Qu’est-ce qu’une attaque DDoS ?

Une attaque en déni de service distribué (DDoS) consiste pour l’agresseur à rendre un ou plusieurs systèmes informatiques indisponibles. Ce genre d’attaque vise généralement les serveurs web mais peut également affecter des serveurs de messagerie, des serveurs de noms ou tout autre type de système IT. Pour atteindre ce but, l’agresseur sature la cible de requêtes au point qu’elle ne puisse répondre et déclare forfait, rendant ainsi le service indisponible. Comment l’agresseur opère-t-il ? Il déclenche son offensive depuis une machine qui commande un grand nombre d’ordinateurs infectés par des logiciels robots envoyant à flot continu des requêtes simultanées vers l’adresse de la victime désignée. Les demandes ainsi formulées peuvent être de simples paquets appelant une réponse - un ping - ou une série plus complexe de paquets qui a un effet de saturation provoquant une file d’attente des demandes entrantes. L’allongement de cette queue provoque finalement un blocage duquel résulte ce que l’on appelle un déni de service. Les spécialistes distinguent trois catégories d’attaque DDoS : la saturation de la bande passante du réseau alimentant le serveur, l’épuisement des ressources système de la machine et l’exploitation d’une faille logicielle rendant le serveur indisponible, ou pire, soumis à une prise de contrôle.

Des attaques « faciles à mener »

Pourquoi ces agressions se multiplient-elles ? Les pirates et autres cybercriminels affectionnent les attaques DDoS car elles sont relativement simples à mener dès lors que l’on sait trouver les outils logiciels nécessaires à ce genre d’opération. Avant, un cyberdélinquant devait posséder un certain niveau de compétences pour constituer son armée d’ordinateurs « zombies » et disposer ainsi de la puissance de calcul nécessaire pour mener son attaque avec succès. Aujourd’hui, les nouvelles méthodes ne nécessitent pas beaucoup de ressources et encore moins de compétences. Des organisations criminelles ou activistes proposent des « kits d’attaque DDoS » à bas prix ou louent leurs réseaux botnets à ceux qui souhaitent lancer des opérations agressives. Ces méthodes utilisent aussi des serveurs publics de synchronisation temporelle qui relayent les attaques à la place des réseaux de zombies, ou exploitent la facilité avec laquelle se téléchargent les applications mobiles pour rassembler des participants dans une action militante en faveur d’une cause idéologique quelconque. La naïveté des internautes aidant, le phénomène des attaques DDoS n’est pas prêt de se tarir d’autant que l’imagination malfaisante semble sans limite, favorisant la multiplication des options agressives : le site https://www.rivalhost.com/blog/12-types-of-ddos-attacks-used-by-hackers/ recense ainsi au moins une douzaine de modalités d’attaques.

Comment contrer les attaques DDoS ?
Comment peut-on atténuer l’impact d’une attaque DDoS, notamment chez un hébergeur qui dispose de son propre réseau ?

Il est difficile d’éviter de façon infaillible ce type d’attaques mais il est en revanche possible d’en limiter l’impact non seulement sur la cible directe mais également sur les sites qui partagent les mêmes infrastructures et peuvent de ce fait devenir des victimes collatérales :
– Le premier rempart qu’un hébergeur de dimension internationale peut dresser face aux agressions consiste à utiliser un réseau optique propriétaire pour desservir ses data centers et ses points de présence. Une telle infrastructure a l’avantage d’être sous contrôle en permanence ce qui permet de détecter les attaques très rapidement.
– Une infrastructure propriétaire permet de déployer un solide bouclier anti-DDoS qui réagit à la moindre alerte et enclenche le re-routage du trafic de données perverties afin d’en atténuer fortement l’impact sur les serveurs visés.
– La maîtrise directe et de bout en bout de l’infrastructure réseau réduit aussi considérablement le délai entre le moment où les dispositifs de surveillance détectent l’agression et donnent l’alerte, et la réaction des opérateurs en charge de la sécurité et de l’intervention.
– Les équipements de détection installés sur le réseau, à des endroits stratégiques, interviennent aussi immédiatement pour atténuer automatiquement les afflux de données pendant que la maintenance opérationnelle met en place une réplique réfléchie et isole les sites partageant les infrastructures agressées.
– En parallèle, le client objet de l’attaque doit être tenu informé en permanence de l’attaque et des parades qui lui sont opposés. Il peut ainsi prendre des dispositions pour agir afin d’atténuer des dégâts éventuels occasionnés par l’attaque et mobiliser son personnel pour accompagner le plan de reprise tel qu’il a été préparé à l’avance.
– L’efficacité et l’instantanéité de la réponse à une attaque DDoS passe notamment par la mise en place d’équipements capables de « nettoyer » en ligne le trafic de données sans pour autant rejeter les bonnes requêtes ce qui suppose de pouvoir détecter rapidement les agressions puis de lancer immédiatement l’inspection et l’analyse des paquets de données.
– L’hébergeur infogérant doit aussi disposer d’une défense bien structurée afin que les équipements de sécurité ne deviennent pas des goulots d’étranglement pour les services des clients en permettant au trafic légitime de passer, sans aucune interruption.

Les agressions massives servent à masquer d’autres manœuvres comme le vol de données stratégiques ou d’informations sur les clients. Les hébergeurs doivent s’inquiéter de la prolifération des attaques et se mobiliser afin d’éviter aux entreprises et institutions publiques de subir de graves préjudices.