AccueilđŸ‡«đŸ‡·Chercher

Attaque par déni de service

Une attaque par dĂ©ni de service (abr. DoS attack pour Denial of Service attack en anglais) est une attaque informatique ayant pour but de rendre indisponible un service, d'empĂȘcher les utilisateurs lĂ©gitimes d'un service de l'utiliser. À l’heure actuelle la grande majoritĂ© de ces attaques se font Ă  partir de plusieurs sources, on parle alors d'attaque par dĂ©ni de service distribuĂ©e (abr. DDoS attack pour Distributed Denial of Service attack).

Il peut s'agir de :

  • l’inondation d’un rĂ©seau afin d'empĂȘcher son fonctionnement ;
  • la perturbation des connexions entre deux machines, empĂȘchant l'accĂšs Ă  un service particulier ;
  • l'obstruction d'accĂšs Ă  un service pour une personne en particulier ;
  • Ă©galement le fait d'envoyer des milliards d'octets Ă  une box internet.

L'attaque par dĂ©ni de service peut ainsi bloquer un serveur de fichiers, rendre impossible l'accĂšs Ă  un serveur web ou empĂȘcher la distribution de courriel dans une entreprise.

L'attaquant n'a pas forcĂ©ment besoin de matĂ©riel sophistiquĂ©. Ainsi, certaines attaques DoS peuvent ĂȘtre exĂ©cutĂ©es avec des ressources limitĂ©es contre un rĂ©seau de taille plus importante et plus moderne. On appelle parfois ce type d'attaque « attaque asymĂ©trique » en raison de la diffĂ©rence de ressources entre les protagonistes.

Les attaques en déni de service se sont modifiées au cours du temps (voir historique).

Historique

Les attaques par dĂ©ni de service ont vu le jour dans les annĂ©es 1980. Les DDoS (ou attaques DoS DistribuĂ©es) seraient plus rĂ©centes : la premiĂšre attaque DDoS officielle a eu lieu en aoĂ»t 1999[1] : un outil appelĂ© « Trinoo DDO » (dĂ©crit ci-dessous) a Ă©tĂ© dĂ©ployĂ© dans au moins 227 systĂšmes, dont 114 Ă©taient sur Internet, pour inonder les serveurs de l'universitĂ© du Minnesota. À la suite de cette attaque, l'accĂšs internet de l'universitĂ© est restĂ© bloquĂ© pendant plus de deux jours.

La premiĂšre attaque DDoS mĂ©diatisĂ©e dans la presse grand public a eu lieu en , causĂ©e par Michael Calce, mieux connu sous le nom de Mafiaboy. Le , Yahoo! a Ă©tĂ© victime d'une attaque DDoS qui a rendu son portail Internet inaccessible pendant trois heures. Le , Amazon.com, Buy.com, CNN et eBay ont Ă©tĂ© touchĂ©s par des attaques DDoS qui ont provoquĂ© soit l'arrĂȘt, soit un fort ralentissement de leur fonctionnement. Le , E-Trade et ZDNet ont Ă  leur tour Ă©tĂ© victimes d’attaques DDoS.

Les analystes estiment que durant les trois heures d'inaccessibilitĂ©, Yahoo! a subi une perte sur le commerce Ă©lectronique et les recettes publicitaires s'Ă©levant Ă  environ 500 000 dollars. Selon Amazon.com, son attaque a entraĂźnĂ© une perte de 600 000 dollars sur dix heures. Au cours de l'attaque, eBay.com est passĂ© de 100 % de disponibilitĂ© Ă  9,4 % ; CNN.com est passĂ© au-dessous de 5 % du volume normal ; Zdnet.com et ETrade.com Ă©taient, eux, pratiquement inaccessibles. Schwab.com, le site en ligne du courtier Charles Schwab, a Ă©galement Ă©tĂ© touchĂ©, mais il a refusĂ© de donner des chiffres exacts sur ses pertes. On peut seulement supposer que, dans une sociĂ©tĂ© qui fait 2 milliards de dollars par semaine sur les mĂ©tiers en ligne, la perte n’a pas Ă©tĂ© nĂ©gligeable. Michael Calce, qui a piratĂ© Amazon.com, Yahoo!, CNN et Ebay, fut condamnĂ© Ă  huit mois dans un centre de dĂ©tention pour jeunes (il n'avait que 15 ans au moment des faits).

En , un certain virus Code Red infecte quelques milliers de systĂšmes, et une seconde version, intitulĂ©e Code Red II, installe un agent DDoS. Les rumeurs prĂ©tendent qu'il devait lancer une attaque contre la Maison-Blanche. Dans un contexte politique de crise, le gouvernement amĂ©ricain annonce que des mesures de sĂ©curitĂ© vont ĂȘtre entreprises. Mais dĂšs l'Ă©tĂ© 2002, c'est au tour d'Internet de subir une attaque DDoS Ă  l'encontre de ses treize serveurs racines. Ces serveurs sont les points clĂ©s du systĂšme d'aiguillage de l'Internet, appelĂ© Domain Name System (DNS). Cette attaque ne durera qu'une heure mais aurait pu paralyser l'ensemble du rĂ©seau Internet. L'incident est pris au sĂ©rieux par les experts qui affirment renforcer Ă  l'avenir la sĂ©curitĂ© de leurs machines.

