"Un tiers d'Internet est attaqué. Des millions d'adresses réseau ont été soumises à des attaques par déni de service distribué (DDoS) sur une période de deux ans, " rapporte Warren Froelich sur le site Web de l'UC San Diego News Center. Un DDoS est un type d'attaque par déni de service (DoS) dans laquelle l'attaquant effectue une attaque en utilisant de nombreuses sources réparties sur le réseau.

Mais le journaliste est-il justifié dans sa réaction alarmiste ? Oui et non. Si un tiers d'Internet était attaqué, alors un smartphone sur trois ne fonctionnerait pas, et un ordinateur sur trois serait hors ligne. Quand nous regardons autour de nous, on voit bien que ce n'est évidemment pas le cas, et si nous comptons maintenant autant sur nos téléphones et Wikipédia, c'est parce que nous en sommes venus à considérer Internet comme un réseau qui fonctionne bien.

Toujours, le phénomène DDoS est réel. Les attentats récents en témoignent, comme l'attaque du botnet Mirai contre l'hébergeur français OVH et l'hébergeur américain DynDNS. Les sites Web détenus par les clients de ces serveurs étaient indisponibles pendant plusieurs heures.

Ce que l'étude source a vraiment examiné, c'est l'apparition d'adresses IP dans les traces d'attaques DDoS. Sur une période de deux ans, les auteurs ont trouvé les adresses de deux millions de victimes différentes, sur les 6 millions de serveurs répertoriés sur le Web.

Embouteillages sur l'autoroute de l'information

Unités de données, appelés paquets, circuler sur le réseau Internet. Lorsque tous ces paquets veulent aller au même endroit ou emprunter le même chemin, un encombrement se produit, tout comme les embouteillages qui surviennent à la fin d'une journée de travail.

Il convient de noter que dans la plupart des cas, il est très difficile, presque impossible, faire la différence entre le trafic normal et le trafic d'attaque par déni de service. Le trafic généré par les phénomènes "flash crowd" et "slashdot effect" est identique au trafic observé lors de ce type d'attaque.

Cependant, cette analogie ne va pas loin, les paquets étant souvent organisés en flux, et la congestion sur le réseau peut conduire à la destruction de ces paquets, ou la création de nouveaux paquets, entraînant encore plus de congestion. Il est donc beaucoup plus difficile de remédier à une attaque par déni de service sur le web qu'à un embouteillage.

Ce type d'attaque sature le lien réseau qui relie le serveur à Internet. L'attaquant le fait en envoyant un grand nombre de paquets au serveur ciblé. Ces paquets peuvent être envoyés directement si l'attaquant contrôle un grand nombre de machines, un botnet.

Les attaquants utilisent également les mécanismes d'amplification intégrés dans certains protocoles réseaux, tels que le système de nommage (DNS) et la synchronisation d'horloge (NTP). Ces protocoles sont asymétriques. Les demandes sont petites, mais les réponses peuvent être énormes.

Dans ce type d'attaque, un attaquant contacte les amplificateurs DNS ou NTP en se faisant passer pour un serveur qui a été attaqué. Il reçoit alors beaucoup de réponses non sollicitées. Par conséquent, même avec une connectivité limitée, l'attaquant peut créer un niveau de trafic important et saturer le réseau.

Il existe également des « services » qui offrent la possibilité d'acheter des attaques par déni de service avec des niveaux d'intensité et de durée variables, comme le montre une enquête menée par Brian Krebs après l'attaque de son propre site.

Quelles sont les conséquences?

Pour les internautes, la conséquence principale est que le site Web qu'ils souhaitent visiter est indisponible.

Pour la victime de l'attentat, la principale conséquence est une perte de revenu, qui peut prendre plusieurs formes. Pour un site marchand, par exemple, cette perte est due à un manque de commandes durant cette période. Pour les autres sites, cela peut résulter de la perte de revenus publicitaires. Ce type d'attaque permet à un attaquant d'utiliser des publicités à la place d'une autre partie, permettant à l'attaquant de puiser dans les revenus générés en les affichant.

Il y en a eu quelques uns, rares attaques institutionnelles. L'exemple le plus documenté est l'attentat contre l'Estonie en 2007, qui a été attribué au gouvernement russe, bien que cela ait été impossible à prouver.

Le gain financier direct pour l'attaquant est rare, cependant, et est lié aux demandes de rançon en échange de la fin de l'attaque.

Est ce sérieux?

L'impact d'une attaque sur un service dépend de sa popularité. Les utilisateurs subissent donc une attaque de bas niveau comme une nuisance s'ils ont besoin d'utiliser le service en question.

Seules certaines occurrences à grande échelle, le plus récent étant le botnet Mirai, ont des impacts qui sont perçus par un public beaucoup plus large.

De nombreux serveurs et services sont situés dans des environnements privés, et ne sont donc pas accessibles de l'extérieur. Serveurs d'entreprise, par exemple, sont rarement touchés par ce genre d'attaque. Le facteur clé de vulnérabilité réside donc dans l'externalisation des services informatiques, ce qui peut créer une dépendance vis-à-vis du réseau.

Finalement, une attaque avec un impact très élevé serait, d'abord, être détecté immédiatement (et donc souvent bloqué en quelques heures), et serait finalement limité par ses propres activités (puisque la communication de l'attaquant serait également bloquée), comme le montre l'ancien exemple du ver SQL Slammer.

Finalement, l'étude montre que les phénomènes d'attaques par déni de service par saturation sont récurrents depuis deux ans. Cette nouvelle est suffisamment significative pour démontrer qu'il faut s'attaquer à ce phénomène. Pourtant, ce n'est pas une nouveauté.

D'autres phénomènes, comme la manipulation de routage, avoir les mêmes conséquences pour les utilisateurs, comme lorsque Pakistan Telecom a détourné des adresses YouTube.

Bonne hygiène informatique

Malheureusement, il n'existe aucune forme de protection infaillible contre ces attaques. À la fin, cela se résume à une question de coût de service et de quantité de ressources mises à la disposition des utilisateurs légitimes.

Les « gros » fournisseurs de services ont tellement de ressources qu'il est difficile pour un attaquant de les prendre au dépourvu.

Toujours, ce n'est pas la fin d'Internet, loin de là. Cependant, ce phénomène doit être limité. Pour les utilisateurs, de bonnes pratiques d'hygiène informatique doivent être suivies pour limiter les risques de compromission de leur ordinateur, et donc utilisé pour participer à ce type d'attaque.

Il est également important d'examiner quel type de protection les fournisseurs de services externalisés ont mis en place, pour s'assurer qu'ils ont une capacité et des moyens de protection suffisants.

Cet article a été initialement publié sur The Conversation. Lire l'article original.