L’évolution des attaques DDoS : Une menace croissante pour les organisations

Il ne fait aucun doute qu’au cours des 20 dernières années, les attaques DDoS ont évolué en taille, en échelle et en sophistication. Alors que les criminels font appel à de nouvelles technologies, comme les appareils IoT, pour distribuer et amplifier les attaques, la menace est devenue telle que les organisations ne peuvent plus choisir de l’ignorer.

En 2018, l’Agence nationale britannique de lutte contre la criminalité a désigné les attaques DDoS comme la deuxième menace la plus importante pour les entreprises, avec les ransomwares. Elle a constaté une forte augmentation des attaques et a conseillé aux organisations de prendre des mesures immédiates pour se protéger contre cette menace croissante.

À l’ère du numérique, la plupart des organisations dépendent fortement de la connectivité web et des services en ligne pour mener leurs activités. Toute perturbation de ces services peut avoir de graves conséquences : perte de revenus, interruption des services, atteinte à la réputation de la marque, perte de clients et vol de données précieuses.

Mais qu’est-ce qu’une attaque DDoS ? Une attaque par déni de service distribué est une tentative de rendre un service en ligne indisponible en le submergeant d’énormes volumes de trafic provenant de sources multiples. Ce type d’attaque est généralement provoqué par l’inondation d’un site web avec un trafic supérieur à celui que le serveur peut gérer.

En examinant dix des plus grandes attaques DDoS de l’histoire, nous pouvons voir comment ces attaques ont évolué et quels enseignements peuvent en être tirés.

Principales attaques DDoS

1. GitHub (2018)

Le 28 février 2018, GitHub – un service de gestion de code en ligne populaire utilisé par des millions de développeurs, a été frappé par la plus grande attaque DDoS jamais enregistrée. La plateforme était habituée à des niveaux élevés de trafic, mais ce à quoi elle n’était pas préparée, c’est à l’afflux massif de trafic qui a culminé à 1,3 térabits par seconde, un record.

L’attaque de GitHub n’a pas fait appel à des réseaux de zombies, mais à une méthode connue sous le nom de memcaching, un système de mise en cache de bases de données utilisé pour accélérer les sites web et les réseaux. Les attaquants ont réussi à usurper l’adresse IP de GitHub et à amplifier massivement les niveaux de trafic dirigés vers la plateforme.

Heureusement, GitHub utilisait un service de protection contre les attaques DDoS et, dans les dix minutes qui ont suivi le déclenchement de l’attaque, l’entreprise a pu la contenir et l’empêcher de se poursuivre.

2. Dyn (2016)

La deuxième plus grande attaque DDoS a été dirigée contre Dyn, un important fournisseur de DNS, en octobre 2016. L’attaque a été extrêmement perturbatrice et a entraîné la fermeture des sites web de plus de 80 de ses clients, dont Amazon, Netflix, Airbnb, Spotify, Twitter, PayPal et Reddit.

À l’aide d’un logiciel malveillant appelé Mirai, les pirates ont créé un gigantesque botnet de 100 000 appareils de l’Internet des objets (IoT) pour lancer leur attaque. Ces appareils comprenaient des radios, des téléviseurs intelligents et des imprimantes. Ils étaient tous programmés pour envoyer des requêtes à Dyn et le submerger de trafic.

Les dommages causés par l’attaque sont réputés avoir coûté 110 millions de dollars et, bien que l’attaque ait été contenue en l’espace d’une journée, plus de 14 500 domaines ont cessé de bénéficier des services de Dyn immédiatement après l’attaque.

3. Hong Kong (2014)

En 2014, une attaque DDoS massive a visé le mouvement pro-démocratique de Hong Kong, Occupy Central. Les pirates ont envoyé d’énormes volumes de trafic vers trois des services d’hébergement web d’Occupy Central, dont deux sites d’information indépendants connus sous le nom de PopVote et Apple daily.

À l’aide de cinq réseaux de zombies, les pirates ont bombardé les serveurs de paquets de déchets déguisés en trafic légitime. À son apogée, le trafic a atteint plus de 500 gigabits par seconde, ce qui a entraîné l’arrêt brutal des deux sites web. L’attaque a également été utilisée pour pénétrer dans leurs bases de données, ce qui a eu pour effet de bombarder les employés de PopVote de courriels d’hameçonnage.

4. Client Cloudflare sans nom (2014)

En 2014, un client de la société de protection DDoS Cloudflare a été victime d’une énorme attaque DDoS qui l’a bombardé avec plus de 400 gigabits de trafic par seconde. L’attaque visait des serveurs en Europe et exploitait le protocole NTP (Network Time Protocol), normalement utilisé pour synchroniser les horloges des machines, afin de ralentir les temps de réponse. Les attaques par amplification NTP sont extrêmement difficiles à bloquer car les réponses sont des données légitimes qui semblent provenir de serveurs valides.

L’attaque a duré plusieurs jours et était si puissante que même si elle visait l’un des clients de Cloudflare, elle a fini par affecter le propre réseau de Cloudflare.

5. Spamhaus (2013)

En 2013, une attaque DDoS a été lancée contre Spamhaus, une organisation de filtrage de spam de premier plan. L’entreprise est responsable du filtrage de 80 % de tous les spams, ce qui en fait une cible attrayante pour les menaces et les attaques.

