les moyens mis en oeuvre pour accomplir l’attaque. Si une attaque DoS est réalisée avec un seul appareil, les attaques DDos sont perpétrées à l’aide de plusieurs machines. Dans ce cas, l’attaquant pilote son opération avec une machine dite maître, les machines lui servant de bras armés sont appelées esclaves, zombies ou encore soldats. Certaines attaques peuvent être menées avec plusieurs dizaines de milliers de machines. Les attaquants peuvent se constituer d’importants réseaux de machines avec l’installation cachée de logiciels « invisibles ». Les machines peuvent être des ordinateurs mais aussi des objets connectés. Des pirates informatiques se sont même spécialisés dans la « location » d’armées de zombies!
Comment fonctionnent les attaques?
Les actions menées par les pirates peuvent tirer profit des différentes failles que présente un système informatique mis en réseau. Les surcharges de la bande-passante ou des ressources d’un serveur sont aujourd’hui réalisées par les pirates à l’aide de réseaux de machines répartis aux quatre coins du globe. Les propriétaires de ces machines ignorent généralement que leur matériel fait partie d’un tel système. Pour ce faire, les pirates installent des logiciels invisibles qu’ils pilotent depuis une machine maître. Ces logiciels une fois « activés » sont autant de soldats procédant à l’attaque soit en surchargeant simplement la bande passante de la machine cible, ou soit en répétant des erreurs aboutissant à la saturation du système.
Les récentes attaques par DDos ont mis en évidence l’utilisation par les pirates non seulement d’ordinateurs mais aussi d’objets connectés. Aussi étonnant que cela puisse paraître, des réfrigérateurs connectés, devenus des zombies, ont été utilisés pour mener des attaques par déni de service !
Les attaques Dos sont de moins en moins utilisées par les pirates. Elles peuvent cependant être très critiques. L’assaillant peut en effet avec une seule machine procéder à une opération visant à prendre le contrôle d’un serveur. Une fois aux commandes, le pirate peut par exemple procéder au vol de données puis à la mise hors service du serveur. Des portes dérobées peuvent être installées sur la machine. Après la remise en service du serveur, le pirate pourra en général utiliser ce dernier ou pénétrer le réseau sans aucune difficulté.
Quels sont les objectifs des attaques par déni de service?
Les attaques par déni de service peuvent faire des ravages sur le plan économique. En 2000, Yahoo! et Amazon auraient perdu respectivement 500 000 dollars et 600 000 dollars par la faute d’attaques DDos.
Les conséquences financières mais aussi la mauvaise publicité font des attaques DDos des menaces particulièrement redoutées par les entreprises.
Les enjeux sont tels que certains pirates n’hésitent pas à effectuer du chantage auprès d’entreprises. Contre le versement d’une somme d’argent, ils promettent de ne pas passer à l’offensive.
Des attaques par déni de service peuvent également être menées par défi personnel ou pour obtenir la reconnaissance de ses pairs. Il a même été établi que certaines attaques ont été menées par des « pirates du dimanche ». Des logiciels demandant peu de connaissances informatiques peuvent en effet permettre de lancer des attaques DDos de grande ampleur ! Et c’est cette facilité qui en fait un des principaux problèmes de “cyber-attaque”.
Les DDos peuvent aussi être motivées par idéologie. Une société dont les activités sont jugées comme immorales par des pirates peut faire l’objet d’une attaque DDos.
Ces dernières années, des états ont même été soupçonnés d’être derrière des attaques par déni de service. La formation massive par certains pays d’ingénieurs informatiques ou le recrutement de pirates (qui sont carrément des corsaires) peuvent laisser penser qu’une guerre numérique visera notamment à promouvoir l’utilisation de Ddos.
Une attaque DDos peut également être commanditée par une entreprise afin de pénaliser ses concurrents. La première grande affaire du genre remonte à 2005. Jasmine Singh, 17 ans à l’époque des faits, a été condamné à 5 ans de prison pour avoir lancé des attaques contre deux boutiques en ligne. Lors de son procès, le jeune homme s’est défendu en expliquant avoir été embauché par un concurrent des sites attaqués !
Le dernier type d’attaque par déni de service est appelée SDoS, en anglais Social Denial of Service. Des internautes ou robots commentent volontairement et simultanément vers un même site afin de le rendre inaccessible.
Comment contrer ces attaques?
Les attaques Dos sont relativement simples à contrer pour un administrateur réseau. L’attaque provenant d’une seule machine, le blocage de l’adresse IP de l’assaillant suffit à mettre fin à l’attaque.
Au contraire, les attaques DDos de part leur nature sont très difficile à stopper. L’utilisation par l’attaquant de milliers de machines disposant d’adresses IP différentes rend impossible la mise en place d’une règle de blocage ou de filtrage. Pour contrer ce genre d’attaque, la meilleure solution est non pas de protéger la machine cible mais de veiller à ce que le parc informatique mondial ne soit pas infecté par des logiciels malveillants. La correction des failles de sécurité dans les systèmes d’exploitation et les logiciels mais aussi la qualité des logiciels anti-virus sont les meilleures armes face aux DDos.
S’il est impossible de contrer avec efficacité une attaque DDos, on peut quand même avoir une défense relativement performante. Il faut conditionner l’accès au site non pas via un seul et même serveur mais via un réseau de serveurs. Si l’attaque est concentrée sur un serveur du réseau, les autres serveurs peuvent assurer la disponibilité du site. Si l’attaque est menée contre l’ensemble du réseau, la charge à absorber est distribuée entre les différents serveurs. Si ces réseaux ne contrent pas les DDos, ils assurent une meilleure résistance. Cette couche supplémentaire est appelée Content Delivery Network, plus communément nommé par son acronyme CDN.
Avec un CDN, les visiteurs accèdent au site internet via le serveur situé le plus proche géographiquement de leur lieu de connexion. Les CDN ne sont plus réservés aujourd’hui aux multi-nationales. De nombreux hébergeurs proposent des CDN à des prix forts abordables. La prévention des attaques DDos n’est généralement pas la motivation première au recours d’un CDN. Ce type d’architecture offre aussi aux utilisateurs un service ultra-rapide.
Les attaques DDos les plus virulentes
Le groupe Anonymous a fait des attaques par déni de service un de ses modes d’actions favoris. Les sites de MasterCard, Visa et Paypal ont ainsi été attaqués en 2010 après l’abandon de leur soutien à Wikileaks. Anonymous a également attaqué en 2011 les sites gouvernementaux tunisiens pour protester contre la censure. En 2012, de nombreux sites gouvernementaux, dont Hapodi.fr, ont fait l’objet d’attaques DDos suite à la fermeture du site de téléchargement Megaupload.
Récemment, des attaques par déni de service d’une ampleur ahurissante ont été menées par un réseau de robots répondant au nom de Mirai. Installé sur des dizaines de milliers de machines, dont des objets connectés, Mirai a paralysé des géants de l’internet mondial en attaquant l’entreprise Dyn, prestataire de services pour notamment Amazon, Twitter, Ebay, Netflix, GitHub ou encore PayPal.
En septembre 2016, l’hébergeur OVH aurait été victime selon son fondateur Octave Klaba d’une attaque par déni de service historique où jusqu’à 1,5 Terabytes auraient été envoyés par seconde vers les serveurs de l’entreprise française.
