Arnaques aux petites annonces

Attaques par déni de service

Une attaque par déni de service (abr. DoS attack pour Denial of Service attack en anglais) est une attaque informatique ayant pour but de rendre indisponible un service, d’empêcher les utilisateurs légitimes d’un service de l’utiliser.

À l’heure actuelle la grande majorité de ces attaques se font à partir de plusieurs sources, on parle alors d’attaque par déni de service distribuée (abr. DDoS attack pour Distributed Denial of Service attack). Il peut s’agir de :

  • la perturbation des connexions entre deux machines, empêchant l’accès à un service particulier ;
  • l’obstruction d’accès à un service pour une personne en particulier ;
  • également le fait d’envoyer des milliards d’octets à une box internet.

Schéma de principe

Schéma de principe d’une Attaque DDOS par Cookie connecté

Différents types d’attaques DDOS (Source ANSSI)

Les botnets
Les attaques DDoS peuvent être lancées à partir de réseaux de machines compromises appelés botnets.
De nombreux outils accessibles en ligne permettent d’exploiter des botnets. Au cours des dernières années, des services de DDoS en ligne, couramment appelés booter ou stresser, ont fait leur apparition [10]. Ces services proposent des tarifs autorisant leur usage par des particuliers, et permettent à un utilisateur de lancer des attaques contre la cible de son choix. Par ailleurs, certains booter proposent de tester le service gratuitement pendant quelques minutes. La diversité des outils et services permettant de lancer des attaques par déni de service distribué contribue à l’augmentation du nombre de ces attaques.

Les attaques basées sur la réflexion
Certaines attaques utilisent des machines accessibles sur Internet et répondant à des requêtes émanant d’une source quelconque : il s’agit de réflecteurs. Une attaque par réflexion consiste à envoyer des paquets à ces réflecteurs en utilisant l’adresse IP de la victime comme adresse IP source : on parle alors d’usurpation d’adresse IP. Les réponses de ces réflecteurs à la victime induisent la génération d’un trafic non sollicité à destination de cette dernière. Ce trafic peut être suffisamment important pour saturer les liens réseau de la victime, entraînant un déni de service. La figure 1.1 illustre le principe des attaques par réflexion. L’attaquant interroge des serveurs en usurpant l’adresse IP de sa victime (203.0.113.2). Par conséquent, les serveurs envoient les réponses aux requêtes générées par l’attaquant vers la victime. Le déni de service est effectif si le volume de trafic induit par ces réponses excède la bande passante réseau dont la victime dispose.
Les attaques par réflexion impliquent souvent des protocoles reposant sur le protocole de transport UDP. En effet, le protocole UDP laisse à la couche applicative la tâche d’identification de la source, ce qui permet l’usurpation d’adresse IP. Par ailleurs, UDP ne nécessite pas l’établissement d’une session (contrairement au protocole TCP) préalablement à l’envoi de données. Cette particularité permet à un attaquant d’envoyer une requête à un service utilisant UDP au moyen d’un seul paquet, et de générer une réponse de la part du réflecteur.
Les attaques par réflexion ne sont pas uniquement limitées au protocole de transport UDP. Par exemple, il est possible d’envoyer des paquets TCP SYN en usurpant l’adresse IP d’une victime pour générer des paquets SYN-ACK en réponse vers la cible.

Enfin, il convient de noter que des attaques par réflexion peuvent être initiées à partir de botnets.

Les attaques basées sur lʼamplification
Une attaque volumétrique a pour objectif d’épuiser la bande passante réseau disponible afin de rendre un ou plusieurs services inaccessibles. Ce type d’attaque est souvent mené en exploitant les propriétés de certains protocoles afin de maximiser le volume de trafic généré. Par ailleurs, des attaques volumétriques visent à générer un très grand nombre de paquets par seconde afin de saturer les ressources de traitement d’une cible.
Certains protocoles génèrent des réponses d’une taille très supérieure à celle de la requête. Le nombre de paquets induit par la réponse peut également être plus important que le nombre de paquets nécessaire à l’envoi de la requête. L’amplification générée par ces protocoles peut être exploitée pour mener des attaques volumétriques.
La plupart du temps, les attaques volumétriques tirent parti de la réflexion et de l’amplification. Il existe un certain nombre de protocoles pouvant être exploités pour mener
ce type d’attaques. Parmi ceux-ci, on peut notamment citer DNS (Domain Name System [11]), NTP (Network Time Protocol [12]), SNMP (Simple Network Management Protocol [13]), SSDP (Simple Service Discovery Protocol) [14], ou encore CHARGEN (Character Generator protocol [15]).

