Boite à outils

Les attaques DDoS : une menace en pleine croissance

Dans le contexte géopolitique actuel, les attaques DDoS sont menées par des hackers animées par des revendications idéologiques. C’est ainsi que le groupe Anonymous Sudan a mené plusieurs attaques contre de grandes entreprises comme Microsoft et OpenAI. Au niveau des pays, les États-Unis, l’Ukraine ou encore la Russie enregistrent le plus grand nombre d’attaques DDoS.

Thumbnail-Les attaques DDoS
Contenu mis à jour le

Attaques collectives par saturation de service, les attaques DDoS ont désormais un nom en français. Pour cause, elles dominent les actualités en matière de cybercriminalité. Bien que ce type d’attaque ne soit pas nouveau, la menace est en pleine croissance et retient l’attention des entreprises compte tenu des conséquences. En effet, la France a enregistré près de 9 millions d’attaques DDoS en 2021.

Pourtant, l’impact d’une attaque est évalué à 50 000 euros, selon une enquête Corero. En effet, une attaque DDoS paralyse l’activité de sa cible. Cet arrêt peut avoir des répercussions financières sérieuses, au-delà d’une réputation écornée. La plupart des attaques durent moins de quinze minutes, selon Cloudflare.

Qu’est-ce qu’une attaque DDoS ?

Si les ransomwares et les attaques de phishing accaparent l’attention des entreprises, les attaques par déni de service distribué (DDoS) constituent également une menace informatique importante. La preuve, l’année 2022 a enregistré plus de 13 millions d’attaques DDoS à travers le monde.

L’objectif d’une attaque par déni de service est de rendre inaccessible le système informatique d’une entreprise. À la différence d’un rançongiciel par exemple, ce type d’attaque ne s’appuie pas sur un malware. Les pirates envoient un volume important de requêtes à leur cible qui peut être un data center, une application ou un site web. Pour envoyer ces requêtes, ils s’appuient sur un réseau d’appareils connectés dont la sécurité a été compromise. Ce réseau peut être composé d’objets connectés, d’ordinateurs et de serveurs.

Cet assaut de données paralyse l’infrastructure de la cible. Elle se trouve dans l’incapacité à répondre à ce volume de trafic. Ainsi, même les demandes légitimes ne sont plus traitées. Dans le cas d’un site web, ce dernier devient hors service.

Bien qu’elle soit moins sophistiquée, une telle attaque pénalise lourdement sa cible. Si l’activité de l’entreprise repose sur son site e-commerce, les préjudices financiers sont énormes. En effet, les clients ne peuvent plus accéder aux produits. Les coûts de mitigation ne sont pas à exclure également. Une attaque DDoS ruine aussi la réputation et l’image d’une marque. Les internautes deviennent plus méfiants quant à la sécurité de leurs données.

De leur côté, les collaborateurs subissent aussi ces perturbations. L’attaque paralyse la chaîne d’activité à tous les niveaux.

Une attaque facile à mettre en place

Les attaques DDoS figurent parmi les moins sophistiquées et les plus faciles à mettre en œuvre. Néanmoins, leur simplicité fait d’elles une menace sérieuse à ne pas négliger. Les cybercriminels n’ont pas besoin d’investir une somme importante dans l’attaque. Pour cause, un assaut de données de 500 Mb/s suffit à paralyser un serveur et le rendre inaccessible.

À noter également que les pirates peuvent désormais utiliser les services de plateformes « DDoS As A service ». Ils peuvent également louer un parc entier d’ordinateurs infectés pour mener leur attaque. Le coût de location pour une heure est estimé à 5 dollars. Pourtant, cela suffit à envoyer des Go de requêtes. Cloudflare rapporte par exemple une attaque de plus 71 millions de requêtes par seconde au premier trimestre 2023. Ce chiffre dépasse largement le dernier record enregistré par Google de 46 millions de requêtes par seconde.

Une menace en constante augmentation

Les attaques DDoS visent aussi bien les grandes entreprises que les petites structures. Leur nombre augmente d’année en année. Un rapport Lumen révèle par exemple une hausse de 40 % de ce type d’attaque au 1ᵉʳ trimestre de l’année 2023 par rapport à la même période de l’année précédente. Les pirates utilisent une bande passante plus importante. L’attaque la plus volumineuse s’est servie de 817 Gb/s de données.

Un autre rapport, celui de Radware Full Year, révèle une augmentation de 150 % des attaques entre l’année 2021 et 2022. Une attaque DDoS dure en moyenne une dizaine de minutes. Néanmoins, les pirates peuvent la réitérer à un intervalle de temps régulier. Ce même rapport informe que la durée de l’attaque la plus longue est de 66 heures.

