Qu'est-ce qu'une attaque par refus de service (DoS) ?
Comprendre l'histoire, l'évolution et la sévérité de l'attaque par déni de service
Partager
Denial of Service (DoS) est l'une des formes les plus anciennes et les plus persistantes de cyberattaque. Son objectif est simple : refuser la disponibilité d'un service légitime.
Formes d'attaque par refus de service
Les attaques de DoS se produisent principalement par les techniques suivantes :
- Inondation : une attaque coordonnée surcharge les serveurs responsables du support du service avec plus de trafic qu'ils ne peuvent gérer
- Exploiter une vulnérabilité : des messages spécifiques — appelés exploits — rendent le service indisponible en épuisant ses ressources informatiques. soit en provoquant une boucle infinie, en la ralentissant, en la plantant, en la gelant, soit en redémarrant l'application.
Ainsi, les attaquants exploitent des vulnérabilités ou surchargent des ressources telles que la bande passante du réseau, le processeur et la mémoire jusqu'à ce que la cible ne puisse plus servir ses clients.
L'une des formes les plus efficaces de cette attaque est sa forme distribuée — Déni de service distribué (DDoS) — dans laquelle un attaquant envahit et contrôle plusieurs machines, orchestre ensuite une attaque contre la victime. Généralement, les attaques utilisant la méthode de flooding ci-dessus sont DDoS.
Difficile à tracer et avec un impact agressif, Les attaques DoS et DDoS sont aussi anciennes que l'internet commercial et évoluent constamment vers des méthodes plus modernes et plus efficaces de déni de service, comme l'introduction récente de l'intelligence artificielle et de la technologie du nuage dans l'orchestration de ces attaques.
Comment une attaque DoS commence-t-elle ?
Comment les appareils sont recrutés, piratés et exploités
Vous avez peut-être entendu parler des botnets et des risques de VPN gratuits. Le téléchargement de programmes malveillants qui se cachent sous des services légitimes est l'une des façons les plus courantes de pirater les appareils, nous rappelant la maxime philosophique des forums Reddit : si le service est gratuit, vous êtes le produit.
L'idée de base derrière une attaque DDoS — i.e. la forme distribuée d'une attaque DoS, qui est actuellement sa forme la plus populaire — est, d'abord et avant tout, de recruter suffisamment de puissance informatique pour surcharger le service de la victime. Cela se fait en détournant les périphériques vulnérables et en installant des logiciels malveillants sur eux, ce qui permet à l'attaquant de contrôler à distance ce périphérique.
L'ensemble d'ordinateurs détournés, de serveurs et d'appareils IoT est appelé un botnet, et c'est l'armée informatique des cybercriminels. Deuxièmement, l'invasion de cette nation d'ordinateurs sert à anonymiser la source de l'attaque, ce qui signifie que les responsables des attaques de DDoS sont rarement tenus pour responsables de leurs crimes.
Par conséquent, avant de télécharger un VPN « gratuit » ou un service web, pensez au fait que votre machine peut être détournée vers un botnet criminel et cela, à votre insu, diverses activités illégales — en particulier les attaques DDoS — peuvent être liées à votre adresse IP.
Architecture d'attaque DoS
Ci-dessous est un exemple d'architecture distribuée dans lequel un attaquant compromet plusieurs machines par le biais de gestionnaires, en conservant leur identité anonyme et en incriminant les propriétaires des machines recrutées sur le botnet.
Figure 1.1 - Gestionnaires / architecture d'agents.
L'idée centrale derrière les gestionnaires, qui sont des serveurs intermédiaires entre l'attaquant et les machines infectées, est de rendre difficile la trace du hacker ou du groupe responsable de l'attaque. Ainsi, les machines d'agents — les soldats de première ligne — répondent directement aux serveurs de gestionnaire, effectuer une attaque DoS ou DDoS sur la victime, soit par exploits ou inondation. Les gestionnaires sont bien sûr contrôlés par l'attaquant.
Qu'est-ce que les agents et les gestionnaires ont en commun? Habituellement, les politiques de cybersécurité faibles, telles que:
- Mots de passe faibles ou par défaut
- Pare-feu mal configuré
- Systèmes obsolètes sans correctifs de sécurité.
En outre, l'ingénierie sociale, dans lequel les criminels falsifient systématiquement les communications internes de l'entreprise, entraînant l'installation de logiciels malveillants. manipuler les employés pour fournir un accès privilégié au système de l'entreprise, ou simplement échanger des liens malveillants par courriel, est l'un des moyens les plus efficaces pour envahir et contrôler les appareils.
Le Cloud, l'IA, et la révolution du marché du DoS
Risque dans les nuages
Personne ne veut se souvenir des années de la pandémie COVID-19 : blocages, crise économique, services de santé publique surpeuplés et décès... En effet, elles ont été des années angoissantes. Mais un effet durable — peut-être positif pour certains — a été l'accélération et la popularisation du bureau national.
Cependant, travailler à la maison signifie, dans presque tous les scénarios possibles, accéder à distance au système de votre entreprise. Cela implique à son tour la disponibilité des services dans les clouds.
En gros, nous pouvons résumer les nuages comme des machines très puissantes situées dans d'énormes centres de données à travers le monde qui hébergent et fournissent des services commerciaux. En d'autres termes, au lieu de fonctionner sur votre machine ou sur le serveur de votre entreprise, le service fonctionne sur les machines des fournisseurs de cloud tels que AWS, Microsoft Azure et Google Cloud.
Souvent, une entreprise embauche deux, trois, ou plus de fournisseurs de nuages pour héberger ses services. Cependant, chaque nuage a différents paramètres, permissions et logs. Cette fragmentation peut créer des incohérences de sécurité. Plus important encore, l'adoption massive de services cloud augmente la surface possible de l'attaque.
Ainsi, nous pouvons voir que les méthodes d’attaque DoS évoluent en fonction de la technologie de pointe à ce moment de l’histoire.
Ordinateurs personnels
Dans les années 1990 et 2000, la popularisation des PC domestiques a conduit à la création de vers auto-répliquants et d'autres logiciels malveillants tels que Phatbot, qui ont envahi les systèmes Windows et ont été utilisés dans les botnets.
L’Internet des choses
Dans les années 2010-2015, la révolution de l’Internet des objets (IoT) a considérablement multiplié le nombre de machines vulnérables, générant des cas emblématiques tels que Mirai.
Services Cloud
Après 2020, l'adoption en masse des services dans le cloud a apporté à la fois de nouvelles possibilités et de nouveaux risques. Maintenant, les attaques volumétriques peuvent être dirigées contre les services de nuage critiques, exploiter leur élasticité et transformer DDoS en une attaque économique : le nuage supporte le trafic, mais charge pour chaque requête.
Accélération IA des risques
En même temps, l'intelligence artificielle a fini par jouer un rôle central dans ces attaques. Précédemment dépendante de la coordination manuelle par des hackers ou des groupes, les attaques sont désormais automatisées par des algorithmes d'apprentissage automatique. Ces systèmes analysent les défenses en temps réel et ajustent l'attaque en secondes, la rendant plus résistante. En outre, la démocratisation par le biais de modèles tels que FraudGPT et WormGPT a mis des outils d'attaque entre les mains des débutants. Les enfants de script font maintenant de la programmation en binôme avec les grands modèles de langage (LLM), ce qui augmente leur capacité d'impact, même en raison de leur faible formation technique.
AI révolutionnant le marché
Par conséquent, la combinaison de cloud and AI a révolutionné le marché DDoS : le nuage a fourni une échelle et un impact économique, alors que AI a fourni adaptabilité et accessibilité.
Enfin et surtout, nous parlons d'un marché DDoS: tout comme nous pouvons louer des services de streaming mensuel et de stockage sur le cloud, les marchés criminels pour les attaques DDoS à la demande sont également disponibles sur les canaux Telegram.
En effet, Il n'a jamais été aussi facile d'attaquer votre concurrent lors du Black Friday ou même d'offrir à vos ennemis préférés des millions de requêtes HTTP par seconde.
Historique des attaques de DoS
Date | Description | Tech Stack | Responsible(s) |
|---|---|---|---|
2003-2004 | Emergence of the Phatbot [1] worm, which exploited vulnerabilities in Windows systems to control millions of machines, used for spam, credential theft, and massive DDoS attacks. | Exploiting vulnerabilities in Windows + self-replicating worms | No clear central authorship |
2016 | The Mirai [2] botnet, made up of millions of insecure IoT devices (cameras, routers, DVRs), was used in an attack against DynDNS, which resulted in the shutdown of global services such as Netflix & Amazon. | Exploitation of default passwords on IoT devices, creation of a massive botnet, and distributed volumetric attack | In 2017, Paras Jha, Josiah White, and Dalton Norman pleaded guilty to crimes related to the Mirai botnet. [45] By assisting the government in other investigations, they were sentenced to probation and community service without |
2016 | Exploitation of the TR-069 protocol, used by modems for remote management. Malicious files sent caused a mass reboot of millions of devices in Europe | Exploitation of the TR-069 (CWMP) protocol, sending malicious SOAP payloads [2]. | Daniel Kaye (“SpiderMan”), British hacker hired to attack a Liberian telecom company. He ended up shutting down the entire internet in Liberia. |
2018 | GitHub suffered one of the largest DDoS attacks in history at the time, with peaks of 1.3 Tbps, exploiting open memcached servers on the internet. | Memcached amplification [3] (reflection and amplification via UDP) | Not attributed to a specific group; likely operators of rented botnets (DDoS-for-hire) |
2022 | During the Russia–Ukraine war, Telegram channels coordinated DDoS attacks against government websites, banks, and private companies in both countries | Distributed botnets + coordination via Telegram bots | Killnet (pro-Russia) and the IT Army of Ukraine (pro-Ukraine) |
2022 | During the Russia–Ukraine war, Telegram channels coordinated DDoS attacks against government websites, banks, and private companies in both countries | Distributed botnets + coordination via Telegram bots | Killnet (pro-Russia) and the IT Army of Ukraine (pro-Ukraine) |
2023 | Discovery and exploitation of the HTTP/2 Rapid Reset Attack [4], in which multiple connections are opened and quickly canceled, overloading modern web servers | HTTP/2 protocol, exploitation of the pipelining mechanism and stream reset | The attack was claimed by the pro-Russia hacker activist group NoName05617 |
2025 | The social network X (formerly Twitter) was the target of a massive DDoS attack, which sought to draw political attention and cause media chaos | Botnets distributed across cloud servers + coordination on Telegram, using modern L3/L4/L7 flooding [5] techniques | Dark Storm Team, a pro-Palestinian hacker activist group. |
Remarque : Les allégations de responsabilité pour les attaques de groupes hackeractivistes ne suffisent pas à prouver leur autorité. Il est important de se rappeler qu’il existe un marché pour DDoS pour embauche et que différents groupes – avec ou sans motivations politiques – rivalisent pour attirer l’attention des médias. supporters, et argent.
Pourquoi le DoS est difficile à combattre
La lutte contre les attaques de DoS et DDoS est l'un des plus grands défis de la sécurité numérique contemporaine. Les raisons vont des limites techniques aux facteurs économiques et sociaux. Parmi les principales difficultés se trouvent :
Évolutivité de l'attaque
Les fournisseurs de services Cloud peuvent absorber des millions de connexions simultanées sans que leurs services ne soient interrompus. Cependant, chaque demande supplémentaire traitée génère des coûts — et ces coûts sont répercutés sur la société cible. Ainsi, une attaque volumétrique peut non seulement rendre les services indisponibles, mais aussi forcer des pertes économiques massives, transformer DDoS en une arme financière.
Suivi limité
Une technique classique utilisée dans les attaques est l'usurpation d'IP. Dans cette technique, l'attaquant falsifie l'adresse IP source dans les paquets envoyés, ce qui fait qu'ils semblent venir d'ailleurs. Combiné à l'utilisation de handlers (serveurs intermédiaires) et de réseaux distribués, cela rend difficile l'identification du véritable auteur de l'attaque. Le résultat est que, souvent, l'enquête finit par suivre uniquement les machines agentes — celles qui ont été détournées pour composer le botnet — et non pas l'attaquant orchestrant le DDoS.
Similitude entre trafic légitime et illégitime
Séparer les vrais utilisateurs des bots est l'un des aspects les plus complexes de la défense DDoS. Ceci est dû au fait que les attaques n'envoient pas de paquets « étranges » ou facilement identifiables, mais simulent des requêtes parfaitement valides, en utilisant les mêmes protocoles (HTTP/HTTPS, DNS), les ports et les formats de données que l'accès légitime. Souvent, les paquets ont des en-têtes corrects, des jetons valides et même suivent les schémas de navigation des utilisateurs humains typiques.
Dans les attaques de la couche 7, par exemple, une simple requête GET ou POST effectuée par un bot est identique à une requête faite par une personne. En outre, certains groupes appliquent des techniques d'apprentissage automatique qui analysent le trafic réel et génèrent des patrons qui le reproduisent — reproduisant les cadences d'accès, les heures de pointe, et même les interactions avec l'API. Par conséquent, par essence, le trafic criminel est souvent indissociable du trafic légitime, provenant de diverses sources. avec des pratiques similaires à celles des utilisateurs légitimes, avec seulement une distinction claire entre les deux — i. ., le nombre de requêtes par seconde.
Surface d'attaque étendue
Dans le scénario actuel, la dépendance vis-à-vis de plusieurs fournisseurs de nuages, la prolifération des dispositifs IoT sans correctifs de sécurité, et l'explosion d'API tierces créent encore plus de vulnérabilités. Le cas des API est critique : puisque la communication est entre machines et machines, il est particulièrement difficile de distinguer le trafic légitime du trafic malveillant du trafic malveillant. Un attaquant peut simuler des requêtes correctes, avec des variables et des jetons valides, et les utiliser toujours à l'échelle pour épuiser les ressources du système.
Compétition entre les hackers
Les auteurs des attaques DDoS sont rarement clairs. Les groupes peuvent revendiquer la responsabilité des attaques sans les avoir réellement menées, simplement pour gagner en notoriété. Étant donné que les attaques sont coordonnées de manière anonyme, souvent sur des canaux tels que Telegram, l’« autorité » ne équivaut pas à la « vérité ». De plus, comme les botnets incriminent les propriétaires des machines de l'agent, l'attribution correcte de l'attaque au hacker ou au groupe responsable devient encore plus incertaine.
Conclusion
Les attaques de DoS et DDoS ont évolué parallèlement à l'internet lui-même. Bien qu'ils aient commencé comme des offensives rudimentaires de surcharge de trafic, ils combinent aujourd'hui l'échelle mondiale, l'automatisation et l'intelligence artificielle, devenant de plus en plus sophistiqués et résilients.
La démocratisation de la cybercriminalité, qui est ouvertement commercialisée aujourd'hui sur les canaux Telegram, avec des plans DDoS-as-a-service, des paiements de crypto-monnaie, et même les LLM formés pour aider à [créer des logiciels malveillants] (/blog/stop-malware), comme FraudGPT et WormGPT, réduit la barrière à l'entrée pour les attaques DDoS.
Comme le montre le rapport de menace Radware sur [7], les attaques web DDoS ont augmenté de 550% entre 2023 et 2024, tandis que les attaques réseau DDoS ont augmenté de 120%. Nous vivons également une expansion de la surface d'attaque avec l'expansion du marché du nuage et les perspectives futures restent les mêmes que celles d'il y a 30 ans : à mesure que de nouvelles fonctionnalités émergent, de nouvelles vulnérabilités surgissent, qui seront exploitées, puis traitées, et réexploitées dans l'éternel jeu de chat et de souris qui conduit à la sécurité numérique.
En fin de compte, DDoS n’est pas seulement un problème technique — c’est un miroir d’Internet lui-même : ouvert, puissant, et fragile, nous rappelant que la résilience doit évoluer aussi vite que les menaces.
Références
-
Phatbot - Science Direct
-
[Qu'est-ce que le botnet Mirai ?] (https://www.malwarebytes.com/pt-br/what-was-the-mirai-botnet) - Malwarebytes
-
[Comment fonctionne TR-069 ] (https://made4it.com.br/en/how-works-tr-069/) - Made4it
-
[Top 7 des vulnérabilités SOAP] (https://brightsec.com/blog/top-7-soap-api-vulnerabilities) - Brightsec
-
attaques DDoS Memcached - Fusée nuageuse
-
Remise à zéro rapide des attaques DDoS - Feuille nuageuse
-
Qu'est-ce que la couche 3,4 et 7? - Prophaze
DDoS: FAQs
A DoS attack floods a server or network with excessive traffic to overwhelm its resources. The goal is to make a website, service, or app temporarily unavailable to real users by exhausting bandwidth or system capacity.
A DoS attack comes from one source, while a DDoS (distributed denial-of-service) uses hundreds or thousands of infected devices worldwide. DDoS attacks are harder to trace and defend against because they appear as legitimate traffic from many endpoints.
A VPN hides your real IP address, making it harder for attackers to target your device directly. Decentralized VPNs like NymVPN add stronger protection by routing data through mixnets, so attackers can’t even identify or trace your connection source.
Disconnect immediately, reboot your router, and contact your ISP or hosting provider. Switching networks or using a VPN can help mask your new IP. For organizations, deploying anti-DDoS tools and decentralized routing can mitigate future attacks.