Attaque DDoS : définition, exemples et moyen de défense

Qu'est-ce qu'une attaque DDoS ?

Lors d’une attaque DDoS (pour Distributed Denial of Service, ou déni de service distribué en français), un pirate informatique envoie une multitude de requêtes vers un service en ligne. Le but ? Le saturer afin de le rendre inaccessible pour les utilisateurs légitimes de ce service

Pour imager le principe de l’attaque par déni de service, imaginez une autoroute, capable de gérer un trafic régulier. Arrivent les vacances scolaires, et avec elles, de nombreux voyageurs qui choisissent de prendre la route le même jour. Ils déferlent sur l’autoroute et la saturent peu à peu, car l’infrastructure est incapable de gérer autant de voitures d’un coup. Résultat : des bouchons naissent et se renforcent, allant même jusqu’à totalement bloquer les voies dans les cas les plus extrêmes. Dans le cas d’une attaque DDoS, c’est un peu la même chose : des hackers créent un embouteillage numérique pour rendre un service web inaccessible à ces utilisateurs légitimes.

Est-ce que l’attaque par déni de service est courante ? 

Les attaques par déni de service constituent l’un des types de cyberattaques les plus fréquemment signalés à travers le monde. Elles battent même tous les records, tant en termes de nombre que d’agressivité, et de nombreuses organisations en ont déjà été victimes en 2024 . Rien que lors du premier trimestre de cette année, Cloudflare a recensé une hausse de près de 50 % par rapport à 2023, avec plus de 4,5 millions d’attaques DDoS observées sur ses infrastructures au niveau mondial.

Cette augmentation s’explique par :

• L’apparition de nouveaux outils malveillants de plus en plus sophistiqués, comme le botnet Gorilla, rend ces attaques de plus en plus sophistiquées et simples à mettre en œuvre, permettant même aux hackers les moins expérimentés de lancer des attaques DDoS. 
• La multiplication des appareils connectés, dont de nombreux ne disposent pas de protections suffisantes, ce qui en fait des cibles faciles pour les hackers qui peuvent les intégrer à des réseaux de botnets pour lancer des attaques DDoS.
• Des motivations qui évoluent, les pirates n’hésitant désormais plus à faire de l’attaque DDoS une arme géopolitique.

En France, plus d’une cinquantaine d’attaques DDoS visant des sites gouvernementaux et publics ont ainsi été recensées depuis le début de l’année 2024. Certaines d’entre elles sont attribuées au groupe de hackers prorusse NoName057(16), connu pour avoir réussi à mettre hors service 14 sites du gouvernement en juin, et une vingtaine de sites d’ampleur en septembre.

Ces chiffres montrent à quel point les attaques DDoS sont devenues une menace courante et persistante dans la cybercriminalité, obligeant les entreprises et les institutions à renforcer leurs défenses.

Quelle est la différence entre une attaque DoS et une attaque DDoS ?

Attaque DoS comme attaque DDoS font partie de la catégorie des attaques réseau et visent le même objectif : rendre un service ou un site web inaccessible en surchargeant ses serveurs avec un grand nombre de requêtes. Mais elles diffèrent par la méthode employée et l’ampleur de l’attaque. Pour bien comprendre leurs différences, il est intéressant de s’intéresser aux acronymes DoS et DDoS :

• DoS signifie « Denial of Service », soit « déni de service » en français.
• DDoS signifie « Distributed Denial of Service », soit « déni de service distribué ».

Un petit mot de différence, mais ce « petit » mot fait justement toute la différence :

• Avec une attaque DoS, l'attaquant n’utilise qu’une seule machine pour saturer les ressources du serveur cible.
• L’attaque DDoS est quant à elle distribuée grâce à un botnet, un réseau d’ordinateurs et d’appareils infectés dispersés dans le monde entier.

