En 1974, David Dennis, un adolescent de 13 ans plutôt curieux, élabore un programme qui permet de déconnecter en même temps tous les utilisateurs d’un service. Il ne le sait pas encore, mais il vient de créer l’attaque DDoS, qui consiste à inonder un service web de requêtes jusqu’à ce qu’il sature et cesse de fonctionner.
Appelée attaque par déni de service en français, cette technique a commencé à être utilisée par des hackers à des fins malveillantes dans les années 1990. Elle est depuis devenue l'une des cybermenaces les plus courantes et les plus dévastatrices pour les services en ligne.
Dans cet article, vous comprendrez mieux ce qu'est une attaque DDoS et comment elle fonctionne. Vous découvrirez également quelques exemples marquants de ce type de cyberattaque, et les stratégies pour s’en protéger. Bonne lecture !
Reconvertissez-vous dans la Cybersécurité et donnez un tournant à votre carrière !
Lors d’une attaque DDoS (pour Distributed Denial of Service, ou déni de service distribué en français), un pirate informatique envoie une multitude de requêtes vers un service en ligne. Le but ? Lesaturer afin de le rendre inaccessible pour les utilisateurs légitimes de ce service
Pour imager le principe de l’attaque par déni de service, imaginez une autoroute, capable de gérer un trafic régulier. Arrivent les vacances scolaires, et avec elles, de nombreux voyageurs qui choisissent de prendre la route le même jour. Ils déferlent sur l’autoroute et la saturent peu à peu, car l’infrastructure est incapable de gérer autant de voitures d’un coup. Résultat : des bouchons naissent et se renforcent, allant même jusqu’à totalement bloquer les voies dans les cas les plus extrêmes. Dans le cas d’une attaque DDoS, c’est un peu la même chose : des hackers créent un embouteillage numérique pour rendre un service web inaccessible à ces utilisateurs légitimes.
Est-ce que l’attaque par déni de service est courante ?
Les attaques par déni de service constituent l’un des types de cyberattaques les plus fréquemment signalés à travers le monde. Elles battent même tous les records, tant en termes de nombre que d’agressivité, et de nombreuses organisations en ont déjà été victimes en 2024 . Rien que lors du premier trimestre de cette année, Cloudflare a recensé une hausse de près de 50 % par rapport à 2023, avec plus de 4,5 millions d’attaques DDoSobservées sur ses infrastructures au niveau mondial.
Cette augmentation s’explique par :
L’apparition de nouveaux outils malveillants de plus en plus sophistiqués, comme le botnet Gorilla, rend ces attaques de plus en plus sophistiquées et simples à mettre en œuvre, permettant même aux hackers les moins expérimentés de lancer des attaques DDoS.
La multiplication des appareils connectés, dont de nombreux ne disposent pas de protections suffisantes, ce qui en fait des cibles faciles pour les hackers qui peuvent les intégrer à des réseaux de botnets pour lancer des attaques DDoS.
Des motivations qui évoluent, les pirates n’hésitant désormais plus à faire de l’attaque DDoS une arme géopolitique.
En France, plus d’une cinquantaine d’attaques DDoS visant des sites gouvernementaux et publics ont ainsi été recensées depuis le début de l’année 2024. Certaines d’entre elles sont attribuées au groupe de hackers prorusse NoName057(16), connu pour avoir réussi à mettre hors service 14 sites du gouvernement en juin, et une vingtaine de sites d’ampleur en septembre.
Ces chiffres montrent à quel point les attaques DDoS sont devenues une menace courante et persistante dans la cybercriminalité, obligeant les entreprises et les institutions à renforcer leurs défenses.
Quelle est la différence entre une attaque DoS et une attaque DDoS ?
Attaque DoS comme attaque DDoS font partie de la catégorie des attaques réseau et visent le même objectif : rendre un service ou un site web inaccessible en surchargeant ses serveurs avec un grand nombre de requêtes. Mais elles diffèrent par la méthode employée et l’ampleur de l’attaque. Pour bien comprendre leurs différences, il est intéressant de s’intéresser aux acronymes DoS et DDoS :
DoS signifie « Denial of Service », soit « déni de service » en français.