En utilisant une stratégie connue sous le nom de « Domain Name System (DNS) reflection », les pirates ont bombardé Spamhaus avec plus de 300 gigabits de trafic, mettant leur site web hors ligne, ainsi qu’une partie de leurs services de courrier électronique. Pour endiguer l’attaque, Spamhaus a demandé l’aide de Cloudflare, mais les pirates ont changé d’objectif et ont tenté de mettre hors service le service de protection DDoS. L’attaque a duré plus d’une semaine et a provoqué d’importantes perturbations du réseau dans tout le Royaume-Uni.

6. Banques américaines (2012)

En septembre et octobre 2012, six grandes banques américaines ont été la cible d’une série d’attaques DDoS. Il s’agit de Bank of America, JP Morgan Chase, US Bancorp, Citigroup et PNC Bank.

L’attaque a été menée par des centaines de serveurs détournés, qui ont ciblé les banques avec plus de 60 gigabits de trafic par seconde. L’attaque a duré plus de trois jours, perturbant les services et ralentissant les systèmes de la banque. L’attaque était unique en ce sens qu’au lieu d’une attaque concentrée, les pirates ont essayé une série de méthodes différentes pour trouver celle qui causerait le plus de dégâts.

7. GitHub (2015)

À l’époque, l’attaque GitHub de 2015 était l’une des plus importantes jamais réalisées. Le trafic DDoS provenait de Chine et visait deux URL de projets GitHub destinés à éviter la censure de l’État chinois.

On pense que cette attaque à caractère politique a été lancée par le gouvernement chinois dans le but de faire pression sur GitHub pour qu’il abandonne les projets.

Les pirates ont mené cette attaque en injectant du code JavaScript dans les navigateurs de tous ceux qui ont visité Baidu, le moteur de recherche le plus populaire de Chine. Ce code a poussé les navigateurs infectés à envoyer des requêtes HTTP aux pages GitHub ciblées et, pendant toute la durée de l’attaque, GitHub a connu des pannes sur l’ensemble de son réseau.

8. Estonie (2007)

En avril 2007, l’Estonie a été victime d’une attaque DDoS massive qui a visé les services gouvernementaux, les banques, les institutions financières et les médias. Cette attaque, considérée comme l’un des premiers actes majeurs de cyberguerre, est survenue en réponse à un conflit politique avec la Russie au sujet du déplacement du « Soldat de bronze de Tallinn », un monument de la Seconde Guerre mondiale.

Des vagues massives de spam ont été envoyées par des réseaux de zombies et d’énormes quantités de demandes en ligne ont submergé les serveurs. Bien qu’il n’y ait aucune preuve concrète que la Russie soit à l’origine de l’attaque, celle-ci a conduit à la création de lois internationales sur la cyberguerre.

9. Mafiaboy (2000)

En février 2000, un pirate informatique de 15 ans connu sous le nom de « Mafiaboy » a mis hors service plusieurs grands sites web commerciaux, dont CNN, Amazon, eBay, Dell et Yahoo. L’adolescent a utilisé un réseau de robots pour prendre le contrôle de millions d’ordinateurs et les utiliser pour inonder les sites web d’un volume de trafic écrasant.

Ces attaques très médiatisées ont duré plus d’une semaine, semant le chaos sur les marchés boursiers et provoquant la quasi-paralysie de certains sites.

10. BBC (2015)

La veille du Nouvel An 2015, la BBC a été victime d’une attaque DDoS soutenue par le groupe anti-État islamique (EI) New World Hacking. L’attaque a mis hors service le site web de BBC News ainsi que son service iPlayer pendant plus de trois heures. Malgré la reprise du service, l’ensemble du domaine a subi d’importantes perturbations pendant le reste de la journée.

L’attaque a utilisé deux serveurs d’Amazon Web Services (AWS) pour exploiter une bande passante illimitée et les pirates ont affirmé avoir attaqué à un taux de 600 gigabits par seconde, bien que cette affirmation ait été contestée depuis.

Le besoin urgent de stratégies proactives de défense contre les attaques DDoS

Comme le montre cette longue liste, les attaques DDoS peuvent mettre hors service des sites web d’entreprises entières, des réseaux et, comme l’a montré l’attaque de Dyn, la quasi-totalité de l’internet.

Les attaques devenant de plus en plus sophistiquées, les organisations devront devenir plus proactives dans leur approche de la défense contre les attaques. Certaines des plus grandes attaques de l’histoire ont été atténuées grâce à la détection rapide des entreprises de protection contre les attaques DDoS.

Les organisations devraient envisager l’utilisation d’un service de protection DDoS qui détectera les flux de trafic anormaux et redirigera tout trafic DDoS hors du réseau. D’autres mesures de sécurité comprennent la sécurisation de l’infrastructure du réseau par l’utilisation d’un pare-feu, d’un VPN, d’un anti-spam et d’autres couches de techniques de défense contre les attaques DDoS.

MetaCompliance est spécialisé dans la création des meilleurs eLearning et formations de sensibilisation à la cybersécurité disponibles sur le marché. Nos produits répondent directement aux défis spécifiques posés par les cybermenaces et la gouvernance d’entreprise en facilitant l’engagement des utilisateurs dans la cybersécurité et la conformité. N’hésitez pas à nous contacter pour obtenir de plus amples informations sur la manière dont nous pouvons vous aider à transformer la formation à la cybersécurité au sein de votre organisation.