Pour résumer, l'attaque DoS provient d’une source unique et est donc bien plus simple à contrer. À l’inverse, une attaque DDoS implique des milliers de sources différentes ; elle est ainsi bien plus puissante et difficile à démasquer et à stopper, et c’est justement ça qui peut la rendre dévastatrice.

Comment fonctionne une attaque par déni de service ?

Lors d’une attaque par déni de service, le pirate envoie d’un coup une grande quantité de trafic à sa cible pour qu’elle soit dans l’incapacité de traiter l’ensemble des requêtes. Résultat : ce service web ralentit, voire est rendu inaccessible pour les utilisateurs légitimes. Le même procédé s’applique pour une attaque DDoS, mais l’effet est amplifié par l’utilisation d’un botnet.

Pour maximiser les dégâts, ce type d'attaque exploite généralement des vulnérabilités dans les protocoles réseau ou dans les serveurs.

Exemple d'une attaque Distributed Denial of Service 

Imaginons que vous soyez le propriétaire d'un site de e-commerce très populaire, qui génère habituellement plusieurs centaines de ventes chaque jour. Le Black Friday approche, et cela fait des mois que vous préparez cette opération promotionnelle. Campagne d’emailing, publicité sur les réseaux, retargeting, tout est prêt. Tout, à l’exception de vos mesures de cybersécurité qui laissent à désirer, ce qu’a justement remarqué un groupe de pirates qui compte bien en profiter. Ils décident alors de lancer une attaque DDoS pour nuire à votre activité. Pour ce faire :

1. Ils préparent leur attaque en configurant leur botnet, qui leur permettra d’envoyer en simultané des milliers de requêtes vers votre site depuis les quatre coins du monde.
2. L’attaque est lancée alors que votre site connaît déjà un afflux de connexion lié aux promotions, créant ainsi un embouteillage numérique.
3. Le serveur de votre site sature ; incapable de gérer ce flux immense de requêtes, il commence à ralentir avant de tomber en panne, empêchant vos vrais clients d’accéder à vos promotions.
4. Les conséquences de cette attaque DDoS sont immédiates : vous passez à côté de dizaines voire de centaines de ventes, votre image de marque est ternie, et certains de vos clients mécontents peuvent même passer à la concurrence.

Quelles sont les cibles d'une attaque DDoS ?

En fonction des motivations des attaquants, les attaques DDoS peuvent viser un large éventail de cibles :

• Les sites de e-commerce, souvent pris pour cible lors de périodes clés telles que les soldes ou les lancements de nouveaux produits, ce qui cause d’importantes pertes financières.
• Les sites des infrastructures financières ainsi que les services de paiement en ligne, pour lesquels un dysfonctionnement peut mener à une baisse de confiance des utilisateurs.
• Les sites gouvernementaux et ceux d’administrations ou de services publics, attaqués par des groupes d’hacktivistes ou pour des motifs géopolitiques.
• Les applications web telles que les services de messagerie ou les plateformes de streaming, dont une interruption ou des perturbations peuvent engendrer le mécontentement de leurs utilisateurs.
• Les plateformes de jeux en ligne, notamment lors d’évènements majeurs ; les attaques sont alors souvent motivées par une compétition féroce entre les joueurs, ou la volonté de monnayer l’accès à ces plateformes. 

Quels sont les différents types d’attaque DDoS ?

Il existe plusieurs types d’attaques DDoS, qui diffèrent par leurs méthodes de saturation du réseau cible. En voici les quatre principaux types :

