Qu’est-ce qu’une attaque par déni de service distribué (DDoS) ?

Une attaque DDoS dégrade l’infrastructure en saturant la ressource ciblée avec un trafic massif, la surchargeant au point de l’empêcher de fonctionner, ou en envoyant un message spécialement conçu qui affecte les performances de l’application. Les attaques DDoS peuvent viser l’infrastructure réseau comme les tables d’état des pare-feux, ainsi que des ressources applicatives telles que les serveurs et les processeurs. Les attaques DDoS provoquent de lourdes conséquences en compromettant la disponibilité et l’intégrité des services en ligne, entraînant des perturbations majeures, des pertes financières et des dommages à la réputation. Elles servent aussi souvent d’écran de fumée pour détourner votre attention des opérations de vol de données. 

Une attaque DDoS, c'est comme si des milliers de personnes essayaient de franchir une porte en même temps. Le résultat est que personne ne peut franchir la porte, y compris les personnes qui ont une raison légitime de passer de l’autre côté. Ou bien, l'attaque peut être comme une seule personne avec une clé qui verrouille la porte après être passée, empêchant toute autre personne d'entrer. 

Les attaques de ce type s'appuient généralement sur un grand nombre d'ordinateurs clients et d'autres dispositifs connectés au réseau. Ces ressources contrôlées par les attaquants ont été créées à cet effet ou, plus souvent, sont infectées par un logiciel malveillant qui leur permet de prendre le contrôle à distance et de les utiliser dans leurs attaques.

Comme l'attaque provient de tant de sources différentes, vous aurez du mal à la bloquer efficacement. Imaginez encore une fois la foule compacte devant la porte. Bloquer une seule personne illégitime (ou une source de trafic malveillante) ne suffira pas, car des milliers d'autres la remplaceront. Les progrès des frameworks d'automatisation permettent aux attaques d'usurper les adresses IP, les numéros de système autonome (ASN), les agents utilisateurs des navigateurs et autres données de télémétrie, pour contourner les contrôles de sécurité traditionnels. 

Il est important de faire la distinction entre les attaques par déni de service distribué (DDoS) et les attaques par déni de service (DoS) . Il s’agit dans les deux cas de cyberattaques visant à perturber la disponibilité d’un système ou d’un réseau cible, mais elles diffèrent dans la manière dont elles sont menées. 

Une attaque DoS provient généralement d'une seule source ou de quelques sources, l’attaquant saturant votre système ou votre réseau cible avec un afflux massif de trafic ou de requêtes, au-delà de sa capacité à les traiter.

Les attaques DDoS mobilisent en revanche plusieurs sources ou un botnet, un réseau d’ordinateurs ou d’appareils compromis sous le contrôle de l’attaquant. L’attaquant coordonne ces sources pour lancer l’attaque simultanément contre la cible. Ces attaques sont généralement plus difficiles à contrer que les attaques DoS, car leur origine multiple rend complexe la séparation du trafic légitime et du trafic malveillant.

Alors que le paysage des menaces DDoS évolue constamment, F5 a constaté que la plupart des attaques appartiennent aux grandes catégories suivantes. 

Les attaques volumétriques font partie des types d’attaques DDoS les plus courants. Ces attaques visent à surcharger la bande passante du réseau de la cible en l'inondant d'un volume massif de données ou de trafic. Ces techniques incluent les attaques par saturation UDP (User Datagram Protocol), les attaques par saturation ICMP (Internet Control Message Protocol) et les attaques par réflexion exploitant des protocoles tels que NTP (Network Time Protocol), Memcached et DNS pour amplifier la quantité de trafic reçue par la cible. L’ampleur du trafic sature l’infrastructure réseau de la cible, la rendant indisponible pour les utilisateurs légitimes. Les attaques par inondation ciblent souvent les couches 3, 4 ou 7, l'inondation SYN étant une attaque très courante qui peut surcharger les pare-feu réseau et d'autres infrastructures réseau critiques. 

