Qu’est-ce qu’une attaque DDoS ? Définition, spécificités et protection !

Qu’est-ce qu’une attaque DDoS ? Définition, spécificités et protection !

Les attaques DDoS sont en forte augmentation depuis plusieurs années. Aucune institution et entreprise n’y échappe, même les plus grands noms du secteur de la tech. Mais alors, comment s’en protéger ?

Dans ce guide, nous vous proposerons une définition de ce qu’est une attaque DDoS. Ensuite, nous vous en expliquerons en les spécificités. Enfin, nous verrons quelques bonnes pratiques et comment vous protéger d’une attaque par déni de service distribué.

C’est quoi une attaque DDos ? Définition !

Une attaque DDoS est une attaque informatique via laquelle un attaquant inonde un serveur de trafic internet pour empêcher les utilisateurs légitimes d’accéder aux services et site web.

Que veut dire DDoS ?

Attaque DDoS signifie « Distributed Denial-of-Service (DDoS) » ou attaque par déni de service distribué en français.

Quel est le but d’une attaque par déni de service ?

Les motivations des cybercriminels pour mener une attaque DDoS varient considérablement ; tout comme les types d’individus et d’organisations désireux de perpétrer cette forme de cyberattaque. Certaines attaques sont menées par des individus mécontents et des hacktivistes désireux de mettre hors service les serveurs d’une entreprise. Ces derniers peuvent simplement vouloir faire passer leur(s) revendication(s), s’amuser en exploitant une faille de sécurité ou exprimer leur désapprobation.

D’autres attaques par déni de service distribué sont mises en œuvre par des raisons financières par des cybercriminels. Par exemple lorsqu’un concurrent perturbe ou arrête les activités en ligne d’une autre entreprise pour lui voler des parts de marché ; pendant ce temps d’arrêt.

D’autres encore relèvent de l’extorsion. Les auteurs attaquent une entreprise et installent un logiciel hôte malveillant ou un logiciel de rançon sur ses serveurs. Ensuite, il la forcent à payer une somme importante pour que la machine retrouve un fonctionnement normal.

Les attaques DDoS sont en augmentation, et même certaines des plus grandes entreprises mondiales ne sont pas à l’abri d’une attaque DDoS. La plus grande attaque de l’histoire s’est produite en février 2020 contre Amazon Web Services (AWS) ; dépassant ainsi un incident antérieur contre GitHub deux ans auparavant. Les ramifications des DDoS comprennent une baisse du trafic légitime, une perte d’activité et une atteinte à la réputation.

La France, n’est pas en reste, puisque une vaste attaque DDos visant des système informatiques de l’Etat ont été visé le 11 Mars 2024.

Deny-of-Service (DoS) vs. Distributed Denial-of-Service (DDoS)

Quelle est la différence entre DOS et DDOS ?

Une attaque par déni de service distribué est une sous-catégorie de l’attaque par déni de service (DoS), plus générale. Dans une attaque par déni de service, l’attaquant utilise une seule connexion internet pour bombarder une cible de fausses requêtes ; ou pour tenter d’exploiter une vulnérabilité en matière de cybersécurité en entreprise. Les attaques DDoS sont de plus grande envergure. Elles utilisent des milliers (voire des millions) de dispositifs connectés pour atteindre son objectif. Le simple volume des dispositifs utilisés rend le DDoS beaucoup plus difficile à combattre.

Botnets (Bot DDoS)

Les botnets sont le principal moyen de réaliser des attaques par déni de service distribué. L’attaquant pirate des dispositifs individuels (des ordinateurs ou d’autres machines cibles) et installe un code malveillant, ou malware, appelé bot. Ensemble, les ordinateurs infectés forment un réseau appelé « botnet ». L’attaquant donne ensuite des instructions à distance au botnet pour submerger les serveurs et les appareils de la victime avec plus de demandes de connexion qu’ils ne peuvent en gérer. Ce très grand nombre de requêtes peut alors conduire à une paralysie totale du service ; un serveur hébergeant des sites web, par exemple.

Qu’est-ce qu’une attaque DDoS

Statistiques sur les DDoS Attacks entre 2018 et 2023

Ensuite, avant de poursuivre notre guide, voici un tour d’horizon de certaines des statistiques les plus parlantes sur les attaques DDoS.

