Lorsqu’un informaticien vient vous voir en vous affirmant qu’il s’est fait « dédosse », ce n’est jamais une bonne nouvelle, c’est plutôt une situation de crise. Cependant, jargon informatique mis de côté, le DDoS (Distributed Denial of Service) est une réalité actuelle de la cybercriminalité : une attaque par déni de service est aussi simple à mettre en place que ses effets sont parfois dévastateurs. Retour sur une technique cybercriminelle « à la mode » notamment chez les hacktivistes …
DDoS, quid ?
L’attaque par déni de service, comme son nom l’indique, consiste dans l’attaque d’un ou plusieurs services mis en réseau grâce à l’exploitation d’une vulnérabilité logicielle ou matérielle. En pratique, cela signifie par exemple pour l’exploitant d’un site internet l’impossibilité de pouvoir donner accès à ce dernier aux internautes : on parle de faire « tomber » le site. En outre, le terme « distributed » de la définition anglaise du DDoS provient du fait que l’attaque fait intervenir un réseau de machines. Enfin, vous entendrez parfois le terme de DDoS volumétrique : cela signifiera que l’attaque a eu lieu grâce (notamment) à une saturation de la bande passante.
Définitions mises à part, qui peut se faire DDoS ? Aujourd’hui, à peu près tout le monde. D’ailleurs, en 2014, on comptait à peu près jusqu’à un millier d’attaques par jour d’après certains opérateurs français, et certaines institutions publiques ont publié des rapports prouvant que ce chiffre a tendance à croître au fur et à mesure des années. Il existe aujourd’hui de multiples façons de commettre un DDoS. Généralement, ce dernier utilisera une technique dite d’amplification soit DNS, soit NTP. Ne fuyez pas tout de suite, l’explication arrive : lorsque vous êtes connectés à Internet, vous communiquez grâce à des paquets de données qui circuleront automatiquement par des envois de requêtes. Les attaques volumétriques, qui utiliseront cette technique de l’amplification, consisteront donc dans l’envoi d’un très grand nombre de requêtes pour atteindre un volume de trafic anormal. Le service succombera alors à l’attaque à cause d’un nombre de paquets induit bien trop important. Cependant, et sans rentrer dans des détails trop techniques, il existe d’autres techniques pour DDoS : celle de l’utilisation de la fragmentation IP ou encore l’épuisement des tables d’état d’un pare-feu.
Droit et DDoS
Evidemment, si vous décidez d’envoyer une telle attaque en vous levant un beau matin, vous risquez fort de vous retrouver nez à nez avec la gendarmerie lors d’une matinée ultérieure. En outre, le DDoS est un cyber délit qui trouve sa sanction aux articles 323-1 à 323-7 du code pénal. Le « système de traitement automatisé de données » légalement défini correspond à une palette très large de terminaux pouvant faire aujourd’hui office de cible d’un DDoS. Si l’attaque par déni de service n’est pas définie dans le code pénal, sa sanction se trouve dans le fait d’entraver le fonctionnement du STAD précédemment mentionné. De plus, l’utilisation d’un terminal tiers pour effectuer une attaque dit « par ricochet » est également punissable puisque vous vous introduisez dans un STAD sans autorisation.
Le ricochet et les botnets, j’y viens. Il s’agit là de la principale raison pour laquelle les hackeurs et pirates sont rarement coincés. En effet, lorsqu’un pirate souhaite lancer une attaque par déni de service, il ne va jamais utiliser son adresse IP comme adresse source de l’attaque. Il va donc faire une attaque dite « par ricochet » en utilisant un botnet qui faire passer l’IP de la machine victime de l’intrusion comme l’IP source de l’attaque. Une telle manipulation permet donc de se camoufler sur la toile et de tranquillement lancer son attaque sans possibilité d’être retracé, du moins si le pirate a pris toutes les précautions utiles à cet effet. Il est clair qu’un pirate informatique souhaitant attaquer « en clair », soit en utilisant son adresse IP directement, est sûr d’être repéré tôt ou tard.