• L’attaque par saturation de bande passante (ou attaque volumétrique), dont l’objectif est de submerger la capacité de la bande passante du réseau ou du serveur cible en envoyant un volume massif de trafic grâce à un botnet. Ces attaques créent un « brouillage » numérique, empêchant les communications légitimes​.
• Les attaques DDoS de la couche applicative ciblent les vulnérabilités des applications web. Le plus souvent, ce sont les protocoles permettant à deux applications de communiquer qui sont visés ; elles ne parviennent ainsi plus à échanger leurs données, empêchant leur bon fonctionnement.
• L’attaque protocolaire (ou attaque par épuisement des tables d’état) exploite les failles des protocoles de communication Internet pour épuiser les ressources des équipements réseau (comme les pare-feu) et des serveurs pour rendre le service inaccessible.
• L’attaque par rebond, lors de laquelle le hacker n’attaque pas sa cible de front, mais utilise un réseau de machines compromises pour l’atteindre, lui permettant de mieux dissimuler son identité. Des appareils vulnérables sont d’abord infectés par un cheval de Troie pour y créer des portes dérobées ; elles sont ensuite utilisées pour diffuser l’attaque à l’insu des utilisateurs légitimes de ces appareils.

Quelles sont les conséquences d’une attaque DDoS ?

Les conséquences d’une attaque DDoS peuvent parfois être désastreuses pour ses victimes :

• Interruption de service, le site ou service web visé devenant inaccessible pour ses utilisateurs légitimes, ce qui peut entraîner des pertes financières importantes.
• Perte de confiance des clients et atteinte à la réputation de l’organisation victime, notamment en cas d’indisponibilité prolongée. 
• Coûts financiers, liés à la restauration des services après l’attaque, mais aussi aux ventes perdues lorsque le site était inaccessible.
• Pertes de données, notamment lorsque l’attaque vient perturber un site e-commerce ; si les communications avec vos bases de données sont saturées, le bon stockage des données n’est plus assuré et vous pourriez alors perdre toutes les informations liées aux commandes passées pendant l’attaque.
• Impact sur la sécurité générale du service, une attaque DDoS pouvant être utilisée pour détourner l’attention d’une autre cyberattaque en cours.

Qui sont les hackers derrière les attaques par déni de service ?

Les motivations des hackers pour réaliser une cyberattaque DDoS

Les attaques DDoS constituent un outil très versatile, utilisé pour satisfaire un grand nombre d’objectifs différents. Ce faisant, les motivations derrière une cyberattaque DDoS sont variées :

• Motivations politiques, les hacktivistes et certains gouvernements n’hésitant pas à y recourir pour promouvoir une idéologie ou perturber les infrastructures d’un pays adverse.
• Compétition économique, certaines entreprises peu éthiques utilisant des attaques DDoS pour nuire à leurs concurrents, notamment lors de périodes critiques.
• Extorsion financière, certains cybercriminels demandant une rançon pour cesser leur attaque.
• Représailles personnelles ou idéologiques, certains individus pouvant lancer ce type d’attaque suite à un différend personnel ou une frustration envers une organisation​.
• Volonté de semer le chaos en ligne, qui anime surtout les pirates amateurs qui n’hésitent pas à lancer des attaques DDoS pour le simple plaisir de démontrer leurs compétences pour tenter d’obtenir une reconnaissance dans la communauté hacker​.

Les hackers qui utilisent l'attaque DDoS 

Des acteurs aux profils variés peuvent orchestrer une attaque par déni de service distribué :

• Les hacktivistes, qui les mènent pour soutenir une cause politique ou sociale. Parmi les plus célèbres, les hackers d’Anonymous utilisent des attaques DDoS pour protester contre certains gouvernements ou des multinationales.
• Les cybercriminels motivés par l’appât du gain, qu’ils soient regroupés en groupe de hackers ou qu’ils agissent seuls, recourent aux attaques DDoS pour extorquer de l’argent via des rançons, ou encore pour déstabiliser leurs concurrents.
• Les États peuvent utiliser cette arme numérique dans le cadre de conflits géopolitiques ou d’une cyberguerre ; le but est alors de déstabiliser les infrastructures critiques de l’adversaire.
• L’attaque DDoS est plébiscitée des hackers amateurs, car malgré ses effets parfois dévastateurs, elle est souvent plus simple à lancer que d’autres catégories d’attaques.

Quels sont les exemples d’attaque DDoS ?

