L’attaque DDoS : le fléau de Noël

Qu’est-ce que l’attaque DDoS ?

L’attaque par déni de service (DDoS) est une attaque informatique qui a pour but de rendre un site internet, un service web ou encore un serveur inaccessible via l’envoi massif de bots. Les bots sont des robots/logiciels qui visitent automatiquement des sites.

De manière plus imagée, l’attaque DDoS peut être comparée à un embouteillage : des centaines de voitures (les bots) qui bloque l’autoroute (la bande passante) empêchant le trafic de circuler.

Les attaques DDoS visent toute entreprise disposant d’une infrastructure réseau connectée à Internet. Il peut s’agir d’un site de e-commerce, d’une structure d’hébergement informatique, d’une institution financière ou encore d’un site gouvernemental.

 

Une cyberattaque redoutable en période de fête

Les attaques DDoS peuvent arriver tout au long de l’année et font perdre du temps et de l’argent aux entreprises. Ces attaques sont d’ailleurs de plus en plus fréquentes aujourd’hui. Selon un rapport des chercheurs en cybersécurité de Netscout, c’est 5,4 millions d’attaques DDoS qui ont été enregistrées durant le premier semestre 2021. Soit une augmentation de 11% par rapport à l’année précédente.

Mais, en cette période de fête, les interactions et les transactions en ligne augmentent, ce qui rend les cybercriminels plus actifs. On estime que les sites de e-commerce ont été victimes de plus de 41 000 attaques DDoS au cours du premier semestre 2021. Ce secteur apparait donc dans le Top 5 des cibles les plus touchés à l’approche de Noël.

Comment savoir si mon site en est victime ?

Il est parfois difficile de se rendre compte que son site internet est victime d’une attaque DDoS. Les attaques sont peuvent être difficiles à repérer. En effet, il faut être capable de dissocier une attaque qui semble correspondre à un « comportement classique » au trafic réel. Mais des signes avant-coureurs sont susceptibles de vous mettre la puce à l’oreille :

• Votre site devient très lent ou ne répond plus du tout pendant une période plus ou moins longue

• Vous observez un pic d’activité anormal depuis une ou plusieurs adresses IP

• Vous recevez un e-mail qui vous demande une rançon

• Vous avez des difficultés à redémarrer vos serveurs

Que faire en cas d’attaque ?

En cas d’attaque, voici une liste d’étapes à suivre :

1# Ne payez pas la rançon : les cybercriminels peuvent demander une rançon après avoir lancer l’attaque en exigeant un paiement afin d’y mettre fin. Dans un autre cas de figure, les cybercriminels adressent à leur cible une demande de rançon en la menaçant d’une attaque DDoS.

2# Filtrez les requêtes de l’attaquant au niveau de votre pare-feu.

3# Conservez les preuves en réalisant une copie complète de la machine attaquée et de sa mémoire. Il vous faut récupérer les fichiers logs du pare-feu, le serveur mandataire (proxy), ainsi que des serveurs touchés et des disques durs. Ces éléments permettent de retrouver le cybercriminel et sont aussi des preuves juridiques en cas de procédures ultérieures.

4# Évaluez les dégâts et les éventuelles informations perdues. Vérifiez par la même occasion que les cybercriminels n’en aient pas profité pour réaliser d’autres attaques sur le système informatique.

5# Changez vos mots de passe d’accès aux serveurs suspectés d’être touchés et envisagez leur réinstallation complète à partir de sauvegardes dites saines.

6# Déposez plainte au commissariat de police ou à la gendarmerie dont vous dépendez en fournissant les preuves .

7# Notifiez cette attaque à la CNIL en cas de violation de données à caractère personnel.

 

Comment se protéger des attaques DDoS?

Comme l’exprime si bien M. Poupard, Directeur Générale de l’ANSSI : « la cybersécurité, c’est 99% d’anticipation, de prévention et de bon sens ». Des mesures préventives doivent être mises en œuvre afin de se préparer et assurer une continuité de service en cas d’attaque. Voici quelques mesures qui vous permettent de se protéger votre système d’information face à une attaque DDoS :

1. Utiliser un pare-feu dédié aux entreprises

Le firewall (ou le pare-feu) est un élément indispensable pour se protéger contre les attaques DDoS. Qu’il soit matériel ou applicatif (WAF), il permet de filtrer les flux en ne laissant passer que le bon trafic et en bloquant le reste. Attention tout de même ! Il est important de savoir qu’un pare-feu seul n’est pas une protection suffisante car qu’il peut être aussi exploité par les cybercriminels pour rendre les services de l’entreprise indisponible. Il est donc nécessaire de le coupler avec d’autres solutions de sécurité.

En savoir plus : Le pare-feu en 8 questions

2. Choisir le bon hébergeur

Certains hébergeurs ont mis en place des systèmes pour limiter les attaques et protéger les sites internet et les serveurs des entreprises. Différentes options peuvent être proposées, mais une protection par défaut est souvent incluse dans les offres d’hébergement. Dans ce cas, il est nécessaire de s’assurer du niveau de protection offert car il peut parfois être limité. Néanmoins, ces solutions peuvent correctement protéger les structures qui font appel à une société externe pour l’hébergement de leurs services.

 

3. Mettre en place un site miroir

Le site miroir consiste à réaliser une copie conforme de son site sur un autre domaine. Un autre site sera ainsi opérationnel en cas d’attaque.

4. Réaliser un monitoring de son système d’information

 

La surveillance du trafic de votre site internet vous permet de détecter des pics suspects. Votre prestataire informatique pourra alors intervenir rapidement. La réactivité est un des éléments clés pour se protéger. En effet, réagir lorsque les serveurs répondent encore peut permettre de bloquer une partie du mauvais trafic.

5. Recourir à des équipements spécifiques

Afin de se protéger des attaques DDoS, une entreprise peut recourir à des équipements de filtrage spécifiques à ce type d’attaque. Ces équipements possèdent des capacités de traitement adaptées et offrent plusieurs types de contre-mesures :

• Filtrage basé sur la position géographie des sources

• Définir des règles précises pour filtrer des paquets sur leur contenu

• Limiter le nombre de requêtes dans un intervalle de temps donné pour votre site internet

• Définir des limites de détection d’attaque en fonction de certains paramètres comme la bande passante ou le nombre de paquets par seconde.

6. Être accompagner par un prestataire informatique

C’est la base de toute entreprise pour assurer le bon fonctionnement de son parc informatique, notamment en termes de sécurité. Un prestataire informatique tel que BA INFO vous permet de bénéficier de l’expertise et du savoir-faire de professionnels afin de prévenir les cybermenaces et agir rapidement et efficacement en cas de problème.

Il vous accompagnera sur plusieurs plans :

• La sécurisation de votre système d’information en mettant en place de mesures préventives comme la mise en œuvre d’un PRA.

• La supervision de votre réseau pour détecter d’éventuelles menaces ou anormalités.

• En cas d’attaque en filtrant les requêtes, en évaluant les dégâts potentiels et en remettant sur pied votre système d’information.

Source :

– cybermalveillance.gouv « Attaque DDoS, que faire ? »

– ANSSI « comprendre et anticiper les attaques »

Besoin de plus de renseignements ?