• À titre d’exemple d’attaque DDoS volumétrique, en 2018, GitHub, la plateforme de développement de logiciels, a subi une attaque DDoS volumétrique massive qui a perturbé ses services. L'attaque a atteint un pic sans précédent de 1,35 To/s, ce qui en fait l'une des plus grandes attaques DDoS jamais enregistrées à cette époque. En conséquence, le site Web et les services de GitHub ont connu des pannes intermittentes et une dégradation des performances.  

Attaques de protocole , telles que celles qui ciblent les faiblesses de la pile de protocoles TCP/IP, qui constitue le fondement de la communication Internet. Ces attaques ciblent spécifiquement la capacité de l’infrastructure réseau à suivre et à gérer le trafic. Par exemple, les attaques SYN Flood inondent la cible d'un barrage de paquets TCP SYN, ce qui dépasse la capacité de la cible à établir des connexions légitimes. On les appelle également attaques « informatiques », car elles surchargent souvent la capacité de calcul des périphériques réseau, tels que les routeurs et les pare-feu.

• En novembre 2021, F5 a observé et atténué la plus grande attaque de protocole que l'entreprise ait jamais connue. L'attaque, ciblant un client de services financiers, n'a duré que quatre minutes et a atteint sa bande passante d'attaque maximale de près de 1,4 To/s en seulement 1,5 minute. 

Les attaques ciblant les vulnérabilités applicatives, aussi appelées attaques de couche 7, visent précisément la couche application de la pile réseau. Elles exploitent les failles logicielles des applications ou services hébergés sur le serveur ciblé pour épuiser ses ressources, comme le processeur, la mémoire ou les connexions à la base de données. Parmi ces attaques, on trouve les inondations HTTP GET (envoi massif de requêtes HTTP), les attaques slowloris (maintenir ouvertes des connexions avec des requêtes partielles), les inondations HTTP POST, la renégociation TLS et les requêtes DNS.

• Un important groupe de hackers pro-russes connu sous le nom de Killnet a lancé une attaque DDoS L7 sophistiquée contre une grande organisation européenne en février 2023. L'attaque visait à submerger les serveurs de l'entreprise avec des volumes de trafic massifs, rendant difficile l'accès des utilisateurs au site Web avec un trafic d'attaque culminant à 120 000 requêtes par seconde. Cette attaque DDoS spécifique a été distribuée sur 35 adresses IP différentes et 19 pays et s'est concentrée sur la couche applicative. 

Les attaques asymétriques, aussi appelées attaques par réflexion ou d’amplification, exploitent les fonctions de certains protocoles réseau pour augmenter le volume du trafic malveillant. Dans une attaque DDoS asymétrique, vous envoyez une petite quantité de paquets réseau spécifiquement conçus à un réseau ou service vulnérable, souvent en usurpant l’adresse IP source. Ces paquets provoquent la génération de réponses beaucoup plus importantes du système ou réseau ciblé, créant un effet d’amplification marqué.  

• En février 2021, des acteurs malveillants ont menacé une entreprise technologique qui fournit des services de sécurité informatique aux organisations de jeux et de paris d'une attaque DDoS si l'entreprise ne payait pas de rançon. Les attaquants ont immédiatement lancé une attaque SYN Flood de 4 Gbps en guise d'avertissement ; dans les cinq jours qui ont suivi, le siège DDoS a commencé. Durant presque un mois entier, les attaques se sont succédées, les acteurs de la menace ajoutant de plus en plus de vecteurs. Finalement, les attaques ont culminé à 500 Gbit/s et comprenaient un barrage multi-vecteur d'attaques volumétriques UDP, de réflexion LDAP, de réflexion DNS, de réflexion NTP et de fragmentation UDP.

Les attaques multi-vectorielles , qui exploitent plusieurs des méthodes ci-dessus, deviennent de plus en plus courantes. En employant plus d’une technique d’attaque, les attaquants sont en mesure d’amplifier l’impact et d’augmenter la difficulté de se défendre contre plusieurs vecteurs d’attaque simultanément.