Les attaques DDoS sont toujours en augmentation

La fréquence des attaques DDoS n’a cessé d’augmenter au cours des dernières années. Selon un rapport de Cloudflare, les attaques DDoS par rançon ont augmenté de près d’un tiers entre 2020 et 2021. Aussi, elles ont bondi de 75 % au quatrième trimestre 2021 par rapport aux trois mois précédents. 

Lorsque la pandémie de coronavirus nous a tous forcés à être en ligne au deuxième trimestre de 2020, nous avons assisté à un pic énorme et durable du nombre d’attaques.

Divers types d’attaques DDoS en hausse

Selon Cloudflare, au quatrième trimestre :

  • Les attaques DDoS de type rançon ont augmenté de 29 % en glissement annuel et de 175 % en glissement trimestriel.
  • L’industrie manufacturière a reçu le plus d’attaques DDoS de couche applicative ; enregistrant une augmentation de 641 % du nombre d’attaques en glissement trimestriel.
  • Au cours du seul mois de décembre 2021, il y a eu plus d’attaques DDoS au niveau de la couche réseau que toutes les attaques observées aux premier et deuxième trimestres de 2021 séparément.
  • Les attaques en provenance de Moldavie ont quadruplé en glissement trimestriel ; ce qui en fait le pays présentant le pourcentage le plus élevé d’activité DDoS sur la couche réseau.

D’autres données montrent des augmentations spécifiques à certaines régions

Les données de Yandex et Qrator Labs corroborent les recherches de Cloudflare qui montrent des pics d’attaques DDoS spécifiques à chaque région.

  • Au troisième trimestre 2021, une vague d’attaques DDoS à grande échelle a balayé la Nouvelle-Zélande.
  • Au troisième trimestre, des attaques DDoS avec demande de rançon contre des fournisseurs de services VoIP ont touché des entreprises en Grande-Bretagne, au Canada et aux États-Unis.
  • Au début et à la mi-juillet, les cybercriminels ont inondé de trafic indésirable les ressources des agences de sécurité de Russie et d’Ukraine.
  • À la mi-août, des attaquants ont tenté d’empêcher les utilisateurs d’accéder aux ressources web de l’organisation philippine de défense des droits de l’homme Karapatan.
  • Enfin, à la fin du mois d’août, le site Web du directeur fédéral des élections d’Allemagne a été brièvement visé en raison des élections du 26 septembre au Bundestag.

L’année 2021 a été une nouvelle année de rupture pour les DDoS

La quantité d’activité DDoS en 2021 a été plus élevée que les années précédentes. Cependant, nous avons assisté à un afflux d’attaques ultra-courtes. Et en fait, le DDoS moyen dure moins de quatre heures ; selon Securelist.

Ces résultats sont corroborés par Cloudflare, qui a constaté que la plupart des attaques restent d’une durée inférieure à une heure. Cela réaffirme la nécessité de mettre en place des stratégies automatisées d’atténuation des attaques DDoS en permanence. Aussi, cela dit, plusieurs attaques ont été signalées comme ayant duré dix jours ou plus ; et les attaques plus longues semblent devenir la norme.

Enfin, le point positif est que de plus en plus de personnes prennent conscience des menaces que représentent ces attaques. Bien que les recherches pour « DDoS » et « attaque par déni de service » soient restées relativement stables, elles ont connu un pic en juin 2020. La raison en est simple : c’est à ce moment-là qu’Amazon a annoncé qu’il avait essuyé la plus grande attaque par déni de service jamais signalée.

La plus longue attaque DDoS de l’histoire s’est produite en 2019

En 2018, une attaque DDoS a pulvérisé les records existants en inondant de données les systèmes de leur cible pendant 329 heures ; soit près de 2 semaines. Au deuxième trimestre 2019, cependant, Kaspersky a analysé les commandes envoyées aux réseaux DDoS et a découvert une attaque encore plus longue. Elle a duré 509 heures.

