Les attaques informatiques en France ont été multipliées par quatre en l'espace d'un an, imposant à la France et en particulier ses militaires de «renforcer sa chaîne de cyberdéfense de bout en bout», a déclaré Florence Parly, la ministre des Armées. Parmi les diverses types d’attaques informatiques, l’attaque DDoS figure parmi les plus fréquentes.
Si les tendances généralement observées attribuent plutôt la déstabilisation (défigurations, divulgations de données et prises de contrôle) aux hacktivistes, l'ingénierie sociale aux cybercriminels, l’espionnage aux concurrents et aux États (via des logiciels malveillants entre autre), on constate aussi que des attaques simples peuvent être le fait d’États et des attaques complexes le fait de groupuscules criminels organisés.
Perpétrées par une large palette d’acteurs, les attaques informatiques se limitent rarement à une seule technique. Pour atteindre leur objectif, les pirates informatiques choisissent différents types d’attaque selon le niveau de protection des systèmes informatiques de leur cible.
Zoom sur l’attaque informatique Déni de Service Distribué (DDoS).
Un type d’attaque très populaire reste les attaques par déni de service (DoS). Une attaque par déni de service se produit lorsqu'un pirate informatique utilise une armée d'appareils infectés par des malwares pour lancer une attaque coordonnée sur un site internet, un serveur ou un réseau. Aujourd’hui, avec la forte augmentation du nombre d’échanges commerciaux sur Internet, le nombre de chantages au déni de service a très fortement progressé. On parle de DDoS (Distributed Denial of Service Attack). Les attaques DDoS sont aujourd’hui fréquentes, notamment du fait de la relative simplicité de leur mise en place, et de leur efficacité contre une cible non préparée. Plus concrètement, ce type de cyberattaque vise à surcharger de requêtes la ressource ciblée, de façon à épuiser la bande passante et provoquer un net ralentissement ou un arrêt total de fonctionnement. Les hackers peuvent également utiliser plusieurs périphériques compromis pour lancer ce type d’attaque.
Le cas GitHub
En général, les attaques DDoS ne sont pas utilisées pour subtiliser des données utilisateurs, mais pour mettre hors services des sites Internet plusieurs heures ou jours. En février 2018, GitHub a subi l’attaque par DDoS la plus puissante à ce jour divulguée publiquement. Durant l'attaque, les serveurs de GitHub ont reçu une charge record atteignant jusqu'à 1,3 térabit de données par seconde. Au-delà du volume massif sans précédent de requêtes, les auteurs ont employé une nouvelle technique. En effet, les attaquants ont exploité une faille de sécurité d'une technologie appelée « Memcached », permettant d'optimiser les performances des pages Web très visités en stockant les données en cache sur la mémoire au lieu de solliciter les bases de données. Avec cette technique les attaquants augmentent considérablement la puissance de l'attaque. Des dizaines de milliers de terminaux fantômes ont été utilisés pour mener cette attaque. Cette nouvelle technique ne nécessite aucune authentification. De plus, certains protocoles, ici UDP 11211, sont vulnérables à l’usurpation.
Cependant, GitHub a bien réagi, l’attaque a été contrée par la redirection du trafic entrant et sortant sur le réseau d’Akamai (société spécialisé anti-DDoS) qui a alors filtré le trafic. Il a fallu moins de 10 minutes pour que l’attaque soit absorbée.
Que faire en cas d’attaque DDoS ?
Il est possible de bloquer toutes les machines attaquantes avec leur IP comme pour une attaque par déni de service. Cependant, cela ne fera que limiter l’attaque sans la bloquer, puisque pendant l’attaque informatique seulement une infime partie des machines infectées seront bannies. D’autres alternatives existent :
- Mettre en place une architecture répartie, c’est-à-dire une architecture composée de plusieurs serveurs ayant le même service. Les clients sont ainsi pris en charge par un seul serveur et en cas d’attaque, le serveur surchargé sera indisponible. Cependant, le service restera disponible pour les clients via les autres serveurs (avec éventuellement quelques ralentissements).
Mettre en place un serveur filtre (cleaning center) dont le but sera de détecter les éventuelles attaques par déni de service et les envoyer vers un service pour les éliminer (scrubbing center). Cela assurera un trafic sain vers les services.