Une attaque par déni de service (en anglais, denial of service Attack DoS ou distributed denial of service attack DDoS) est une attaque (informatique) menée dans le but de faire cesser un service internet en envoyant un grand nombre de requêtes (demandes) simultanément.
Ces attaques sont majoritairement destinées à des serveurs hébergeant des sites internet publics. Mais depuis la démocratisation de l’hébergement de contenus depuis chez soi (diffusion en direct, hébergement de parties en lignes…) des Box internet ont aussi été victimes de ce genre d’attaque.
DoS ou DDoS
La seule différence entre ces deux attaques étant le nombre d’utilisateur qui effectue l’attaque. Car une attaque Dos peut être effectuée par une seule personne. Alors qu’une attaque DDos est comme son nom l’indique une attaque dite « distribuée ». C’est à dire qu’elle implique de nombreux « soldats », aussi appelés « zombies » (ordinateurs infectés et paramétrés pour participer à l’attaque).
Enjeu d’une Attaque
Les enjeux d’une attaque par déni de service peuvent êtres très importants et les victimes ne sont, la plupart du temps pas choisies au hasard. Le but de cette attaque est généralement de mettre hors service l’installation afin de faire pression sur l’organisation (un hacker lance une attaque contre une entreprise et lui demande une rançon pour arrêter cette attaque).
Un « commerce » du déni de service entre malfaiteurs existe. Certains hackers se sont spécialisés dans la « levée » d’armées de « zombies ». Qu’ils peuvent ensuite louer à d’autres hackers pour attaquer une cible particulière.
Attaques historiques
Les attaques par déni de service ont vu le jour dans les années 1980. Les attaques distribuées quant à elles sont plus récentes car mise au point pour contrer l’évolution des protections des serveurs.
La première attaque DDoS médiatisée dans la presse grand public a eu lieu en février 2000, causée par Michael Calce, mieux connu sous le nom de Mafiaboy. Le 7 février, Yahoo! a été victime d’une attaque DDoS qui a rendu son portail Internet inaccessible pendant trois heures. Le 8 février, Amazon.com, Buy.com, CNN et eBay ont été touchés par des attaques DDoS qui ont provoqué soit l’arrêt soit un fort ralentissement de leur fonctionnement.
Les analystes estiment que durant les trois heures d’inaccessibilité, Yahoo! a subi une perte sur le commerce électronique et les recettes publicitaires s’élevant à environ 500 000 dollars. Selon Amazon.com, son attaque a entraîné une perte de 600 000 dollars sur dix heures. Au cours de l’attaque, eBay.com est passé de 100 % de disponibilité à 9,4 % ; CNN.com est passé au-dessous de 5 % du volume normal.
Protection contre les attaque de déni de service
Les attaques par déni de service non distribuées (DoS) peuvent être contrées en identifiant l’adresse IP de la machine émettant les attaques et en la bannissant au niveau du pare-feu ou du serveur. Les paquets IP provenant de la machine hostile sont dès lors rejetés sans être traités empêchant que le service du serveur ne soit saturé et ne se retrouve donc hors-ligne.
Les attaques par déni de service distribuées sont plus difficiles à contrer. Le principe même de l’attaque par déni de service distribuée est de diminuer les possibilités de stopper l’attaque. Celle-ci émanant de nombreuses machines hostiles aux adresses différentes, bloquer les adresses IP limite l’attaque mais ne l’arrête pas.
Une architecture répartie, composée de plusieurs serveurs offrant le même service gérés de sorte que chaque client ne soit pris en charge que par l’un d’entre eux, permet de répartir les points d’accès aux services et offre, en situation d’attaque, est une solution. (solution avec cloudflare par exemple)
OVH le leader de l’hébergement présent une solution par « aspiration » du surplus de requêtes :