Les exemples les plus marquants de DDoS

Chaque année, de nombreuses organisations sont victimes d’attaques DDoS. Certaines de ces cyberattaques ont d’ailleurs marqué l’histoire de la cybersécurité :

• En 2000, un certain Mafiaboy compromet le réseau de plusieurs universités et utilise les machines compromises pour rendre inaccessibles les sites de géants de l’époque : eBay, Yahoo, Dell ou encore CNN. Cette cyberattaque DDoS sème le chaos sur le marché boursier, et aurait coûté près de 1,7 milliard de dollars aux entreprises victimes. On découvre plus tard la véritable identité de Mafiaboy : Michael Calce, un adolescent qui n’avait que 15 ans au moment des faits.
• En 2007, c’est l’une des premières fois que l’attaque DDoS est utilisée à des fins de déstabilisation politique. Des tensions entre la Russie et l’Estonie émergent suite au projet de déplacement d’une statue d’un soldat soviétique. Suite à cela, une série d’attaques DDoS massives vient paralyser les sites du parlement, de ministères, de banques et de médias estoniens.
• ​En 2016, le fournisseur de DNS Dyn est la cible d’une attaque DDoS de grande ampleur, orchestrée via le botnet Mirai, qui exploite à leur insu les appareils IoT mal sécurisés. Pendant une dizaine d’heures, les sites qui utilisent ce DNS sont paralysés. Parmi eux, de nombreux géants du web tels que Twitter, Netflix, Spotify ou encore Amazon.

Les attaques par Déni de Service sont-elles toujours actives ? 

Les attaques par déni de service distribué restent une menace active ; ces dernières années, elles battent même tous les records, autant en nombre qu’en agressivité. Rien que sur le premier trimestre 2024, elles auraient ainsi augmenté de près de 50 %. De nombreuses entreprises et organisations françaises en ont ainsi été victimes :

• En 2023, OVHcloud, un fournisseur de services web, est victime d’une importante attaque DDoS. Ses serveurs sont submergés par un volume massif de requêtes, perturbant de nombreux services hébergés sur la plateforme.
• En mars 2024, le groupe prorusse NoName057(16) cible 800 sites et services du gouvernement français. Ce n’est qu’une des nombreuses cyberattaques survenues dans le cadre du conflit avec l’Ukraine, et qui visent à déstabiliser ses alliés.

Que faire en cas d’attaque DDoS ? 

Comment identifier une attaque par Déni de Service en cours ?

Certains signes pourront vous mettre la puce à l’oreille et indiquer que votre service web est peut-être victime d’une attaque DDoS :

• Un ralentissement soudain de ses performances, lié à la surcharge de requêtes envoyées au serveur.
• Une inaccessibilité totale de votre service, votre serveur ne pouvant plus traiter les requêtes d’accès légitimes car il est envahi par un volume de trafic trop important.
• Un pic de trafic inhabituel et soudain, provenant de différentes adresses IP, parfois des quatre coins du monde alors que votre site n’est disponible que dans une seule langue.
• Un accès dégradé à certaines fonctionnalités de votre site, comme les systèmes de paiement, généralement plus fragiles et qui peuvent donc devenir indisponibles alors que votre site est toujours accessible.

Ces signaux, surtout s'ils apparaissent de manière soudaine et simultanée, doivent vous alerter sur une possible attaque par déni de service.

Les étapes à suivre en cas d’une cyberattaque DDoS 

Ces recommandations vous aideront à adopter la bonne conduite en cas de cyberattaque DDoS :