La premiĂšre version de Slapper, apparue Ă  la mi-, a contaminĂ© plus de 13 000 serveurs Linux en deux semaines. Slapper exploite une faille de sĂ©curitĂ© prĂ©sente dans le module OpenSSL1, et vĂ©hicule un agent DDoS. Celui-ci est dĂ©tectĂ© et stoppĂ© Ă  temps.

MalgrĂ© tout, le lundi , une nouvelle attaque DOS bloque neuf des treize serveurs clefs, rendant leurs ressources inaccessibles pendant trois heures. Une partie des entreprises et organismes gĂ©rant ces serveurs clĂ©s rĂ©agit et dĂ©cide de revoir leurs dispositifs de sĂ©curitĂ©. Le FBI a ouvert une enquĂȘte, mais localiser le ou les auteurs de l'attaque s'annonce difficile.

Peu de temps aprÚs, des serveurs de bases de données Microsoft SQL Server, mal configurés, sont infectés par le ver SQL Slammer. Ce dernier transporte un agent DDoS qui lance une attaque le contre Internet. Cette fois-ci, seuls quatre des treize serveurs racines ont été affectés. Malgré la virulence de l'attaque, la performance globale du réseau a été à peine réduite de 15 %.

Les premiĂšres attaques n'Ă©taient perpĂ©trĂ©es que par un seul « attaquant » ; rapidement, des attaques plus Ă©voluĂ©es sont apparues, impliquant une multitude d'attaquants. On parle alors de DDoS (distributed denial of service attack). Certains pirates informatiques se sont spĂ©cialisĂ©s dans la « levĂ©e » d’armĂ©es de « zombies » qu’ils peuvent ensuite louer Ă  d’autres personnes ou groupes malveillants pour attaquer une cible particuliĂšre. Avec la forte augmentation du nombre d’échanges commerciaux sur Internet, le nombre de chantages au dĂ©ni de service a trĂšs fortement progressĂ©[2].

Types d'attaques

On appelle « attaque par dĂ©ni de service » toutes les actions ayant pour rĂ©sultat la mise hors ligne d'un serveur. Techniquement, couper la connexion entre un serveur et un client, dans un but malfaisant, peut ĂȘtre considĂ©rĂ© comme une attaque par dĂ©ni de service. Dans les faits, les attaques par dĂ©ni de service sont opĂ©rĂ©es en saturant la bande passante d'un serveur dĂ©fini.

Exploitation des failles ou des limites des machines

Une des attaques les plus courantes consistait Ă  envoyer un paquet ICMP de plus de 65 535 octets. Au-dessus de cette limite, les piles IP ne savaient pas gĂ©rer le paquet proprement, ce qui entraĂźnait des erreurs de fragmentation UDP, ou encore les paquets TCP contenant des « flags » illĂ©gaux ou incompatibles.

Les piles actuelles rĂ©sistent Ă  ce type d’attaques. NĂ©anmoins, les dĂ©lais de traitement de ce genre de paquets restent plus longs que ceux nĂ©cessaires pour traiter les paquets lĂ©gitimes. Ainsi, il devient commun voire trivial de gĂ©nĂ©rer une consommation excessive de processeur (CPU) par la simple Ă©mission de plusieurs centaines de milliers d’anomalies par seconde, ce qu’un outil tel que hping3 permet en une unique ligne de commande


ex. : [root@localhost root]# hping3 -SARFU -L 0 -M 0 -p. 80 www.cible.com—flood

Avec l'arrivĂ©e du haut dĂ©bit et l'augmentation de la puissance des ordinateurs personnels, le potentiel d'attaque a Ă©tĂ© dĂ©cuplĂ©, mettant en Ă©vidence la faiblesse des installations dĂ©veloppĂ©es il y a plusieurs annĂ©es. Cette augmentation permet Ă  quasiment toutes les anomalies d’ĂȘtre Ă  l’origine d’un dĂ©ni de service, pourvu qu’elles soient gĂ©nĂ©rĂ©es Ă  un rythme suffisamment important.

Par exemple :

  • l’usage des champs « rĂ©servĂ©s » de l’en-tĂȘte TCP ;
  • le positionnement d’un numĂ©ro de sĂ©quence d’accusĂ© de rĂ©ception dans un paquet SYN ;
  • des paquets dont l’en-tĂȘte de couche 4 (TCP/UDP) est tronquĂ© en dĂ©pit de checksums corrects.

