Attaque par déni de service : qu’est-ce que c’est ? Comment réagir ?

D’après le gouvernement français, les opérateurs Internet observeraient quotidiennement plus d’un millier d’attaques par déni de service en France. On vous explique en quoi consiste cette menace de plus en plus présente sur Internet, et quoi faire en amont et en aval d’une telle attaque.

Attaque par déni de service (DoS) et déni de service distribué (DDoS) : définitions

L’attaque par déni de service est une attaque visant à rendre un service informatique (site internet, réseau, serveur, etc.) incapable de fonctionner, en l’empêchant de répondre aux requêtes de ses utilisateurs (par exemple, un site web ne sera plus accessible aux internautes).

Les pirates informatiques peuvent procéder par deux moyens pour mener cette attaque :

  • En envoyant vers la cible un immense volume de requêtes TCP, UDP et ICPM par paquets, afin de la saturer ; 
  • En repérant et en exploitant une faille de sécurité sur l’application informatique (par exemple, un module non sécurisé d’un site), par l’introduction d’un agent infecté provoquant une panne.

Aussi appelé attaque DoS (Denial of Service), le déni de service est qualifié de distribué (attaque DDoS pour Distributed Denial of Service) lorsqu’il provient de plusieurs sources différentes.

Les principales cibles de ces attaques par déni de service sont les sites de e-commerce, les institutions (financières, politiques, administratives), les structures d’hébergement (service de cloud, hébergement de serveurs : Amazon Web Services a par exemple subi une attaque au mois de février), mais un serveur de messagerie ou un site classique peuvent également en faire l’objet.

Parce qu’elles sont assez faciles à mettre en place par les pirates informatiques, ces cyberattaques se multiplient. Certaines sont même parfois accompagnées d’une demande de rançon. Voir notre guide sur les rançongiciels.

Que faire en cas de déni de service informatique ?

Si vous êtes propriétaire d’un service informatique victime d’une attaque par déni de service distribué (DDoS) ou classique (DoS), la première chose à faire est de garder votre calme. Par exemple, vous ne devez jamais répondre favorablement à une demande de rançon juste parce que vous souhaitez récupérer le plus rapidement possible l’accessibilité de votre site internet.

D’abord, il vous faut être certain(e) que le problème rencontré par votre ou vos systèmes vient bien d’une attaque par déni de service informatique, et non pas par exemple d’un pic de trafic qui peut aussi faire sauter un serveur.

Récupérer les fichiers de journalisation du pare-feu et des serveurs touchés vous permettra de comprendre le cheminement d’une attaque et d’évaluer son impact.

Si vous n’arrivez pas à déceler l’origine du problème, vous pouvez interroger votre hébergeur. S’il est certain qu’il s’agit d’un déni de service, il se chargera de bloquer les adresses IP à l’origine de l’attaque.

Dans le même temps, il vous faut sauvegarder au maximum le contenu de votre système informatique en procédant à une copie complète de celui-ci et de sa mémoire.

Si l’origine de l’attaque a été bloquée, vous pouvez remettre en production votre système informatique, ou faire appel à un professionnel (une liste existe sur le site gouvernemental https://www.cybermalveillance.gouv.fr/ si vous n’en connaissez pas).

Une fois l’attaque passée et votre site relancé, assurez-vous qu’aucune donnée ne vous a été volée en procédant à un contrôle global du système d’information. Si des données personnelles de clients ont été subtilisées, il vous faudra notifier l’incident à la CNIL. Il vous est également possible de porter plainte. 

Déni de service : comment se protéger des attaques ? Les mesures préventives

Il est possible de se prémunir au maximum des attaques par déni de service :

  • pensez à modifier fréquemment vos mots de passe d’accès, qui peuvent constituer l’une des failles de sécurité utilisées par les hackers ;
  • faites bien toutes les mises à jour de sécurité du système informatique et des logiciels installés sur votre machine ;
  • paramétrez votre pare-feu pour que tous les ports inutilisés soient fermés et que seules les adresses IP que vous connaissez soient autorisées à accéder à l’administration du site ;
  • protégez votre entreprise ou votre site en utilisant et en faisant utiliser à vos salariés ou prestataires des solutions antivirus efficaces. Voir notre guide Kaspersky Antivirus ;
  • faites des points réguliers avec votre hébergeur pour qu’il anticipe également au maximum de son côté ce type d’attaques. 
Découvrez Kaspersky Total Security