En termes simples, que sont les attaques DoS et DDoS ? Presque toutes les ressources en ligne, qu’il s’agisse d’un site web ou d’un service, sont accessibles au grand public. Il suffit d’ouvrir son navigateur et de saisir l’URL appropriée. Toutefois, cette accessibilité entraîne certains problèmes de sécurité, notamment le risque d’attaques par déni de service (DoS) et par déni de service distribué (DDoS).

Qu’est-ce qu’une attaque DoS (Distributed Denial of Service) ?

Avant de tenter de répondre à la question « qu’est-ce qu’une attaque par déni de service (DoS) », il est important d’examiner comment les données sont partagées sur Internet et quelles sont les capacités accordées aux sites en ligne. Pour illustrer ce point, examinons la variante la plus populaire.

Les sites web et les services Web sont hébergés sur des ordinateurs dédiés, souvent appelés serveurs. Une quantité spécifique de ressources leur est allouée pour fonctionner sur ces serveurs (espace disque, RAM, temps CPU). Chaque fois qu’un utilisateur visite une page web dans un navigateur, le site web a besoin d’une fraction de ces ressources pour créer la page. Par conséquent, un site web ne peut créer qu’un certain nombre de pages sur une période donnée. Cela implique que si un site reçoit plus de visiteurs que le nombre pour lequel il a été construit, certains utilisateurs verront apparaître soit un message d’erreur indiquant que le site ne peut être ouvert (par exemple, le site n’est pas accessible), soit un avertissement de surcharge leur demandant d’attendre (par exemple, le site est temporairement indisponible, essayez de l’ouvrir dans 5 à 10 minutes).

Le cœur d’une attaque par déni de service (DoS) est encapsulé dans son nom, à savoir que l’attaque rend le site inaccessible aux utilisateurs. Techniquement, l’attaquant ouvre constamment un grand nombre de pages Web, épuisant ainsi les ressources du site et empêchant les autres utilisateurs de le consulter. La procédure est comparable à celle d’une personne qui attrape des poissons en leur distribuant des poignées de nourriture. Dans ce cas, quelle que soit la distance à laquelle votre ligne est jetée dans la rivière, vos chances de capturer un poisson sont faibles, voire nulles.

Aujourd’hui, cette forme d’agression est rare en raison de la facilité avec laquelle l’attaquant peut être localisé et identifié – c’est quelqu’un dont les demandes de consultation de sites affluent continuellement. Par conséquent, lorsque nous entendons le terme « attaque DoS » ou que nous lisons un document qui contient le terme « DoS », nous faisons souvent référence à une attaque DDoS.

Qu’est-ce qu’une attaque DDoS (déni de service) ?

Une attaque par déni de service distribué (DDoS) est similaire à une attaque par déni de service (DoS) mais techniquement distincte. Le nom de l’attaque implique également la nature de l’attaque – plusieurs ordinateurs de l’attaquant approchent simultanément le site avec une demande de récupération de pages, ce qui entraîne les mêmes répercussions qu’une attaque DoS. La technique est similaire à la pêche, sauf qu’elle se déroule dans un parc, avec des groupes de personnes qui se relaient pour jeter de la nourriture dans l’eau. En raison du grand nombre de ces personnes, le lancer de la canne à pêche donnera les mêmes résultats que la comparaison précédente. Cependant, cette approche est plus difficile à exécuter car elle nécessite un grand nombre de machines. C’est pourquoi les réseaux de botnet sont souvent employés pour mener à bien cette attaque.

Une attaque DDoS peut se produire involontairement lorsqu’un nombre important de personnes visitent un site web par inadvertance. Par exemple, lors de la promotion d’un petit site sur des portails à fort trafic, le site peut tout simplement être incapable de faire face à l’afflux de personnes et devenir momentanément hors ligne.

Un botnet est un réseau logiquement structuré d’ordinateurs d’utilisateurs infectés (parfois appelés « zombies »), contrôlé par un ou plusieurs attaquants et utilisé pour exécuter les ordres de ces derniers. Dans le cas d’un DDoS, il s’agit d’envoyer des requêtes à toutes les machines zombies du botnet ou à un sous-ensemble d’entre elles pour qu’elles ouvrent le site web.

Techniquement, un botnet est généré en infectant des ordinateurs appartenant à des personnes ordinaires avec des chevaux de Troie, des vers et d’autres logiciels. Une fois infectés, ils communiquent avec les connexions de contrôle, rejoignant ainsi le réseau. En général, ces logiciels malveillants n’ont aucun comportement nuisible évident sur les ordinateurs des utilisateurs afin d’échapper à la détection des antivirus et autres logiciels de sécurité. Cela leur permet de rester actifs sur le botnet pendant une période prolongée.

Notez que la majorité des utilisateurs de ces machines infectées ne verront que des pics périodiques dans le trafic réseau, qui étaient autrefois simples à identifier (notamment à l’époque des modems), mais qui sont désormais impossibles à détecter sans équipement spécifique.

Aujourd’hui, cette forme d’agression est de plus en plus répandue ; non seulement elle est plus difficile à détecter, mais elle ne peut pas non plus être facilement éliminée en cas d’énormes réseaux de zombies.

La cause principale de la recrudescence des attaques DDoS est la croissance rapide des ordinateurs, l’expansion des logiciels, le développement des vitesses de transfert de données et une variété d’autres variables.

Dernières réflexions sur les attaques DoS et DDoS

La mise hors service d’un site, même pour une courte période, peut avoir une influence négative sur les performances et le nombre d’utilisateurs. Par exemple, le fait de refuser l’accès à un énorme projet comptant des millions de membres pendant quelques heures seulement peut probablement entraîner un exode des utilisateurs vers des projets concurrents (compte tenu de l’intervalle de temps, cela affectera surtout les utilisateurs qui ont récemment commencé à utiliser la ressource).

Bien que les attaques par déni de service (DoS) et leurs variantes de déni de service distribué (DDoS) visent souvent des sites web de petite ou moyenne taille, les portails massifs sont également soumis à ces attaques, qui sont souvent efficaces. Vous avez maintenant une meilleure compréhension des attaques DoS et DDoS.