REMARQUE
Il est important de remarquer qu’une entité peut être victime d’une attaque volumétrique exploitant un protocole bien qu’elle ne dispose pas de service actif exposé sur Internet reposant sur ce même protocole.

Attaques par amplification DNS
Le protocole DNS est un système de nommage permettant notamment d’associer un nom facile à retenir à une adresse IP. Une description du principe de fonctionnement de DNS est donnée dans le chapitre 2 du guide de l’ANSSI relatif à l’acquisition et à l’exploitation de noms de domaine.

Pour mener des attaques par amplification DNS, l’attaquant peut interroger :

  • des serveurs faisant autorité pour des zones comportant des enregistrements de grande taille ;
  • des serveurs récursifs répondant à des questions provenant d’Internet.

Il est possible de limiter la participation à des attaques DDoS par amplification DNS en employant des mécanismes de rate-limiting.

Attaques par amplification NTP
Certaines implémentations de NTP, un protocole permettant la synchronisation temporelle de machines sur un réseau IP, peuvent également être exploitées afin de mener des attaques par amplification.
L’amplification peut provenir de l’envoi d’un message de contrôle (par exemple, readvar) permettant de récupérer des informations sur l’état d’un serveur et éventuellement, de modifier cet état. L’amplification résultant de ce type de requête varie en fonction du système et de l’implémentation. Des observations permettent de constater un facteur d’amplification significatif en termes de bande passante d’environ 30. Ainsi, un attaquant peut générer un trafic à destination d’une cible dont le volume est 30 fois plus important que celui nécessaire à l’interrogation des serveurs vulnérables.
Par ailleurs, une requête implémentée dans ntpd [17] et destinée à des fins de supervision, permet de récupérer la liste des adresses IP ayant interrogé le serveur. Cette liste comporte en outre diverses informations relatives aux requêtes, comme les dates d’interrogation ou encore le nombre de paquets reçus. Les implémentations disposant de cette fonctionnalité conservent en mémoire les données des 600 dernières requêtes que le serveur a reçues. En exploitant cette fonctionnalité, des tests permettent de constater qu’il est possible d’obtenir un facteur d’amplification en termes de bande passante d’environ 1290, et un facteur d’amplification en termes de nombre de paquets de 99.

Les attaques ciblant des applications
Certaines attaques visent à épuiser les capacités de traitement d’une cible. Par exemple, un attaquant peut chercher à atteindre la limite du nombre de connexions concurrentes qu’un serveur web peut traiter. Dans ce cas, l’attaquant envoie en permanence un grand nombre de requêtes HTTP GET ou POST au serveur ciblé. Il est également possible d’envoyer des requêtes partielles, puis de transmettre la suite de ces requêtes à intervalles réguliers, dans le but de maintenir les connexions ouvertes le plus longtemps possible et d’éviter la fermeture des connexions au-delà d’un délai fixé.
D’autres types d’attaques applicatives cherchent à épuiser les ressources de calcul d’un serveur en initiant un grand nombre de sessions TLS, ou encore à tirer parti de faiblesses
dans la conception d’une application web.

Épuisement des tables dʼétat
Les équipements co mme les pare-feux, les répartiteurs de charge ou encore les systèmes de détection d’intrusion recourent, la plupart de temps, au suivi de connexion. Dansle cas des pare-feux, le suivi de connexion permet, par exemple, de rejeter les paquets n’appartenant pas à une connexion existante initiée depuis un hôte autorisé.
Le suivi de connexion nécessite le maintien d’une table d’état des connexions existantes. Pour chaque paquet entrant, ces équipements effectuent une recherche dans leur table d’état pour déterminer si le paquet correspond à une connexion existante. Dans le cas contraire, une nouvelle connexion est alors ajoutée en mémoire.
Ce mode de fonctionnement est parfois nécessaire, mais rend les équipements vulnérables à des attaques visant à saturer la table d’état.

Attaques utilisant la fragmentation IP
Un paquet IP peut traverser des réseaux hétérogènes où la taille maximale des paquets varie. En particulier, lorsqu’un paquet arrive sur un réseau dont la MTU1 est plus basse, il est nécessaire de fragmenter ce paquet afin qu’il puisse atteindre sa destination. Le paquet initial est alors découpé en plusieurs paquets dont la taille n’excède pas celle de la MTU. Les paquets ainsi générés sont réassemblés une fois arrivés à leur destination.
Certaines attaques exploitent le mécanisme de fragmentation afin d’induire une charge supplémentaire sur les équipements ciblés, ceux-ci devant effectuer le réassemblage des paquets.

Démonstrations

Une vidéo explicative très pédagogique

Que dit la loi ?

L’incrimination principale qui peut être retenue dans le cas d’une attaque par déni de service est celle d’ « Entrave à un système de traitement automatisé de données (STAD).

