L’attaque par déni de service distribué (en anglais : Distributed Denial of Service) (DDoS) vise à rendre indisponible l’infrastructure informatique (comme les serveurs) d’une organisation, d’une entreprise...
Les cybercriminels installent des logiciels malveillants sur des appareils connectés à un réseau à l’insu de leur propriétaire. Ils utilisent alors ces « zombies » pour lancer un très grand nombre de requêtes simultanées vers le serveur qu’ils ont choisi d’attaquer. Lorsque le nombre de requêtes dépasse la capacité maximale de l’infrastructure, les serveurs peuvent rencontrer les problèmes suivants :
- ils fonctionnent plus lentement : la réponse aux requêtes est beaucoup plus lente que la normale
- ils ne sont plus accessibles du tout : les requêtes de tout ou partie des utilisateurs peuvent être totalement ignorées
En général, les attaques durent moins d’une heure et majoritairement moins de 15 minutes (voir graphique).
Une variante du DDoS a fait son apparition, il s’agit du Ransom Distributed Denial of Service (RDDoS). Les cybercriminels menacent une organisation de lancer plusieurs attaques DDoS mais garantissent d’arrêter leurs attaques contre le paiement d’une rançon (ransom).Un conseil : ne cédez pas à la panique et ne paiez pas !
Graphique. Durée d’une attaque par déni de service distribué
Source : Imperva, Global DDoS Threat Landscape Report 2021
Que devez-vous mettre en place pour vous prémunir d’une attaque DDoS ?
Choisissez soigneusement vos partenaires
- Votre webmaster (celui qui crée et maintient votre site web).
- Votre hébergeur de site (pour trouver un hébergeur de qualité, pensez à comparer : https://www.presse-citron.net/hebergeur/).
- Votre personnel interne si vous en avez ou les services informatiques externes éventuels et identifiez les délais d’intervention (< 15min).
Disposez des informations suivantes (y compris sur papier)
- Les coordonnées du webmaster et de l’hébergeur du site web.
- Les détails de connexion et mesures de soutien du webmaster et/ou de l’hébergeur du site web.
- Un état des lieux des paiements (hébergement, nom de domaine...).
- L’identification des personnes qui peuvent accéder à ces informations.
- Votre adresse IP (vous la trouverez sur https://whatismyipaddress.com/) ou activez la possibilité de changer d’adresse IP à chaque nouvelle connexion.
Sauvegardez vos données et vos programmes sur site et hors site
Utiliser des sauvegardes ou back-up automatiques est le plus sûr moyen de toujours disposer de vos données et programmes même en cas de cyberattaque. À défaut, vous pourriez devoir tout recommencer à zéro, par exemple en cas d’usurpation de vos droits.
Veillez donc à :
- stocker vos sauvegardes ailleurs qu'à l'endroit où se trouve votre site web
- disposer de copies supplémentaires hors ligne même si votre hébergeur et plateforme de sites web incluent ces sauvegardes dans leurs services
Maintenez à jour tous vos systèmes et logiciels
Votre operating system (Windows...), vos routeurs et vos logiciels (softwares) doivent être à jour.
Vous utilisez un Content Management System (CMS) tel que WordPress ou Drupal ? Vérifiez que la technologie de votre site web est mise à jour avec le dernier état du logiciel, surtout s'il y a eu des mises à jour de sécurité.
Vous utilisez un logiciel personnalisé ? Envisagez de passer à un CMS qui reçoit des mises à jour régulières. Discutez-en avec votre webmaster.
Connaissez l’étendue de votre réseau
- Segmentez votre réseau en zones. Lorsque votre réseau n’est pas cloisonné en zones, chaque machine connectée au réseau peut accéder à n’importe quelle autre machine. Si un ordinateur est visé par une cyberattaque, il met alors en péril l’ensemble de l’infrastructure informatique de votre entreprise.
- Identifiez le trafic « normal » sur votre site web et observez-le. Si vous connaissez le « trafic normal » sur votre site web, vous pourrez détecter les (signes précoces de) flux de trafic anormaux et rediriger le trafic hors de votre réseau, ainsi que limiter le débit pour restreindre le volume du trafic entrant.
Disposez d’une protection anti-DDoS
- Implémentez une protection anti-DDoS en ayant recours à des solutions « on-premises » (installation du logiciel hors réseau), DDoS scrubbing service (service de neutralisation des attaques DDoS), ou une solution hybride.
- Discutez-en avec votre webmaster et/ou votre hébergeur de site web.
Adoptez les bonnes pratiques (avec l’aide d’externes si besoin)
- Installez un pare-feu réseau et appliquez les règles nécessaires pour l’accès à l’internet (networkbased).
- Équipez les systèmes internes, comme les serveurs et les postes de travail, d’un pare-feu actif (host-based).
