Une attaque distribuée par déni de service, ou DDOS, consiste à envoyer des requêtes depuis plusieurs machines vers un seul service. En saturant les « tuyaux numériques », l’opération empêche ce dernier de fonctionner normalement.

Si vous suivez l’actualité de la cybersécurité, vous avez certainement déjà vu passer le sigle DDOS. Il qualifie un type d’attaque. On l’a vu utilisée dans un contexte de guerre, pour attaquer des fournisseurs d’accès à internet, ou en temps de paix, pour s’en prendre à EDF ou faire ramer des jeux en ligne. Voici quelques points utiles à connaître.

À quoi servent les attaques DDOS ?

Les Denial of Service attacks (DOS), ou attaques par déni de service, répondent à un principe simple : saturer des « tuyaux numériques » pour empêcher que les systèmes informatiques ne fonctionnent correctement. Le but de l’opération est d’empêcher l’accès ou le fonctionnement normal d’un service précis. L’immense majorité de ces agressions sont menées depuis plusieurs machines, ce qui explique que l’on parle le plus souvent de Distributed Denial of Service Attack, ou d’« attaque collective par saturation de service », selon la traduction française officielle.

Les attaques DDOS peuvent servir à extorquer de l’argent, perturber le fonctionnement d’institutions ou d’organisations pour des raisons politiques, empêcher une équipe concurrente de gagner dans des compétitions e-sport… Andorre a, par exemple, subi de grosses perturbations de trafic en janvier 2022 à cause d’une attaque visant les participants d’un tournoi de jeux vidéo populaire, selon le fournisseur d’accès à internet public Andorra Telecom. Dans certains milieux, elle est aussi perçue comme une modalité de manifestation numérique : c’était ouvertement revendiqué par les Anonymous en 2013, ce fut utilisé de manière relativement proche par des fans de K-Pop en 2020.

Comment fonctionne une attaque DDOS ? 

La version la plus courante, l’attaque DDOS volumétrique, consiste à envoyer un grand nombre de requêtes depuis un grand nombre de machines vers une seule et même infrastructure. La bande passante ou l’équipement réseau se retrouvent surchargés, donc dans l’incapacité de joindre le serveur ou de répondre au trafic légitime.

Il arrive aussi que les hackers s’en prennent plus spécifiquement au fonctionnement du réseau et aux protocoles de transmission et de connexion. Le protocole TCP, par exemple, permet la connexion entre un système (client) et un service (serveur) en trois étapes : le client envoie d’abord un message SYN au serveur qu’il vise. Celui-ci répond par un message SYN-ACK. Puis il revient au client d’envoyer un message ACK pour ouvrir définitivement la connexion. Dans les attaques DDOS, les attaquants envoient un large nombre de requêtes SYN sans jamais terminer les trois étapes de connexion. À terme, cela occupe tous les ports du serveur visé, si bien qu’il ne peut plus recevoir aucune nouvelle requête de connexion (on parle de SYN flood).

Hackeuse commettant son méfait. // Source : Pexels/cottonbro (photo recadrée et modifiée)
Hackeuse commettant son méfait. // Source : Pexels/cottonbro (photo recadrée et modifiée)

Il existe beaucoup d’autres variantes des attaques DDOS. Les attaques de couche 7 visent les faiblesses d’une application web, d’autres utilisent des failles zero-day, inconnues du fournisseur… Mais, toutes répondent à la même logique de surcharge de la cible pour en barrer l’accès. Pour augmenter leur pouvoir de nuisance, les attaquants utilisent quelquefois un grand nombre d’ordinateurs ou d’appareils connectés compromis (on parle de botnets ou de machines zombies). Cela leur permet de démultiplier le nombre de points depuis lesquels ils envoient des requêtes fallacieuses, donc d’augmenter le volume de demandes soumises à la cible.

Est-ce que c’est grave ? 

Contrairement à des cyberagressions comme les rançongiciels, une fois la crise passée, les attaques DDOS ne laissent aucune trace chez la victime (en gros, les tuyaux sont débouchés, tout peut revenir à la normale). Néanmoins, elles peuvent s’avérer coûteuses : en 2021, le nombre d’attaques DDOS s’accompagnant de demandes de rançons a augmenté de 29 % par rapport à l’année précédente.

Leurs effets vont de l’indisponibilité du site web à des réactions en chaîne chez les clients utilisant le service informatique attaqué. Elles peuvent donc avoir des répercussions financières importantes lorsqu’elles visent des entreprises ou des organisations, effets auxquels s’ajoutent les pertes provoquées par l’atteinte à l’image de la société visée. Enfin, une attaque DDOS n’est pas toujours réalisée seule : elle peut servir de paravent à d’autres types d’actes, parmi lesquels le vol de données.