Attaque par déni de service SYN Flood

Une attaque SYN Flood est une attaque visant à provoquer un déni de service en émettant un nombre important de demandes de synchronisation TCP incomplÚte avec un serveur.

Quand un systÚme (client) tente d'établir une connexion TCP vers un systÚme offrant un service (serveur), le client et le serveur échangent une séquence de messages.

Le systĂšme client commence par envoyer un message SYN au serveur. Le serveur reconnaĂźt ensuite le message en envoyant un SYN-ACK message au client. Le client finit alors d’établir la connexion en rĂ©pondant par un message ACK. La connexion entre le client et le serveur est alors ouverte, et le service de donnĂ©es spĂ©cifiques peut ĂȘtre Ă©changĂ© entre le client et le serveur. Voici une vue de ce flux de messages :

Client           Serveur
------           -------
 SYN  --------- →
   ← ---------  SYN-ACK
 ACK  --------- →

Le risque d'abus se pose Ă  l'endroit oĂč le systĂšme de serveur a envoyĂ© un accusĂ© de rĂ©ception (SYN-ACK) au client, mais ne reçoit pas le message ACK. Le serveur construit dans sa mĂ©moire systĂšme une structure de donnĂ©es dĂ©crivant toutes les connexions. Cette structure de donnĂ©es est de taille finie, et elle peut ĂȘtre dĂ©bordĂ©e en crĂ©ant intentionnellement trop de connexions partiellement ouvertes.

CrĂ©er des connexions semi-ouvertes s’accomplit facilement avec l'IP spoofing. Le systĂšme de l'agresseur envoie des messages SYN Ă  la machine victime ; ceux-ci semblent ĂȘtre lĂ©gitimes, mais font rĂ©fĂ©rence Ă  un systĂšme client incapable de rĂ©pondre au message SYN-ACK. Cela signifie que le message ACK final ne sera jamais envoyĂ© au serveur victime.

Normalement il y a un dĂ©lai d'attente associĂ© Ă  une connexion entrante, les semi-connexions ouvertes vont expirer et le serveur victime pourra gĂ©rer l’attaque. Toutefois, le systĂšme agresseur peut simplement continuer Ă  envoyer des paquets IP falsifiĂ©s demandant de nouvelles connexions, plus rapides que le serveur victime.

Dans la plupart des cas, la victime aura des difficultés à accepter toute nouvelle connexion réseau entrante. Dans ces cas, l'attaque n'affecte pas les connexions entrantes, ni la possibilité d'établir des connexions réseau sortant. Toutefois, le systÚme peut saturer la mémoire, ce qui provoque un crash rendant le systÚme inopérant.

UDP Flooding

Ce dĂ©ni de service exploite le mode non connectĂ© du protocole UDP. Il crĂ©e une UDP Packet Storm (gĂ©nĂ©ration d’une grande quantitĂ© de paquets UDP) soit Ă  destination d’une machine soit entre deux machines. Une telle attaque entre deux machines entraĂźne une congestion du rĂ©seau ainsi qu’une saturation des ressources des deux hĂŽtes victimes. La congestion est plus importante du fait que le trafic UDP est prioritaire sur le trafic TCP. En effet, le protocole TCP possĂšde un mĂ©canisme de contrĂŽle de congestion, dans le cas oĂč l’acquittement d’un paquet arrive aprĂšs un long dĂ©lai, ce mĂ©canisme adapte la frĂ©quence d’émission des paquets TCP et le dĂ©bit diminue. Le protocole UDP ne possĂšde pas ce mĂ©canisme. Au bout d’un certain temps, le trafic UDP occupe donc toute la bande passante, ne laissant qu’une infime partie au trafic TCP.

L’exemple le plus connu d’UDP Flooding est la « Chargen Denial of Service Attack ». La mise en pratique de cette attaque est simple, il suffit de faire communiquer le service chargen d’une machine avec le service echo d’une autre. Le premier gĂ©nĂšre des caractĂšres, tandis que le second se contente de rĂ©Ă©mettre les donnĂ©es qu’il reçoit. Il suffit alors Ă  l’attaquant d’envoyer des paquets UDP sur le port 19 (chargen) Ă  une des victimes en usurpant l'adresse IP et le port source de l’autre. Dans ce cas, le port source est le port UDP 7 (echo). L’UDP Flooding entraĂźne une saturation de la bande passante entre les deux machines, il peut donc neutraliser complĂštement un rĂ©seau.

Packet Fragment

Les dénis de service de type Packet Fragment utilisent des faiblesses dans l'implémentation de certaines piles TCP/IP au niveau de la défragmentation IP (ré-assemblage des fragments IP).