Comment fonctionne une attaque DDoS ?

Les attaques DDoS sont menées depuis un réseau d’appareils connectés à Internet. La sécurité de ces appareils a été compromise. En y installant un logiciel malveillant, les pirates peuvent désormais les contrôler à distance.

Chaque appareil infecté et contrôlé par les pirates est appelé « zombie » ou « bot ». Ensemble, ces bots constituent une véritable armée appelée « botnet ». La principale force du botnet est le nombre de bots qui le compose. Ceci garantit la portée d’une attaque DDoS.

À noter que les propriétaires légitimes de ces terminaux infectés ne sont généralement pas au courant de la situation. Ils deviennent ainsi des dommages collatéraux de l’attaque.

Une fois le botnet formé, le cybercriminel dispose désormais du contrôle à distance. Il envoie ainsi les instructions pour cibler un site ou un serveur en particulier. Une fois le réseau cible identifié, chaque bot envoie des requêtes à son adresse IP. Cette hausse de trafic soudaine et le surnombre provoquent un déni de service. Un internaute légitime ne peut plus accéder à l’application ou le site web.

Comme la formation d’un botnet demande beaucoup de travail, des acteurs malveillants proposent la location de ce service. Cela permet à des personnes n’ayant aucune notion en informatique de mener facilement une attaque DDoS.

L’utilisation de botnets plus performants

Les nouvelles attaques DDoS tirent profit d’une nouvelle génération de botnets. Contrairement à un botnet classique formé à partir d’appareils connectés, ce botnet sophistiqué s’appuie sur des serveurs privés virtuels.

Un botnet exploitait historiquement des appareils IdO (Internet des objets) à l’instar des caméras de surveillance intelligentes. Ces appareils présentaient néanmoins des limites en matière de débit, mais ils permettaient de fournir une quantité suffisante de sources de trafic pour paralyser sa cible.

De son côté, le botnet nouvelle génération exploite un serveur privé virtuel composé de milliers, voire de millions d’appareils. L’essor du cloud computing a augmenté le nombre de serveurs privés. Les fournisseurs proposent des solutions toujours performantes à leurs clients pour stocker des données, développer des applications, etc.

Les cybercriminels ont profité de ce développement pour mettre au point des botnets plus sophistiqués. Ils sont 5000 fois plus puissants selon Cloudflare. Les pirates exploitent des failles de sécurité au niveau des serveurs : fuite d’identifiants API, absence de mise à jour du serveur, etc.

Les attaques DDoS avec demande de rançon

Certaines attaques DDoS sont menées dans le but d’obtenir une rançon de leur victime. Contrairement à un ransomware, une attaque DDoS n’utilise pas de subterfuges pour inciter la victime à ouvrir une pièce jointe ou à cliquer sur un lien.

Ce type d’attaque avec une demande de rançon est plus facile à mettre en place. Les acteurs malveillants n’ont pas besoin de piéger leur cible. De même, l’intrusion sur le réseau ou l’ordinateur d’une victime n’est pas nécessaire.

Il suffit d’envoyer un volume de trafic important à la cible pour mettre hors ligne ses serveurs DNS ou son site web. Lorsque le service est indisponible, le cybercriminel demande le paiement d’une rançon en cryptomonnaie pour arrêter l’attaque.

D’après CloudFlare, le mois de novembre a enregistré le plus grand nombre d’attaques DDoS avec demande de rançon en 2022. Pour cause, des événements commerciaux importants comme le Thanksgiving, le Black Friday ou encore la Journée des célibataires (Chine) se déroulent à cette période. Les entreprises ont tout intérêt à ce que leur site soit opérationnel pour l’événement.

Les principales cibles d’une attaque DDoS

En s’appuyant sur le pourcentage de trafic hostile par rapport au trafic total des secteurs, le secteur d’Internet a subi le plus d’assauts des attaques DDoS en 2022. Le secteur du marketing et de la publicité ainsi que celui de l’informatique et des logiciels complètent le podium.

Si l’on s’appuie sur le pourcentage de trafic hostile par rapport au trafic total d’un secteur, les ONG ont été les plus visées par les attaques DDoS au premier trimestre 2023.

D’un point de vue de chaque pays, le secteur des casinos en ligne est le plus touché en Europe et en Asie. En Amérique latine, ce sont les secteurs des assurances et des banques. En revanche, la publicité et le marketing sont les plus visés en Amérique du Nord. Enfin, les cybercriminels ciblaient particulièrement le secteur de la santé en Océanie.

