Les attaques par déni de services sont une réelle menace pour les entreprises. Et le phénomène n’ira pas en s’améliorant, au contraire. Risque de perturbations, voire même blocage des services Web : de quoi est faite cette nouvelle menace ?

Du jamais vu

L’une des plus importantes attaques par déni de service s’est jouée il y a quelques jours contre l’organisation internationale Spamhaus, militante contre le spam et chargée de dénoncer les hébergeurs peu scrupuleux. Celle-ci s’est attiré les foudres de quelques organisations nouvellement intégrées à sa « liste noire » et a été victime d’une attaque par déni de service d’une ampleur considérable, saturant ses services. L’effet papillon vous dites ?

Des caractéristiques particulières

Lors d’une attaque, l’entreprise cible peut couramment recevoir de 100 à 10000 fois plus de trafic, ou de connexions par seconde, qu’en temps normal. Cette proportion rend illusoire tout surdimensionnement et l’identification de l’attaquant est la plupart du temps impossible. En effet, il y a recours à des machines distribuées tierces, avec souvent utilisation de fausses adresses IP sources.
En général, une telle attaque va durer de quelques dizaines de minutes à quelques heures, pouvant engendrer au passage de lourdes conséquences pour l’entreprise victime. Il ne s’agit pas pour l’attaquant de récupérer ou d’altérer des données, mais d’empêcher la publication d’un service. Et ceci peut très souvent nuire à la réputation de sociétés ayant une présence sur internet.

Des effets collatéraux considérables

Les attaques DDOS ont la particularité d’être lancées de manière brutale et aveugle. L’attaquant peut contrôler que le but est atteint (par exemple, en constatant qu’il ne peut plus afficher le site web ciblé), mais il n’a pas une connaissance précise des conséquences de son attaque. Bien souvent il va causer énormément de dégâts sur des services parfois sans rapport, si ce n’est le nécessaire partage d’une portion d’infrastructure internet. Les débits mis en jeu par certaines attaques DDOS sont à même d’écrouler les liaisons de transport de grands fournisseurs d’accès, et plus encore de n’importe quel utilisateur final. Des services partageant l’accès internet avec un service attaqué peuvent facilement se trouver bloqués également.

Sachant que le phénomène n’ira qu’en s’amplifiant, notamment avec l’émergence des services Cloud, toute organisation doit impérativement se protéger dès maintenant.

Comment agir ?

Maintenir la publication d’un service pendant une telle attaque ne peut pas se faire sans une remise en cause très profonde de l’architecture. Notamment, contre une attaque distribuée, une des meilleures méthodes connue est une publication elle-même distribuée. C’est ce que l’on appelle un « Réseau de Diffusion de Contenu » (Content Delivery Network CDN). C’est par exemple la voie qui a également été choisie il y a déjà bien longtemps par les opérateurs des « DNS racines », composant critique de l’internet, mais qui n’a encore jamais pu être attaqué avec succès. Mais cela suppose de ne plus héberger son serveur chez soi, ni même chez son Fournisseur d’Accès Internet, mais de faire appel aux services complémentaires d’un tiers spécialisé.