Quâest-ce quâune attaque par dĂ©ni de service (DoS) ?
Une attaque par dĂ©ni de service (DoS) consiste Ă provoquer la paralysie dâun rĂ©seau ou dâune machine afin quâil ou elle soit inaccessible aux utilisateurs. Pour y parvenir, les acteurs malveillants submergent leur cible de trafic ou lui envoient des informations qui la mettent hors dâĂ©tat de marche. Quelle que soit la mĂ©thode, les utilisateurs lĂ©gitimes (collaborateurs, adhĂ©rents, dĂ©tenteurs de comptes, etc.) sont privĂ©s dâaccĂšs au service ou Ă la ressource voulue.
Les cibles privilĂ©giĂ©es des attaquants sont souvent les serveurs web dâentreprises de premier plan (banques, grandes enseignes et mĂ©dias), mais aussi dâorganisations gouvernementales et de commerce international. En rĂšgle gĂ©nĂ©rale, ce type dâattaque nâentraĂźne ni le vol ni la perte dâinformations importantes ou dâautres ressources. Mais pour la victime, le temps gaspillĂ© et le coĂ»t financier peuvent ĂȘtre Ă©levĂ©s.
Il existe principalement deux mĂ©thodes dâattaque DoS : saturer les services ou provoquer leur plantage. La premiĂšre consiste Ă envoyer un grand volume de trafic au serveur qui, faute de pouvoir lâabsorber, ralentit jusquâĂ un Ă©tat dâimmobilisation totale. Parmi les attaques par saturation les plus souvent utilisĂ©es, on retrouve notamment :
- Les attaques de dĂ©passement de tampon â le type dâattaque DoS le plus courant. Elles consistent Ă submerger une adresse rĂ©seau dâun volume de trafic supĂ©rieur Ă celui que peut supporter le systĂšme (tel que prĂ©vu Ă sa conception). Les attaques ci-dessous relĂšvent de cette catĂ©gorie, de mĂȘme que dâautres mĂ©thodes visant Ă exploiter des bugs propres Ă certains rĂ©seaux ou applications.
- La saturation ICMP exploite les erreurs de configuration des Ă©quipements rĂ©seau Ă lâaide de paquets spoofĂ©s qui lancent une commande ping non pas sur une machine, mais sur tous les ordinateurs du rĂ©seau visĂ©. En rĂ©ponse, le rĂ©seau monte en charge pour absorber le trafic reçu. Cette attaque sâappelle aussi « smurf » ou « ping de la mort ».
- Le SYN flood envoie une demande de connexion au serveur, sans jamais aller au bout du processus de nĂ©gociation (handshake). Lâattaquant continue ainsi, saturant tous les ports ouverts de requĂȘtes, jusquâĂ ce quâil nâen reste plus un seul de disponible pour les utilisateurs lĂ©gitimes qui souhaitent se connecter.
Les autres attaques DoS exploitent simplement les vulnĂ©rabilitĂ©s du systĂšme ou du service pour le paralyser. Ainsi, les cybercriminels envoient un message au systĂšme, utilisant les bugs Ă leur avantage pour le faire planter ou en perturber considĂ©rablement le fonctionnement. Il devient alors indisponible pour les utilisateurs, qui ne peuvent ni y accĂ©der ni lâutiliser.
Autre type dâattaque DoS, les attaques par dĂ©ni de service distribuĂ© (DDoS) ont lieu lorsque plusieurs systĂšmes se synchronisent pour orchestrer leur assaut contre une mĂȘme cible. La principale diffĂ©rence, câest que la victime est attaquĂ©e depuis une multitude dâappareils en mĂȘme temps, et non un seul. Cette distribution des hĂŽtes offre plusieurs avantages aux auteurs dâattaques DDoS :
- LâarmĂ©e de machines utilisĂ©es augmente la puissance de feu et le pouvoir de nuisance de lâattaquant
- Lâorigine de lâattaque est difficile Ă dĂ©tecter, tant les systĂšmes des assaillants sont distribuĂ©s de façon alĂ©atoire (le plus souvent Ă travers le monde)
- Il est plus difficile de neutraliser plusieurs machines quâune seule
- Il est compliquĂ© dâidentifier le vĂ©ritable auteur de lâattaque, car la multitude de systĂšmes (gĂ©nĂ©ralement compromis) brouille les pistes
Aujourdâhui, la plupart de technologies de sĂ©curitĂ© prĂ©voient des mĂ©canismes de neutralisation de la plupart des formes dâattaque DoS. Une exception demeure nĂ©anmoins : les attaques DDoS qui, par leurs spĂ©cificitĂ©s, reprĂ©sentent encore un risque majeur et un vĂ©ritable Ă©pouvantail pour les organisations.