Définition d’attaque par déni de service (DoS)

Qu’est-ce qu’une attaque par déni de service (DoS) ?

Une attaque par déni de service (DoS) est une cyberattaque sur des appareils, des systèmes d’information ou d’autres ressources réseau qui empêche les utilisateurs légitimes d’accéder aux services et ressources attendus. Ceci est généralement accompli en inondant l’hôte ou le réseau ciblé de trafic jusqu’à ce que la cible ne puisse pas répondre ou tombe en panne. Les attaques DoS durent de quelques heures à plusieurs mois et peuvent coûter du temps et de l’argent aux entreprises lorsque leurs ressources et leurs services ne sont pas disponibles.

Comment fonctionnent les attaques par déni de service

Les attaques DoS sont en augmentation à mesure que les entreprises et les consommateurs utilisent davantage de plateformes numériques pour communiquer et effectuer des transactions entre eux.

Les cyberattaques sont souvent lancées pour voler des informations personnellement identifiables (PII), causant des dommages considérables aux poches financières et à la réputation des entreprises. Les violations de données peuvent cibler une entreprise spécifique ou une foule d’entreprises en même temps. Une entreprise avec des protocoles de haute sécurité en place peut être attaquée par un membre de sa chaîne d’approvisionnement avec des mesures de sécurité inadéquates. Lorsque plusieurs entreprises ont été sélectionnées pour une attaque, les auteurs peuvent utiliser une approche DoS.

Dans une attaque DoS, les cyberattaquants utilisent généralement une connexion Internet et un appareil pour envoyer des requêtes rapides et continues à un serveur cible afin de surcharger la bande passante du serveur. Les attaquants DoS exploitent une vulnérabilité logicielle dans le système et procèdent à l’épuisement de la RAM ou du CPU du serveur.

Les dommages en perte de service causés par une attaque DoS peuvent être réparés en peu de temps en mettant en place un pare-feu avec des règles d’autorisation/de refus. Étant donné qu’une attaque DoS n’a qu’une seule adresse IP, l’adresse IP peut être facilement récupérée et refusée à l’aide d’un pare-feu. Cependant, il existe un type d’attaque DoS qui n’est pas si facile à détecter : une attaque par déni de service distribué (DDoS).

Attaque par déni de service distribué (DDoS)

Un type courant d’attaque DoS est l’attaque par déni de service distribué (DDoS). L’attaquant inonde sa cible de trafic Internet indésirable afin que le trafic normal ne puisse pas atteindre sa destination. Des hordes d’appareils connectés infectés (par exemple, smartphones, PC, serveurs de réseau et appareils Internet des objets) du monde entier s’attaquent simultanément à un site Web, un réseau, une application Web, une API ou une infrastructure de centre de données ciblés pour bloquer le trafic.

Les différentes sources de trafic d’attaque peuvent fonctionner sous la forme d’un botnet. Un botnet est un réseau d’appareils personnels qui ont été compromis par des cybercriminels à l’insu des propriétaires des appareils.

Les pirates infectent les ordinateurs avec des logiciels malveillants pour prendre le contrôle du système afin d’envoyer du spam et de fausses demandes à d’autres appareils et serveurs. Un serveur cible qui est victime d’une attaque DDoS subira une surcharge en raison des centaines ou des milliers d’attaques de trafic bidon qui arrivent.

Étant donné que le serveur est attaqué à partir de plusieurs sources, la détection de toutes les adresses de ces sources peut s’avérer difficile. Séparer le trafic légitime du faux trafic peut également être impossible à faire, d’où une autre raison pour laquelle il est difficile pour un serveur de résister à une attaque DDoS.

Pourquoi les attaques DDoS sont-elles lancées ?

Contrairement à la plupart des cyberattaques lancées pour voler des informations sensibles, les attaques DDoS initiales sont lancées pour rendre les sites Web inaccessibles à leurs utilisateurs. Cependant, certaines attaques DDoS sont utilisées comme façade pour d’autres actes malveillants. Lorsque les serveurs ont été renversés avec succès, les coupables peuvent aller dans les coulisses pour démanteler les pare-feu des sites Web ou affaiblir leurs codes de sécurité pour de futurs plans d’attaque.

Une attaque DDoS peut également être utilisée comme une attaque de la chaîne d’approvisionnement numérique. Si les cyberattaquants ne peuvent pas pénétrer les systèmes de sécurité de leurs sites Web cibles multiples, ils peuvent trouver un maillon faible qui est connecté à toutes les cibles et attaquer le lien à la place. Lorsque le lien est compromis, les cibles principales sont également indirectement affectées.

Les cyber-vandales continuent de proposer de nouvelles façons de commettre des cybercrimes, que ce soit pour le plaisir ou pour le profit. Il est impératif que chaque appareil ayant accès à Internet dispose de protocoles de sécurité en place pour restreindre l’accès.

Exemple d’attaque DDoS

En octobre 2016, une attaque DDoS a été menée sur un fournisseur de système de noms de domaine (DNS), Dyn. Considérez un DNS comme un répertoire Internet qui achemine votre demande ou votre trafic vers la page Web souhaitée.

Une entreprise comme Dyn héberge et gère les noms de domaine des entreprises sélectionnées dans cet annuaire sur son serveur. Lorsque le serveur de Dyn est compromis, cela affecte également les sites Web des entreprises qu’il héberge. L’attaque de 2016 contre Dyn a inondé ses serveurs d’une quantité écrasante de trafic Internet, créant ainsi une panne Web massive et fermant plus de 80 sites Web, y compris des sites majeurs comme Twitter, Amazon, Spotify, Airbnb, PayPal et Netflix.

Une partie du trafic a été détectée à partir d’un botnet créé avec un logiciel malveillant connu sous le nom de Mirai qui semble avoir affecté plus de 500 000 appareils connectés à Internet. Contrairement à d’autres botnets qui capturent des ordinateurs privés, ce botnet particulier a pris le contrôle d’appareils Internet des objets (IoT) facilement accessibles tels que des DVR, des imprimantes et des caméras. Ces appareils faiblement sécurisés ont ensuite été utilisés pour effectuer une attaque DDoS en envoyant un nombre insurmontable de requêtes au serveur de Dyn.