Qu’est-ce qu’une attaque DDoS ?

Une attaque DDoS (Distributed Denial of Services) survient lorsqu’un serveur, un réseau ou un service doit refuser tout accès aux utilisateurs présents. Un hacker bloque le trafic, et aucun utilisateur légitime ne peut accéder aux données bloquées. Les attaques dites DDoS sont très puissantes, puisqu'elles se servent de différents ordinateurs infectés, pour les transformer en robots qui seront dirigés à distance vers l’adresse IP d’un site. Tous ces appareils seront dirigés vers cette même adresse en même temps, ce qui implique le plantage du service.

Ce type d’attaque peut être de longue durée, et rester actif jusqu’à 24 heures. Tout type d’appareil peut être utilisé pour ce type de piratage, et votre ordinateur pourrait en faire partie sans que vous ne vous en rendiez compte, ce qui explique la difficulté à retracer ces attaques. Du fait qu’il s’agisse d’appareils occupés par un malware, des botnet, il devient également très difficile de faire la différence entre le trafic malveillant et le trafic légitime.

Ces attaques peuvent cibler différentes couches de modèle OSI. Il peut s’agir de la couche réseau, pour les attaques Smurf, inondations ICMP et la fragmentation IP/ICMP. De la couche de transport qui touche le SYN, le TCP ou UDP. Ou encore d’attaques dirigées vers la couche d’application, pour des attaques chiffrées HTTP.

Il est également possible d’entendre parler des attaques DoS (Denial of Services), qui se différencient des attaques DDoS du fait qu’elles ne partent que d’un point de départ, tandis que les attaques DDoS viennent d’un grand nombre d’appareils et d’ordinateurs.

Les attaques DDoS peuvent être de différents types, et toucher différentes couches, comme nous le disions à l’instant.

1. Attaques de connexion TCP

Les attaques de connexion TCP sont aussi connues sous le nom de SYN flood. Elles se produisent par un mécanisme de poignée de main en trois temps (Three-ways handshake). Ce mécanisme est essentiel pour mettre en place une connexion, pour autant, les attaques de connexion se servent de ce mécanisme pour bloquer l’accès au site, la négociation entre l’hôte et le serveur ne peut pas se terminer, et le serveur ne peut accepter aucune autre requête tant qu’il est retenu de la sorte. En envoyant de multiples poignées de main, le serveur finit par planter.

2. Attaques volumétriques

Il s’agit du type d’attaque DDoS le plus courant. Cette attaque est relativement simple, puisque le hacker se contente d’occuper la totalité de la bande passante disponible, ce qui empêche la cible de rejoindre le site internet. Pour se faire, les pirates se servent la plupart du temps de botnets, qu’ils dirigent selon leurs besoins.

3. Attaques par fragmentation

Comment l’attaque DDoS se produit-elle lors d’une attaque par fragmentation ? Le but est toujours le même, arriver à submerger le serveur. Cette fois, pour y parvenir, de faux paquets de données sont envoyés sur le protocole de transport TCP ou UDP. Ces faux paquets vont permettre de déformer le flux de données, ce qui perturbe le serveur et l’empêche de répondre aux requêtes.

Il s’agit là encore d’une sorte d’attaque qui a pour but de paralyser le serveur visé. Pour se faire, les pirates vont cibler les failles de sécurité des serveurs DNS (Domain Name System). Ils peuvent ensuite transformer les petites demandes en demandes de grande envergure, d’où le phénomène d’amplification, ce qui a pour effet d'inonder la bande passante. Les attaques d’amplification peuvent être de deux types, par réflexion DNS ou par réflexion CharGen. Découvrons plus en détail comment fonctionnent ces deux types d’attaques :

Le serveur DNS vous permet d’accéder aux sites sur lesquels vous souhaitez naviguer. Il exécute la recherche de l’adresse IP du domaine sur lequel vous souhaitez vous rendre, à la manière d’un véritable carnet d’adresses pour internet. L’attaque par réflexion DNS va copier l’adresse IP de la cible et envoyer de nombreuses requêtes au serveur DNS, pouvant de la sorte amplifier les réponses jusqu’à 70 fois leur taille originelle, ce qui a comme effet final la saturation du serveur de la victime.

CharGen est un ancien protocole de débogage ou de test, créé en 1983. Bien qu’il ne soit majoritairement plus utilisé aujourd’hui, de par son ancienneté, certaines imprimantes et autres appareils se servent encore de ce protocole, qui comprend pour autant de nombreuses failles de sécurité. La réflexion CharGen consiste à multiplier l’envoi de paquets de données, cachés sous l’IP de la personne ciblée vers tous les appareils fonctionnant par CharGen, ce qui inonde par la suite la victime de réponses UDP (User Datagram Protocol), et peut faire planter le site, allant parfois jusqu’à nécessiter son redémarrage.

Comme vous avez pu le voir, il existe un grand nombre d’attaques DDoS, souvent particulièrement performantes. Alors que la sécurité de nos connexions internet et des appareils augmente, il faut s’avoir que les technologies des hacker s’améliorent également, et que les failles et les protocoles qu’ils utilisent sont aujourd’hui de plus en plus techniques et difficiles à tracer.

