Contrairement aux idées reçues, il existe de nombreuses variantes d’attaques par déni de service, distribuées ou non (DoS/DDoS), visant divers protocoles, volumétriques ou pas, réseau ou applicatives, ainsi que des combinaisons de ces variantes.
Démystifier les attaques par Déni de service, DDOS
Les motivations sont également variées : jeu ou simple satisfaction narcissique, manifestation virtuelle aux accents plus politiques ou cyber-guerre économique ou militaire. Les entreprises et organisations de toutes tailles utilisant une connexion internet, disposant d’un serveur web ou d’un réseau accessible de l’extérieur sont directement concernées par ce risque.
Les objectifs des attaques sont moins nombreux que leurs types ou motivations : bloquer l’accès à un service – pour perturber l’activité de la victime et provoquer des pertes financières immédiates – ou rendre inopérants des équipements (ou services) et/ou créer une diversion pour faciliter une intrusion. Le plus important est de comprendre que les attaques par déni de service, quel que soit leur type, ne sont souvent qu’un volet d’une attaque structurée, visant en réalité à pénétrer sur le réseau de la cible pour voler des informations stratégiques : brevets, données personnelles, financières, etc.
Comment démystifier les attaques par Déni de service, DDOS
On peut regrouper ces attaques en cinq grandes familles, des plus volumétriques – mais également plus anciennes, moins élaborées – aux moins volumétriques – plus récentes et élaborées. La première est l’envoi massif de requêtes, utilisant une grande bande passante, que les outils traditionnels de défense peuvent repérer, sans toutefois toujours savoir comment ne bloquer qu’elles pour garantir la continuité du service.
La deuxième (reflective DoS attack) est similaire mais utilise un serveur de rebond pour attaquer, pendant que la troisième (outbound DDoS attack), utilise une machine compromise au sein même du réseau cible pour lancer un DoS et bloquer tout ou partie du réseau de la victime.
Les deux familles d’attaques restantes visent, elles, la couche applicative des serveurs cibles. Ce sont les plus dangereuses car conçues pour s’attaquer aux applications. Parfois spécifiques, elles n’envoient que très peu de données, ne génèrent pas de pic de bande passante (ainsi Apache killer, conçu pour faire tomber un serveur web avec un seul paquet). Masquées au sein des attaques volumétriques, elles sont d’autant plus dangereuses que leur trafic semble conforme.
C’est d’ailleurs pour cela que les systèmes traditionnels de défense, tels que pare-feu et IPS, ne peuvent lutter. Ils n’ont pas été conçus pour cela. Déjà impactés, quasiment systématiquement par les attaques volumétriques, ils ne voient tout simplement pas les attaques applicatives.
Le Gartner préconise d’ailleurs de déployer des équipements anti-DDoS en local, puis, éventuellement, de compléter avec une offre opérateur ou MSSP. En effet, seules des solutions dédiées sur le réseau de l’entreprise peuvent parer à l’ensemble des attaques, car elles analysent aussi bien le trafic que son impact sur les applications hébergées.
C’est donc directement devant le réseau qu’il faut installer ces équipements adaptés. Ils joueront le rôle de première ligne de défense, en rejetant tout trafic anormal (et uniquement celui-ci), avant qu’il n’accède au réseau, laissant les pare-feu, en particulier les « Next Generation », jouer pleinement leur rôle classique de contrôle des utilisateurs et des applications.
Illustration : « DDoS for Dummies », Corero Network Security.
Téléchargez cette ressource
Comment lutter contre le Phishing ?
Dans un environnement cyber en constante mutation, le phishing évolue vers des attaques toujours plus sophistiquées combinant IA, automatisation et industrialisation. Une réalité complexe qui exige des mesures de sécurité avancées et repensées au-delà de l’authentification multifacteur. Découvrez les réponses technologiques préconisées par les experts Eviden et les perspectives associées à leur mise en œuvre.
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- Les atouts cachés du Bring Your Own Model pour les entreprises
- NIS2 : les entreprises ne peuvent pas respecter la date limite de mise en conformité
- Le Low Code comme solution clé pour la gestion des systèmes Legacy
- Les cybercriminels veulent transformer les blockchains en hébergeurs de contenus malveillants
- À l’ère du numérique, la sécurité est la clé d’un avenir financier innovant