Une attaque connue utilisant ce principe est Teardrop. L'offset de fragmentation du second fragment est infĂ©rieur Ă  la taille du premier ainsi que l'offset plus la taille du second. Cela revient Ă  dire que le deuxiĂšme fragment est contenu dans le premier (overlapping). Lors de la dĂ©fragmentation, certains systĂšmes ne gĂšrent pas cette exception et cela entraĂźne un dĂ©ni de service. Il existe des variantes de cette attaque : bonk, boink et newtear. Le dĂ©ni de service Ping of Death exploite une mauvaise gestion de la dĂ©fragmentation au niveau ICMP, en envoyant une quantitĂ© de donnĂ©es supĂ©rieure Ă  la taille maximum d’un paquet IP. Ces diffĂ©rents dĂ©nis de services aboutissent Ă  un crash de la machine cible.

Smurfing

Cette attaque utilise le protocole ICMP. Quand un ping (message ICMP ECHO) est envoyĂ© Ă  une adresse de broadcast, celui-ci est dĂ©multipliĂ© et envoyĂ© Ă  chacune des machines du rĂ©seau. Le principe de l’attaque est de truquer les paquets ICMP ECHO REQUEST envoyĂ©s en mettant comme adresse IP source celle de la cible. L’attaquant envoie un flux continu de ping vers l’adresse de broadcast d’un rĂ©seau et toutes les machines rĂ©pondent alors par un message ICMP ECHO REPLY en direction de la cible. Le flux est alors multipliĂ© par le nombre d’hĂŽtes composant le rĂ©seau. Dans ce cas tout le rĂ©seau cible subit le dĂ©ni de service, car l’énorme quantitĂ© de trafic gĂ©nĂ©rĂ©e par cette attaque entraĂźne une congestion du rĂ©seau.

Empoisonnement de l'adresse MAC du routeur de sortie

Lors d’une requĂȘte ARP, l’attaquant peut rĂ©pondre en associant la route de sortie Ă  une adresse MAC inexistante. De cette maniĂšre, les paquets envoyĂ©s sont alors perdus dans le rĂ©seau. Et le rĂ©seau perd son accĂšs Ă  internet.

Exemples de mode d'attaque

  • Ping ’O Death (ping de la mort) : il s’agit de saturer un routeur ou un serveur en envoyant un nombre important de requĂȘtes ICMP REQUEST dont les datagrammes dĂ©passent la taille maximum autorisĂ©e. Des patches existent afin de se prĂ©munir de ce type d’agression sous les systĂšmes MacOs, Windows NT/9x, Sun [Oracle] Solaris, Linux et Novell Netware.
  • Land - Blat : il s’agit d’envoyer un paquet forgĂ© (« spoofĂ© ») contenant le flag SYN sur un port donnĂ© (comme 113 ou 139 par exemple) et de dĂ©finir la source comme Ă©tant l'adresse de la station cible. Il existe un certain nombre de patches pour ce « bug » pour les systĂšmes UNIX et Windows.
  • Jolt : spĂ©cialement destinĂ©e aux systĂšmes Microsoft (NT, 9x et 2000), cette attaque permet de saturer le processeur de la station qui la subit. La fragmentation IP provoque, lorsque l'on envoie un grand nombre de fragments de paquets identiques (150 par seconde), une saturation totale du processeur durant toute la durĂ©e de l'attaque. Des prĂ©-patches existent dĂ©jĂ  pour tenter de contrer ce type d’attaque.
  • TearDrop - SynDrop : problĂšme dĂ©couvert dans l'ancien noyau du systĂšme Linux dans la partie concernant la fragmentation des paquets IP. Il s’agit d’un problĂšme de reconstruction du paquet. Lorsque le systĂšme reconstitue le paquet, il exĂ©cute une boucle qui va permettre de stocker dans un nouveau buffer tous les paquets dĂ©jĂ  reçus. Il y a effectivement un contrĂŽle de la taille du paquet mais uniquement si ce dernier est trop grand. S’il est trop petit cela peut provoquer un problĂšme au niveau du noyau et planter le systĂšme (problĂšme d’alignement des paquets). Ce problĂšme a Ă©galement Ă©tĂ© observĂ© sur les systĂšmes Windows (NT/9x) et des patches sont dĂšs Ă  prĂ©sent disponibles.
  • Ident Attack : ce problĂšme dans le daemon identd permet aisĂ©ment de dĂ©stabiliser une machine UNIX qui l'utilise. Un grand nombre de requĂȘtes d’autorisation entraĂźne une instabilitĂ© totale de la machine. Pour Ă©viter cela, il faut installer une version plus rĂ©cente du daemon identd ou alors utiliser le daemon pidentd-2.8a4 (ou ultĂ©rieur).
  • Bonk - Boink : mĂȘme problĂšme que le TearDrop mais lĂ©gĂšrement modifiĂ© afin de ne pas ĂȘtre affectĂ© par les patches fournis pour le TearDrop. Il existe de nouveaux patches mieux construits qui permettent Ă©galement d’éviter ce nouveau type d’attaque.
  • Smurf : ce programme utilise la technique de l'ICMP Flood et l'amplifie de maniĂšre Ă  crĂ©er un vĂ©ritable dĂ©sastre sur la (ou les) machines visĂ©es. En fait, il utilise la technique du Broadcast Ping afin que le nombre de paquets ICMP envoyĂ©s Ă  la station grandisse de maniĂšre exponentielle causant alors un crash presque inĂ©vitable. Il est difficile de se protĂ©ger de ce type d’attaque, il n’existe aucun patch mais des rĂšgles de filtrage correctes permettent de limiter son effet.
  • WinNuke : il s’agit d’un programme permettant de « crasher » les systĂšmes Windows NT/95 par l'envoi de donnĂ©es de type « OOB » (Out of Band) lors d’une connexion avec un client Windows. NetBIOS semble ĂȘtre le service le plus vulnĂ©rable Ă  ce type d’attaque. Apparemment, Windows ne sait comment rĂ©agir Ă  la rĂ©ception de ce type de paquet et « panique ». De nombreux patches existent contre ce type d’attaque et les versions postĂ©rieures de Windows (Ă  partir de Windows 98/2000) sont dĂšs Ă  prĂ©sent protĂ©gĂ©es.
  • SlowLoris : Un script en Perl ciblant les serveurs web.
RĂ©seaux DDoS

