Qu'est-ce qu'une Attaque par Déni de Service (DoS) ?

juin 29, 2022

Qu’est-ce qu’une attaque par déni de service (DoS) ?

Une attaque par déni de service (DoS) est une attaque ciblée qui inonde délibérément un réseau de fausses requêtes dans le but de perturber les activités de l’entreprise. Lors d’une attaque DoS, les utilisateurs sont incapables d’effectuer des tâches courantes et nécessaires, comme accéder à la messagerie électronique, à des sites web, à des comptes en ligne ou à d’autres ressources gérées par un ordinateur ou un réseau compromis. Si la plupart des attaques DoS n’entraînent pas de perte de données et sont généralement résolues sans versement de rançon, elles coûtent du temps, de l’argent et d’autres ressources à l’entreprise pour le rétablissement des activités stratégiques.

Déroulement d’une attaque DoS

Une attaque DoS consiste le plus souvent à inonder l’hôte ou le réseau ciblé de demandes de services illégitimes. Elle se caractérise par l’utilisation d’une fausse adresse IP qui empêche le serveur d’authentifier l’utilisateur. Le traitement de cette vague de fausses requêtes submerge le serveur, provoquant son ralentissement et parfois même son plantage, et empêche les utilisateurs légitimes d’y accéder. Pour qu’une attaque de ce type soit fructueuse, le cyberattaquant doit disposer de plus de bande passante que sa cible.

Types d’attaques DoS

Il existe deux types principaux d’attaques DoS : celles qui font planter les services web et celles qui les inondent. Ces deux catégories sont à leur tour subdivisées en plusieurs sous-ensembles, qui varient selon les méthodes utilisées par le cyberadversaire, l’équipement ciblé et la méthode d’évaluation de l’attaque.

Débordement de mémoire tampon (buffer overflow)

Le débordement ou dépassement de mémoire tampon est la forme la plus fréquente d’attaque DoS. Dans ce type d’exploit, le cyberadversaire dirige vers une adresse IP plus de trafic que le système n’est à même de traiter. La machine ciblée consomme alors toutes les mémoires tampons disponibles ou la totalité des régions de la mémoire de stockage qui conservent temporairement les données pendant leur transfert au sein du réseau. Un débordement de mémoire tampon se produit lorsque le volume de données dépasse la bande passante disponible, notamment l’espace disque, la mémoire ou le processeur, ce qui provoque un ralentissement des performances et le plantage du système.

Attaques par inondation (flood attacks)

Les attaques par inondation consistent à envoyer au système un volume de trafic impossible à gérer par le serveur, ce qui provoque son ralentissement et parfois son arrêt. Les attaques par inondation les plus fréquentes sont les suivantes :

Les attaques par inondation ICMP, communément appelées attaques smurf ou ping, exploitent des terminaux réseau mal configurés. Dans ces attaques, les cyberadversaires déploient des paquets frauduleux, ou fausses adresses IP, qui envoient une commande ping à chaque terminal connecté au réseau ciblé sans attendre de réponse. La gestion par le réseau de cette augmentation du trafic provoque un ralentissement, voire l’arrêt, du système.

Une attaque par inondation SYN consiste à envoyer une demande de connexion à un serveur, sans jamais établir cette connexion avec l’hôte. Ces demandes continuent d’inonder le système jusqu’à ce que tous les ports ouverts soient saturés, ce qui empêche les utilisateurs légitimes d’accéder au serveur.

2024 CrowdStrike Global Threat Report: résumé

Le Global Threat Report 2024 de CrowdStrike s’appuie sur les observations des experts de l’équipe CrowdStrike spécialisée dans la lutte contre les cyberadversaires. Il passe en revue les thèmes, tendances et événements marquants du paysage des cybermenaces.

Télécharger

Comment identifier une attaque DoS ?

