Le DDoS ou le périphérique parisien un jour de grève !

Selon un récent rapport publié par NexusGuard, les attaques par déni de service (DDoS) ont considérablement augmenté au cours des deux premiers trimestres de 2018 par rapport à 2017. Le DDoS (Distributed Denial of Service), soit  déni de service distribué, est une cyber attaque à la portée de tous. Elle a vu le jour dans les années 1980 et dont l’objectif est d’inonder un ou des serveurs et de les rendre inaccessible. Mais comment fonctionne-t-elle ? et pourquoi est-elle répandue ?

Petite définition pour commencer : le DDoS est une attaque réalisée par plusieurs machines en même temps et qui vise à faire planter ou à rendre muette une machine en la submergeant de trafic inutile : (https://www.hubone.fr/ressources/lexique-cyber/)

Comment fonctionne l’attaque ?

L’objectif de l’attaquant est de saturer un équipement informatique en créant un trafic anormalement élevé sur ce dernier : le service fourni est alors saturé et devient indisponible pour l’utilisateur légitime  . C’est comme si tout le monde décidait de prendre le périphérique aux heures de pointe en sachant qu’une seule sortie est ouverte. L’infrastructure est alors saturée et le trafic devient impossible. Pour réaliser ce type d’attaque Le cyber attaquant doit tout d’abord prendre la main sur des systèmes informatiques peu ou pas protégés. L’attaquant dispose aujourd’hui d’un très large choix grâce au développement de des caméras de vidéosurveillance par exemple ou encore de toute la panoplie d’objets connectés accessibles sur les net.

Il crée ensuite une véritable armée de « bot » qui génère un trafic vers la cible : des milliers voire des millions de requêtes sont adressées à la cible (un site internet, un système, une application, …) et ce dernier devient inaccessible.

Comment s’en protéger ?

Tout d’abord, il est nécessaire de prendre conscience qu’une protection infaillible est difficilement envisageable.

En effet, si la DSI devait bloquer toutes les adresses IP des bots attaquants, cela reviendrait à bloquer des milliers    voire des millions d’adresses IP en lot et sans faire de différenciation. Et dans ce cas, l’interrogation demeure : comment faire la différence entre un bot et un utilisateur légitime ?

Il faut s’assurer que la capacité de trafic est suffisante tout comme une autoroute dispose de plusieurs voies pour absorber la circulation. il est nécessaire donc d’adapter la capacité d’accueil en fonction du  trafic prévu.   L’enjeu consiste à s’assurer que ce trafic reste maitrisé en le supervisant et l’anticipant avec les imprévus (une augmentation significative peut être le début d’une attaque).

À ce jour il n’existe malheureusement pas de solution miracle mais l’une des meilleures protection reste d’aborder ce point avec l’organisme qui opère les infrastructures.  En effet, les opérateurs télécoms par exemple connaissent le trafic et le supervisent. Ils proposent souvent des solutions visant à assainir le trafic de leur client, ce travail permet de s’assurer que le trafic reste sain en majorité.