Preuve en est, une attaque DDoS menée pendant les années 90 durait en moyenne à peine 150 secondes. La plus grande attaque DDoS aujourd’hui recensée, l’attaque GitHub menée pendant l’année 2018, à quant à elle pu lancer 1,35 térabit de trafic par seconde vers le site ciblé. Cette attaque d’une durée de 8 minutes à pu paralyser temporairement le site ciblé.

Il faut savoir que les attaques DDoS sont reconnues comme étant illégales dans un grand nombre de pays. Cela est le cas des Etats-Unis, où l’attaque DDoS peut être jugée comme crime fédéral et causer une peine d’emprisonnement, mais aussi dans la plupart des pays européens, où une lourde peine de prison peut également faire office de sanction.

La plupart de ces peines sont mises en place pour cause des dommages monétaires importants que ces attaques DDoS peuvent entraîner. Au total, pour toutes les perturbations causées par ces attaques, et les moyens employés pour les stopper, le coût d’une attaque pourrait s’élever à 50 000$ pour la victime. Il s’agit donc d’un coût important, qui devrait donner envie à de nombreuses personnes propriétaires de sites marchands d’utiliser une protection DDoS.

Si ce type d’attaque est fréquent, c’est également lié au fait qu’il s’agisse d’une activité très rentable pour les cybercriminels. Certains proposent des abonnements au mois, quand d’autres peuvent gagner des sommes importantes grâce à une attaque DDoS dirigée vers un site cible important. C’est donc une pratique dont la fréquence ne tend pas à diminuer.

Comment savoir si on se fait DDoS et comment mettre en évidence cette attaque ? Est-il possible de les retracer, et de mettre en évidence les cybercriminels à leur origine ? La plupart du temps, il est malheureusement très difficile de retrouver la source de ces attaques. En effet, elles sont généralement lancées par des appareils piratés par milliers et répartis à travers le monde. De plus, les hackers font toujours leur possible pour augmenter leur couverture, ce qui les rend presque indétectables, et ne permet souvent donc pas de punir leurs agissements.

Bien que lorsqu’une attaque DDoS est lancée sur votre serveur, il est souvent trop tard pour parvenir à l’arrêter, il est important d’analyser le trafic de manière régulière, pour être en mesure de mettre en place des outils qui permettront de limiter le risque de subir de telles attaques. Grâce à ces données analysées, vous pourrez réaliser des modifications dans la cybersécurité de votre serveur, de manière à éviter de futures attaques.

Il existe différentes solutions anti DDoS, qui peuvent vous permettre de limiter le risque d’être la cible de telles attaques de déni de service, et éviter leurs conséquences souvent lourdes. Les mesures anti DDoS peuvent être des logiciels, ou encore des mesures qui ont été mises en place par un fournisseur d’accès internet ou un département informatique, entre autres exemples.

De manière générale, la plupart de ces mesures agissent de manière préventive. Elles permettent ainsi d’apporter une protection optimale aux serveurs, pour limiter le risque de subir des attaques, en renforçant les systèmes de protection. Ces mesures peuvent être des logiciels de surveillance de DDoS, des firewalls très efficaces pour améliorer la protection de certaines applications, ou des systèmes anti DDoS qui comprennent un logiciel et un hardware.

Pour autant, ce type de solution est souvent très onéreuse, et n’est donc pas accessible à tous. Il existe néanmoins d’autres solutions moins coûteuses, qui ne seront certes pas aussi efficaces pour la mitigation des attaques, mais qui pourront tout de même aider à protéger de nombreuses cibles potentielles de ces attaques, et aider à savoir si on se fait DDoS rapidement, pour être en mesure de réagir au plus vite.

Comme vous aurez pu le comprendre, les attaques de type DDoS sont principalement destinées à nuire aux plateformes plus importantes, dans le but de faire chuter les ventes ou de bloquer l’accès à une plateforme, pour faire chanter le développeur ou la personne à qui la plateforme appartient. Pour autant, vous pourriez vous aussi être victime d’une attaque DDoS, et plus particulièrement si vous avez l’habitude de jouer en ligne.

En effet, il s’agit d’une attaque de plus en plus courante chez les joueurs. Pour influencer la partie, et perturber votre jeu, un adversaire peut déclencher une attaque DDoS de manière à faire planter votre jeu. Bien sûr, il ne s’agit pas d’une attaque à proprement parler, comme celles que nous exposions plus tôt. Pour autant, ce peut tout de même être un évènement perturbant, que vous pourriez souhaiter éviter, surtout lors des compétitions.

Bien qu’il ne soit pas possible de stopper une attaque dirigée vers le serveur du jeu, vous pouvez réduire le risque d’attaques personnelles, en protégeant votre adresse IP, qui pourrait permettre aux pirates de lancer une attaque DDoS contre vous. Pour protéger votre adresse IP, il est possible d’utiliser un VPN. Le VPN va parvenir à masquer votre adresse IP d’origine, et le joueur qui souhaite vous nuire ne pourra donc pas vous attaquer de cette manière.

Installez NordVPN sur vos appareils dès maintenant et surfez en toute sécurité !