N’importe quel utilisateur du réseau peut repérer les signes courants d’une attaque DoS, à savoir :

  • Ralentissement de l’exécution de tâches courantes, telles que le téléchargement/chargement de fichiers, la connexion à un compte, l’accès à un site web ou la diffusion en continu de contenus audio ou vidéo
  • Incapacité à accéder à des ressources en ligne, notamment des sites ou des comptes web, tels que des comptes bancaires, des portefeuilles d’investissement, des documents pédagogiques ou des dossiers médicaux
  • Interruption ou perte de la connexion de plusieurs terminaux sur le même réseau

Malheureusement, la plupart des utilisateurs du système assimilent les symptômes d’une attaque DoS à des problèmes de connexion réseau classiques, à des opérations de maintenance de routine ou à une simple augmentation du trafic réseau, de sorte qu’ils ne s’en inquiètent pas.

Quelle est la différence entre une attaque DoS et une attaque par déni de service distribué (DDoS) ?

La principale différence entre une attaque par déni de service distribué (DDoS) et une attaque DoS réside dans l’origine de l’attaque. Une attaque DDoS est lancée de façon orchestrée depuis de multiples emplacements et par plusieurs systèmes en même temps, tandis qu’une attaque DoS est isolée par nature.

En général, une attaque DDoS est considérée comme plus sophistiquée et représente une menace bien plus grave pour les entreprises du fait de l’utilisation de plusieurs terminaux basés en divers endroits, ce qui complique son identification, son suivi et sa neutralisation. Le plus souvent, les cybercriminels utilisent un botnet ou réseau de robots — un ensemble d’ordinateurs ou de terminaux compromis supervisés par un canal de commande et contrôle (C&C) — pour exécuter ce type d’attaque synchronisée.

Si de nombreux outils de sécurité standard permettent de se protéger efficacement contre les attaques DoS, la nature distribuée des attaques DDoS requiert une solution de sécurité plus complète comprenant des fonctionnalités avancées de surveillance et de détection, ainsi qu’une équipe dédiée d’analyse et de neutralisation des menaces.

Ces dernières années, les attaques DDoS se sont multipliées en raison de la prolifération des terminaux connectés grâce à la technologie IoT (Internet des objets). Il est donc essentiel que les entreprises et les particuliers mettent en place des mesures de sécurité de base, telles que des mots de passe forts, par exemple, sur tous les terminaux connectés au bureau et à domicile. La sécurité de ces terminaux est particulièrement importante car les signes de compromission passent généralement inaperçus, ce qui permet aux cyberadversaires d’intégrer ces terminaux à un réseau de robots pour mener leurs attaques à l’insu des propriétaires.

Comment réduire le risque d’attaque DoS ?

Dans un article de blog récent, Robin Jackson, consultant en chef chez CrowdStrike, a adressé aux entreprises une série de recommandations pour prévenir, détecter et neutraliser les cyberattaques, et notamment les attaques DoS, à savoir :

  • Mettre en place une formation cohérente et exhaustive pour aider les collaborateurs à identifier les indicateurs d’attaque courants et favoriser un comportement responsable en ligne.
  • Vérifier les tentatives d’extorsion dans le cadre desquelles les cyberadversaires menacent de lancer des attaques DoS massives. Un partenaire de cybersécurité peut aider l’entreprise à analyser rapidement la menace et à évaluer sa capacité à perturber les opérations, ce qui permettra à l’entreprise de réaliser des économies substantielles s’il s’avère que la menace n’est pas crédible.
  • Effectuer régulièrement des exercices de simulation de gestion d’incident et des tests d’intrusion pour améliorer les capacités de prévention grâce à l’identification des points faibles de l’architecture réseau.
  • Isoler les sauvegardes pour empêcher l’énumération dès qu’un ransomware commence le chiffrement.
  • Chiffrer les données sensibles au repos et en transit, afin de réduire le risque de perte, de fuite ou de vol.
  • Se doter des meilleurs outils pour améliorer la visibilité sur le réseau.
  • Élaborer un plan de communication permettant à l’entreprise de gérer rapidement et précisément les demandes de renseignement des médias, les questions des clients et autres problèmes des parties prenantes.
  • Contacter les forces de l’ordre afin d’enrichir leur base de données sur les cybercriminels et leurs tactiques.