1. En cas d’attaque ou de menace d’attaque, ne payez pas la rançon demandée ; en effet, rien ne vous garantit que cela vous servira effectivement à vous protéger.
2. Filtrez les requêtes émanant de votre attaquant via votre pare-feu ou hébergeur.
3. Conservez les preuves de l’attaque en sauvegardant les journaux d’activité de votre serveur proxy, de votre pare-feu, de vos serveurs et de tous les éléments touchés par l’attaque ; cela pourra aider à identifier son responsable lors des investigations.
4. Évaluez les dégâts et les données perdues, et cherchez toutes traces d’activités anormales pour vérifier que cette attaque DDoS ne servait pas à détourner votre attention d’une autre cyberattaque plus importante.
5. Changez tous les mots de passe si vous avez le moindre doute quant au fait qu’ils aient pu être compromis lors de l’attaque.
6. Faites appel à des professionnels de la cybersécurité pour qu’ils puissent vous aider à résorber les dégâts de l’attaque et à renforcer la protection de vos systèmes.
7. Déposez plainte et fournissez toutes les preuves que vous avez déjà pu récolter.
8. Si des données personnelles ont été compromises lors de cette attaque DDoS, vous devez également notifier l’incident à la CNIL.

Comment se protéger d’une attaque DDoS ?

Plusieurs mesures de protection permettent de contrer une attaque DDoS et d’en limiter l’impact. Vous pourriez ainsi :

• Recourir à un pare-feu applicatif, chargé de bloquer toutes les requêtes suspectes.
• Utiliser un service anti-DDoS, spécialisé dans le filtrage du trafic malveillant.
• Utiliser plusieurs serveurs et centres de données pour répartir la charge ; si l’un d’eux tombe en panne, les autres pourront alors prendre le relai pour continuer à fournir votre service web sans interruption.
• Surveiller le trafic réseau en temps réel afin de détecter toute anomalie.
• Former vos collaborateurs aux bonnes pratiques cyber, par exemple en leur offrant de suivre une formation en cybersécurité pour débutants telle que celle proposée par Jedha.
• Renforcer (ou créer) des équipes de cybersécurité pour consolider vos défenses.

Quels sont les professionnels de la cybersécurité qui luttent contre les attaques par déni de service ? 

Plusieurs métiers de la cybersécurité participent à protéger les entreprises des attaques DDoS. Parmi eux :

• L’ingénieur en sécurité réseau configure et optimise les pare-feux et systèmes de défense.
• L’administrateur en cybersécurité gère les infrastructures critiques et les protège face à l’augmentation des cyberattaques.
• L’analyste SOC surveille les réseaux pour détecter et réagir rapidement face aux incidents.
• Le consultant en cybersécurité conseille et audite les systèmes pour prévenir les attaques ; il apporte son expertise aux entreprises selon leurs besoins spécifiques.

Conclusion : comment se former à la cybersécurité ?

Les attaques DDoS représentent une menace grandissante contre laquelle il est essentiel de se protéger. 

Vous souhaitez vous reconvertir dans la cybersécurité pour lutter contre les hackers et ces attaques ? Alors rejoignez notre bootcamp et bénéficiez d’une formation intensive en cybersécurité, finançable par votre CPF, et à l’issue de laquelle vous disposerez de compétences solides pour trouver votre premier poste.

Venez découvrir nos formations en détail et nous poser vos questions lors de notre prochaine soirée portes ouvertes en ligne !

Questions fréquentes à propos de l’attaque DDoS

Quelles peines encourent les hackers impliqués dans des attaques DDoS ?

En France en 2024, les hackers impliqués dans une attaque DDoS risquent jusqu’à cinq ans d’emprisonnement et 150 000 euros d’amende. Si l’attaque vise un système de traitement des données personnelles mis en place par l’État, l’amende peut même monter à 300 000 euros.

Pour plus de détails, n’hésitez pas à consulter l’article 323-2 du Code pénal qui régit les peines liées à l’entrave au fonctionnement d’un système de traitement automatisé de données.

Quelle est l’origine historique des attaques DDoS ?

Les premières attaques DDoS émergent dans les années 1990. Il faut cependant attendre l’attaque de Mafiaboy en 2000, qui visait les géants du web de l’époque, pour que soit mis en lumière la vulnérabilité des services web face à ce type d’attaque. Depuis, les attaques DDoS se sont largement développées, devenant de plus en plus sophistiquées et dévastatrices​.