Les données actuelles montrent que la plupart des attaques DDoS perdent en puissance

Les recherches montrent que l’attaque DDoS moyenne du troisième trimestre 2021 a utilisé 4,31 Gbps de données. Ce qui est plus que suffisant pour saborder la plupart des sites web de taille petite à moyenne. Ce chiffre est très proche de la largeur de bande moyenne des attaques du quatrième trimestre 2020, qui était de 4,47 Gbps. Mais il est nettement inférieur à celui du premier trimestre 2021, qui était de 9,15 Gbps.

Malgré cela, les attaques DDoS sont de moins en moins des attaques prolongées et de plus en plus des attaques de taille et de fréquence. Ainsi, au quatrième trimestre 2021, près de 98 % des attaques DDoS au niveau du réseau ont duré moins d’une heure. Cependant, Cloudflare prévient que ces attaques en rafales courtes sont souvent utilisées pour tester les défenses de la victime.

Amazon a révélé qu’au premier trimestre 2020, il a été contraint de contrer une attaque DDoS de 2,3 Tbps. Ce chiffre est important pour plusieurs raisons ; tout d’abord, il s’agit de la plus grande attaque enregistrée de l’histoire, soit près de quatre fois le débit du précédent détenteur du record (587 Go/s).

Il convient également de noter que les attaques supérieures à 100 Go/s continuent d’augmenter, même après une croissance stupéfiante de 967 % en 2019 par rapport à 2018. La même année, les attaques entre 50 GB/s et 100 GB/s ont également augmenté de 567 pour cent.

Les attaquants DDoS utilisent désormais plus fréquemment des attaques multi-vecteurs

Ensuite, les méthodes utilisées pour créer des attaques DDoS sont également en train de changer. Plus de 20 % des attaquants ont recours à des attaques DDoS multi-vecteurs, combinant différentes méthodes d’attaque DDoS en une seule attaque courte, puis répétée peu après. En fait, selon Link11, en 2020, une attaque a utilisé 14 vecteurs différents !

Il s’agissait d’une aberration, mais nous avons vu ce changement se produire depuis des années maintenant. Environ 52 % de toutes les attaques au premier trimestre 2019 ont utilisé 2 vecteurs ou plus, et 47 % d’entre elles ont utilisé 3 vecteurs. Par contraste, environ 11 % des attaques en 2018 ont utilisé des méthodes multi-vecteurs, et seulement 8,9 % en 2017.

Cette tactique continue d’augmenter en fréquence. Au troisième trimestre 2021, 78 % des attaques DDoS étaient des attaques multi-vecteurs combinant plusieurs techniques. Il s’agit d’une augmentation par rapport aux 62 % enregistrés au deuxième trimestre 2021.

Les attaques DDoS sont géographiquement concentrées.

Les attaques DDoS utilisent assez souvent des botnets pour envoyer des quantités massives de trafic vers un seul serveur afin de le surcharger de requêtes. Ainsi, plus de 12 millions d' »armes DDoS », ou d’adresses IP infectées dans le monde, sont actuellement utilisées dans le cadre d’attaques DDoS. Le logiciel malveillant Mirai et ses nombreuses variantes sont actuellement les logiciels malveillants les plus populaires utilisés pour créer des réseaux de zombies pour les attaques DDoS ; bien que d’autres existent également.

Selon Spamhaus, le pays qui compte le plus de botnets est la Chine, avec plus de 820 000 bots. Ensuite, l’Inde arrive en deuxième position, avec un peu plus de 800 000 bots, suivie de l’Iran, qui en compte environ 400 000.

Certains opérateurs, principalement des fournisseurs d’accès à internet, ont également un grand nombre d’adresses IP infectées en raison de l’existence de botnets malveillants étendus. Il est toutefois plus difficile de déterminer quels opérateurs ASN sont les plus touchés. Spamhaus identifie les 5 opérateurs ASN les plus touchés comme suit :

  • China Telecom / ChinaNet (Chine)
  • Bharti Airtel Ltd. AS for GPRS Service (Inde)
  • China Unicorn (Chine)
  • Iran Telecommunication Company PJS (Iran)
  • Telecom Algeria (Algérie)

Carte de renseignement sur les armes DDoS - Source A10

Les attaques DDoS peuvent toutefois être lancées de n’importe où, indépendamment de l’endroit où se trouvent les ordinateurs infectés. Ainsi, comme on peut s’y attendre, la plupart des attaques DDoS ont également tendance à provenir principalement de quelques pays sélectionnés. La majorité des attaques DDoS sont lancées depuis :

  • La Chine
  • Les États-Unis
  • La Corée
  • La Russie
  • L’Inde

Besoin d’un prestataire pour vous protéger contre les attaques DDoS ?
Un devis ?