• En octobre 2016, Dyn, un fournisseur DNS qui gère et dirige le trafic Internet, a subi une attaque DDoS massive qui a perturbé de nombreux sites Web et services populaires, notamment Twitter, Reddit, Netflix et Spotify. Les attaquants ont utilisé une combinaison de différentes techniques DDoS, notamment des attaques par réflexion et amplification DNS, ainsi que des botnets. L'attaque a exploité des appareils IoT vulnérables, tels que des webcams et des routeurs, qui avaient des mesures de sécurité faibles ou des identifiants de connexion par défaut. En compromettant ces appareils, les attaquants ont créé un réseau de botnet massif capable de générer d’énormes volumes de trafic.

Vous trouverez ci-dessous plusieurs concepts et définitions clés liés aux attaques DDoS, à leur atténuation et à leur prévention.

• Les botnets sont des réseaux d’ordinateurs, de serveurs ou d’appareils compromis qui sont sous le contrôle d’un attaquant. Ces appareils compromis, souvent appelés bots ou zombies , sont utilisés pour lancer des attaques DDoS collectivement. L'attaquant peut commander à distance au botnet d'inonder la cible de trafic ou de requêtes, amplifiant ainsi l'impact de l'attaque.
• L'usurpation d'identité consiste à falsifier ou à masquer la véritable source ou identité des paquets ou communications réseau. Lors des attaques DDoS, on utilise souvent l’usurpation d’identité pour dissimuler l’origine du trafic d’attaque. 
• L’inondation SYN constitue une attaque DDoS qui exploite le processus de négociation à trois temps du TCP pour saturer les ressources de la cible. L’attaquant envoie un volume massif de paquets SYN à la cible, mais n’accuse pas réception des paquets SYN-ACK ou falsifie les adresses IP d’origine. De ce fait, le système cible attend indéfiniment des paquets ACK qui ne viendront jamais, mobilisant ses ressources et empêchant les connexions légitimes de s’établir.
• L’inondation UDP (User Datagram Protocol) représente une attaque DDoS visant le protocole UDP, qui fonctionne sans connexion ni négociation préalable. Lors de cette attaque, l’assaillant envoie un grand nombre de paquets UDP vers le réseau ou les services ciblés, saturant ainsi leurs ressources. 
• L'amplification DNS (Domain Name System) constitue un type d'attaque par déni de service distribué exploitant les vulnérabilités des serveurs DNS pour générer un volume important de trafic malveillant. L'attaquant envoie de petites requêtes DNS, en falsifiant les adresses IP sources, vers des résolveurs DNS ouverts et vulnérables. Ces résolveurs, ignorants cette falsification, répondent par des messages DNS plus volumineux, amplifiant ainsi le trafic envoyé sur la cible, ce qui épuise ses ressources et peut entraîner des interruptions de service. 
• L'atténuation des attaques DDoS désigne les stratégies et techniques que nous utilisons pour défendre et réduire au minimum l’impact de ces attaques. Les solutions d’atténuation combinent souvent des mises à niveau de l’infrastructure réseau, le filtrage du trafic, la limitation du débit, la détection d’anomalies et la redirection du trafic pour absorber et neutraliser les flux d’attaque. Les solutions d’atténuation DDoS basées dans le cloud s’avèrent particulièrement efficaces pour détecter et contrer les attaques avant qu’elles n’atteignent votre infrastructure réseau et vos applications. Cependant, face à la hausse récente des attaques DoS ciblant les applications (niveau L7), nous devons aussi déployer des contrôles de sécurité près des ressources protégées. 
• La réponse aux incidents désigne le processus qui consiste à détecter, analyser et réagir aux attaques par déni de service distribué. Vous identifiez les signes d’une attaque en cours, enquêtez sur sa source et sa nature, appliquez des mesures d’atténuation et restaurez les opérations normales. Les plans de réponse aux incidents permettent aux organisations de gérer efficacement les attaques DDoS et d’en réduire l’impact.

Les attaques DDoS peuvent avoir de graves conséquences pour les entreprises, les organisations et les particuliers. 

