Par Aurélien Bouzon chez IMS
Networks et Fabrice Clerc chez 6cure.
Ces derniers mois,
plusieurs institutions majeures — l’Assemblée nationale, le Sénat,
Météo-France, l’Insee, la CAF, la RATP ou encore le Réseau interministériel de
l’État — ont été ciblées par des attaques par déni de service distribué (DDoS),
illustrant une recrudescence préoccupante de ce type de menace. Selon le
dernier panorama publié par l’ANSSI, le nombre d’attaques DDoS en 2024 a doublé
par rapport à 2023. Un constat alarmant qui souligne la montée en puissance des
groupes hacktivistes et cybercriminels, souvent soutenus par des acteurs
étatiques.
Des attaques visant à
déstabiliser
Une attaque DDoS
consiste, la plupart du temps, à exploiter des systèmes vulnérables compromis,
qui vont simultanément saturer un serveur, un service ou une infrastructure,
afin d’en priver les utilisateurs légitimes. Même si la plupart des sites
institutionnels n’ont pas d’importance opérationnelle critique, leur
inaccessibilité temporaire a un impact symbolique majeur. Ces attaques visent à
décrédibiliser et déstabiliser les structures ciblées, semant le doute sur leur
fiabilité et leur cybersécurité. Certaines opérations ont cependant des
conséquences bien plus graves, affectant des infrastructures essentielles,
notamment dans le domaine des télécommunications, et peuvent servir de levier
pour des demandes de rançon, saturer les dispositifs de sécurité pour faciliter
d'autres attaques, ou causer des pertes financières significatives pour les
sites web marchands.
Le DNS toujours très
ciblé
Les attaques DDoS se
présentent sous diverses formes, parmi lesquelles les attaques volumétriques
classiques qui visent à congestionner les liens réseau pour produire de la
perte et celles ciblant les capacités de traitement pour directement perturber
la délivrance de services tels que DNS, web, LDAP, etc. Les attaques peuvent
exploiter des failles structurelles des protocoles. Le service DNS, essentiel
au fonctionnement d’Internet, est une cible privilégiée. Selon le rapport 2023
IDC Threat Report, 90 % des organisations subissent 7,5 attaques DNS par an. Le
DNS est vulnérable en raison de l’absence de connexion préalable entre
l’expéditeur et le destinataire, et de l’impossibilité de filtrage
géographique. L’usurpation facile des demandes DNS peut entraîner des attaques
par réflexion et amplification. Les attaquants peuvent ainsi augmenter, sans
surcoût pour leur botnet, l’efficacité de leurs attaques. Les requêtes DNS
peuvent être envoyées de manière aléatoire et dispersée, rendant ainsi plus
complexe l’identification des botnets.
Les attaquants
exploitent ces caractéristiques pour générer de fausses requêtes, usurper des
sources et rediriger des flux massifs vers leurs cibles. Cela entraîne une
saturation de la capacité de traitement des serveurs. Les attaques DNS ciblent
généralement la couche applicative, rendant difficile la distinction entre le
trafic légitime et malveillant. De plus, ces attaques nécessitent moins de
ressources pour l'attaquant tout en rendant le service DNS indisponible de
manière aussi efficace. Très souvent, par effet de bord, bien d’autres services
sont impactés.
Botnets : la saturation
fatale pour le Déni de Service
Les groupes
responsables de ces attaques DDoS s’appuient sur des réseaux de machines
infectées
— des botnets — de plus en plus vastes. En septembre 2024, un botnet
mondial a été démantelé après avoir ciblé des infrastructures critiques dans
plusieurs pays. Ce type d’opération démontre l’ampleur et la coordination
derrière les attaques DDoS actuelles.
Mieux se protéger
Les attaques
volumétriques sont généralement repérables par une forte occupation des liens
réseau. En revanche, les attaques plus fines, notamment celles qui ciblent le
traitement applicatif ou le DNS, sont plus difficiles à détecter. Les
attaquants peuvent aussi alterner des salves de quelques secondes avec des
pauses, visant à contourner les mécanismes de protection traditionnels. Les
pics engendrés par l’attaque sont rapides et courts mais peuvent suffire à
saturer les capacités de traitement pour quelques minutes. Ces attaques sont
appelées hit and run.
Face à cette évolution,
certains boîtiers de filtrage, notamment souverains, affichent un temps de
réaction pour le blocage des attaques de quelques secondes, empêchant toute
coordination d’attaques ultra-courtes à l’échelle mondiale. Ce niveau de performance
rend la tâche très difficile aux assaillants, pour qui il est compliqué de
synchroniser avec autant de précision les membres d’un botnet.
Dans ce contexte
d’attaques DDoS toujours plus sophistiquées, la réactivité n’est plus un luxe,
c’est une nécessité. C’est particulièrement vrai pour les attaques multi
vectorielles, qui changent sans cesse de méthode et d’origine, rendant la
défense statique faillible.
L’importance de
s’appuyer sur des SOC de nouvelle génération
Le SOC (Security
Operations Center) incarne la première ligne de défense contre les attaques
DDoS. Son rôle va bien au-delà de la simple surveillance : il orchestre une
stratégie proactive et adaptative, essentielle dans un paysage de menaces en
constante évolution.
1. Compréhension fine
des services critiques et configuration préventive améliorée en continu
Tout commence par un
dialogue étroit avec les responsables métiers et techniques pour identifier les
services à protéger, comprendre leur fonctionnement, leur criticité et les flux
qui y transitent. Cette cartographie précise permet de prioriser la défense sur
les actifs réellement stratégiques.
Avant même qu’une
attaque ne survienne, le SOC définit des profils de protection personnalisés,
en calibrant les seuils d’alerte et les règles de filtrage selon le contexte.
Ces paramètres sont pré-intégrés dans les boîtiers anti-DDoS, prêts à être
activés immédiatement en cas d’alerte. Cette préparation en amont permet un
gain de temps décisif au moment critique. Dans une approche d’amélioration
continue, le SOC analyse les graphiques et statistiques régulièrement, même en
dehors des périodes d’attaque, pour ajuster les seuils et les profils de
protection, garantissant ainsi une défense toujours plus efficace et adaptée
aux nouvelles menaces.
Plusieurs modes de
protection existent et permettent de s’adapter à différents contextes des
services à protéger. La protection peut être plus ou moins stricte et activée
en permanence ou bien seulement activée en cas d’attaque. La bascule dans le
mode protection peut alors se faire manuellement ou automatiquement en fonction
de la politique retenue.
2. Une analyse et une
adaptation en temps réel
Lorsqu’une attaque est
détectée, le SOC entre dans une phase d’analyse dynamique. Les équipes
observent le comportement du trafic, identifient les vecteurs d’attaque et
adaptent les seuils ou les règles de filtrage en conséquence. Face à des
attaques qui changent d’intensité, de technique et d’origine en quelques
secondes, les SOC de nouvelle génération se distinguent par leur capacité
d’adaptation immédiate. En lien direct avec les systèmes de détection, ils
affinent leur réponse en permanence. Cette réactivité humaine et technologique
combinée est un point central qui permet une adaptation en temps réel,
indispensable face à des attaques toujours plus agiles et ciblées.
3. Filtrage intelligent
et sélectif
L’objectif : bloquer l’attaque sans perturber l’activité légitime. Grâce à des modules avancés capables d’identifier des patterns malveillants, le SOC ajuste dynamiquement les filtres pour bloquer la menace et ainsi préserver les ressources tout en évitant les faux positifs. Ce travail de précision est crucial pour garantir la continuité de service tout en neutralisant la menace sans impacter l’activité légitime.