Si vous êtes actif en ligne ces dernières années, vous avez sans doute entendu parler de services contraints à la déconnexion lors d'une attaque DDoS. Sans avertissement, votre site web ou jeu vidéo préféré disparaît, victime d'un "DDoSing".
Le terme DDoS est désormais courant sur Internet. Si vous ignorez encore ce qu'est une attaque DDoS et comment elle peut paralyser un jeu vidéo ou un site, découvrez les explications détaillées ci-dessous.
DDoS signifie Distributed Denial of Service (déni de service distribué). Il s'agit d'une cyberattaque qui submerge un service de requêtes excessives, le forçant à se déconnecter.
Lorsqu'un site web ou un jeu vidéo est "supprimé" par des pirates, il s'agit souvent d'une attaque DDoS. Les assaillants ciblent un serveur spécifique et l'inondent de demandes de données. Ce flot massif surcharge l'infrastructure, entraînant une indisponibilité totale.
On parle parfois simplement de "DDoSing".
Les attaques DDoS n'impliquent pas forcément de gros fichiers à télécharger. Au contraire, des milliers de machines envoient simultanément de petites requêtes. Bien que modestes individuellement, leur volume cumulé est dévastateur.
Qui contrôle ces milliers d'appareils ? La plupart des attaques proviennent de botnets, réseaux d'ordinateurs compromis sous le contrôle d'un attaquant. Ce dernier redirige leur puissance vers la cible, bloquant tout accès légitime.
Ce trafic massif empêche les utilisateurs réguliers d'accéder au service, d'où le "déni de service". Sa distribution sur de multiples sources le rend particulièrement efficace.
À tout moment, des attaques DDoS sévissent dans le monde. Les plus médiatisées touchent les grands services ; consultez la carte des attaques numériques pour une vue en temps réel.
Comme pour toute cybermenace, plusieurs variantes existent. DDoS est un terme générique couvrant divers types d'attaques.
Ces attaques visent les requêtes web (HTTP), en envoyant un volume massif de demandes simultanées. Par exemple, des milliers de téléchargements répétés ralentissent le serveur.
Difficiles à détecter car similaires au trafic légitime, elles perturbent surtout le trafic HTTP. Le HTTP Flood est courant : imaginez des milliers de navigateurs actualisant une page en même temps.
Ces attaques ciblent l'infrastructure réseau, comme pare-feu ou équilibreurs de charge. Exemple : le SYN Flood.
Une connexion TCP suit trois étapes : SYN (demande), SYN-ACK (réponse), ACK (confirmation). Le SYN Flood envoie des paquets SYN falsifiés depuis des IP spoofées. Le serveur attend une réponse inexistante, saturant ses ressources.
Elles inondent la bande passante par un volume massif de trafic, souvent amplifié. L'amplification DNS est typique : l'attaquant spoofe l'IP de la victime dans des requêtes DNS, multipliant les réponses vers la cible.
Les motifs varient : perturbation, activisme ou diversion.
Autres motifs existent, mais ces quatre sont courants.
Oui. Aux États-Unis (Computer Fraud and Abuse Act), au Royaume-Uni (Computer Misuse Act) et au Canada (jusqu'à 10 ans de prison), elle est réprimée. La plupart des pays la considèrent comme un délit cyber.
Outre SaaS ou IaaS, existe le DDoSaaS sur le dark web. Pas besoin de botnet : payez un "stresseur" pour attaquer une cible.
Ces services, vendus comme tests de résilience, sont souvent abusés faute de contrôles.
Selon le rapport Neustar 2020, les attaques >100 Gbit/s ont bondi de 250 % en 12 mois.
Exemples marquants :
De nombreuses autres attaques ont suivi, avec une puissance croissante.
Tant qu'elles réussissent, elles resteront attractives pour les cybercriminels.
[]