Déni de service distribué ou effet de levier

Motivation

Compte tenu des performances actuelles des serveurs et de la gĂ©nĂ©ralisation des techniques de rĂ©partition de charge et de haute disponibilitĂ©, il est quasiment impossible de provoquer un dĂ©ni de service simple comme dĂ©crit dans les sections prĂ©cĂ©dentes. Il est donc souvent nĂ©cessaire de trouver un moyen d’appliquer un effet multiplicateur Ă  l’attaque initiale.

Principe

Le principe est d'utiliser plusieurs sources (daemons) pour l’attaque et des maütres (masters) qui les contrîlent.

L’attaquant utilise des maĂźtres pour contrĂŽler plus facilement les sources. En effet, il a besoin de se connecter (en TCP) aux maĂźtres pour configurer et prĂ©parer l’attaque. Les maĂźtres se contentent d’envoyer des commandes aux sources en UDP, ce qui permet de ne pas avoir Ă  se connecter manuellement Ă  chaque source. La source de l’attaque serait dĂ©tectĂ©e plus facilement et sa mise en place beaucoup plus longue. Chaque daemon et master discutent en Ă©changeant des messages spĂ©cifiques selon l’outil utilisĂ©. Ces communications peuvent mĂȘme ĂȘtre chiffrĂ©es et/ou authentifiĂ©es. Pour installer les daemons et les masters, l’attaquant peut utiliser des failles connues (buffer overflow sur des services RPC, FTP ou autres).

L’attaque en elle-mĂȘme est un SYN Flooding, UDP Flooding ou autre Smurf Attack. Le rĂ©sultat d’un dĂ©ni de service est donc de rendre un rĂ©seau inaccessible.

Outils

Outils de DDoS (Distributed Denial of Service) les plus connus
Logiciel Types d'attaques
Trinoo (en) UDP flooding
Tribe Flood Network (en) (TFN) et TFN2k UDP/TCP/TCP SYN flooding, Smurf
Stacheldraht (en) UDP/TCP/TCP SYN flooding, Smurf
Schaft UDP/TCP/ICMP flooding
MStreamT TCP ACK flooding
LOIC (Low Orbit Ion Cannon) TCP/UDP/HTTP
HOIC (High Orbit Ion Cannon) (version plus évoluée de LOIC) TCP/UDP/HTTP
WebLoic (LOIC pour Android) TCP/UDP/HTTP

Inconvénients

L’inconvĂ©nient dans ce cas est la nĂ©cessitĂ© de travailler en deux temps :

  1. Infecter les systÚmes destinés à héberger les zombies.
  2. Lancer les ordres.

À la deuxiĂšme Ă©tape le paquet de commande peut ĂȘtre bloquĂ© par un outil de dĂ©tection ou de filtrage. Par consĂ©quent l’évolution consiste Ă  automatiser le lancement des commandes dĂšs la corruption des systĂšmes relais. Cette technique a Ă©tĂ© implĂ©mentĂ©e par CodeRed dont l’objectif Ă©tait de faire connecter les serveurs corrompus au site Web de la maison blanche Ă  une date prĂ©cise.