DDoS signifie « Distributed Denial of Service », soit « déni de service distribué ».
Un petit mot de différence, mais ce « petit » mot fait justement toute la différence :
Avec une attaque DoS, l'attaquant n’utilise qu’une seule machine pour saturer les ressources du serveur cible.
L’attaque DDoS est quant à elle distribuée grâce à un botnet, un réseau d’ordinateurs et d’appareils infectés dispersés dans le monde entier.
Pour résumer, l'attaque DoS provient d’une source unique et est donc bien plus simple à contrer. À l’inverse, une attaque DDoS implique des milliers de sources différentes ; elle est ainsi bien plus puissante et difficile à démasquer et à stopper, et c’est justement ça qui peut la rendre dévastatrice.
Comment fonctionne une attaque par déni de service ?
Lors d’une attaque par déni de service, le pirate envoie d’un coup une grande quantité de trafic à sa cible pour qu’elle soit dans l’incapacité de traiter l’ensemble des requêtes. Résultat : ce service web ralentit, voire est rendu inaccessible pour les utilisateurs légitimes. Le même procédé s’applique pour une attaque DDoS, mais l’effet est amplifié par l’utilisation d’un botnet.
Pour maximiser les dégâts, ce type d'attaque exploite généralement des vulnérabilités dans les protocoles réseau ou dans les serveurs.
Exemple d'une attaque Distributed Denial of Service
Imaginons que vous soyez le propriétaire d'un site de e-commerce très populaire, qui génère habituellement plusieurs centaines de ventes chaque jour. Le Black Friday approche, et cela fait des mois que vous préparez cette opération promotionnelle. Campagne d’emailing, publicité sur les réseaux, retargeting, tout est prêt. Tout, à l’exception de vos mesures de cybersécurité qui laissent à désirer, ce qu’a justement remarqué un groupe de pirates qui compte bien en profiter. Ils décident alors de lancer une attaque DDoS pour nuire à votre activité. Pour ce faire :
Ils préparent leur attaque en configurant leur botnet, qui leur permettra d’envoyer en simultané des milliers de requêtes vers votre site depuis les quatre coins du monde.
L’attaque est lancée alors que votre site connaît déjà un afflux de connexion lié aux promotions, créant ainsi un embouteillage numérique.
Le serveur de votre site sature ; incapable de gérer ce flux immense de requêtes, il commence à ralentir avant de tomber en panne, empêchant vos vrais clients d’accéder à vos promotions.
Les conséquences de cette attaque DDoS sont immédiates : vous passez à côté de dizaines voire de centaines de ventes, votre image de marque est ternie, et certains de vos clients mécontents peuvent même passer à la concurrence.
Quelles sont les cibles d'une attaque DDoS ?
En fonction des motivations des attaquants, les attaques DDoS peuvent viser un large éventail de cibles :
Les sites de e-commerce, souvent pris pour cible lors de périodes clés telles que les soldes ou les lancements de nouveaux produits, ce qui cause d’importantes pertes financières.
Les sites des infrastructures financières ainsi que les services de paiement en ligne, pour lesquels un dysfonctionnement peut mener à une baisse de confiance des utilisateurs.
Les sites gouvernementaux et ceux d’administrations ou de services publics, attaqués par des groupes d’hacktivistes ou pour des motifs géopolitiques.
Les applications web telles que les services de messagerie ou les plateformes de streaming, dont une interruption ou des perturbations peuvent engendrer le mécontentement de leurs utilisateurs.
Les plateformes de jeux en ligne, notamment lors d’évènements majeurs ; les attaques sont alors souvent motivées par une compétition féroce entre les joueurs, ou la volonté de monnayer l’accès à ces plateformes.
Quels sont les différents types d’attaque DDoS ?
Il existe plusieurs types d’attaques DDoS, qui diffèrent par leurs méthodes de saturation du réseau cible. En voici les quatre principaux types :
L’attaque par saturation de bande passante (ou attaque volumétrique), dont l’objectif est de submerger la capacité de la bande passante du réseau ou du serveur cible en envoyant un volume massif de trafic grâce à un botnet. Ces attaques créent un « brouillage » numérique, empêchant les communications légitimes.