Comment savoir si on est victime d’une attaque DDos ?

L’un des principaux problèmes pour identifier une attaque DDoS est que les symptômes ne sont pas inhabituels. De nombreux symptômes sont similaires à ceux que les utilisateurs de technologies rencontrent tous les jours ; notamment des vitesses de téléchargement lentes, l’impossibilité de consulter un site web, une connexion internet interrompue, des médias et des contenus inhabituels ou une quantité excessive de courriels indésirables dans une entreprise.

En outre, une attaque DDoS peut durer de quelques heures à quelques mois ; et le degré d’attaque peut varier.

Comment faire une attaque DDoS ?

Différentes attaques ciblent différentes parties d’un réseau. Ainsi, elles sont classées en fonction des couches de connexion réseau qu’elles ciblent. Une connexion sur l’internet est constituée de sept « couches » différentes. Elles ont été définies par le modèle OSI (Open Systems Interconnection) créé par l’Organisation internationale de normalisation. Ce modèle permet à différents systèmes informatiques de « dialoguer » entre eux.

Attaques DDoS basées sur le volume ou volumétriques

Ce type d’attaques vise à contrôler toute la bande passante disponible entre la victime et internet au sens large. L’amplification du système de noms de domaine (DNS) est un exemple d’attaque basée sur le volume ; avec un grand nombre de requêtes. Dans ce scénario, l’attaquant usurpe l’adresse de la cible. Ensuite, il envoie une demande de consultation de nom DNS à un serveur DNS ouvert avec l’adresse usurpée.

Lorsque le serveur DNS envoie la réponse à l’enregistrement DNS, elle est envoyée à la place à la cible. Ce qui fait que la cible reçoit une amplification de la petite requête initiale de l’attaquant.

Attaques DDoS des protocoles

Ensuite, les attaques de protocole consomment toute la capacité disponible des serveurs web ou d’autres ressource ; comme les pare-feu. Elles exposent les faiblesses des couches 3 et 4 de la pile de protocoles OSI pour rendre la cible inaccessible.

Une SYN flood est un exemple d’attaque de protocole. Ici, l’attaquant envoie à la cible un grand nombre de requêtes d’établissement de liaison TCP (Transmission Control Protocol) avec des adresses IP (Internet Protocol) sources usurpées. Les serveurs ciblés tentent de répondre à chaque demande de connexion. Cependant, le handshake final n’a jamais lieu ; ce qui a pour effet de submerger la cible.

Attaques DDoS au niveau de la couche applicative (L7)

Ces attaques visent également à épuiser ou à submerger les ressources de la cible. Mais il est difficile de les identifier comme étant malveillantes. Souvent appelée attaque DDoS de couche 7, en référence à la couche 7 du modèle OSI, une attaque de couche applicative vise la couche où les pages web sont générées en réponse aux requêtes HTTP (Hypertext Transfer Protocol).

Un serveur exécute des requêtes de base de données pour générer une page Web. Dans cette forme d’attaque, l’attaquant oblige le serveur de la victime à traiter plus de données qu’il ne le fait normalement. Une inondation HTTP est un type d’attaque au niveau de la couche applicative et s’apparente au rafraîchissement constant d’un navigateur web sur différents ordinateurs en même temps. De cette manière, le nombre excessif de requêtes HTTP submerge le serveur, ce qui donne lieu à un DDoS.

Sécurité et prévention des attaques DDoS

Même si vous savez ce qu’est une attaque DDoS, il est extrêmement difficile d’éviter les attaques car la détection est un défi. Comme nous le disions précédemment, les symptômes de l’attaque peuvent ne pas être très différents des problèmes de service typiques. Aussi, le niveau de sophistication et de complexité des techniques DDoS ne cesse de croître.