Les articles 323-1 à 323-7 du code pénaldisposent que :

Article 323-2 du code pénal
pour « le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données ». Cet article pourra être appliqué dans l’hypothèse d’une attaque par « déni de service ».
Il est passible d’une peine de cinq ans d’emprisonnement et de 150000 euros d’amende.
Lorsque cette infraction a été commise à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’État, la peine est portée à sept ans d’emprisonnement et à 300000 euros d’amende ».

Article 323-1 du code pénal
pour « le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données » est passible de deux ans d’emprisonnement et de 60000 euros d’amende.
« Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système », les auteurs sont passibles de trois ans d’emprisonnement et de 100000 euros d’amende. « Lorsque les infractions […] ont été commises à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’État, la peine est portée à cinq ans d’emprisonnement et à 150000 euros d’amende »..

Les tentatives de ces infractions sont passibles des mêmes peines.

Si l’attaque fait suite à un « chantage »: les faits peuvent être qualifiés juridiquement de tentative d’extorsion, punie et réprimée par l’article 312-1 du code pénal: « L’extorsion est le fait d’obtenir par violence, menace de violences ou contrainte soit une signature, un engagement ou une renonciation, soit la révélation d’un secret, soit la remise de fonds, de valeurs ou d’un bien quelconque ». L’extorsion est passible de sept ans d’emprisonnement et de 100000 euros d’amende.

Comment s’en protéger ?

Deux voies peuvent être exploitées :

1. La voie de la protection

  • Filtrage en bordure du réseau de lʼentité
    • Équipements de type pare-feu ;
    • Recours à des équipements spécifiques.
  • Protection externalisée :
    • Protection offerte par les hébergeurs ;
    • Filtrage par lʼopérateur de transit ;
    • Recours à un Content Delivery Network (CDN) ;
    • Services de protection dédiés.

2. La voie de la répression

  • Récupérez les fichiers de journalisation (logs) de votre pare-feu et des serveurs touchés qui seront des éléments d’investigation ;
  • Avant de la remettre en fonction, réalisez une copie complète de la machine attaquée et de sa mémoire ;
  • Évaluez les dégâts causés et les éventuelles informations perdues ;
  • Assurez-vous que l’attaquant n’a pas profité du déni de service pour accéder à des informations sensibles, y compris sur d’autres systèmes.

En cas de doute, CHANGEZ TOUS LES MOTS DE PASSE D’ACCÈS aux serveurs suspectés touchés et envisagez leur réinstallation complète à partir de sauvegardes réputées saines.
Déposez plainte au commissariat de police ou à la brigade de gendarmerie dont vous dépendez et tenez à disposition des enquêteurs tous les éléments de preuves techniques en votre possession.

QUELQUES OUVRAGES

undefinedundefinedLes nouvelles menaces : usurpation d'identité, cyberdélinquance ...

Sources
Denis JACOPINI
Wikipédia
Cookie connecté
Cybermalveillance.gouv.fr

La plateforme gouvernementale cybermalveillance.gouv.fr peut accompagner les personnes victimes de malveillance sur Internet. En fonction de la situation, elle propose les contacts d’organismes et de spécialistes proches de chez vous susceptibles de vous aider. Elle met en ligne des fiches pratiques dispensant de nombreux conseils pour éviter d’être victime de ce type de pratique.

Vous souhaitez compléter ces informations ?
Vous souhaitez commenter cet article ?
Laissez-nous un commentaire. Nous nous ferons un plaisir de le lire et pourquoi pas, de le diffuser 😉



Vous souhaitez signaler ? | Comment retrouver des escrocs ? | Comment vous faire dédommager ?

Notre métier en RGPD et en CYBER : Auditer, Expertiser, Accompagner, Former et Informer
EXPERTISES VOTES ELECTRONIQUES : Expertise de systèmes de vote électronique et d'élections par InternetMISE EN CONFORMITÉ RGPD & CYBER : Accompagnement de votre établissement à la démarche de mise en conformité avec le RGPD et en CYBERSÉCURITÉSPYDETECTION : Détection de logiciels espions dans les smartphones et les équipements numériquesFORMATIONS & SEMINAIRES RGPD & CYBERARNAQUES & PIRATAGES : Restez informé sur les techniques utilisées par les pirates informatiques

ARNAQUES & PIRATAGES un service offert par LE NET EXPERT
Expertises NumériquesRecherche de logiciels EspionsFormations
Mise en conformité RGPD Expertises d’Élections par Internet

Les informations figurant dans ce site Internet sont données à titre d’exemple et ne représentent en rien un contenu exhaustif et une incitation à l’utilisation des techniques abordées. Il n’a pour seul but de sensibilier de manière préventive les lecteurs.

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.