Les attaques DDoS de la couche applicative ciblent les vulnérabilités des applications web. Le plus souvent, ce sont les protocoles permettant à deux applications de communiquer qui sont visés ; elles ne parviennent ainsi plus à échanger leurs données, empêchant leur bon fonctionnement.
L’attaque protocolaire (ou attaque par épuisement des tables d’état) exploite les failles des protocoles de communication Internet pour épuiser les ressources des équipements réseau (comme les pare-feu) et des serveurs pour rendre le service inaccessible.
L’attaque par rebond, lors de laquelle le hacker n’attaque pas sa cible de front, mais utilise un réseau de machines compromises pour l’atteindre, lui permettant de mieux dissimuler son identité. Des appareils vulnérables sont d’abord infectés par un cheval de Troie pour y créer des portes dérobées ; elles sont ensuite utilisées pour diffuser l’attaque à l’insu des utilisateurs légitimes de ces appareils.
Quelles sont les conséquences d’une attaque DDoS ?
Les conséquences d’une attaque DDoS peuvent parfois être désastreuses pour ses victimes :
Interruption de service, le site ou service web visé devenant inaccessible pour ses utilisateurs légitimes, ce qui peut entraîner des pertes financières importantes.
Perte de confiance des clients et atteinte à la réputation de l’organisation victime, notamment en cas d’indisponibilité prolongée.
Coûts financiers, liés à la restauration des services après l’attaque, mais aussi aux ventes perdues lorsque le site était inaccessible.
Pertes de données, notamment lorsque l’attaque vient perturber un site e-commerce ; si les communications avec vos bases de données sont saturées, le bon stockage des données n’est plus assuré et vous pourriez alors perdre toutes les informations liées aux commandes passées pendant l’attaque.
Impact sur la sécurité générale du service, une attaque DDoS pouvant être utilisée pour détourner l’attention d’une autre cyberattaque en cours.
Qui sont les hackers derrière les attaques par déni de service ?
Les motivations des hackers pour réaliser une cyberattaque DDoS
Les attaques DDoS constituent un outil très versatile, utilisé pour satisfaire un grand nombre d’objectifs différents. Ce faisant, les motivations derrière une cyberattaque DDoS sont variées :
Motivations politiques, les hacktivistes et certains gouvernements n’hésitant pas à y recourir pour promouvoir une idéologie ou perturber les infrastructures d’un pays adverse.
Compétition économique, certaines entreprises peu éthiques utilisant des attaques DDoS pour nuire à leurs concurrents, notamment lors de périodes critiques.
Extorsion financière, certains cybercriminels demandant une rançon pour cesser leur attaque.
Représailles personnelles ou idéologiques, certains individus pouvant lancer ce type d’attaque suite à un différend personnel ou une frustration envers une organisation.
Volonté de semer le chaos en ligne, qui anime surtout les pirates amateurs qui n’hésitent pas à lancer des attaques DDoS pour le simple plaisir de démontrer leurs compétences pour tenter d’obtenir une reconnaissance dans la communauté hacker.
Les hackers qui utilisent l'attaque DDoS
Des acteurs aux profils variés peuvent orchestrer une attaque par déni de service distribué :
Les hacktivistes, qui les mènent pour soutenir une cause politique ou sociale. Parmi les plus célèbres, les hackers d’Anonymous utilisent des attaques DDoS pour protester contre certains gouvernements ou des multinationales.
Les cybercriminels motivés par l’appât du gain, qu’ils soient regroupés en groupe de hackers ou qu’ils agissent seuls, recourent aux attaques DDoS pour extorquer de l’argent via des rançons, ou encore pour déstabiliser leurs concurrents.
Les États peuvent utiliser cette arme numérique dans le cadre de conflits géopolitiques ou d’une cyberguerre ; le but est alors de déstabiliser les infrastructures critiques de l’adversaire.
L’attaque DDoS est plébiscitée des hackers amateurs, car malgré ses effets parfois dévastateurs, elle est souvent plus simple à lancer que d’autres catégories d’attaques.
