Parmi les différentes attaques pouvant menacer l’infrastructure informatique d’une entreprise, l’une des plus courantes est l’attaque DDoS. De quoi s’agit-il ? Comment protéger votre entreprise, votre site Web ou vos services critiques, et réduire l’impact d’une telle attaque ? On vous explique tout !
Qu’est-ce qu’une attaque DDoS ?
Le Système d’Information est aujourd’hui un élément vital pour une entreprise. De plus en plus d’échanges avec l’écosystème de fournisseurs, de partenaires, de salariés et de clients passent par Internet, que ce soit à travers son ou ses sites Web, ou les différents outils collaboratifs, la messagerie, ou encore d’autres services spécifiques. Même le suivi des stocks et la gestion des entrepôts se font en ligne, et permettent d’obtenir une vision en temps réel sur l’état de santé de l’activité.
Il suffit parfois d’un petit caillou pour gripper ce mécanisme, intentionnellement ou non. Et parmi ces cailloux, l’une des cyberattaques préférées des criminels, car très facile à mettre en œuvre, est l’attaque par déni de service (dite “attaque DOS” pour Denial of Services, en anglais). Son but est simple : surcharger de requêtes votre infrastructure informatique pour la faire tomber
Comment fonctionne une attaque DDoS ?
Les méthodes les plus basiques peuvent prendre la forme de visites sur une page précise du site Web pour faire tomber le serveur qui l’héberge, ou encore chercher à bloquer les communications entre deux appareils pour empêcher d’accéder à un service précis… Plus précisément, on parle d’attaque DDoS, ou attaque par déni de service distribué, lorsque cette attaque sur le système d’information semble provenir de plusieurs sources différentes ayant coordonné leurs actions.
Cette méthode est désormais la plus courante pour deux raisons. La première est qu’elle ne nécessite pas forcément de grandes connaissances en informatique de la part des attaquants. Ces attaques sont donc
« manuelles », au sens où il y a une personne physique agissant derrière chaque machine attaquante. Mais le plus souvent, les cybercriminels se tournent vers des botnets, des réseaux de machines infectées (dites “zombies”) pour lancer leur offensive. Il existe même des services de location de botnets ou de
DDoS-as-a-service, pour qui veut lancer une attaque sans trop se fatiguer, contre quelques centaines ou milliers d’euros.
La deuxième raison est que plus l’attaque a de sources différentes, plus elle est difficile à repérer par les équipes informatiques de l’entreprise. Comment distinguer le trafic généré par une attaque d’un pic d’activité légitime, comme l’ouverture des soldes sur une boutique en ligne, par exemple ? Et comment faire le tri entre les requêtes en provenance d’utilisateurs autorisés ou classiques, et celles venant de personnes ou de bots aux buts malveillants ? D’autant plus que les attaquants peuvent encore brouiller les pistes en usurpant des adresses IP légitimes (spoofing).
Une attaque DDoS est tellement simple à mettre en oeuvre, que des hacktivistes, c’est-à-dire des militants utilisant des outils numériques légaux (ou non) pour faire avancer leur cause, ont ainsi en 2019 organisé une attaque de ce type sur certains services de police américains, en les submergeant de vidéos du groupe de musique pop coréenne, BTS. Ce type de piraterie informatique est à la portée de tout le monde !
Attaques DDoS : quelles sont les plus fréquentes ?
Nous l’avons vu : les attaques par DDoS peuvent prendre plusieurs formes. Mais elles ont toutes le même but : rendre un serveur, un service ou une partie de l’infrastructure informatique d’une organisation indisponible. On distingue trois grandes familles d’attaques DDoS, utilisant des méthodes différentes :
Surcharge de la bande passante
Ces attaques volumétriques consistent à inonder l’ensemble du système d’information de nombreuses demandes, visant à consommer la bande passante au sein du réseau ou du service cible. Ce sont les attaques les plus courantes.
Surcharge des ressources systèmes
Les attaques par épuisement (ou saturation) d’état visent à consommer les tables d’état de connexion présentes dans de nombreux composants d’infrastructure, tels que les équilibreurs de charge (load balancer), les firewalls et les serveurs d’applications eux-mêmes. En épuisant les ressources-systèmes de la machine, elles empêchent cette dernière de répondre au trafic légitime.
Erreurs systèmes et lacunes de sécurité
Les attaques de couches d’application ciblent des applications spécifiques, ou des protocoles bien connus comme HTTP (HyperText Transfer Protocol), DNS (Domain Name System) ou VoIP (Voice over Internet Protocol). En exploitant des vulnérabilités dans ces applications et protocoles, elles génèrent une multitude de messages d’erreur sur le serveur cible, et sont plus difficilement détectables.
