Zpedia 

/ Qu’est-ce qu’une attaque par déni de service (DoS) ?

Qu’est-ce qu’une attaque par déni de service (DoS) ?

Une attaque par déni de service (DoS) est une cyberattaque dans le cadre de laquelle des cybercriminels interrompent le service d’un hôte connecté à Internet à destination de ses utilisateurs concernés. Pour ce faire, ils envoient au réseau ou au serveur ciblé un flot constant de trafic, tel que des demandes frauduleuses, qui submerge le système et l’empêche de traiter le trafic légitime.
Explorer la protection contre les cybermenaces de Zscaler

Comment fonctionne une attaque par déni de service ?

Dans le cadre d’une attaque par déni de service, un hacker utilise un programme pour inonder un serveur de trafic malveillant. Les requêtes qui composent ce trafic semblent provenir d’utilisateurs légitimes, de sorte que le serveur valide les requêtes les unes après les autres. En fait, le « service » est « refusé » aux utilisateurs légitimes en raison de la perte de bande passante et de ressources réseau qui en résulte.

Le système ou les données piratés ne sont plus disponibles pour les utilisateurs qui en ont besoin. Les attaques par déni de service sont souvent utilisées à des fins d’extorsion car, à titre d’exemple, une entreprise qui ne peut pas fournir ses services à sa clientèle peut perdre des revenus et voir sa réputation entachée. En ce sens, les attaques par déni de service sont similaires aux ransomwares, mais l’otage est le service de la victime, plutôt que ses données.

Quelle est la différence entre une attaque DoS et une attaque DDoS ?

Alors qu’une attaque DoS est initiée à partir d’une seule source, une attaque par déni de service distribué, ou attaque DDoS, fait affluer des requêtes frauduleuses de plusieurs sources à la fois. Généralement, l’auteur de l’attaque s’appuie sur un groupe d’appareils connectés à Internet, parfois à l’échelle mondiale, pour inonder le serveur cible, ce qui peut le submerger beaucoup plus facilement qu’une attaque par déni de service.

On appelle ce groupe d’ordinateurs infectés un « botnet ». Les botnets fonctionnent de manière synchronisée, attendant les instructions d’un hacker à une seule adresse IP pour lancer une attaque flood. Ces attaques sont généralement programmées pour commencer à une heure précise et peuvent durer des heures, voire des jours.

Un serveur confronté à une attaque DoS peut simplement fermer l’unique connexion qui diffuse l’attaque. Les attaques DDoS sont beaucoup plus dangereuses et difficiles à atténuer car l’afflux de trafic provient de plusieurs sources à la foi.

De plus, les acteurs malveillants utilisent désormais des dispositifs de l’Internet des objets (IoT) pour accroître la dangerosité de leurs botnets en réduisant les processus manuels. Ils peuvent notamment utiliser les appareils IoT pour faciliter la synchronisation des dispositifs de botnets, ce qui augmente l’efficacité de leurs attaques.

Quelles sont les attaques par déni de service les plus marquantes ?

Les attaques DDoS sont beaucoup plus courantes que les attaques DoS, principalement parce que les attaques DDoS sont beaucoup plus difficiles à neutraliser et peuvent donc être menées pendant une plus longue durée.

Les fournisseurs de services cloud sont souvent victimes de DDoS en raison de leur vulnérabilité inhérente à ces menaces. Voici quelques exemples récents qui ont fait la une des journaux :

  • Amazon :  en février 2020, Amazon a subi l’une des plus grandes attaques DDoS jamais enregistrées. En utilisant la réflexion du protocole CLDAP (connectionless lightweight directory access protocol), les hackers ont frappé un client d’Amazon Web Services (AWS) au rythme de 3,3 téraoctets par seconde pendant trois jours.
  • GitHub : en février 2018, des hackers ont bombardé les serveurs de GitHub à raison de 1,35 téraoctet par seconde pendant 20 minutes. « Des dizaines de milliers de endpoints uniques » abritaient « plus d’un millier de systèmes autonomes différents » qui ont lancé l’attaque.
  • Google : en octobre 2020, Google a subi pendant six mois une attaque par amplification UDP montée sur trois fournisseurs de services internet (FAI) chinois, qui ont envoyé plus de 2,5 téraoctets par seconde de données indésirables sur les serveurs de Google.

Comment identifier une attaque DoS ?

Les fournisseurs d’infrastructure ont tendance à ne pas filtrer les route advertisements, qui indiquent aux internautes comment se rendre d’un endroit à un autre sur Internet. Plus important encore, ils ont également tendance à ne pas filtrer les paquets en vue de vérifier la source du trafic. Ces deux conditions permettent à des acteurs malveillants d’aisément envoyer du trafic offensif vers une cible.

Les hackers sont généralement motivés par trois choses : leur hostilité à l’égard de la cible (motivation typique des attaques hacktivistes), l’extorsion et le désir de voler quelqu’un pendant que le service leur est refusé. Bien qu’il n’existe aucun signe avant-coureur d’une attaque par déni de service, un professionnel de la sécurité avisé peut détecter le trafic qu’envoie un acteur malveillant pour déterminer si vous êtes une cible viable ou non.