En outre, de nombreuses entreprises se réjouissent d’un volume élevé de trafic internet. Surtout si elles ont récemment lancé de nouveaux produits ou services ; ou fait des annonces qui font bouger leur secteur d’activité. La prévention n’étant pas toujours possible, il est préférable pour une entreprise de prévoir une réponse lorsque ces attaques se produisent.

Atténuation des cyberattaques DDoS

Une fois qu’une attaque présumée est en cours, une société dispose de plusieurs options pour en atténuer les effets. Nous en avons listé certaines d’entre elles.

Évaluation des risques

Les entreprises doivent régulièrement procéder à des évaluations des risques et à des audits de leurs matériels informatiques, serveurs et réseaux. Bien qu’il soit impossible d’éviter complètement une attaque DDoS, une connaissance approfondie des forces et des faiblesses des actifs matériels et logiciels de l’entreprise est très utile. Il est essentiel de connaître les segments les plus vulnérables du réseau d’une société pour comprendre la stratégie à mettre en œuvre afin de réduire les dommages et les perturbations qu’une attaque DDoS peut imposer.

Différenciation du trafic

Si une entreprise pense avoir été victime d’une attaque DDoS, l’une des premières choses à faire est de déterminer la qualité ou la source du trafic anormal. Bien entendu, l’entreprise ne peut pas couper complètement le trafic ; car cela reviendrait à jeter le bon grain de l’ivraie.

Comme stratégie d’atténuation, utilisez un réseau Anycast pour disperser le trafic d’attaque sur un réseau de serveurs distribués. Cette mesure de mitigation est effectuée de manière à ce que le trafic soit absorbé par le réseau et devienne plus facile à gérer.

Routage par trou noir

Ensuite, une autre mesure de mitigation est le routage de trou noir ; ou Black Hole Routing. Ici, un administrateur réseau – ou le fournisseur de services d’accès à internet d’une entreprise – crée une route et pousse le trafic dans ce trou noir. Avec cette mesure de mitigation, tout le trafic, qu’il soit bon ou mauvais, est acheminé vers une route nulle et essentiellement éliminé du réseau. Ces efforts d’atténuation de l’attaque DDoS peuvent être assez extrêmes, car le trafic légitime est également arrêté et peut entraîner une perte d’activité.

Limitation du débit

Une autre façon d’atténuer les attaques DDoS consiste à limiter le nombre de requêtes qu’un serveur peut accepter dans un laps de temps donné. Cette mesure n’est généralement pas suffisante pour lutter contre une attaque plus sophistiquée. Cependant, elle peut constituer un élément d’une approche multidimensionnelle.

Pare-feu d’application Web (WAF)

Enfin, pour atténuer l’impact d’une attaque au niveau de la couche application ou de la couche 7, certaines sociétés optent pour un pare-feu d’application Web (WAF). Un WAF est un appareil qui se situe entre l’internet et les serveurs d’une entreprise. Il agit comme un proxy inverse.

Comme avec tous les firewalls, une entreprise peut créer un ensemble de règles qui filtrent les demandes. Elle peut commencer par un ensemble de règles, puis les modifier en fonction de ce qu’elle observe comme des schémas d’activités suspectes menées par le DDoS.

Anti DDos – Logiciels et solutions de protection contre les attaques DDoS

Une solution de protection DDoS entièrement robuste comprend des éléments qui aident une entreprise à la fois dans la défense et la surveillance. Comme le niveau de sophistication et de complexité des attaques continue d’évoluer, les sociétés ont besoin d’une solution qui puisse les aider à faire face aux attaques connues et aux attaques de type « zero-day ».

Une solution de protection contre les attaques DDoS devrait employer une gamme d’outils capables de se défendre contre chaque type d’attaque DDoS et de surveiller des centaines de milliers de paramètres simultanément.

Protégez votre entreprise contre les attaques connues et de type « zero-day » avec EXTER ! Contactez-nous pour découvrir les solutions existantes de protection de votre système d’information contre les attaques DDoS.

DEVIS EXTER GRATUIT
Recevez votre devis personnalisé dans la journée

Dites-nous ce qu'il vous faut, on s'occupe de tout !

Demander un devis
Related Posts