Dans le mĂȘme ordre d’idĂ©es les DDoS basĂ©es sur les canaux IRC comme canaux de communication. L’objectif est ici non plus d’établir une connexion directe entre le maĂźtre et les zombies, mais d’utiliser un serveur IRC (ou plutĂŽt un canal) comme relais. Cette mĂ©thode, initiĂ©e en juillet et aoĂ»t 2001 par Knight et Kaiten, prĂ©sente de nombreux avantages :

  • Les commandes sont transmises d’une maniĂšre asynchrone via un flux « sortant », qu’il s’agisse du point de vue du maitre ou de l’agent. Il est donc plus probable que le zombie puisse obtenir ses ordres ;
  • avec le support SSL il est impossible de dĂ©tecter les commandes passĂ©es, et par consĂ©quent d’identifier le canal IRC servant de relais. De la mĂȘme maniĂšre le maĂźtre est quasi-indĂ©tectable ;
  • l’attaquant dispose d’une plate-forme de relais (le canal IRC) distribuĂ©e.

Prévention et protections

Les attaques par dĂ©ni de service non distribuĂ©es peuvent ĂȘtre contrĂ©es en identifiant l'adresse IP de la machine Ă©mettant les attaques et en la bannissant au niveau du pare-feu ou du serveur. Les paquets IP provenant de la machine hostile sont dĂšs lors rejetĂ©s sans ĂȘtre traitĂ©s empĂȘchant que le service du serveur ne soit saturĂ© et ne se retrouve donc hors-ligne.

Les attaques par dĂ©ni de service distribuĂ©es sont plus difficiles Ă  contrer. Le principe mĂȘme de l'attaque par dĂ©ni de service distribuĂ©e est de diminuer les possibilitĂ©s de stopper l'attaque. Celle-ci Ă©manant de nombreuses machines hostiles aux adresses diffĂ©rentes, bloquer les adresses IP limite l'attaque mais ne l'arrĂȘte pas. Thomas Longstaff de l'universitĂ© Carnegie-Mellon explique Ă  ce sujet que : « En rĂ©alitĂ©, la prĂ©vention doit plus porter sur le renforcement du niveau de sĂ©curitĂ© des machines connectĂ©es au rĂ©seau [pour Ă©viter qu'une machine puisse ĂȘtre compromise] que sur la protection des machines cibles [les serveurs Web] »[3].

Une architecture rĂ©partie, composĂ©e de plusieurs serveurs offrant le mĂȘme service gĂ©rĂ©s de sorte que chaque client ne soit pris en charge que par l'un d'entre eux, permet de rĂ©partir les points d'accĂšs aux services et offre, en situation d'attaque, un mode dĂ©gradĂ© (ralentissement) souvent acceptable.

Selon les attaques il est Ă©galement possible de mettre un serveur tampon qui filtre et nettoie le trafic. Ce serveur, « cleaning center » permet en cas d'attaques de faire en sorte que les requĂȘtes malveillantes ne touchent pas le serveur visĂ©[4] - [5].

L'utilisation de SYN cookies est également une solution envisageable pour éviter les attaques de type SYN flood, mais cette approche ne permet pas d'éviter la saturation de la bande passante du réseau.

Retour aux conditions normales

Le retour aux conditions normales aprĂšs une attaque peut exiger une intervention humaine, car certains logiciels ne retrouvent pas un fonctionnement normal aprĂšs une attaque de ce type.

Responsables et motifs

Auteurs

Les attaques par dĂ©ni de service sont souvent effectuĂ©es par des personnes peu expĂ©rimentĂ©es comme les lamers et les script kiddies. Elles sont aussi abondamment utilisĂ©es par des acteurs plus expĂ©rimentĂ©s, sous une forme dĂ©lictueuse ou de dĂ©fense (par exemple Ă  l'encontre de sites eux-mĂȘmes hostiles ou menant des activitĂ©s rĂ©putĂ©es illĂ©gales ou illĂ©gitimes).

Un cas particulier d'attaque par dĂ©ni de service est le Social Denial of Service (SDoS). C'est une sorte d'effet Slashdot dans lequel l'afflux de requĂȘtes provient en partie de badauds venant observer les effets d'un dĂ©ni de service annoncĂ©[6]. Les acteurs sont alors une multitude d'internautes bien rĂ©els, agissant de façon simultanĂ©e et stimulĂ©e.

Motifs

Depuis quelques années, l'attaque par déni de service distribuée est utilisée à des fins de chantage auprÚs d'entreprises dont l'activité commerciale repose sur la disponibilité de leur site web. Ces fraudes sont habituellement le fait d'organisations criminelles (mafieuses) et non de pirates isolés.

Il arrive frĂ©quemment qu'une attaque par dĂ©ni de service soit financĂ©e par une entreprise concurrente de l'entreprise ciblĂ©e dans le but de rĂ©cupĂ©rer des parts de marchĂ© et de lui faire perdre de l'argent. Financer une attaque par dĂ©ni de service distribuĂ©e contre un concurrent peut ĂȘtre rentable, notamment contre une entreprise qui n'a pas implĂ©mentĂ© de mesure de mitigation. En 2015, 12% des entreprises ayant rĂ©pondu Ă  un sondage de Kaspersky pensent avoir Ă©tĂ© victimes d'une attaque par dĂ©ni de service provenant de leur concurrence[7].