Les attaques DDoS peuvent entraîner des pertes financières importantes . Lorsque les services sont interrompus ou inaccessibles, les entreprises peuvent subir un impact sur leurs revenus en raison de transactions interrompues, d’une diminution de l’engagement client ou d’opportunités manquées. En outre, les organisations peuvent encourir des coûts liés à l’atténuation de l’attaque, à la conduite des activités de réponse aux incidents et de récupération, ainsi qu’à d’éventuelles sanctions réglementaires.

Les attaques DDoS réussies peuvent nuire à la réputation d’une organisation et éroder la confiance des clients. Si les services d’une entreprise sont interrompus ou indisponibles à plusieurs reprises, les clients peuvent perdre confiance dans la capacité de l’organisation à fournir des services fiables. Rétablir la confiance et restaurer une réputation endommagée peut être un processus difficile et long.

Les attaques DDoS peuvent provoquer de graves perturbations opérationnelles . Les organisations fortement dépendantes des services en ligne peuvent être confrontées à des pertes de productivité, car les employés ne peuvent pas accéder aux systèmes critiques ni collaborer efficacement. Les interruptions de service peuvent avoir un impact sur les chaînes d’approvisionnement, le support client et les opérations commerciales globales, entraînant des retards, des inefficacités et une augmentation des coûts opérationnels.

En investissant dans des stratégies robustes d’atténuation des attaques DDoS et en faisant appel à des professionnels de la cybersécurité pour concevoir et mettre en œuvre des mesures de sécurité, les organisations peuvent réduire considérablement le risque et l’impact des attaques DDoS réussies, préserver leur stabilité financière et leur réputation et assurer la continuité de leurs opérations.

Vous trouverez ci-dessous quelques techniques courantes d’atténuation des attaques DDoS utilisées pour se défendre contre les attaques. Les organisations utilisent souvent une combinaison de ces méthodologies pour créer une stratégie de défense en couches capable d’atténuer efficacement l’impact des attaques DDoS . La détection précoce est également essentielle pour lancer une réponse rapide aux incidents et des mesures d’atténuation, permettant aux organisations de contenir l’impact avant qu’il ne s’aggrave.

Le filtrage du trafic consiste à examiner le trafic réseau entrant et à appliquer des filtres pour bloquer ou autoriser des types de trafic spécifiques. Cette technique peut être utilisée à différents niveaux, tels que les routeurs de périphérie de réseau, les pare-feu ou les dispositifs d'atténuation DDoS dédiés. En filtrant le trafic malveillant ou indésirable, les organisations peuvent réduire l’impact des attaques DDoS et garantir que le trafic légitime atteint la destination prévue.

La limitation de débit contrôle le nombre de requêtes ou de paquets reçus d’une source spécifique ou sur une période donnée. En imposant ces limites, vous réduisez l’impact des attaques DDoS en empêchant un afflux massif de trafic. 

La détection des anomalies implique la surveillance des modèles et du comportement du trafic réseau pour identifier les écarts par rapport aux modèles normaux. Il utilise des algorithmes d’analyse statistique et d’apprentissage automatique pour établir un comportement de base et détecter les activités anormales pouvant indiquer une attaque DDoS. Les systèmes de détection d’anomalies peuvent identifier des pics de trafic inhabituels, des inondations de paquets ou d’autres modèles indiquant une attaque en cours. 

L'analyse comportementale se concentre sur la surveillance du comportement des utilisateurs, des systèmes ou des entités du réseau pour détecter et identifier les activités suspectes ou malveillantes . Les techniques d’analyse comportementale peuvent aider à différencier le trafic légitime du trafic d’attaque, permettant aux organisations de répondre efficacement aux attaques DDoS tout en minimisant les faux positifs. Cette analyse peut être effectuée côté client ainsi que côté serveur via des proxys intelligents qui détectent le stress du système pouvant indiquer une attaque par déni de service. 

Le déploiement d’un réseau de diffusion de contenu (CDN) peut aider à atténuer l’impact des attaques volumétriques et à améliorer la disponibilité et les performances. Les CDN peuvent utiliser leur infrastructure de réseau distribuée pour identifier et bloquer le trafic malveillant, garantissant ainsi que les demandes légitimes atteignent la cible.

