Machine learning dans le management IT

Oracle Management Cloud

Comment se protéger d’une attaque DDoS ?

Les attaques DDoS, ou attaque par déni de service distribué, deviennent de plus en plus sophistiquées à l’heure du Cloud. Les entreprises en subissent des coûts exponentiels. Découvrez quelles sont les capacités d’Oracle en matière de sécurité des bases de données en téléchargeant l’étude KuppingerCole :


Qu’est-ce qu’une attaque DDoS ou attaque par déni de service distribué ?

Temps de lecture : 5 mn

Une attaque par déni de service consiste à rendre un service indisponible et ainsi empêcher les utilisateurs de l’utiliser. Les attaques par déni de service se font la plupart du temps à partir de plusieurs sources, qu’on nomme alors déni de service distribuées ou attaque par DDoS (Distribued Denial of Service attack).

Comment une attaque DDoS se produit ?

  • Une surcharge de la bande passante du serveur le rend injoignable
  • Une surcharge de la bande passante du serveur le rend injoignable

A l’heure du Big Data et de l’augmentation du nombre d’échanges commerciaux sur Internet, les attaques par déni de service (DDoS) se multiplient. Certains cybercriminels se spécialisent dans les armées de « zombies » qu’ils louent à des personnes ou groupes malveillants afin de procéder à l’attaque par DDoS.

Voici quelques exemples d’attaques DDoS :

  • Le groupe Anonymous sur les sites de PayPal et MasterCard pour attaquer le gouvernement tunisien en raison de ses actes de censure.
Découvrez l’anatomie d’une cyberattaque
  • WikiLeaks a été victime d’attaque DDoS suite notamment aux révélations de télégrammes de la diplomatie américaine en 2010
  • Google, Microsoft et Apple font aussi partie des victimes de ces cyberattaques
  • Plus récemment, le 28 février 2018, le site de développement collaboratif GitHub a été assailli par un débit de données jamais vu auparavant, de l’ordre de 1,35 Tbit/s !

Quelles sont les conséquences d’une attaque DDoS ?

L'émergence à vitesse accélérée de nouvelles technologies (Docker, Kubernetes, NoSql...), de nouveaux langages (Swift, Rust, Typescript, Go), de nouvelles architectures (Microservices, Blockchain, Autonomous...) rendent obsolètes les solutions de monitoring de l'ancienne génération.

Les attaques peuvent cibler à la fois :

  • Un ordinateur spécifique, un service ou un réseau complet qui sont désactivés
  • Des alarmes, des imprimantes, des téléphones ou des ordinateurs portables
  • Des ressources du système comme la bande passante, l'espace disque, le temps du processeur ou les informations de routage
  • Les processeurs en exécutant des programmes malveillants qui déclenchent des erreurs dans les micro-codes des ordinateurs
  • Les failles de sécurité du système d'exploitation
  • Le système d'exploitation qui peut se retrouver en panne
 

« Une attaque DDoS provoque des coûts financiers importants liés à la restauration, à la perte de productivité et aux opportunités manquées. »

Les attaques DDoS peuvent être de différents types et de différents niveaux. 2 catégories se distinguent :

  • Connectée : l’attaque survient lorsque la connexion entre un serveur et un client a été établie via certains protocoles standards.
  • Sans connexion : Un serveur peut envoyer des quantités astronomiques de données à un client

Selon la zone de l'infrastructure du réseau sur laquelle l'attaque est concentrée, une attaque DDos est de type :

  • Volumineuse ou inondation : la bande passante est submergée en raison de réseaux zombies, soient d’ordinateurs infectés par le logiciel malveillant.
Comment détecter les menaces de sécurité ?
  • Par état d’épuisement TCP : les connexions des serveurs web, pare-feu et équilibreurs de charges sont perturbés au point de ne plus supporté le nombre de connexions possibles.
  •  Couche 7 : l’attaque porte sur une couche d’application et cible les faiblesses d’une application ou d’un serveur. L’objectif est d’épuiser une connexion en monopolisant les processus et les transactions. Cette attaque fait partie des menaces sophistiquées difficiles à détecter car générant un trafic faible qui parait légitime.
  • Une combinaison des 3 types, d’autant plus difficile à y faire face pour les entreprises.
  • Zero-day : l’attaque exploite une faille zero-day, soit un défaut dans un système ou une application jusqu’alors inconnue du fournisseur. Ce genre d’attaque est très difficile à combattre.

Les conséquences d’une attaque DDoS peuvent peuvent être importantes. Certains logiciels peuvent ne plus fonctionner normalement et nécessiter une intervention humaine.

Si les attaques DDoS deviennent de plus en plus envahissantes, les entreprises peuvent opter pour un service de protection DDoS dans le cloud afin de limiter ces menaces.

Comment se protéger des attaques DDoS ?

Contrer une attaque DDoS est plus difficile que de stopper une attaque par déni de service non distribué puisque l’entreprise doit faire face à de nombreuses machines hostiles aux adresses différentes. Le fait de bloquer les adresses IP ne permet pas d’arrêter l’attaque DDoS, même si elle la limite.

 

« En réalité, la prévention doit plus porter sur le renforcement du niveau de sécurité des machines connectées au réseau [pour éviter qu'une machine puisse être compromise] que sur la protection des machines cibles [les serveurs Web] » Thomas Longstaff, de l’université Carnegie-Mellon

  • Avoir une architecture composée de plusieurs serveurs offrant le même service au client afin de répartir les points d’accès aux services et offres. En cas d’attaque, les clients subissent un ralentissement, plus acceptable qu’un arrêt de service.
  • Mettre en place un serveur tampon, appelé « cleaning center » pour filtrer et nettoyer le trafic de manière à ce que les menaces n’affectent pas le serveur.
Découvrez l’étude KPMG sur les stratégies de cybersécurité pour les DSI
Devenez un Super Héros de l’IT
E-Book