L'attaque par déni de service est également utilisée dans un but politique et antisystÚme, on parle alors d'hacktivisme. Des communautés partageant des valeurs communes à travers internet comme les Anonymous peuvent réunir beaucoup de personnes et s'organiser pour lancer des attaques contre les plus grosses compagnies. Ce fut le cas par exemple lors de l'attaque contre les sociétés Visa et Mastercard dans le cadre de la campagne Operation Payback orchestrée par les Anonymous.

Ce type d'attaque est également fréquemment rencontré sur les réseaux en ligne de jeux vidéo, comme Xbox Live (Microsoft) ou PlayStation Network (Sony). Les joueurs à l'origine de ces attaques peuvent agir par représailles ou tout simplement décider d'ennuyer des joueurs au hasard. Microsoft a publié un article détaillé à propos de ces attaques sur son site[8].

Le procédé suivi par les auteurs de ces attaques est simple et accessible à tous. Dans un premier temps, l'auteur utilise un logiciel comme Wireshark ou Cain & Abel qui lui permet de trouver les adresses IP des joueurs avec lesquels il est connecté. Ensuite, il utilise un outil sur son PC ou un service en ligne pour lancer l'attaque sur une adresse IP.

Risques juridiques

Les attaquants des serveurs internet au moyen d'attaques par dĂ©ni de service sont depuis quelques annĂ©es poursuivis par la justice de divers pays. Trois cas majeurs ont eu lieu. Le premier en aoĂ»t 2005. Jasmine Singh, 17 ans, a Ă©tĂ© condamnĂ© Ă  cinq ans de prison Ă  la suite d'une attaque par dĂ©ni de service distribuĂ© Ă  l'encontre de Jersey-Joe.com et Distant Replays commanditĂ©e par un concurrent des deux sites[9].

En France

En France, l'attaque par dĂ©ni de service est punie pĂ©nalement Ă  l'article 323-2 du Code PĂ©nal : « Le fait d'entraver ou de fausser le fonctionnement d'un systĂšme de traitement automatisĂ© de donnĂ©es est puni de cinq ans d'emprisonnement et de 75 000 euros d'amende »[10].

Au Royaume-Uni

Depuis novembre 2006, avec le vote du Police and Justice Act (PJA), les attaques par déni de service distribué sont un délit passible de dix ans de prison. Proposer des outils permettant de lancer des attaques DDoS est passible de deux ans de prison ferme[9]. En avril 2017, un jeune pirate monétisant des attaques DDos a été condamné à deux ans de prison ferme[11].

En Russie

En 2008 la cour de Balakovo, la région de Saratov, a condamné trois pirates informatiques à huit ans de prison à la suite d'un chantage envers des sites de jeux en ligne. Les internautes demandaient plusieurs dizaines de milliers de dollars pour ne pas faire subir aux sites des attaques par déni de service distribué[9].

Exemples d'attaque

  • Les attaques du groupe Anonymous sur les sites de PayPal, Visa et MasterCard, en reprĂ©sailles de l'abandon de leur soutien Ă  WikiLeaks, dĂ©but dĂ©cembre 2010[12] et contre le gouvernement tunisien dĂ©but 2011[13] en rĂ©ponse Ă  des actes de censure commis par ce dernier[14] ainsi que le Sony Playstation Network en avril 2011[15] ;
  • Les attaques sur le serveur de WikiLeaks, notamment aprĂšs les rĂ©vĂ©lations de tĂ©lĂ©grammes de la diplomatie amĂ©ricaine, fin novembre 2010[16] ;
  • L'attaque sur le serveur de mise Ă  jour de Microsoft ;
  • L'attaque de sites Web connus comme Google, Microsoft et Apple ;
  • Les attaques de type « ping flood » d'octobre 2002 et l'attaque par dĂ©ni de service de fĂ©vrier 2007 sur les serveurs racines du DNS ;
  • Les attaques sur le site jaimelesartistes.fr, considĂ©rĂ© comme un site de propagande pour la loi Hadopi. Cela a causĂ© sa fermeture ;
  • L'attaque du site Phayul.com en novembre 2010, selon Lobsang Wangyal[17] ;
  • L'attaque de plusieurs serveurs de jeux en ligne comme Dota et League of Legends en fin dĂ©cembre 2013 par le groupe DERP ;
  • L'attaque de nombreux sites officiels amĂ©ricains dont celui du FBI et du ministĂšre de la Justice, de sites liĂ©s Ă  l'industrie du divertissement, ou encore le site d'Hadopi en France le 19 janvier 2012. Cette attaque a Ă©tĂ© revendiquĂ©e par le groupe Anonymous en rĂ©ponse Ă  la fermeture du site Megaupload et Megavideo[18].
  • L'attaque de Facebook menĂ©e le 19 juin 2014 depuis la Chine ; elle a perturbĂ© le rĂ©seau social pendant environ 30 minutes (ce qui correspond Ă  la plus grosse pĂ©riode d'inactivitĂ© du site en quatre ans[19]) ;
  • L'attaque subie par Sony Playstation Network ainsi que Xbox Live de Microsoft le 25 dĂ©cembre 2014 par le groupe Lizard Squad ;
  • L'attaque subie par ProtonMail, une sociĂ©tĂ© suisse d'emails chiffrĂ©s le 3 novembre 2015[20] ;
  • L'attaque subie par Gaijin fin dĂ©cembre 2015.
  • L'attaque de DynDNS le 21 octobre 2016 qui a rendu indisponible plusieurs sites web importants tels que Twitter, PayPal et Ebay pour une pĂ©riode prolongĂ©e d'un peu plus d'une dizaine d'heures sur toute la cĂŽte Est amĂ©ricaine. Il s'agissait d'une puissante attaque ddos de plus de 1 tĂ©raoctet par seconde, brisant le record mondial de la plus puissante attaque DDoS.
  • Le 6 septembre 2019 en fin d'aprĂšs-midi, les serveurs de la Wikimedia Foundation Ă  Amsterdam et qui hĂ©bergent l'encyclopĂ©die WikipĂ©dia, Wikimedia Commons ou le Wiktionnaire par exemple, sont la cible d'une attaque. Les internautes ne peuvent plus accĂ©der aux diffĂ©rents sites depuis l'Europe pendant quelques heures[21].

