Accueil

ATTAQUES DoS / DDoS


Définition

Le déni de service, connu sous le titre de "Denial Of Service" ou encore DoS, est une attaque réalisée dans le but de rendre indisponible durant une certaine période les services ou ressources d'une organisation. Généralement, ce type d'attaque à lieu contre des machines, serveurs et accès d'une entreprise afin qu'ils deviennent inaccessibles pour leurs clients. Le but d'une telle attaque n'est pas d'altérer ou de supprimer des données, ni même de voler quelconque information. Il s'agit ici de nuire à la réputation de sociétés présentes sur Internet en empêchant le bon fonctionnement de leurs activités.

La réalisation d'un déni de service n'est pas très compliquée, mais pas moins efficace. Il est possible d'attaquer tout type d'équipements réseau tel que les serveurs, routeurs et Switchs. Cela touche 99% de la planète car la plupart des dénis de service exploitent des failles liées au protocole TCP/IP. Nous pouvons diviser les impacts des attaques DOS en deux catégories :
- Les dénis de service par saturation qui consistent à submerger une machine de requêtes, afin qu'elle ne soit plus capable de répondre aux demandes réelles.
- Les dénis de service par exploitation des vulnérabilités qui consistent à exploiter une faille du système cible afin de le rendre inutilisable.

Le principe de ces attaques est d'envoyer des paquets ou des données de taille ou de constitution inhabituelle, afin de provoquer une saturation ou un état instable des équipements victimes et de les empêcher ainsi d'assurer les services réseau qu'elles sont sensées offrir. Dans certains cas extrêmes, ce type d'attaque peut conduire au crash de l'équipement cible.

Le déni de service est donc un type d'attaque qui coûte très cher puisqu'il interrompt le cours normal des transactions d'une organisation. Sachant qu'à l'heure actuelle, les sommes et les enjeux d'une entreprise sont généralement énormes, cela peut poser de graves problèmes si une telle situation se produit ne fût-ce que quelques heures. Imaginez les impacts :
- Financiers d'un grand site de commerce en ligne dont sa plateforme d'hébergement serait indisponible lors des fêtes de Noël ?
- Sur l'image d'une banque qui ne pourrait plus recevoir ses mails ?
- Globaux pour vous, en tant qu'entreprise qui communiquez avec vos clients ?

Les contre-mesures sont compliquées à mettre en place et doivent être spécifiques à un type d'attaque. Etant donné que les attaques par déni de service utilisent les services et protocoles normaux d'Internet, s'en protéger reviendrait à couper les voies de communications normales, sachant qu'il s'agit de la raison d'être principale des machines concernées (Site web, Messagerie...).

Il faut donc essayer se protéger au mieux de certains comportements anormaux, ce qui implique notamment la vérification de l'intégrité des paquets, la surveillance du trafic, établissement de profils types et de seuils... On est donc loin de la protection absolue, mais il est tout de même possible de se protéger de façon intelligente et flexible.


Les principales attaques

Les variantes

Demande de rançon

Le déni de service occasionne beaucoup de problèmes repartit dans le monde entier souvent exécuté aléatoirement pour le fun. Aujourd'hui, les braqueurs de banques n'existent presque plus, mais leurs remplaçant sont arrivés. On voit donc se profiler de plus en plus d'attaque qui sont ciblées représentant une nouvelle technique de chantage que bons nombres de pirates exercent maintenant allégrement. En effet, les sociétés dont la principale activité est basée sur un flux d'information Internet, souvent avec des sommes importantes en jeu, sont menacées.

Les pirates actuels utilisent donc les attaques par déni de service comme nouvelle arme pour exercer un chantage contre les sociétés connectés à Internet. Le message est clair "La bourse ou l'exploitation de votre site". Il est évident que le ralentissement, voir même le blocage de leurs services pendant quelques heures, pourrait occasionner de grandes pertes d'argent ainsi que beaucoup de désagréments pour leurs clients. Ces sociétés ont donc tout intérêt à obéir ou à trouver une parade pour s'en protéger, sans quoi les menaces seraient mises à exécution et ou pourraient perdurer.

Cette nouvelle arme est maintenant utilisée de plus en plus couramment. Toutes les sociétés gérant de l'argent sont menacées, aucune n'est à l'abri. Toute société accessible par Internet est ouverte est potentiellement en danger. On remarque d'ailleurs le nombre d'attaques de ce genre augmente chaque année.


Le mot de la fin

Il ne faut pas sous-estimer la puissance de ces attaques. De plus, il faut aussi prendre conscience qu'il existe deux catégories d'individus dangereux sur la planète :
- Les bandes organisées sont issues des groupes mafieux, des terroristes et etc.
- Les adolescents ou jeunes adultes qui sont inconscients. De plus, ils se sentent rassurés et protégés du fait d'être dans leurs chambres derrière leurs ordinateurs personnels.

Pour se protéger de ce type d'attaque, il est nécessaire d'investir dans la sécurité interne en créant un poste ou service dédié au sein de l'entreprise. Leurs deux objectifs principaux devront être la prévention et le curatif. Le premier sera de mener une veille active sur les nouvelles attaques et vulnérabilités. Le second objectif, le curatif, devra procéder à un suivi régulier des différentes mise à jour et d'être très réactifs sur la surveillance des événements relatés en supervision de l'architecture sécurité.

La réalité du risque est donc évidente, dans ce cas, il peut être intéressant de contracter une police d'assurances couvrant les pertes éventuelles engendrées par une attaque de ce type.


Exemple d'attaque DoS (SynFlood) sous Kali