Les attaques DDoS les plus marquantes de ces dernières années

La plus grande attaque DDoS enregistrée à ce jour visait Google en 2017. Le volume de l’attaque est estimé à 2,54 Tb/s. Pourtant, ce n’est que trois ans plus tard que Google confirme cette attaque. Les pirates ont réussi à infecter 180 000 serveurs web pour bombarder Google. Néanmoins, l’incident n’est pas sans précédent puisque Google subissait déjà le même type d’attaque à moindre ampleur durant les six mois précédents.

En 2020, c’est l’entreprise AWS qui déclare avoir subi une attaque DDoS de 2,3 Tb/s. Malheureusement, elle n’a pas donné de détails sur les données compromises lors de cette attaque.

En 2018, c’est le service de gestion de code en ligne GitHub qui est victime d’une attaque DDoS de grande ampleur. L’envoi des paquets suivait un rythme de 126,9 millions par seconde pour 1,3 Tb/s. Cette attaque n’utilisait aucun botnet puisque les pirates se servaient d’une attaque DDoS memcached.

Pourtant, en 2015, le service était déjà la cible d’un trafic DDoS. L’attaque avait cette fois-ci des motivations politiques puisque le trafic provenait de la Chine. À l’époque, deux projets sur Github visaient à contourner la censure imposée par l’État chinois.

En 2013, c’est l’organisation de lutte contre le spam Spamhaus qui paie les frais d’une attaque DDoS. Le débit de l’attaque s’élevait à 300 Gb/s.

ChatGPT : ciblé par le groupe Anonymous Sudan

Une panne des services du robot conversationnel ChatGPT en novembre a suscité la curiosité des professionnels et particuliers. Durant la panne, Open AI déclarait avoir identifié un problème au niveau de ChatGPT et avoir appliqué un correctif quelques heures plus tard.

Si l’entreprise américaine n’a pas donné de détails sur le problème rendant inaccessible son service pendant deux heures, le groupe d’hacktiviste Anonymous Sudan revendique une attaque DDoS. Ce collectif de hackers mène des attaques contre les organisations occidentales depuis le début de l’année 2023.

Il ne s’agit pas de la première attaque visant OpenAI. En mai, le groupe avait déjà revendiqué le vol de données sur 100 000 comptes ChatGPT. Les informations de ces utilisateurs se trouvaient ensuite sur le darkweb.

Microsoft : victime d’une attaque de grande ampleur

Au mois de juin 2023, le géant américain avait déclaré qu’une attaque DDoS a provoqué quelques perturbations au niveau de ses services. Microsoft ne donne toutefois aucun détail sur une éventuelle compromission des données clients.

L’attaque a mis hors service Microsoft 365, notamment Outlook. L’incident a également touché la plateforme cloud Azure.

Si Microsoft n’a pas révélé l’identité des attaquants, Anonymous Sudan revendique l’attaque. Le groupe de cybercriminel déclare être affilié à Killnet, un autre groupe d’hacktivistes russe spécialisé dans les attaques DDoS.

Les différents types d’attaques DDoS

Les attaques DDoS se présentent sous différentes formes. Les principales méthodes utilisées par les hackers sont les attaques volumétriques, au niveau de la couche applicative et protocolaire.

Une attaque volumétrique

Comme son nom l’indique, ce type d’attaque repose sur le volume de trafic pour saturer le réseau de la victime. Les utilisateurs légitimes n’ont plus accès au service. Cela signifie qu’un client ne peut pas valider son paiement, acheter en ligne, un médecin ne peut pas consulter le dossier de son patient, etc. Comme les attaques prennent le contrôle d’appareils à l’insu de leurs propriétaires légitimes, il n’est pas évident pour la victime d’identifier l’instigateur de l’attaque.

L’attaque volumétrique est la méthode la plus utilisée. Elle représente 59 % des attaques DDoS, selon une étude F5 Labs, menée en 2022.

Une attaque sur la couche d’application

Appelée aussi attaque de la couche 7, son objectif est d’épuiser les ressources de la cible à force de répondre aux requêtes HTTP. Ceci aboutit à un déni de service. Prenons l’exemple d’une attaque HTTP flood, des milliers de bots actualisent leur navigateur au même moment augmentant ainsi les requêtes HTTP. Le serveur est submergé et se trouve dans l’incapacité de répondre.

Une attaque protocolaire

Elle est également appelée « attaque par épuisement des tables d’état ». Une attaque protocolaire vise à épuiser les ressources des serveurs ainsi que les autres équipements du réseau. Ce type d’attaque exploite les couches 3 et 4 du protocole. Le SYN Flood en est un exemple.