En 2000, un certain Mafiaboy compromet le réseau de plusieurs universités et utilise les machines compromises pour rendre inaccessibles les sites de géants de l’époque : eBay, Yahoo, Dell ou encore CNN. Cette cyberattaque DDoS sème le chaos sur le marché boursier, et aurait coûté près de 1,7 milliard de dollars aux entreprises victimes. On découvre plus tard la véritable identité de Mafiaboy : Michael Calce, un adolescent qui n’avait que 15 ans au moment des faits.
En 2007, c’est l’une des premières fois que l’attaque DDoS est utilisée à des fins de déstabilisation politique. Des tensions entre la Russie et l’Estonie émergent suite au projet de déplacement d’une statue d’un soldat soviétique. Suite à cela, une série d’attaques DDoS massives vient paralyser les sites du parlement, de ministères, de banques et de médias estoniens.
En 2016, le fournisseur de DNS Dyn est la cible d’une attaque DDoS de grande ampleur, orchestrée via le botnet Mirai, qui exploite à leur insu les appareils IoT mal sécurisés. Pendant une dizaine d’heures, les sites qui utilisent ce DNS sont paralysés. Parmi eux, de nombreux géants du web tels que Twitter, Netflix, Spotify ou encore Amazon.
Les attaques par Déni de Service sont-elles toujours actives ?
Les attaques par déni de service distribué restent une menace active ; ces dernières années, elles battent même tous les records, autant en nombre qu’en agressivité. Rien que sur le premier trimestre 2024, elles auraient ainsi augmenté de près de 50 %. De nombreuses entreprises et organisations françaises en ont ainsi été victimes :
En 2023, OVHcloud, un fournisseur de services web, est victime d’une importante attaque DDoS. Ses serveurs sont submergés par un volume massif de requêtes, perturbant de nombreux services hébergés sur la plateforme.
En mars 2024, le groupe prorusse NoName057(16) cible 800 sites et services du gouvernement français. Ce n’est qu’une des nombreuses cyberattaques survenues dans le cadre du conflit avec l’Ukraine, et qui visent à déstabiliser ses alliés.
Que faire en cas d’attaque DDoS ?
Comment identifier une attaque par Déni de Service en cours ?
Certains signes pourront vous mettre la puce à l’oreille et indiquer que votre service web est peut-être victime d’une attaque DDoS :
Un ralentissement soudain de ses performances, lié à la surcharge de requêtes envoyées au serveur.
Une inaccessibilité totale de votre service, votre serveur ne pouvant plus traiter les requêtes d’accès légitimes car il est envahi par un volume de trafic trop important.
Un pic de trafic inhabituel et soudain, provenant de différentes adresses IP, parfois des quatre coins du monde alors que votre site n’est disponible que dans une seule langue.
Un accès dégradé à certaines fonctionnalités de votre site, comme les systèmes de paiement, généralement plus fragiles et qui peuvent donc devenir indisponibles alors que votre site est toujours accessible.
Ces signaux, surtout s'ils apparaissent de manière soudaine et simultanée, doivent vous alerter sur une possible attaque par déni de service.
Les étapes à suivre en cas d’une cyberattaque DDoS
Ces recommandations vous aideront à adopter la bonne conduite en cas de cyberattaque DDoS :
En cas d’attaque ou de menace d’attaque, ne payez pas la rançon demandée ; en effet, rien ne vous garantit que cela vous servira effectivement à vous protéger.
Filtrez les requêtes émanant de votre attaquant via votre pare-feu ou hébergeur.
Conservez les preuves de l’attaque en sauvegardant les journaux d’activité de votre serveur proxy, de votre pare-feu, de vos serveurs et de tous les éléments touchés par l’attaque ; cela pourra aider à identifier son responsable lors des investigations.
Évaluez les dégâts et les données perdues, et cherchez toutes traces d’activités anormales pour vérifier que cette attaque DDoS ne servait pas à détourner votre attention d’une autre cyberattaque plus importante.
Changez tous les mots de passe si vous avez le moindre doute quant au fait qu’ils aient pu être compromis lors de l’attaque.
Faites appel à des professionnels de la cybersécurité pour qu’ils puissent vous aider à résorber les dégâts de l’attaque et à renforcer la protection de vos systèmes.
