Table des matières
Les attaques par déni de service distribué, plus connues sous le terme DDoS, visent à rendre indisponible un service en le saturant de requêtes. Elles prennent diverses formes selon leurs objectifs et les méthodes utilisées. Deux types sont particulièrement redoutés : les attaques volumétriques et les attaques ciblant la couche applicative. Bien qu’elles partagent un même but perturber un service , leurs mécanismes et impacts sont très différents.
Attaque DDoS volumétrique : saturation massive de la bande passante
L’attaque DDoS volumétrique repose sur une stratégie de surcharge de la bande passante ou des équipements réseau. Elle mobilise un très grand nombre de requêtes simultanées, souvent issues de multiples machines infectées (réunies en botnets), pour noyer le serveur sous un flot de données impossible à traiter en temps réel.
Ces attaques peuvent atteindre plusieurs terabits par seconde (Tbps). Par exemple, en février 2023, une attaque détectée par Cloudflare a dépassé les 71 millions de requêtes par seconde, un niveau jamais vu jusqu’alors.
Les techniques couramment utilisées incluent :
- L’amplification DNS, qui transforme une petite requête initiale en un volume décuplé de données.
- L’amplification NTP, basée sur des failles dans le protocole Network Time Protocol.
- L’envoi massif de paquets UDP ou ICMP non sollicités.
Leur objectif est de saturer les ressources réseau en amont même que les applications soient sollicitées, rendant la plateforme inaccessible pour les utilisateurs légitimes.
Attaque DDoS applicative : surcharge ciblée des ressources serveur
Contrairement aux attaques massives de type volumétrique, les attaques au niveau applicatif sont bien plus sournoises. Elles simulent un comportement utilisateur réel, mais de façon malveillante et continue, pour provoquer l’épuisement des ressources logicielles ou matérielles du serveur.
Elles visent généralement la couche 7 du modèle OSI, soit celle où s’exécutent les interactions utilisateur (HTTP, HTTPS, API REST, etc.). Ce type d’agression est plus difficile à détecter car elle ressemble à un trafic normal, ce qui brouille les systèmes de sécurité traditionnels.
Un exemple typique : envoyer une multitude de requêtes complexes sur une page d’un site e-commerce, comme le moteur de recherche interne, forçant le serveur à interroger constamment sa base de données jusqu’à l’asphyxie.
Ce type d’attaque nécessite moins de bande passante que les attaques volumétriques, mais elle est tout aussi destructrice. Une seule machine bien configurée peut suffire à faire tomber un service mal protégé.
Objectifs et modes d’exécution très différents
Les attaques volumétriques cherchent à saturer l’infrastructure réseau en l’inondant de trafic, sans forcément interagir avec les couches logicielles de l’application.
Les attaques applicatives, en revanche, ciblent directement les services métiers, les scripts dynamiques, ou les API. Elles visent à mobiliser des ressources intensives comme la mémoire vive ou la base de données, en simulant des interactions usuelles.
En résumé :
- Volumétrique : repose sur le volume pur de données.
- Applicative : repose sur la complexité et la répétition d’actions utilisateur.
Exemples de cas et chiffres révélateurs
Selon une étude de Kaspersky, les attaques applicatives représentent environ 25 % des attaques DDoS observées, mais elles sont en moyenne 2 à 3 fois plus longues que les attaques volumétriques. Leur durée moyenne dépasse 30 minutes, et dans certains cas, elles s’étendent sur plusieurs heures, voire jours.
De leur côté, les attaques volumétriques sont les plus fréquentes, représentant plus de 70 % des tentatives, car elles sont plus faciles à exécuter avec des outils automatisés. Elles peuvent être lancées par des groupes organisés ou des individus disposant de ressources limitées mais bien orchestrées.
Défense contre les deux formes d’agression
Se protéger contre une attaque DDoS implique de mettre en œuvre des stratégies adaptées à chaque type d’agression :
- Contre les attaques volumétriques, il est essentiel de disposer de capacités de filtrage en amont, souvent via des prestataires spécialisés qui redirigent le trafic avant qu’il n’atteigne les serveurs cibles.
- Contre les attaques ciblant la couche applicative, des systèmes d’analyse comportementale sont nécessaires. Ceux-ci permettent d’identifier les requêtes anormales, même si elles ne dépassent pas les seuils de volume classiques.
Combiner ces approches permet d’atteindre un niveau de résilience élevé face aux attaques multiformes.