Ils enverront un grand nombre de requêtes, par exemple à différentes parties d’un site Web, pour déterminer la vulnérabilité des serveurs Web à une attaque par déni de service. Ces premières « secousses » sur le Web sont le signe que votre entreprise pourrait être victime d’une attaque.

Grâce à une surveillance adéquate de la sécurité du réseau, votre équipe de cybersécurité peut analyser le trafic réseau et mettre en évidence des schémas de paquets qui sont autant de signes évidents d’une attaque. Pour savoir en temps réel si vous êtes victime d’une attaque, vous devez observer les métadonnées de vos périphériques réseau, c’est-à-dire les routeurs et les commutateurs, une tâche plus facile à réaliser avec un outil de surveillance de qualité.

Types d’attaques DoS

Il existe quatre principaux types d’attaques DoS qui visent à exploiter ou à extorquer les systèmes et les données :

  • Redirection du navigateur : un utilisateur demande le chargement d’une page, mais un hacker le redirige vers une autre page malveillante.
  • Fermeture de connexion : un acteur malveillant ferme un port ouvert, refusant à un utilisateur l’accès à une base de données.
  • Destruction de données : un hacker supprime des fichiers, ce qui génère une erreur « ressource introuvable » lorsque quelqu’un demande ce fichier, ou, si une application contient une vulnérabilité qui l’expose à des attaques par injection, l’acteur malveillant peut refuser le service en supprimant la table de la base de données.
  • Épuisement de la ressource : un acteur malveillant demandera de manière répétée l’accès à une ressource particulière, surchargeant ainsi l’application Web, provoquant son ralentissement ou son arrêt du fait du rechargement répété de la page.

 

Types d’attaques DDoS

Voici quelques exemples spécifiques d’attaques DDoS mémorables :

  • SYN flood : un hacker exploite une communication TCP (SYN-ACK) en envoyant une grande quantité de paquets SYN, épuisant ainsi les ressources du système ciblé.
  • Spoofing : un hacker se fait passer pour un utilisateur ou un appareil et, après avoir gagné sa confiance, utilise des paquets usurpés pour lancer une cyberattaque.
  • Attaque DDoS de la couche application : comme son nom l’indique, cette attaque, une fois déployée, exploitera une vulnérabilité ou une erreur de configuration dans une application et refusera à un utilisateur l’accès ou l’utilisation de l’application
  • Domain name system (DNS) flood : également connue sous le nom d’attaque par amplification DNS, un hacker perturbe la résolution DNS d’un nom de domaine donné en inondant ses serveurs.
  • Internet Control Message Protocol (ICMP) flood : également connu sous le nom de « ping flood », un hacker falsifie une IP source et crée une attaque de type « smurf ». Cette méthode peut également être utilisée pour envoyer un « ping de la mort », dans le cadre duquel un important paquet provoque un débordement de la mémoire tampon
  • User datagram protocol (UDP) flood : un hacker inonde des ports aléatoires sur sa cible, qui épuise les ressources et répond par des paquets « destination inaccessible ».

Prévenir une attaque DoS

Les attaques DoS ou DDoS peuvent frapper à tout moment, mais en mettant en place les bonnes pratiques, vous pouvez faire en sorte que votre entreprise dispose de tous les outils et protocoles nécessaires à une défense efficace.

Voici cinq façons de prévenir une attaque par déni de service :

  1. Créez un plan de réponse aux attaques par déni de service. Examinez votre système et identifiez les potentielles failles de sécurité, vulnérabilités ou lacunes dans votre posture. Élaborez un plan de réponse en cas d’attaque.
  2. Sécurisez votre infrastructure. Un pare-feu efficace basé sur le cloud, une surveillance du trafic et des solutions de renseignement sur les menaces, telles que la détection ou la prévention des intrusions, augmentent considérablement vos chances de déjouer les attaques DoS.
  3. Identifiez les signes annonciateurs. Soyez attentif aux baisses des performances du réseau, aux interruptions de service des sites Web ou à l’augmentation soudaine du nombre de spams. Tous ces événements requièrent une action immédiate.
  4. Adoptez des services basés sur le cloud. Les ressources cloud vous offrent plus de bande passante que celles sur site, et puisque vos serveurs ne sont pas tous situés au même endroit, les acteurs malveillants auront plus de difficultés à vous cibler.
  5. Surveillez les activités inhabituelles. Cela permettra à votre équipe de sécurité de détecter et de limiter une attaque DoS ou DDoS en temps réel. Nous verrons dans la section suivante comment réduire le risque d’attaques DoS et DDoS.

Comment réduire le risque d’une attaque par déni de service ?

