Le web est devenu un champ de bataille où cyber-terroristes et escrocs informatiques rivalisent d’ingéniosité pour semer la pagaille ou commettre des forfaits. L’attaque DDoS est l’une des plus impressionnantes puisqu’elle bloque totalement l’accès aux sites agressés sans grande possibilité de parade.

 

Les experts sont formels : les attaques DDoS n’ont jamais été aussi nombreuses sur le web que durant le dernier trimestre 2014 et 2015 ne sera pas mieux même si le récent black-out de TV5 Monde inaugure une nouvelle pratique encore plus spectaculaire. Deux épisodes médiatiques ont particulièrement marqué les esprits l’an passé : lors de l’élection du nouveau président de l’UMP, le scrutin électronique a été perturbé par une saturation des serveurs engendrée par un afflux de plusieurs milliers de connexions par seconde, action qui s’est révélée difficile à juguler d’autant que des négligences en matière de sécurité ont aggravé la situation. Autre affaire détonante, le blocage du système informatique de Sony Pictures suite à la sortie d’un film racontant l’assassinat du dictateur Nord-coréen, action qui aurait servie à masquer des vols de données stratégiques. Cette agressivité politique ou criminelle croissante amène tous les hébergeurs à prendre des dispositions pour protéger le mieux possible les données des entreprises et institutions publiques qui leur font confiance.

 

Caractériser la menace

Une attaque en déni de service distribué (DDoS) consiste à rendre indisponibles des serveurs web, de messagerie ou encore de noms en les saturant de requêtes au point de les paralyser par impossibilité de répondre à toutes les demandes et de rendre ainsi le service indisponible. Pour ce faire, l’agresseur ordonne à un grand nombre d’ordinateurs préalablement infectés par des logiciels robots d’envoyer en continu des requêtes simultanées vers l’adresse désignée. Ces demandes sont de simples paquets appelant une réponse – un ping – ou des séries de données plus complexe qui créent une file d’attente engendrant un blocage et finalement une indisponibilité ou déni de service. Les spécialistes distinguent des nuances en parlant de saturation de la bande passante du réseau alimentant le serveur, d’épuisement des ressources système ou encore d’exploitation de faille logicielle ou même de prise de contrôle.

 

De plus en plus facile

La croissance inquiétante de ces agressions s’explique par le fait que les attaques DDoS sont de plus en plus faciles à mener. Les cyber-délinquants n’ont en effet plus besoin d’avoir des compétences puisqu’il suffit de connaître des organisations criminelles ou des activistes qui vendent des « kits d’attaque DDoS » ou louent des réseaux d’ordinateurs infectés de botnets qui sont autant de « zombies » capables de lancer des opérations agressives. Il est aussi possible de s’appuyer sur la facilité avec laquelle se téléchargent les applications mobiles et sur la naïveté des internautes pour rameuter des participants dans des actions militantes ou délictueuses quelconques. A ce rythme, le phénomène des attaques DDoS n’est pas prêt de se tarir d’autant que l’imagination malfaisante semble sans limite et multiplie à loisir les méthodes d’agression.

 

Une défense impossible ?

Face à ce fléau comment l’hébergeur peut-il se défendre ? A vrai dire, il est particulièrement difficile d’éviter ou de contrer ce genre d’attaque, mais il est possible d’en limiter l’impact, sur la cible directe comme sur les colocataires. La première ligne de défense consiste à contrôler le réseau d’accès ce qui permet de déployer des équipements de détection formant un bouclier chargé de réagir à la moindre alerte en re-routant le trafic de données perverties afin d’atténuer l’impact sur les serveurs visés. La vigilance des opérateurs en charge de la sécurité des infrastructures permet aussi de mettre en place une réplique réfléchie et d’isoler rapidement les sites partageant les infrastructures agressées. Tenu informé de l’agression et des parades engagées, le client pourra prendre des dispositions afin d’atténuer les dégâts occasionnés et engager le plan de reprise préparé à l’avance avec son hébergeur. Des méthodes existent pour « nettoyer » en ligne le trafic de données sans pour autant rejeter les bonnes requêtes mais cela suppose une détection précoce de l’attaque et une technique d’inspection et d’analyse des paquets de données qui ne se transforme pas en goulot d’étranglement pour les services des autres clients.