- Désactivez les services non utilisés ou filtrez-les hors du réseau.
- Activez les mises à jour automatiques des systèmes d’exploitation, des programmes et des routeurs.
- Ne laissez pas le mot de passe défini par défaut sur le routeur Internet et d’autres systèmes, remplacez-le par un mot de passe solide.
- Utilisez si possible les services dans le cloud. Les sites internet, les services de messagerie ou d’autres plateformes en ligne sont très vulnérables une fois hébergés localement sur un serveur. Les services dans le cloud sont mieux protégés grâce à leur large disponibilité.
- Activez l’authentification à deux facteurs (2FA) lorsque c’est possible, notamment pour
- les comptes administrateurs
- les utilisateurs dotés de privilèges supplémentaires ou sensibles qui doivent exécuter des tâches spécifiques, différentes de celles des utilisateurs ordinaires.
Retrouvez plus d’infos sur l’authentification à deux facteurs (2FA) sur le site web Safeonweb.
- Utilisez un antivirus (antimalware) sur les serveurs et les endpoints (PC des employés, smartphones...). Vous évitez ainsi de participer à une attaque DDoS à votre insu.
- Utilisez des outils de détection d’intrusion (IDS) sur les réseaux. Ces outils surveillent le trafic réseau pour détecter les activités suspectes et envoient des alertes lorsque des failles de sécurité sont identifiées.
- Activez la fonctionnalité de filtre sur le routeur internet ou le pare-feu.
- Divisez le réseau de votre entreprise ainsi que les services de cloud en fonction des applications, activités ou fonctions (services administratifs, systèmes de production, site internet public, utilisateurs externes, services externes, utilisateurs internes, données d’entreprise internes, etc.).
Soyez vigilant
- Recourrez aux services qui vérifient en permanence votre site et vous avertissent s'il tombe en panne.
- Effectuez un scan régulier du réseau de votre entreprise.
Sensibilisez régulièrement votre personnel
Chaque membre de votre personnel est un maillon de la chaîne des systèmes d’information. Par conséquent, il doit être informé des enjeux de sécurité de l’infrastructure informatique. Vous devez le sensibiliser aux bonnes pratiques de sécurité informatique (que faire s’il constate une indisponibilité du site ou un cybersquatting (défiguration du site web ?).
Votre entreprise est visée par une attaque DDoS. Comment réagir ?
Faites appel à l’équipe
Contactez
- votre webmaster et l’hébergeur de votre site web
- votre personnel interne (si vous en avez) ou les services informatiques externes éventuels
Réduisez le TTL (Time to Live) à 1 heure
Demandez à votre webmaster (si c’est lui qui gère vos relations avec l’hébergeur de site web) ou à votre hébergeur de site web de modifier le « Time to Live » (TTL) à 1 heure.
Le Time to Live (TTL) désigne le temps ou le « saut » pendant lequel des données (sous la forme de paquets) sont censées exister dans un réseau avant que le routeur ne les efface. Adapter la valeur par défaut (de 72 heures, soit trois jours) de ce paramètre peut vous aider à rediriger votre site beaucoup plus rapidement lorsqu'il est attaqué.
Notifiez l’attaque au CERT.be
- Signalez l’incident auprès du CERT.be, la Federal Cyber Emergency Team
- Déposez plainte auprès de la police.
Sécurisez votre trafic et votre routeur
- Autorisez uniquement le trafic connu et de bonne qualité : bloquez tout par défaut (deny all par défaut), utilisez les listes d’autorisation pour n’autoriser que ce trafic.
- Consolidez votre routeur en désactivant les éléments suivants :
- adresse IP de diffusion dirigée (IP directed broadcast)
- configurations HTTP
- ping ICMP
- routage des sources IP (IP source routing).
Faites-en la demande aux services externes.
Déterminez vos besoins en matière d’atténuation DDoS
Dès que vous avez repris le contrôle, examinez vos besoins en matière de processus consistant à vous protéger de manière efficace contre les attaques DDoS. Optez pour un fournisseur d'hébergement sécurisé ou simplement la poursuite de votre service d'atténuation des DDoS.
Conservez les preuves
Évaluez les dégâts causés par la cyberattaque ainsi que les éventuelles informations perdues. Ne supprimez pas les preuves tant que vous n'êtes pas sûr de n'avoir subi aucun dommage et que vous n'avez plus de raison de conserver de preuve.
Plus d’informations
- Vous trouvez les différents types d’attaques DDoS et les actions pour les atténuer sur le site de l’Agence de l'Union européenne pour la cybersécurité (site en anglais).
- Vous pouvez également visionner des vidéos YouTube sur les DDoS :
- Les bonnes pratiques anti-DDoS (présentation en français par Julien Simon de Amazon Web Services)
- Comment fonctionne un DDoS ? (présentation en français de Léo de la chaîne TechMamer)