Une posture de sécurité et une visibilité déficientes peuvent ouvrir la porte non seulement aux attaques DoS et DDoS, mais aussi à d’autres menaces telles que les malwares, les ransomwares, le spear phishing et bien d’autres encore. Pour assurer la sécurité de votre entreprise et maximiser vos chances d’atténuer efficacement les attaques DoS et DDoS, vous devez vous doter d’une protection DoS et DDoS adéquate. Voici quelques moyens de réduire le risque d’être victime d’une attaque DoS ou DDoS :

  • Assurer votre sécurité à partir du cloud. La sécurité fournie dans le cloud vous permet d’étendre les politiques à tous vos utilisateurs, où qu’ils se trouvent et quel que soit leur appareil, et vous apporte une visibilité totale sur votre environnement. De plus, grâce aux mises à jour automatiques et à l’absence de correctifs ou de réglages manuels, vous êtes toujours paré pour vous défendre contre les menaces les plus récentes.
  • Adopter la détection et réponse étendues (XDR). XDR est une évolution de détection et de réponse aux menaces sur les terminaux (EDR) qui vous procure une visibilité sur les menaces au niveau des terminaux et un aperçu des risques potentiels qui pèsent sur les données et la sécurité du cloud, le tout assorti de renseignements globaux sur les menaces. Ceci permettra d’endiguer la vague de faux positifs qu’une équipe de sécurité subit normalement, lui libérant davantage de temps à consacrer à la productivité.
  • Envisager la création d’un centre des opérations de sécurité (SOC). Un SOC géré dans le cloud vous permet de répondre à des besoins pour lesquels votre équipe de sécurité ne dispose peut-être pas de la bande passante nécessaire. À savoir, le provisionnement de la politique cloud, la détection et la réponse aux menaces, la protection des données et même la conformité, dans certains cas. Tout comme la XDR, un SOC géré vous accorde, à vous et votre équipe, la liberté de vous concentrer sur des questions plus urgentes.
  • Développer une architecture Zero Trust. Selon Gartner, au moins 70 % des nouveaux déploiements d’accès à distance seront principalement desservis par ZTNA en remplacement des services VPN d’ici 2025, contre moins de 10 % à la fin de 2021. En effet, la sécurité Zero Trust n’accorde l’accès qu’en fonction du contexte (c’est-à-dire de l’utilisateur, de l’appareil, de l’emplacement et de l’application), ce qui garantit que les acteurs malveillants n’auront aucun accès quelles que soient les circonstances.

En matière de Zero Trust, un seul fournisseur propose une sécurité Zero Trust native du cloud. Il se trouve qu’il s’agit du même fournisseur qui s’associe aux meilleurs architectes XDR afin que vous puissiez détecter les menaces sur l’ensemble de vos terminaux, clouds et données. Ce fournisseur, c’est Zscaler.

Comment Zscaler peut vous aider

Zscaler est le seul fournisseur de services de sécurité à disposer d’une plateforme suffisamment solide pour lutter contre les plus récentes menaces modernes, notamment les attaques DoS et DDoS. Zscaler Private Access™ (ZPA™) est une composante de Zscaler Zero Trust Exchange™, la plateforme Security Service Edge (SSE) la mieux notée et la plus déployée au monde.

La conception unique de ZPA repose sur quatre principes fondamentaux :

  • Connecter les utilisateurs aux applications sans placer les utilisateurs sur le réseau.
  • Ne jamais exposer les applications à des utilisateurs non autorisés.
  • Segmenter les applications sans segmenter le réseau.
  • Fournir un accès à distance sécurisé sans recourir à des appliances VPN.

ZPA fournit un moyen simple, sécurisé et efficace d’accéder aux applications internes. L’accès est basé sur des politiques créées par l’administrateur informatique dans le portail d’administration de ZPA et hébergées dans le cloud Zscaler. Notre Zscaler Client Connector est installé sur chaque appareil de l’utilisateur, ce qui garantit la posture de son appareil et étend un microtunnel sécurisé vers le cloud de Zscaler chaque fois qu’un utilisateur tente d’accéder à une application interne.

À côté d’une application exécutée dans un cloud public ou un data center, ZPA place notre App Connector, déployé en tant que VM, qui est utilisé pour étendre un microtunnel vers le cloud de Zscaler. Le Z-Connector établit une connexion sortante vers le cloud et ne reçoit aucune demande de connexion entrante, ce qui permet d’éviter les attaques DDoS.

Au sein du cloud de Zscaler, un CASB ou Cloud Access Security Broker approuve l’accès et établit la connexion entre l’utilisateur et l’application. ZPA est entièrement défini par logiciel. Il ne requiert donc aucune appliance et permet aux utilisateurs de bénéficier du cloud et de la mobilité tout en maintenant la sécurité de leurs applications : des avantages que ne peuvent offrir les méthodes traditionnelles de connectivité réseau et de pare-feu sur site.

Améliorez votre posture de sécurité et protégez vos utilisateurs contre les cyberattaques les plus récentes, notamment les attaques DoS et DDoS, grâce à Zscaler Private Access.

Ressources suggérées

Analyse Zscaler ThreatLabz globale
Notre tableau de bord mondial d’application
Qu’est-ce que le déplacement latéral ?
Lire l'article
Zscaler Cloud Firewall
Sécurisez votre trafic
Qu’est-ce que la sécurité réseau ?
Lire l'article

01 / 02

Foire aux questions