Protéger son organisation contre les attaques par déni de service (ITSAP.80.100)

MAI 2020

SÉRIE SENSIBILISATION

ITSAP.80.100

 

 

Figure 1: Process

Les auteurs malveillants mènent des attaques par déni de service (DoS pour Denial of Service) dans le but d’entraver la disponibilité des services et des données d’une organisation. En cas de réussite, une attaque par déni de service empêche les utilisateurs d’accéder aux services offerts en ligne (par exemple, le courrier électronique, les sites Web, les comptes en ligne), aux informations et aux autres ressources d’un réseau. Les auteurs malveillants lancent des attaques DoS (ils sont parfois payés pour le faire) pour différentes raisons, par exemple, pour le simple plaisir de lancer des attaques, pour tenter de perturber les activités d’une organisation concurrente ou pour entraver les procédures électorales d’un autre État qui seraient en période de suffrage. Les attaques DoS sont également utilisées par des groupes hacktivistes aux fins de protestation contre des problèmes politiques ou sociaux.

 

Les attaques DoS sont généralement menées contre des cibles particulières, notamment, les infrastructures, les applications réseau et certains services internes. Lors d’une attaque DoS, l’auteur malveillant submerge la cible (par exemple un serveur hébergeant un site Web ou le réseau d’une organisation) en lui envoyant un énorme volume de trafic. Étant ainsi surchargée, la cible n’est plus en mesure de traiter le volume excessif de trafic, et il arrive souvent que le système visé devienne hors d’usage. Dans ce cas, un utilisateur peut recevoir un message d’erreur lorsqu’il tente d’accéder à un site Web. Les auteurs malveillants utilisent différentes méthodes pour leurs attaques par déni de service :

  • Attaque par inondation – L’attaque par inondation est la méthode la plus couramment employée. L’auteur malveillant envoie sans cesse des demandes de connexion au serveur ciblé, mais n’établit jamais lesdites connexions. En l’occurrence, ces procédures de connexion incomplètes occupent et consomment toutes les ressources disponibles du serveur. Par conséquent, le serveur ne parvient plus à traiter ni le trafic ni les demandes de connexion légitimes.
  • Attaque par arrêt de service – Les attaques par arrêt de service sont moins courantes. Dans ce cas de figure, l’auteur malveillant tente d’exploiter les failles du système ciblé pour le faire tomber en panne.

ATTAQUE PAR DÉNI DE SERVICE DISTRIBUÉ

Une attaque DoS distribuée (DDoS pour Distributed DoS) a le même objectif, soit celui de perturber ou d’empêcher l’accès aux services et aux informations, mais elle se distingue quelque peu du simple DoS. Pour réaliser une DDoS, un auteur malveillant utilise plusieurs machines pour attaquer sa cible. Une attaque DDoS peut résulter de l’effort coordonné d’un groupe d’auteurs malveillants, mais elle peut également être menée par une seule personne qui pourrait faire appel à un réseau d’ordinateurs « zombies ».

Un réseau de zombies consiste en un groupe d’appareils connectés à Internet que l’on a préalablement piratés. Pour créer un réseau de zombies, un auteur malveillant doit être en mesure d’exploiter les failles de sécurité ou les lacunes affichées par les nombreux dispositifs qu’il cherche à contrôler. Pour empêcher vos systèmes et vos appareils de se faire exploiter par un réseau de zombies, il convient d’y installer les mises à jour et les correctifs de sécurité dès qu’ils sont disponibles.

Voir le document ITSAP.10.096 – Application des mises à jour sur les dispositifs, qui est disponible dans le site Web du Centre pour la cybersécurité : cyber.gc.ca

RÉPERCUSSIONS D’UNE ATTAQUE DoS

Les attaques DoS sont conçues pour monopoliser toutes les ressources de votre réseau, notamment la bande passante, la capacité de traitement, la mémoire et les zones de stockage.

En plus de perturber l’accès à vos services et à vos ressources, l’attaque DoS peut servir de diversion, pendant que l’auteur malveillant mène d’autres attaques, notamment des tentatives de vol de données.

Votre organisme pourrait également subir les répercussions suivantes :

  • Coût financier associé aux interventions visant à contrer l’attaque DoS.
  • Perte de fonctionnalité intégrale ou partielle des services touchés.
  • Diminution de la productivité.
 

 

Figure 1: Process

Il n’est pas nécessaire que votre organisation soit la cible directe d’une attaque par déni de service pour être touchée. En effet, lorsque vos fournisseurs de services (p. ex. votre fournisseur de services Internet, votre fournisseur de services infonuagiques) sont attaqués, votre organisation peut devoir composer, à son tour, avec des pertes de services.

 


 

Figure 1: Process

RECONNAÎTRE UNE ATTAQUE DoS

Soyez à l’affût des signes qui pourraient indiquer que vos systèmes ont été la cible d’attaques DoS :

  • Ralentissement considérable des fonctions réseau, notamment lorsqu’il s’agit d’ouvrir un fichier ou d’accéder à un site Web.
  • Sites Web hors service ou inaccessibles.