La popularité du DDoS
Il peut sembler étrange, voire malsain, de parler d’une popularité d’un acte délinquant. Et pourtant, la toile a connu ces dernières années de nombreux cas médiatisés de DDoS ayant fait parlé d’eux. Par exemple, les services du Playstation Network avaient été arrêtés de cette manière par le groupe Anonymous. Le DDoS est en effet devenu un outil d’hacktivisme pour tenter d’imposer une idéologie par la force. « Si je vous DDoS, ce n’est pas parce que je suis un pirate qui souhaite le chaos numérique, mais c’est parce que je considère vos actions comme dénuées de tout sens moral ou contraire à ma propre vision de la Justice », voilà une justification partielle des acteurs de DDoS. Si le débat moral de cette question sera laissé à d’autres, le débat social de cet avènement de la culture du hack n’en reste pas moins intéressant. En effet, le hacking est devenu un véritable phénomène de société, et une véritable communauté s’est instaurée autour de ce courant de pensée : il existe même une hackfest où y sont parfois embauchés de futurs … RSI !
Entre Anonymous et Lizardsquad, une certaine confusion est cependant laissée en libre pâture dans la mentalité générale : il faut être un génie de l’informatique pour pouvoir s’adonner au hack sans vergogne. Je vous réponds fi ! En effet, le hack n’est plus réservé à une poignée d’élite qui maitrise au moins 7 langages de code, il est désormais accessible à tous. En outre, si vous désirez connaitre le souffle chaud d’une lampe vous scrutant pendant une garde à vue chez les gendarmes, il vous suffit de télécharger le logiciel des Anonymous (littéralement le canon ionique de basse orbite : on notera l’amour de la SF chez les hackeurs) et de lancer une attaque contre une URL. Bien évidemment, vous ferez ça à vos risques et périls, tant en termes de sécurité de votre système d’information qu’en termes de poursuites pénales.
Protection contre le DDoS
A présent, nous quittons le domaine du hack pour arriver dans la sécurité informatique en tant que telle avec une question assez délicate : existe-t-il un véritable moyen de protection contre les attaques par déni de service ? La réponse est non, du moins il existe des moyens de protection, mais une méthode particulière n’a pas prouvé une efficacité supérieure aux autres. La première de ces méthodes consiste dans une redirection via le protocole DNS. Il s’agit de la principale méthode de protection offerte par des services de cloud computing qui vont filtrer le trafic vers l’IP de destination. En outre, si la découverte de l’IP de destination est aisée, cette méthode n’a plus aucun intérêt. De plus, outre par le biais des prestataires externes, les pare-feux peuvent également absorber certaines attaques DDoS en posant une limite de nombre de requêtes. Cependant, le pare-feu reste une méthode de protection bien triviale, et le DDoS visant une cible particulière fera mouche du pare-feu à coup sûr.
Pour conclure, oui, le DDoS est quelque chose d’épouvantablement cynique : il est accessible à tous, permet d’arrêter la grande majorité des services de la toile et il se contrecarre difficilement. Malgré la possibilité d’installer un « Content Delivery Network », ou CDN, permettant une meilleure redistribution des ressources vers des serveurs, le DDoS a encore de beaux jours devant lui puisqu’aucune solution véritablement viable n’a été trouvée pour la majorité des internautes. Si vous souhaitez en savoir plus, je vous invite fortement à lire le guide de l’Agence Nationale de la Sécurité des Systèmes d’Information concernant les attaques par déni de service.
Bertrand PLAU: Aujourd’hui le réel se confond avec l’imaginaire, et cette peinture du monde est devenue possible grâce au numérique. Engagé dans un droit qui n’existe officiellement pas, j’ai pour seule ambition la compréhension, voire l’anticipation de ce nouveau monde digital qui, s’il peut contribuer à l’accomplissement de grandes choses, peut également servir de plus sombres desseins
