Inondation de système : Introduction aux attaques DDoS

Au cours de la dernière année, les entreprises canadiennes ont sans doute beaucoup entendu parler des attaques par déni de service distribué (DDoS). Deux fois plus d’attaques DDoS sont survenues dans les trois premiers mois de 2015 qu’à la même période l’an dernier.

Vous devez savoir comment prémunir votre entreprise contre les attaques DDoS afin de protéger la réputation de votre marque et de conserver la confiance de vos clients. Mais voyons d’abord comment fonctionnent les attaques DDoS et pourquoi elles surviennent.

Surcharge d’information

Les attaques DDoS ont pour but d’empêcher le trafic légitime d’accéder aux actifs et ressources en ligne d’une organisation. Elles prennent diverses formes, mais vous devez connaître les deux plus courantes :

• Attaques massives : Également connues sous le nom d’inondation de réseau, ces attaques simples, mais efficaces, reposent sur la force brute de milliers de demandes d’information simultanées qui encombrent la liaison Internet cible d’une entreprise, congestionnent son réseau et rendent son site Web inaccessible à la majorité de ses utilisateurs. C’est comme un embouteillage monstre sur la route lorsque quatre voies doivent se fondre en une seule.

• Attaques lentes de faible intensité : Ces attaques utilisent de plus petits volumes de demandes d’information soigneusement élaborées formulées sur une plus longue période, ce qui les rend plus difficiles à détecter. Leur but : occuper toute la mémoire ou la puissance de traitement d’une application ou d’un serveur afin d’épuiser petit à petit les ressources informatiques des équilibreurs de charge, des serveurs et des coupe-feu. La présence de ce trafic illégitime limite la capacité de traiter les véritables demandes et cause un ralentissement, voire une panne de l’infrastructure.

Dans les deux cas, l’attaque imite le trafic légitime afin d’échapper à la détection, mais le résultat est le même : le système ou l’application ralentit considérablement ou s’arrête totalement, empêchant les utilisateurs d’accéder aux services en ligne touchés.

Une armée de zombies

On dit des attaques DDoS qu’elles sont « distribuées » parce que les demandes proviennent de centaines ou même de milliers de sources à la fois, plutôt que d’un seul ordinateur. Cette approche mise essentiellement sur un « réseau de zombies », c’est-à-dire un réseau d’ordinateurs infectés par des maliciels, pour attaquer de façon coordonnée une cible bien précise.

La plupart des réseaux de zombies sont créés à l’aide d’un maliciel spécialement conçu, qui est envoyé au plus grand nombre d’ordinateurs possible par l’intermédiaire de fichiers joints, de scripts Web et d’autres outils malveillants. Après l’activation du maliciel, les ordinateurs sont intégrés au réseau de zombies et reliés à son serveur de commande et de contrôle, en attente de nouvelles instructions.

Comme le maliciel ne s’active qu’au signal du serveur de commande et de contrôle, la plupart des gens ignorent que leur ordinateur fait partie d’un réseau de zombies. Selon les estimations du Federal Bureau of Investigation des États-Unis, 500 millions d’ordinateurs dans le monde sont infectés chaque année, et 18 nouveaux zombies sont créés chaque seconde.

Cela dit, la création d’un réseau de zombies peut prendre beaucoup de temps.  Heureusement pour les cybercriminels, plusieurs services d’attaque par déni de service distribué clandestins ont fait leur apparition ces dernières années, de sorte qu’il leur est possible de louer des infrastructures de réseaux de zombies ou même de payer quelqu’un pour attaquer la cible de leur choix. Le coût? Seulement quelques dollars par semaine, ce qui signifie que toute personne ayant une carte de crédit et un motif quelconque peut rapidement et aisément lancer une attaque.

Le motif

La plupart des attaques DDoS s’appuient sur des motifs personnels ou politiques. Elles vont de l’« hacktivisme » (protestation contre les gouvernements ou les entreprises auxquels on en veut) au vandalisme. Comme les attaques causent de grandes perturbations et qu’elles sont difficiles à stopper, la menace d’attaques est parfois utilisée pour extorquer de l’argent aux victimes.

Les attaques DDoS peuvent également être utilisées comme mesures de diversion au profit d’attaques plus payantes. Pendant que les équipes TI s’activent à régler une panne de site Web ou de serveur, il est plus facile d’accéder au réseau interne de l’entreprise pour lui voler de précieuses données personnelles ou financières.

Signes précurseurs

Une hausse soudaine de l’utilisation de la bande passante est souvent le signe d’une attaque DDoS, mais les entreprises n’ont pas toutes la capacité interne de détecter de tels changements en temps réel. Dans un sondage mené par Corero Network Security, 21 % des répondants indiquent que les plaintes des clients ont été le principal indicateur d’une attaque. Seulement 14 % disent avoir été avertis d’une attaque par la défaillance d’une application, alors qu’un autre 14 % mentionne la défaillance de l’infrastructure. Bref, près de la moitié des entreprises interrogées ont réagi après le fait, tentant de stopper l’attaque bien après que les dommages aient été faits.

En conclusion

Les attaques DDoS étant de plus en plus fréquentes et de plus grande ampleur, il est de plus en plus difficile pour les équipes de sécurité et TI de se défendre contre elles et d’y réagir manuellement. C’est pourquoi les experts en sécurité recommandent une combinaison de mesures de sécurité sur place et de mesures de sécurité réseau ou en nuage qui peuvent détecter, atténuer et filtrer automatiquement les attaques DDoS avant même qu’elles aient la chance d’atteindre le réseau de votre entreprise.

Dans de prochains articles, je traiterai des dommages directs et indirects que les attaques DDoS peuvent causer à une entreprise, je vous expliquerai comment vous pouvez vous défendre efficacement et je comparerai entre elles les solutions de sécurité réseau et en nuage.

Avez-vous d’autres questions sur le fonctionnement des attaques DDoS? Faites-nous-en part dans les commentaires ci-dessous.

Corey Still est professionnel en réseau et en cybersécurité chez Bell.