Les équilibreurs de charge et les contrôleurs de distribution d'applications (ADC) peuvent également agir comme un mécanisme de défense contre les attaques DDoS en distribuant et en gérant intelligemment le trafic. Les équilibreurs de charge peuvent détecter et atténuer les attaques DDoS en appliquant diverses techniques telles que la limitation du débit, la mise en forme du trafic ou la redirection du trafic vers des solutions de protection DDoS spécialisées. 

La mise en œuvre de services de protection DDoS basés sur le cloud peut contribuer à fournir des capacités d’atténuation dédiées et évolutives pour se défendre contre les attaques DDoS. En redirigeant le trafic via ces services, les organisations peuvent bénéficier de techniques d’atténuation avancées, de renseignements sur les menaces en temps réel et de l’expertise de fournisseurs spécialisés.

D’autres bonnes pratiques pour se protéger contre les attaques DDoS incluent l’activation de la gestion des requêtes TCP (Transmission Control Protocol) et UDP (User Datagram Protocol) pour garantir que seules les requêtes légitimes sont traitées. Une surveillance et une journalisation régulières permettent de détecter les attaques de manière précoce et peuvent atténuer tout impact négatif. Des schémas de trafic accru, des erreurs ou une activité inhabituelle peuvent déclencher des alertes pour une enquête plus approfondie. Le chiffrement du trafic entre les applications et les clients peut rendre plus difficile pour un attaquant d’intercepter et de modifier le trafic. Des mises à jour logicielles régulières garantissent que vos systèmes sont protégés par les dernières fonctionnalités de sécurité et correctifs pour atténuer les menaces connues, y compris les attaques DDoS.

Alors que les attaques DDoS continuent de croître en ampleur et en complexité, les organisations ont besoin de plusieurs couches de protection pour arrêter ces attaques avant qu'elles n'atteignent le réseau de l'entreprise. Souvent, ces attaques combinent un trafic à volume élevé avec des techniques d'attaque furtives, lentes et ciblées sur les applications, alimentées soit par des botnets automatisés, soit par des outils pilotés par l'homme. Alors que la fréquence de ces attaques et le coût des pannes continuent d’augmenter, l’importance d’une défense holistique et multicouche pour atténuer ces attaques est désormais essentielle.

Découvrez des attaques DDoS réelles et comment elles ont été atténuées en regardant ou en lisant les études de cas suivantes.

• Découvrez comment F5 a stoppé une attaque DDoS volumétrique de 26 Gbit/s chez un fournisseur de messagerie.
• Découvrez comment la Heritage Bank d'Australie a déployé une suite de produits F5 qui offre une protection DDoS 24h/24 et 7j/7 et répond aux directives réglementaires de la banque.

Alors que les attaques DDoS continuent d’évoluer , les organisations doivent rester informées des dernières tendances et développements. 

Une tendance récente a été la prévalence croissante des botnets de l’Internet des objets (IoT) . Les appareils IoT, tels que les caméras intelligentes, les routeurs et les appareils connectés, ont souvent des mesures de sécurité faibles et sont susceptibles d’être compromis. Les attaquants exploitent les vulnérabilités de ces appareils pour les infecter avec des logiciels malveillants et les enrôler dans un botnet. La puissance de calcul combinée de milliers d’appareils IoT compromis peut générer des volumes massifs de trafic d’attaque DDoS. 

Les attaques au niveau de la couche applicative, qui ont pour objectif d’épuiser les ressources du serveur ou d’exploiter des vulnérabilités dans des applications spécifiques, imitent souvent un comportement utilisateur légitime, ce qui complique leur détection et leur neutralisation. Vous devez relever un défi particulier pour contrer ces attaques, car elles exigent une compréhension approfondie du comportement des applications et l’utilisation de mécanismes de protection adaptés.

L’apparition des plateformes DDoS-as-a-Service facilite la réalisation d’attaques DDoS même pour les utilisateurs moins expérimentés techniquement. Vous trouverez ces plateformes sur le Dark Web, où elles offrent des interfaces simples pour louer et lancer des attaques DDoS, souvent en s’appuyant sur des botnets à louer.