Notes et références

  1. Les routeurs, nouveaux outils des attaques par déni de service ? - Fabrice Frossard, 01net, 25 octobre 2001
  2. (en) Arbor Networks Releases Fifth Annual Infrastructure Security Report - Arbor Networks, 19 janvier 2010 (voir archive)
  3. Le déni de service distribué - Agence nationale de la sécurité des systÚmes d'information (ANSSI), 21 février 2000
  4. Lutte contre les attaques en DDoS : retour d'expérience (partie 1) - Jean-François Audenard, Orange Business Services, 19 février 2009
  5. Lutte contre les attaques en DDoS : retour d'expérience (partie 2) - Jean-François Audenard, Orange Business Services, 24 février 2009
  6. Le patron d’HBGaryFed dĂ©missionne aprĂšs la mise Ă  nu de sa sociĂ©tĂ© par les anonymous - Reflets.info, 2 mars 2011
  7. (en) Kaspersky Lab, « Denial Of Service: How Businesses Evaluate The Threat Of Ddos Attacks », It Security Risks Special Report Series,‎ , p. 2 (lire en ligne)
  8. Forum aux questions concernant les attaques DoS et DDoS sur la Xbox 360 - Microsoft
  9. Dans les coulisses du DDoS « Copie archivée » (version du 17 septembre 2016 sur Internet Archive) - ZATAZ.com, 10 septembre 2008
  10. https://www.legifrance.gouv.fr/affichCodeArticle.do;jsessionid=C6636342B4926963DBF3E455E93672C8.tplgfr40s_1?idArticle=LEGIARTI000006418319&cidTexte=LEGITEXT000006070719&dateTexte=20120126
  11. « DEUX ANS DE PRISON FERME POUR DES ATTAQUES DDOS », sur Fred Zone,
  12. La cyber-guerre se poursuit - Blog #BEkileaks, Le Soir, 8 décembre 2010 (voir archive)
  13. « Opération Tunisia » : la cyberattaque d'Anonymous aux cÎtés des manifestants - Arnaud Vaulerin, Libération, 12 janvier 2011
  14. (en) Anonymous activists target Tunisian government sites - BBC, 4 janvier 2011
  15. (en) PlayStation Network hackers access data of 77 million users - Ben Quinn et Charles Arthur, The Guardian, 26 avril 2011
  16. WikiLeaks: des millions de cyberattaques - Le Figaro/AFP, 3 décembre 2010
  17. (en) Leading Tibetan news portal suffers from DDoS attacks - Lobsang Wangyal, Tibet Sun, 10 novembre 2010 (voir archive)
  18. « La justice amĂ©ricaine ferme le site de tĂ©lĂ©chargement Megaupload », Le Monde,‎ (lire en ligne, consultĂ© le )
  19. « Facebook a Ă©tĂ© victime d’une panne mondiale ce matin », sur Les Échos, (consultĂ© le )
  20. (en) « Message Regarding the ProtonMail DDoS Attacks », ProtonMail,
  21. Julien Lausson, « #WikipediaDown : Wikipédia est tombé à cause d'une puissante attaque informatique - Tech », sur Numerama, (consulté le )

Voir aussi

Articles connexes

Liens externes

Cet article est issu de wikipedia. Text licence: CC BY-SA 4.0, Des conditions supplĂ©mentaires peuvent s’appliquer aux fichiers multimĂ©dias.