Déposez plainte et fournissez toutes les preuves que vous avez déjà pu récolter.
Si des données personnelles ont été compromises lors de cette attaque DDoS, vous devez également notifier l’incident à la CNIL.
Recourir à un pare-feu applicatif, chargé de bloquer toutes les requêtes suspectes.
Utiliser un service anti-DDoS, spécialisé dans le filtrage du trafic malveillant.
Utiliser plusieurs serveurs et centres de données pour répartir la charge ; si l’un d’eux tombe en panne, les autres pourront alors prendre le relai pour continuer à fournir votre service web sans interruption.
Surveiller le trafic réseau en temps réel afin de détecter toute anomalie.
Former vos collaborateurs aux bonnes pratiques cyber, par exemple en leur offrant de suivre une formation en cybersécurité pour débutants telle que celle proposée par Jedha.
L’administrateur en cybersécurité gère les infrastructures critiques et les protège face à l’augmentation des cyberattaques.
L’analyste SOC surveille les réseaux pour détecter et réagir rapidement face aux incidents.
Le consultant en cybersécurité conseille et audite les systèmes pour prévenir les attaques ; il apporte son expertise aux entreprises selon leurs besoins spécifiques.
Conclusion : comment se former à la cybersécurité ?
Les attaques DDoS représentent une menace grandissante contre laquelle il est essentiel de se protéger.
Vous souhaitez vous reconvertir dans la cybersécurité pour lutter contre les hackers et ces attaques ? Alors rejoignez notre bootcamp et bénéficiez d’une formation intensive en cybersécurité, finançable par votre CPF, et à l’issue de laquelle vous disposerez de compétences solides pour trouver votre premier poste.
Quelles peines encourent les hackers impliqués dans des attaques DDoS ?
En France en 2024, les hackers impliqués dans une attaque DDoS risquent jusqu’à cinq ans d’emprisonnement et 150 000 euros d’amende. Si l’attaque vise un système de traitement des données personnelles mis en place par l’État, l’amende peut même monter à 300 000 euros.
Pour plus de détails, n’hésitez pas à consulter l’article 323-2 du Code pénal qui régit les peines liées à l’entrave au fonctionnement d’un système de traitement automatisé de données.
Quelle est l’origine historique des attaques DDoS ?
Les premières attaques DDoS émergent dans les années 1990. Il faut cependant attendre l’attaque de Mafiaboy en 2000, qui visait les géants du web de l’époque, pour que soit mis en lumière la vulnérabilité des services web face à ce type d’attaque. Depuis, les attaques DDoS se sont largement développées, devenant de plus en plus sophistiquées et dévastatrices.
Julien Fournari
SEO & Growth Manager
Julien occupe le poste de SEO & Growth Manager chez Jedha depuis Mexico. Sa mission est de créer et d'orchestrer du contenu pour la communauté Jedha, de simplifier les processus et de dénicher de nouvelles opportunités, tant pour Jedha que pour ses étudiants, en exploitant sa maîtrise du digital.
Nous utilisons des cookies sur notre site. Certains, essentiels et fonctionnels, sont nécessaires à son bon fonctionnement et ne peuvent pas être refusés. D’autres sont utilisés pour mesurer notre audience, entretenir notre relation avec vous et vous adresser de temps à autre du contenu qualitatif ainsi que de la publicité, personnalisée ou non. Vous pouvez sélectionner ci-dessous ceux que vous acceptez et les mettre à jour à tout moment via notre politique cookies.
Tout accepter
Tout refuser
Gérer mes préférences
Gestion de vos préférences sur les cookies
Nous et nos partenaires utilisons des cookies et des traceurs pour :
- Fournir une assistance grâce à notre bot - Générer des idées pour améliorer nos interfaces, les contenus et fonctionnalités du site - Mesurer l'efficacité de nos campagnes de marketing et proposer des mises à jour régulières de nos contenus
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Soirée Portes Ouvertes en ligne : découvrez nos formations
Thursday
12
Dec
à
18:00
En ligne
Découvrez nos programmes de formation accélérée en Data et Cybersécurité, et posez toutes vos questions à notre équipe d'admissions et à nos alumni.