Archives par mot-clé : SSI

Comprendre l’attaque DDOS

Pour vous expliquer le principe d’une attaque DDOS, je vais prendre l’image du marchand de glaces :

Le marchand de glace fournit un service simple : il vend les glaces gardées au frais dans son camion. Avec ça, Les enfants sont contents et les parents ont enfin eux un bref moment de répit le temps que les enfants finissent leur glaces. Un monde en harmonie pendant un court instant.

Sauf qu’une bande de sales mioches arrivent et ils ont juste une envie : foutre la merde. Leur but c’est juste que personne ne puisse avoir de glaces. Ils vont alors faire des demandes sans s’arrêter jusqu’à épuiser le marchand de glaces.

Au bout d’un moment, le marchand de glaces, face à tant de sollicitations, il pète un câble, il ferme boutique et les vrais clients ne peuvent avoir leurs glaces.

Eh bien ce que viennent de faire la bande de sales mioches, c’est une attaque DDOS.

 

DDOS veut dire Distributed Denial of Service, que l’on peut traduire en francais par Attaque de deni de service distribué.

Une attaque DDOS est réalisée simultanément par un réseau de machines d’où la notion d’attaque distribuée   En fait, ces machines ont été corrompues au préalable par le cybercriminel via la propagation de malwares. On appelle aussi “botnet” ce réseau de machines infectées.

Il est à noter qu’avec l’essor de l’IoT (ou Internet des objets en français), les attaques DDOS gagnent en intensité puisque les cybercriminels enrôlent les équipements IoT non sécurisés dans les botnets.

Le cybercriminel va alors exécuter une attaque DDos en ordonnant au botnet de saturer le service avec de nombreuses requêtes jusqu’à le rendre indisponible.c’est la notion de déni de service. Ce qui va alors au final empêcher les vrais utilisateurs du service de l’utiliser.

Quand je parle de service, il faut le comprendre au sens large là j’ai prius l’exemple d’un serveur mais  cela peut être aussi un lien réseau, une infrastructure, un site web, une application, etc.

Autre variante, ce sont les attaques DDoS basées sur la réflexion et l’amplification.

Dans ce cas là, le cybercriminels vont tout simplement utiliser des machines accessibles sur Internet et donc non corrompues. Ces machines appelées des “réflecteurs” ont juste pour pour but de répondre à des requêtes émanant d’une source quelconque.

Le cybercriminel va envoyer des requêtes à ces réflecteurs en utilisant l’adresse IP de la victime comme adresse IP source. Le cybercriminel fait alors une usurpation d’identité ou plutôt d’adresse IP pour être plus précis.

Les réflecteurs pensent alors que c’est la victime qui a fait la requête et ils vont donc envoyer leurs réponses  aux requêtes vers la victime.

Les réflecteurs vont alors créer un trafic non sollicités par la victime, qui subit alors une attaque DDOS. Et là où ce type d’attaque peut être dangereuse, c’est qu’il peut y avoir un effet d’amplification. En effet, Certains protocoles génèrent des réponses d’une taille très supérieure à celle de la requête. on peut citer par exemple les protocoles DNS (pour Domain Name System) ou NTP (Network Time Protocol).

Cet effet d’amplification permet de saturer encore plus  rapidement la bande passante réseau de la victime, ce qui entraîne le déni de service.

 

Les motifs des attaques DDOS peuvent être divers :

Les attaques DDOS sont très courantes dans le monde du gaming. Que ce soit pour le fun, par représailles, ou par ennui, le but est de faire ralentir la bande passante d’un autre joueur (en saturant leur box par exemple), et voir même la faire tomber pour l’empêcher de jouer.

Les attaques DDOS peuvent venir d’activistes comme par exemple avec les Anonymous qui mènent des campagnes d’attaques DDOS contre des sites gouvernementaux ou extrémistes

Et enfin, pour les entreprises, cela peut être signe qu’une menace de grande ampleur se prépare. C’est pas l’attaque DDOS en soi qui est la menace pour les entreprises mais pour les criminels, cela peut être une première phase préparer pour une attaque plus importante.

L’attaque DDOS peut permettre au cybercriminel de tester la capacité d’une entreprise à répondre à une attaque.

L’attaque DDOS sert aussi à faire diversion en saturant les journaux et fichiers de données des équipement de sécurité pour brouiller les pistes. Ce qui permet aux cybercriminels durant cette période par exemple de masquer l’implantation d’un potentiel malware ou même l’extraction de données