Qu’est-ce qu’une attaque par dĂ©ni de service (DoS) ?

Une attaque par dĂ©ni de service (DoS) consiste Ă  provoquer la paralysie d’un rĂ©seau ou d’une machine afin qu’il ou elle soit inaccessible aux utilisateurs. Pour y parvenir, les acteurs malveillants submergent leur cible de trafic ou lui envoient des informations qui la mettent hors d’état de marche. Quelle que soit la mĂ©thode, les utilisateurs lĂ©gitimes (collaborateurs, adhĂ©rents, dĂ©tenteurs de comptes, etc.) sont privĂ©s d’accĂšs au service ou Ă  la ressource voulue.

Les cibles privilĂ©giĂ©es des attaquants sont souvent les serveurs web d’entreprises de premier plan (banques, grandes enseignes et mĂ©dias), mais aussi d’organisations gouvernementales et de commerce international. En rĂšgle gĂ©nĂ©rale, ce type d’attaque n’entraĂźne ni le vol ni la perte d’informations importantes ou d’autres ressources. Mais pour la victime, le temps gaspillĂ© et le coĂ»t financier peuvent ĂȘtre Ă©levĂ©s.

Il existe principalement deux mĂ©thodes d’attaque DoS : saturer les services ou provoquer leur plantage. La premiĂšre consiste Ă  envoyer un grand volume de trafic au serveur qui, faute de pouvoir l’absorber, ralentit jusqu’à un Ă©tat d’immobilisation totale. Parmi les attaques par saturation les plus souvent utilisĂ©es, on retrouve notamment :

  • Les attaques de dĂ©passement de tampon – le type d’attaque DoS le plus courant. Elles consistent Ă  submerger une adresse rĂ©seau d’un volume de trafic supĂ©rieur Ă  celui que peut supporter le systĂšme (tel que prĂ©vu Ă  sa conception). Les attaques ci-dessous relĂšvent de cette catĂ©gorie, de mĂȘme que d’autres mĂ©thodes visant Ă  exploiter des bugs propres Ă  certains rĂ©seaux ou applications.
  • La saturation ICMP exploite les erreurs de configuration des Ă©quipements rĂ©seau Ă  l’aide de paquets spoofĂ©s qui lancent une commande ping non pas sur une machine, mais sur tous les ordinateurs du rĂ©seau visĂ©. En rĂ©ponse, le rĂ©seau monte en charge pour absorber le trafic reçu. Cette attaque s’appelle aussi « smurf » ou « ping de la mort ».
  • Le SYN flood envoie une demande de connexion au serveur, sans jamais aller au bout du processus de nĂ©gociation (handshake). L’attaquant continue ainsi, saturant tous les ports ouverts de requĂȘtes, jusqu’à ce qu’il n’en reste plus un seul de disponible pour les utilisateurs lĂ©gitimes qui souhaitent se connecter.

Les autres attaques DoS exploitent simplement les vulnĂ©rabilitĂ©s du systĂšme ou du service pour le paralyser. Ainsi, les cybercriminels envoient un message au systĂšme, utilisant les bugs Ă  leur avantage pour le faire planter ou en perturber considĂ©rablement le fonctionnement. Il devient alors indisponible pour les utilisateurs, qui ne peuvent ni y accĂ©der ni l’utiliser.

Autre type d’attaque DoS, les attaques par dĂ©ni de service distribuĂ© (DDoS) ont lieu lorsque plusieurs systĂšmes se synchronisent pour orchestrer leur assaut contre une mĂȘme cible. La principale diffĂ©rence, c’est que la victime est attaquĂ©e depuis une multitude d’appareils en mĂȘme temps, et non un seul. Cette distribution des hĂŽtes offre plusieurs avantages aux auteurs d’attaques DDoS :

  • L’armĂ©e de machines utilisĂ©es augmente la puissance de feu et le pouvoir de nuisance de l’attaquant
  • L’origine de l’attaque est difficile Ă  dĂ©tecter, tant les systĂšmes des assaillants sont distribuĂ©s de façon alĂ©atoire (le plus souvent Ă  travers le monde)
  • Il est plus difficile de neutraliser plusieurs machines qu’une seule
  • Il est compliquĂ© d’identifier le vĂ©ritable auteur de l’attaque, car la multitude de systĂšmes (gĂ©nĂ©ralement compromis) brouille les pistes

Aujourd’hui, la plupart de technologies de sĂ©curitĂ© prĂ©voient des mĂ©canismes de neutralisation de la plupart des formes d’attaque DoS. Une exception demeure nĂ©anmoins : les attaques DDoS qui, par leurs spĂ©cificitĂ©s, reprĂ©sentent encore un risque majeur et un vĂ©ritable Ă©pouvantail pour les organisations.