Une attaque DDoS n’est pas un piratage, mais cela est une maigre consolation lorsque votre site web est inaccessible pendant des heures, voire des jours. D’où proviennent ces attaques, qui en est à l’origine, mais surtout : comment votre entreprise peut-elle s’en prémunir ?
« L’objectif d’une attaque DDoS est de rendre un service inaccessible et de causer des dommages économiques », déclare Wesley Hof, directeur technique chez le spécialiste de l’hébergement Combell. Son entreprise a la tâche complexe de maintenir les sites web des clients accessibles, même lorsqu’ils sont victimes d’une telle attaque par déni de service distribué.
Les attaques DDoS deviennent plus populaires, mais aussi plus sophistiquées. Qu’est-ce qu’exactement une attaque DDoS ? Hof souligne tout d’abord la différence importante entre DDoS et un piratage classique. « Lors d’un piratage ordinaire, quelqu’un avec de mauvaises intentions s’introduit dans un but précis. Souvent, c’est pour accéder d’une manière ou d’une autre aux données sensibles d’une entreprise. Les pirates peuvent alors voler les données, ou les chiffrer et demander une rançon pour les déchiffrer. »
lire aussi
Les attaques DDoS repartent à la hausse au quatrième trimestre 2024
Ceux qui sont victimes de logiciels malveillants et de pirates sont confrontés à une véritable intrusion numérique. Quelque chose ou quelqu’un a franchi la sécurité via un bogue ou une erreur humaine et a ainsi obtenu l’accès à certains systèmes. Cela contraste avec une attaque DDoS, que l’on ne peut pas vraiment qualifier de piratage.
Embouteillage sur l’autoroute
Une attaque DDoS n’affecte pas l’intégrité des services en ligne eux-mêmes, mais bloque le chemin qui y mène. Hof clarifie avec une analogie. « Supposons que des clients veuillent visiter physiquement votre entreprise par la route. Votre bureau est par exemple accessible via l’autoroute. Lorsqu’il y a trop de trafic sur cette autoroute, elle devient saturée, des embouteillages se forment et la circulation finit par s’immobiliser complètement. Le client ne peut plus passer et n’atteint pas votre entreprise. »
Numériquement, la situation est similaire. Les services en ligne sont interconnectés via des connexions de capacité variable : des routes et des autoroutes. Les attaques DDoS ont pour but de saturer la connexion vers un service avec des requêtes inutiles, de sorte qu’un visiteur légitime ne puisse pas non plus passer. Pour vous donner une idée : récemment, Akamai a bloqué la plus grande attaque DDoS jamais vue en Europe. Celle-ci générait environ 853 Gbps de trafic de données dans une tentative de rendre la connexion vers la cible inaccessible.
Tirer avec un botnet
Pour mener une attaque DDoS, l’attaquant n’a donc pas besoin d’accéder aux systèmes de la cible. Cependant, les criminels doivent avoir une capacité suffisante pour saturer l’autoroute menant à leur victime. « Ils y parviennent via ce qu’on appelle communément un botnet », explique Hof. « C’est un réseau zombie composé d’appareils, tels que des ordinateurs et des serveurs, qui ont été piratés mais à l’insu de leur propriétaire. Sur commande, des milliers, voire des millions d’appareils piratés envoient leurs requêtes de connexion vers la cible d’une attaque, la rendant ainsi inaccessible. »
lire aussi
Attaques DDoS : d’où proviennent-elles et comment peut-on les arrêter ?
Comme l’attaque provient de différents appareils dans le monde entier, on parle d’une attaque distribuée. « Les attaques DoS ordinaires n’existent plus vraiment », constate Hof. « Cela fait des décennies que je n’en ai plus vu. Les attaques non distribuées peinent à atteindre une capacité suffisante pour réussir, et sont en outre plus faciles à tracer. »
L’idéologie prime sur le gain financier
Comme les attaques DDoS n’exploitent pas de vulnérabilité chez la cible elle-même, tout le monde peut théoriquement en être victime. Néanmoins, Hof observe un schéma : « Les attaques DDoS sont davantage menées par conviction idéologique, contrairement à un piratage classique où un criminel veut gagner de l’argent. En conséquence, nous constatons un risque accru de DDoS pour les partis politiques plus extrêmes des deux côtés du spectre, les affaires liées à la religion ou d’autres opinions prononcées. » Ainsi, récemment, plusieurs sites web gouvernementaux en Belgique ont été touchés par une attaque DDoS provenant d’un collectif de pirates russes.
Les attaques DDoS sont davantage menées par conviction idéologique.
Wesley Hof, CTO Combell
Cela ne signifie pas qu’il n’y a jamais de motivation économique pour les attaquants. Ils peuvent exiger une rançon des victimes pour faire cesser l’attaque DDoS. « Cela se produit principalement avec les grandes entreprises où les attaquants ont le sentiment que la victime passerait rapidement au paiement, comme les compagnies d’assurance ou les banques. »
Protéger ou isoler ?
Le patch rapide et une politique de sécurité efficace vous protègent contre les piratages classiques, mais que pouvez-vous faire contre une attaque DDoS ? « Tout d’abord, votre accès à Internet doit être suffisamment large », déclare Hof. « Sur une autoroute étroite, le trafic se bloque rapidement. » En tant qu’entreprise, vous ne gérez généralement pas vous-même la connectivité à Internet, ce qui explique pourquoi nous nous entretenons virtuellement avec le CTO de Combell. En effet, l’atténuation des DDoS se produit en grande partie chez le fournisseur d’hébergement.
