Qu’est-ce qu’une attaque par déni de service et comment se protéger ?

En tant que propriétaire ou gestionnaire d'un site web, que ce soit le vôtre ou celui de quelqu'un d'autre, vous avez certainement entendu parler d'une "attaque par déni de service" ou en anglais, "denial of service" attack ou DoS. Il s'agit d'une attaque forcément malveillante, dont le but est de rendre indisponible les services ou ressources informatiques d'une entreprise ou pourquoi pas, d'un particulier.

La finalité d'une telle attaque

Une attaque DoS n'a pas pour but de voler des données, ni d'usurper une identité. Il s'agit d'une attaque de masse qui paralyse l'activité informatique d'une entité pendant un temps donné, généralement le temps que le service informatique reprenne le dessus.

Ce type d'attaque fait la plupart du temps grand bruit puisqu'elle cible généralement une activité déterminante, par exemple le site marchand d'une boutique en ligne. Ainsi, la finalité est de nuire à la réputation de l'entreprise en question en mettant à jour les failles, la vulnérabilité voire la légèreté avec laquelle est traitée la sécurité. Et une entreprise qui néglige sa sécurité fait fuir les clients.

Aussi, paralyser pour un temps l'activité informatique, c'est aussi paralyser l'activité économique. En effet, toujours dans le cas d'une boutique en ligne pendant une attaque DoS efficace, le chiffre d'affaires est proche de zéro.

L'attaque se fait donc en deux temps. Le temps de l'attaque évidemment pour rendre inutilisable des ressources et ensuite, une fois le calme revenu, où la réputation de l'entité visée est mise à mal.

En quoi consiste une attaque DoS ?

Techniquement, ces attaques ne sont pas compliquées à mettre en oeuvre. Nul besoin de matériel, ni de logiciels sophistiqués. De plus, aucune plateforme n'est immunisée. Que ce soit les UNIX, Linux ou Windows, aucun environnement ne peut y échapper totalement. En fait, les pirates exploitent des failles liées à certaines implémentations du protocole TCP/IP.

L'idée est d'envoyer en masse tout un volume de donnée afin de saturer les serveurs qui ne pourront pas traiter ce lot incommensurable de requêtes simultanées. Par exemple pour une boutique en ligne, une attaque pourrait être des visites robotisées simultanées pour saturer le serveur. Ainsi, les véritables clients auront leur expérience sur le site complètement ralentie et donc inutilisable. Ces derniers ne pourront valider leur panier, et, iront voir ailleurs.

L'attaque est simple dans le principe, mais de nos jours pour saturer des serveurs, il faut plus qu'un nombre de requêtes inhabituel. Pour cela, il faut une grosse artillerie, capable de lancer des millions (voire des milliards) de paquets, chacun ayant une taille monumentale, simultanément. Et dans ce cas, n'importe quel serveur serait mis à genoux.

Comment se protéger ?

Déjà tout dépend de l'exposition de vos serveurs et de qui s'en charge : est-ce une personne ou une équipe en interne ? Êtes-vous sur le cloud ou en réseau privé ? Est-ce que ces serveurs sont dédiés ou partagés ? Sont-ils infogérés ?

En fait, répondre à ces questions permettent de déterminer les responsabilités. En serveur dédié infogéré, vous n'aurez rien à gérer, ce sera votre prestataire qui devrait prévenir de telles attaques ou s'il est trop tard, de vous rétablir l'accès dans les meilleurs délais.

Si c'est votre service informatique interne qui est en charge, assurez-vous de leur fournir tous les moyens techniques ou autres afin qu'ils puissent configurer une architecture qui puisse repousser ou supporter une telle attaque. Et bien sûr, que leurs compétences soient à jour !

Dans tous les cas, une veille active et régulière doit être mise en oeuvre. Les derniers patches de sécurités (plateformes et logiciels utilisés tels que WordPress par exemple) doivent être appliqués dans les temps.

Ensuite, il faut mettre en oeuvre une architecture de résistance (avec des pare-feux bien configurés) et installer des systèmes de supervision capables de détecter des requêtes suspectes et une activité inhabituelle.

Il est très ardu d'empêcher totalement de telles attaques (à moins de couper le serveur), mais des pratiques saines et régulières permettent de les contrer au maximum.

Obtenir de nouveaux articles de blog par email: