Description des attaques DDoS et mesures de protection

Description attaques DDoS & protection

Quand le tsunami de données frappe


Les attaques de pirates informatiques DDoS (Distributed Denial of Service) paralysent des plateformes Web et des systèmes informatiques entiers. Ce qu’un tel flux de données peut faire et comment les entreprises peuvent se protéger.


Texte: Felix Raymann, Image: iStock by Getty Images,




Ce n’est probablement pas un hasard si les pirates ont frappé un samedi - lorsque le personnel et la surveillance informatique sont réduits au minimum et qu’une attaque reste inaperçue plus longtemps qu’un jour de semaine. Le 12 mars 2016, des attaques ciblées de serveurs ont fait en sorte que plusieurs commerçants en ligne suisses, tels que Digitec, Galaxus, Interdiscount et Microspot, ne soient plus disponibles pour les clients pendant plusieurs heures. Bien que cette affaire ait été l’une des plus importantes en Suisse, il ne s’agissait que d’une des milliers d’attaques DDoS lancées chaque année contre des entreprises suisses par des cybercriminels.

Ces derniers demeurent souvent introuvables. Selon les déclarations officielles, aucune lettre de chantage n’a été reçue par les sociétés concernées dans les cas susmentionnés. Ce qui est certain, cependant, c’est que de telles défaillances de l’infrastructure peuvent causer des dommages considérables aux entreprises. Si les services Web ne sont pas disponibles pendant un certain temps, il peut en résulter une perte massive de chiffre d’affaires. Cela peut entraîner des pertes considérables pour les boutiques en ligne, les banques ou tous les autres fournisseurs de services qui dépendent de leur présence sur Internet. En outre, il y a une perte de réputation parce que le site Web peut être considéré comme «dangereux». Le retour à la confiance peut également s’avérer coûteux. Au lendemain des attaques, les entreprises concernées peuvent enregistrer des pertes de données. L’expérience de Digitec a montré que les effets des attaques DDoS peuvent rapidement avoir aussi une influence sur d’autres domaines. Chez Digitec, l’attaque a non seulement entraîné une panne de la boutique, mais elle s’est également étendue aux systèmes informatiques des filiales et du service clientèle, qui n’ont plus pu non plus être utilisés pendant un certain temps.


Attaques à différents niveaux

En règle générale, la majorité des attaques DDoS suivent des schémas similaires: Les serveurs des fournisseurs de services Web sont bombardés d’innombrables requêtes, de sorte qu’ils ne peuvent plus traiter la grande quantité de données ou le nombre élevé de paquets IP par seconde et les services Web s’effondrent sous la charge. Afin de pouvoir exécuter autant de requêtes de serveur, les attaquants ont besoin d’une infrastructure appropriée ou ils «louent» un tel service auprès de sources illégales dans le Darknet. Une autre stratégie d’attaque est la création d’un botnet: Les attaquants piratent autant d’appareils connectés à Internet que possible et les manipulent de telle manière qu’ils envoient sur commande les requêtes à une cible pertinente qu’ils inondent de données. Les appareils piratés peuvent être des PC mal protégés, par exemple, mais aussi des appareils de tous les jours en réseau tels que des caméras de surveillance, des routeurs, des appareils électroménagers ou d’autres machines qui ont une adresse IP publique.

Les attaques DDoS peuvent être dirigées vers différentes couches du réseau (couches OSI). Les attaques DDoS se produisent souvent sur la couche d’application (couche 7), à laquelle appartiennent les serveurs HTTP ou FTP, qui sont «inondés» de grandes quantités de données au moyen de la technique dite de «flooding». Les attaques sur la couche réseau (couche réseau ou couche 3), qui nécessitent souvent des capacités supérieures, sont également très fréquentes. En principe, cependant, les attaques peuvent avoir lieu sur les 7 couches.


Mesures de protection efficaces

Les attaques DDoS ont lieu quotidiennement et sur toutes les destinations accessibles via Internet. Potentiellement, tous les fournisseurs de services Web, c’est-à-dire toutes les adresses IP accessibles au public, peuvent devenir la cible d’une attaque. Selon MELANI, la Centrale d’enregistrement et d’analyse pour la sûreté de l’information, la défense contre les attaques DDoS est difficile, mais pas impossible. Des mesures préventives (voir liste ci-dessous) sont donc indispensables, mais ne suffisent pas à être entièrement protégé. Les entreprises ne peuvent se protéger des attaques DDoS que dans une mesure limitée. Par exemple, si un simple filtre DoS est activé sur le pare-feu de l’entreprise, il peut analyser et filtrer le trafic entrant, mais si l’attaque est distribuée et que son volume dépasse la bande passante disponible de la connexion Internet, ce filtre ne fournit plus de protection. La même situation se produit avec un grand nombre de paquets IP par seconde.

Une protection efficace contre les attaques DDoS commence donc par l’épine dorsale Internet du fournisseur de services. Une «attaque distribuée» y est repoussée par un «mécanisme de défense distribué». Avec le DDoS Protection Service de Swisscom, par exemple, les capteurs installés sur différents routeurs du réseau fédérateur Internet fournissent à tout moment des informations importantes sur le trafic Internet en cours. Cela permet aux systèmes de protection de réagir en temps réel et d’activer les filtres appropriés. De cette façon, les attaques peuvent être repoussées tout en s’assurant que seul le trafic légitime est acheminé vers l’infrastructure du client.


Mesures de prévention et de protection contre les DDoS


L’exploitation d’un service Web sans mesures de protection DDoS efficaces et l’espoir que les pirates informatiques ne vous considéreront pas comme une cible intéressante relèvent d’un comportement intentionnel et négligeant d’un point de vue entrepreneurial. Des précautions doivent donc être prises pour éviter tout dommage en cas d’attaque:


Prévention dans l’épine dorsale Internet

Le Swisscom DDoS Protection Service vous permet d’être armé efficacement contre les attaques DDoS. Tous les services pertinents fonctionnant sur différents serveurs doivent être protégés par le même DDos Protection Service.


Détection précoce

Les responsables informatiques doivent connaître l’état normal des systèmes afin que les événements spéciaux soient immédiatement perceptibles. Des évaluations automatiques régulières des fichiers journaux fournissent des informations sur les anomalies. Le suivi inclut également la vue extérieure: La disponibilité des services provenant de l’extérieur de l’entreprise doit être contrôlée via Internet.


Prise en compte des conséquences

Quelles seraient les conséquences d’une panne de système due à une attaque DDoS? Les entreprises devraient calculer les dommages directs et indirects qui pourraient survenir si leurs systèmes étaient interrompus pendant des heures, des jours ou même des semaines.


Plan d’urgence

Si nécessaire, un plan d’urgence interne, couvrant également le pire des scénarios, devrait être mis en place. Les responsables doivent être formés en conséquence, connaître la procédure à suivre et être en mesure d’informer rapidement les contacts concernés (internes et externes).


Restriction d’accès

L’accès à votre propre service Web peut être restreint en limitant l’adresse IP de l’expéditeur. A titre d’exemple, si nécessaire, toutes les requêtes de serveur provenant de l’étranger ou de certains pays peuvent être bloquées. En outre, l’attribution des droits pour l’ensemble du réseau doit être strictement respectée à tout moment.


Personnalisation du pare-feu

Le pare-feu doit disposer de ressources suffisantes et, en cas d’attaque, il doit être possible de prévoir des règles de blocage supplémentaires à court terme.


Menaces

En cas de menace d’attaque, des mesures techniques doivent être prises avec le fournisseur d’accès Internet pour se préparer à cette dernière. Les demandes de rançon ne devraient jamais être acceptées.




Newsletter

Abonnez-vous à la newsletter pour suivre les tendances, les actualités de la branche et les benchmarks.





En savoir plus sur ce thème