« Certains fournisseurs choisissent d’isoler temporairement la victime lors d’une attaque DDoS », explique Hof. « Ainsi, les autres clients du même fournisseur ne sont pas affectés, mais la cible devient numériquement inaccessible, ce qui est bien sûr l’objectif des attaquants. » Combell s’efforce de maintenir l’accessibilité des clients et utilise pour cela un ensemble d’outils qui montrent immédiatement comment surmonter une attaque DDoS.
Autoroute privée
Pour le fournisseur, le grand tuyau Internet prend la forme d’une dorsale sous sa propre gestion avec un peering vers les grands acteurs. Hof : « Lors d’une grande attaque DDoS depuis Internet, le trafic entre nous et les grands fournisseurs belges n’est pas affecté. Nous disposons d’une sorte d’autoroute privée, appelée peering, qui ne dépend pas d’Internet. » Cette grande capacité avec des routes alternatives rend déjà difficile pour les attaquants DDoS de mettre à terre des sites web. Ils ont besoin de beaucoup de ‘voitures’ pour mettre à genoux le trafic vers les clients.
De plus, Combell a une grande visibilité sur son réseau. « Lorsque le trafic réseau augmente de manière irrégulière, nous le détectons immédiatement et pouvons agir directement. » Les filtres dans ce réseau propre bloquent alors le trafic DDoS afin qu’il n’atteigne pas le client final. Ainsi, une attaque DDoS sur un client de Combell est essentiellement une attaque sur le fournisseur lui-même. C’est la capacité de l’hébergeur que l’attaquant doit abattre. Cela a un coût : Combell investit de facto dans un énorme excédent de capacité réseau pour pouvoir gérer d’immenses pics dus aux attaques DDoS.
Déviation temporaire
Bien sûr, cette capacité n’est pas non plus infinie. Si le déluge de paquets devient trop important, Combell active son service de nettoyage. Dans ce cas, le trafic vers la victime est redirigé via un partenaire spécialisé ayant une énorme capacité de débit. Celui-ci élimine les mauvais paquets et laisse passer les bons.
Le trafic est déjà redirigé au niveau du fournisseur vers l’autoroute gigantesque du partenaire de nettoyage, de sorte que Combell reste préservé. De cette manière, il est toujours possible de maintenir en ligne les parties ciblées. « Bien que la réalité soit que nous ne pouvons jamais être sûrs à cent pour cent », dit Hof modestement. La protection DDoS se déroule automatiquement et de manière proactive, et est incluse jusqu’à un certain niveau. « Quotidiennement, nous observons plusieurs attaques DDoS, de petite à moyenne envergure. Nous n’avons pas besoin d’agir pour celles-ci. Tout ne doit pas être nettoyé. »
Quotidiennement, nous observons plusieurs attaques DDoS, de petite à moyenne envergure.
Wesley Hof, CTO Combell
Le nettoyage est cependant un service payant, bien que Combell ne laissera pas un client dépérir lors d’une première attaque. « Lorsque c’est nécessaire, nous activons le service et nous assurons que tout est en ordre. Si les attaques persistent, nous nous concertons avec le client. »
En tant qu’utilisateur final, vous pouvez aussi apporter votre contribution. « Les pare-feu de nouvelle génération et les pare-feu d’applications web aident à gérer une attaque DDoS. La protection se fait toujours sur plusieurs couches. »
Tempête à affronter
Finalement, tout le monde peut être ciblé par des attaques DDoS, quelle que soit la taille de votre entreprise. Ce qui se passe alors dépend en grande partie de la partie qui assure votre connexion à Internet. Dans le pire des cas, votre site web est temporairement mis hors ligne pour protéger les parties qui partagent le même fournisseur d’hébergement. Comme mentionné, Hof n’est pas en faveur de cela, car cela joue en faveur des attaquants. Dans le meilleur des cas, il ne se passe rien du tout, grâce à l’atténuation, une grande capacité d’autoroute numérique et le nettoyage via des parties spécialisées.
Arrêter une attaque DDoS, ce n’est malheureusement pas possible. L’attaque DDoS elle-même est une tempête, tout ce que vous pouvez faire est de faire de votre mieux pour garder la tête hors de l’eau. Tôt ou tard, la tempête se calmera. Hof : « Les attaquants prennent aussi un risque en dirigeant un grand botnet vers une victime. » En effet, les grands botnets dangereux sont activement recherchés et neutralisés si possible. Cela s’est produit l’année dernière encore avec le botnet Emotet.
Danger croissant
Dans la pratique, les fournisseurs d’hébergement belges et leurs clients ne sont donc pas les cibles de prédilection des organisations les plus dangereuses. « Nous ne faisons pas partie du groupe cible », constate Hof. « Nos clients ne sont pas suffisamment attractifs pour les attaquants. Facebook et Microsoft le sont peut-être. »
D’autre part, les attaques deviennent de plus en plus importantes. Comme dans tous les autres domaines de la sécurité, la protection contre les DDoS est un jeu du chat et de la souris. La capacité des attaques DDoS ne cesse d’augmenter, donc la capacité des mécanismes de défense doit également s’améliorer. Pour l’instant, il semble que cela fonctionne assez bien.
Ceci est une contribution rédactionnelle en collaboration avec Combell. Cliquez ici pour plus d’informations sur l’offre de l’entreprise.