Comment se prémunir des attaques DDoS
Pour se protéger des attaques DDoS, il existe différentes méthodes qui doivent être utilisées combinées les unes avec les autres, car elles répondent aux différentes variétés d’attaques utilisées par les cybercriminels.
Ainsi, le déploiement d’équipements de filtrage en bordure du système d’information s’avère utile pour les attaques dont le volume n’excède pas la capacité des liens réseaux. Ce filtrage peut se faire à l’aide de répartiteurs de charge, ou de différents pare-feux (ou firewall), notamment les WAB (Web Application Firewall), pour contrôler le trafic en provenance du Web. N’oubliez pas, à ce sujet, d’intégrer dans les équipements protégés par ces outils, tous les objets connectés de votre infrastructure : les postes de travail et serveurs évidemment, mais également les webcams, les capteurs sur vos lignes de fabrication, les imprimantes en réseaux, les terminaux de paiement, les caisses des magasins…
Dès qu’un appareil peut envoyer des données ou faire des requêtes sur votre système d’information, il peut devenir un vecteur d’attaque par DDoS ou en être une cible. Et cela peut sembler une évidence, mais n’oubliez pas de mettre à jour régulièrement l’ensemble de votre parc informatique (matériel comme logiciel), pour éviter que de vieilles vulnérabilités soient utilisées (notamment dans les attaques ciblant plus spécifiquement un type d’appareil ou d’application)
Lorsque ces équipements sont saturés, ou eux-mêmes ciblés par les attaques, il faut alors demander à l’opérateur de transit ou au fournisseur d’accès à Internet de filtrer le trafic en amont.
Par ailleurs, des prestataires offrent des solutions de protection dédiées dans le cloud, qui sont hébergées sur leurs propres infrastructures. Il est ainsi possible de passer par un CDN (Content Delivery Network) pour répartir ses ressources sur un grand nombre de serveurs à travers le monde, idéalement en balançant la charge automatiquement d’un serveur à l’autre, ce qui rend plus difficile les chances de succès d’une attaque par déni de service, et permet de réduire le temps d’inaccessibilité en cas d’attaque. Le CDN est donc à la fois un outil de prévention et de mitigation des attaques DDoS.
Que faire en cas d’attaque ?
En effet, même avec le meilleur système de protection de l’accès Internet, une entreprise ne peut s’assurer de ne pas être un jour la cible d’une attaque DDoS. Comment alors réduire la portée de l’attaque et y répondre ? Dans le monde professionnel, il ne faut pas rester seul face aux criminels. Et le premier partenaire de l’entreprise est son opérateur téléphonique et fournisseur d’accès à Internet. Celui-ci pourra lui proposer des solutions aussi basiques que le « blackholing», qui consiste à informer l’ensemble des routeurs Internet que l’adresse IP ciblée par une attaque n’existe pas, et que par conséquent, les paquets envoyés à cette adresse n’arriveront jamais. Cette méthode présente l’inconvénient d’empêcher également les transactions légitimes, mais permet de stopper net une attaque soudaine. À condition de réactiver l’adresse IP par la suite, et que l’attaque soit basique. La plupart des prestataires vont cependant plus loin pour aider leurs clients professionnels.
Les solutions de sécurité et anti-DDoS de Bouygues Telecom Entreprises
Chez Bouygues Telecom Entreprises, par exemple, la solution anti-DDoS regroupe dans une même offre les activités de protection de l’infrastructure du client, et les actions de mitigation à mettre en place durant l’attaque et après. Pour cela, Bouygues Telecom Entreprises s’est associé à Netscout, et plus particulièrement à sa filiale Arbor Networks, pour analyser et surveiller le trafic Internet vers votre réseau et détecter les attaques le plus tôt possible, les bloquer, que celles-ci visent les équipements fixes ou mobiles, et assurer une continuité de service en redirigeant les paquets loin des zones affectées. Les clients de Bouygues Telecom Entreprises ayant souscrit à cette offre peuvent personnaliser les seuils de détection et accéder en temps réel à un tableau de bord, pour voir d’où viennent les attaques, et quelles sont les cibles, donnant ainsi plus de visibilité et de flexibilité à leurs propres équipes en charge de la sécurité informatique.
Les attaques DDoS concernent tout type d’entreprise ! Êtes-vous prêts à prendre les mesures nécessaires pour vous en protéger ?