Si des attaques par déni de service distribué (DDoS) sont lancées tout au long de l’année, c’est au cours de la période des fêtes de fin d’année que se produisent certaines des attaques les plus notoires.
Obtenez des informations directement des experts sur le podcast Microsoft Threat Intelligence. Écoutez maintenant.
Défense contre les attaques DDoS durant la période des fêtes de fin d’année : le guide pour assurer votre cybersécurité
Les attaques DDoS sont lancées par des appareils individuels (des bots) ou un réseau d’appareils (un botnet) qui, après avoir été infectés par un programme malveillant (un malware), sont utilisés pour saturer des services ou sites web en les inondant de gros volumes de trafic. Les attaques DDoS peuvent durer de quelques heures à plusieurs jours.
- Description : une attaque DDoS sature un site ou un serveur en l’inondant de trafic errant afin de rendre le service indisponible ou de le mettre hors ligne.
- Objectif : les cybercriminels utilisent des attaques DDoS pour extorquer de l’argent aux propriétaires des sites, exercer des pressions sur la concurrence ou mener des actions politiques.
- Méthode : avec le modèle CaaS (Cybercrime-as-a-Service), il est maintenant possible d’acheter une attaque DDoS à un service d’abonnement DDoS pour la modique somme de 5 USD.1
Les booters IP, également appelés stresseurs DDoS et stresseurs IP, sont essentiellement des services SaaS (Software-as-a-Service) utilisés par les cybercriminels. Grâce à ces services, quiconque peut exploiter un botnet pour lancer des campagnes d’attaques DDoS de grande envergure, même sans avoir aucunes compétences de codage.
- 1 : à cette période de l’année, les entreprises ont généralement moins de personnel dédié à la surveillance de leurs réseaux et applications, ce qui offre aux acteurs de menaces un contexte plus favorable pour lancer une attaque.
- 2 : le volume de trafic s’élève à des niveaux record (cette année, les ventes devraient atteindre 1,33 milliard d’USD), en particulier pour les sites web de e-commerce et les fournisseurs de jeux. Il est donc plus difficile pour les équipes informatiques de faire la distinction entre le trafic illégitime et le trafic légitime.
- 3 : pour les attaquants dont l’objectif est le gain financier, les attaques lancées durant la période des fêtes sont potentiellement plus lucratives, car les revenus des entreprises sont au plus haut et la continuité des services est un enjeu critique.
L’an dernier, nous avions mis en évidence un pic des attaques de ce type pendant la période des fêtes, un constat qui soulignait la nécessité de mettre en place un système de défense robuste.
La moindre interruption d’un site web ou d’un serveur pendant la période des fêtes peut se solder par un recul des ventes et la perte de clients, des coûts de reprise d’activité élevés ou encore une atteinte à la réputation de votre entreprise. Les conséquences peuvent être encore plus graves pour les petites structures, qui sont parfois moins bien armées pour reprendre leur activé après une attaque.
En règle générale, les attaques DDoS se répartissent en trois catégories principales, chacune de ces catégories recensant divers types de cyberattaques. De nouveaux vecteurs d’attaque DDoS émergent chaque jour, les cybercriminels exploitant des techniques de plus en plus sophistiquées, comme les attaques basées sur l’intelligence artificielle. Les attaquants peuvent lancer des types d’attaques multiples, dont des attaques de catégories différentes, contre un réseau.
Attaques volumétriques : elles ciblent la bande passante. Elles sont conçues pour submerger la couche réseau de trafic.
Exemple : une attaque par amplification DNS (serveur de noms de domaine), qui utilise des serveurs DNS ouverts pour inonder une cible de trafic de réponses DNS.
Attaques protocolaires : elles ciblent les ressources. Elles exploitent des faiblesses des couches 3 et 4 de la pile du protocole.
Exemple : une attaque SYN (envoi d’un paquet de synchronisation), qui consomme toutes les ressources disponibles du serveur (rendant ainsi ce serveur indisponible).
Attaques sur la couche ressources : elles ciblent les paquets d’application web. Elles interrompent la transmission des données entre les hôtes.
Exemple : une attaque HTTP/2 Rapid Reset, qui envoie un nombre défini de requêtes HTTP en utilisant HEADERS suivi de RST_STREAM et en répétant ce modèle pour générer un gros volume de trafic sur les serveurs HTTP/2 ciblés.
Vous ne pouvez pas empêcher tout risque d’être ciblé par une attaque DDoS, mais une planification et une préparation proactives vous aideront à établir un système de défense plus efficace.
Toutefois, il est important de garder à l’esprit que la forte augmentation du trafic pendant les fêtes de fin d’année peut compliquer la détection des anomalies.
- Évaluez les risques et les vulnérabilités : commencez par identifier les applications dans votre entreprise qui sont exposées à l’Internet public. Observez aussi le comportement normal de votre application afin de pouvoir réagir rapidement en cas de comportement inhabituel de l’application.
- Assurez-vous d’être protégé : pour contrer les innombrables attaques DDoS lancées durant la période des fêtes, vous devez utiliser un service de protection DDoS offrant des fonctionnalités d’atténuation avancées pour pouvoir traiter les attaques de toute envergure. Choisissez un service qui fournit des fonctionnalités comme le monitoring du trafic, une protection adaptée aux spécificités de votre application, un système de télémétrie, de monitoring et d’alerte de protection DDoS, ainsi que l’aide rapide d’une équipe d’intervention.
- Créez une stratégie de réponse DDoS : avoir une stratégie de réponse est indispensable pour vous aider à identifier et atténuer les attaques DDoS, et à reprendre ensuite rapidement votre activité. Un point clé de la stratégie est la constitution d’une équipe d’intervention DDoS dont les rôles et responsabilités sont clairement définis. Cette équipe d’intervention DDoS doit savoir comment identifier, atténuer et surveiller une attaque, et être capable de coordonner les réponses entre les intervenants internes et les clients.
- Demandez de l’aide en cas d’attaque : si vous pensez être victime d’une attaque, contactez les techniciens professionnels appropriés, comme l’équipe d’intervention DDoS établie, pour être aidé à la fois lors de la phase d’investigation de l’attaque en cours et à l’heure de l’analyse rétrospective de l’attaque une fois le problème résolu.
- Retirez les enseignements d’une attaque et adaptez votre système : si vous avez subi une attaque, vous serez sans doute pressé de reprendre votre activité normalement, mais assurez-vous de continuer le monitoring de vos ressources et de mener une analyse rétrospective a posteriori. Cette analyse doit répondre aux questions suivantes :
- Y a-t-il eu une interruption du service ou de l’expérience utilisateur à cause d’un manque de scalabilité de l’architecture ?
- Quels services ou applications ont été le plus touchés ?
- Quelle a été l’efficacité de la stratégie de réponse DDoS, et comment l’améliorer ?
Suivez Microsoft