Ces signes peuvent ressembler aux problèmes temporaires de performance que l’on rencontre parfois et qui ne sont pas forcément causés par des activités malveillantes (par exemple, une augmentation du nombre de visiteurs sur votre site Web à la suite d’un communiqué de presse). À long terme, votre organisation doit établir une base de référence définissant ce qui est considéré comme une activité réseau normale. Ainsi, vous pourriez utiliser cette base de référence pour comprendre les variations importantes de l’activité réseau et pour reconnaître, le cas échéant, les tentatives d’inondation de votre réseau. Pour être en mesure de distinguer une attaque par déni de service des problèmes considérés comme étant non malveillants, votre organisation doit surveiller et analyser en permanence le trafic et les informations de journalisation, ce qui vous permettra de repérer les pannes et les redémarrages de services.

Lorsque vous avez la conviction qu’une attaque par déni de service est en cours, contactez votre administrateur de réseau et votre fournisseur d’accès Internet pour confirmer la cause de la panne observée.

PRÉVENTION DES ATTAQUES DoS

Vous pouvez réduire les risques d’attaque DoS ainsi que les effets de ce type d’attaque en suivant les consignes énumérées ci-dessous :

  • Travaillez avec votre fournisseur de services Internet et infonuagiques pour conclure des accords sur les niveaux de service, qui comprendront des dispositions relatives à la défense contre les DoS. Vos fournisseurs de services peuvent utiliser divers outils et techniques pour aider votre organisation à se protéger contre les attaques DoS.
  • Assurez-vous que vos administrateurs de systèmes connaissent bien les services de protection contre les attaques DoS. En effet, une bonne connaissance de ces services peut les aider à juger s’il convient, par exemple, d’imposer des limites ou de recourir à une liste blanche.
  • Surveillez le réseau et les systèmes. Configurez des outils de surveillance qui pourront vous alerter en cas d’augmentation importante du trafic (hors des limites fixées pour la base de référence) ou en cas de trafic suspect qui pourrait submerger un site Web.
  • Installez et configurez des coupe-feu et des systèmes de prévention des intrusions. Vous pouvez utiliser ces outils pour surveiller le trafic et bloquer le trafic illégitime reconnaissable.
  • Mettez à jour et corrigez les systèmes d’exploitation ainsi que les applications. Mettez à jour et corrigez les systèmes et les applications, y compris vos coupe-feu, pour vous assurer que les problèmes de sécurité seront abordés sans tarder et pour empêcher les auteurs malveillants d’exploiter les failles des systèmes.
  • Utiliser un service d’hébergement de sites Web qui mette l’accent sur la sécurité. Avant de choisir le service qui hébergera votre site Web, assurez-vous que le fournisseur a mis en place des mesures de sécurité adéquates pour ses clients.
  • Défendez le périmètre de votre réseau. Pour protéger votre réseau, adoptez une approche axée sur la sécurité par couches, en mettant en place de multiples techniques et mécanismes de contrôle.
  • Soyez prévoyants. Prévoyez un plan de récupération qui donne la priorité aux systèmes et aux processus en fonction de leur temps d’arrêt tolérable. Vous devez également identifier les points de contact et former une équipe d’intervention en cas d’incident.

 

 

Si votre organisation a déjà été la cible d’une attaque DoS, rappelez-vous que l’incident pourrait se produire de nouveau. Les organisations sont susceptibles d’être ciblées par plus d’une attaques. Les auteurs malveillants pourraient très bien tenter d’exploiter les failles et de cibler votre organisation de nouvelles fois.

 

INTERVENTION EN CAS D’ATTAQUE DoS

Voici quelques exemples de mesures qu’il convient d’appliquer lorsque vos systèmes ont été ciblés par une attaque DoS :

  1. Identifier. Signalez les indicateurs d’attaque DoS, par exemple une mauvaise performance du réseau, et comparez-les à votre trafic normal (volume et nature). Contactez votre administrateur de réseau et votre fournisseur d’accès Internet pour confirmer la cause de la panne ou du problème.
  2. Contenir. Repérez les limites de votre réseau ainsi que les actifs exposés. Utilisez les systèmes de sécurité du réseau, notamment les coupe-feu, ou envisagez d’utiliser les services de protection contre les DoS qui pourraient être offerts par votre fournisseur de services. Ainsi, prenez contact avec votre fournisseur de services Internet et infonuagiques dès que possible.
  3. Amorcer la reprise. Vérifiez s’il y a d’autres signes d’activités malveillantes qui auraient pu avoir lieu parallèlement à l’attaque du DoS. Rétablissez les connexions et annoncez que les services sont de nouveau en ligne. Assurez-vous d’avoir une stratégie permettant la reconnexion progressive des sessions des clients.
  4. Réviser les leçons retenues. Après le processus de reprise, révisez les mesures appliquées et apportez les améliorations requises. Le cas échéant, documentez les changements dans votre plan d’intervention.

Si votre organisation a été victime d’une attaque DoS, veuillez en aviser le Centre canadien pour la cybersécurité : contact@cyber.gc.ca

Dernière mise à jour: