Attaque par déni de service (DoS)

Qu’est-ce qu’une attaque par déni de service (DoS)?

Une attaque par déni de service (DoS) est une cyberattaque intentionnelle menée sur des réseaux, des sites Web et des ressources en ligne pour restreindre l’accès à ses utilisateurs légitimes. Cela se fait généralement en surchargeant le réseau ou le site cible avec de fausses requêtes système, empêchant les utilisateurs légitimes d’y accéder, parfois plantant ou endommageant carrément un système. Les attaques DoS peuvent durer de quelques heures à plusieurs mois.

Un type courant d’attaque DoS répandu sur le Web est appelé l’attaque par déni de service distribué (DDoS) qui s’appuie sur des ordinateurs ou des appareils infectés du monde entier dans un effort coordonné pour bloquer l’accès.

Fonctionnement des attaques par déni de service

Les attaques DoS sont à la hausse car, à mesure que les entreprises et les consommateurs utilisent davantage de plates-formes numériques pour communiquer et effectuer des transactions entre eux, ces cyberattaques ciblent la propriété intellectuelle et les infrastructures numériques. Les cyberattaques sont généralement lancées pour voler des informations personnelles identifiables (PII), causant des dommages considérables aux poches financières et à la réputation des entreprises. Les violations de données peuvent cibler une entreprise spécifique ou une multitude d’entreprises en même temps. Une entreprise disposant de protocoles de haute sécurité peut être attaquée par un membre de sa chaîne d’approvisionnement avec des mesures de sécurité inadéquates. Lorsque plusieurs entreprises ont été sélectionnées pour une attaque, les auteurs peuvent utiliser une approche DoS.

Dans une attaque DoS, les cyberattaquants utilisent généralement une connexion Internet et un appareil pour envoyer des requêtes rapides et continues à un serveur cible afin de surcharger la bande passante du serveur. Les attaquants DoS exploitent une vulnérabilité logicielle dans le système et procèdent à l’épuisement de la RAM ou du processeur du serveur. Les dommages en cas de perte de service causés par une attaque DoS peuvent être corrigés en peu de temps en implémentant un pare-feu avec des règles d’autorisation et de refus. Puisqu’une attaque DoS n’a qu’une seule adresse IP, l’adresse IP peut être facilement extraite et refusée à l’aide d’un pare-feu. Cependant, il existe un type d’attaque DoS qui n’est pas si facile à détecter: une attaque par déni de service distribué (DDoS).

Attaque par déni de service distribué (DDoS)

Une attaque par déni de service distribué (DDoS) utilise plusieurs périphériques et connexions infectés répartis dans le monde entier en tant que botnet. Un botnet est un réseau d’appareils personnels qui ont été compromis par des cybercriminels à l’insu des propriétaires des appareils. Les pirates informatiques infectent les ordinateurs avec des logiciels malveillants pour prendre le contrôle du système afin d’envoyer du spam et de fausses demandes à d’autres appareils et serveurs. Un serveur cible victime d’une attaque DDoS subira une surcharge en raison des centaines ou des milliers de faux trafic entrant. Étant donné que le serveur est attaqué à partir de plusieurs sources, la détection de toutes les adresses de ces sources peut s’avérer difficile. Séparer le trafic légitime du faux trafic peut également être impossible à faire, d’où une autre raison pour laquelle il est difficile pour un serveur de résister à une attaque DDoS.

Contrairement à la plupart des cyberattaques lancées pour voler des informations sensibles, les attaques DDoS initiales sont lancées pour rendre les sites Web inaccessibles à leurs utilisateurs. Cependant, certaines attaques DDoS sont utilisées comme façade pour d’autres actes malveillants. Lorsque les serveurs ont été détruits avec succès, les coupables peuvent aller dans les coulisses pour démanteler les pare-feu des sites Web ou affaiblir leurs codes de sécurité pour les futurs plans d’attaque.

Une attaque DDoS peut également être utilisée comme une attaque de la chaîne d’approvisionnement numérique. Si les cyberattaquants ne peuvent pas pénétrer les systèmes de sécurité de leurs multiples sites Web cibles, ils peuvent trouver un lien faible qui est connecté à toutes les cibles et attaquer le lien à la place. Lorsque le lien est compromis, les cibles principales sont également automatiquement affectées indirectement.

Exemple d’attaque DDoS

En octobre 2016, une attaque DDoS a été menée sur un fournisseur de système de noms de domaine (DNS), Dyn. Considérez un DNS comme l’annuaire Internet qui achemine votre demande ou votre trafic vers la page Web prévue. Une entreprise comme Dyn héberge et gère le nom de domaine de certaines entreprises de cet annuaire sur son serveur. Lorsque le serveur de Dyn est compromis, cela affecte également les sites Web des entreprises qu’il héberge. L’attaque de 2016 contre Dyn a inondé ses serveurs d’une quantité écrasante de trafic Internet, créant ainsi une panne Web massive et fermant plus de 80 sites Web, y compris des sites majeurs comme Twitter, Amazon, Spotify, Airbnb, PayPal et Netflix.

Une partie du trafic a été détectée à partir d’un botnet créé avec un logiciel malveillant connu sous le nom de Mirai qui semblait avoir affecté plus de 500 000 appareils connectés à Internet. Contrairement à d’ autres réseaux de zombies qui capturent des ordinateurs privés, ce botnet particulier le contrôle acquise au cours des facilement accessible Internet des objets (IdO) des appareils tels que enregistreurs vidéo numériques, des imprimantes et des caméras. Ces appareils faiblement sécurisés ont ensuite été utilisés pour effectuer une attaque DDoS en envoyant un nombre insurmontable de requêtes au serveur de Dyn.

Les cyber-vandales continuent de proposer de nouvelles façons de commettre la cybercriminalité, que ce soit pour le plaisir ou pour le profit. Il est impératif que chaque appareil ayant accès à Internet dispose de protocoles de sécurité pour restreindre l’accès.