Les attaques par déni de service (DoS) ne sont rien de nouveau – selon Britannica, le premier cas documenté remonte au début des années 2000. Bien qu’il s’agisse de la première fois, Amazon et eBay ont été mis à genoux, ce qui a causé des dommages estimés à 1,7 milliard de dollars.

Aujourd’hui, les attaques DoS sont devenues beaucoup plus sophistiquées, leur potentiel de dommages a été multiplié plusieurs fois, car plusieurs réseaux peuvent être utilisés pour créer des attaques distribuées appelées attaques DDoS. Heureusement, la protection dont nous disposons contre ces tentatives d’écroulement de nos sites est également devenue beaucoup plus puissante, mais les hôtes peuvent-ils vraiment faire face ? La réponse n’est pas si simple.

Qu’est-ce qu’une attaque DDoS ?

Pour nous assurer que nous sommes sur la même longueur d’onde, passons en revue ce qu’est le déni de service, les bases sont assez simples – même s’il y a pas mal de sous-types. Le but simple de ces attaques est de submerger de trafic votre serveur.

C’est vraiment tout ce qu’il y a à faire. Si vous aviez 10 000 amis sur Facebook et que vous leur demandiez à tous de visiter un site autant de fois qu’ils le pouvaient à un moment précis, vous seriez responsable d’une tentative rudimentaire de déni de service. Tout ce qui change entre les différents types de DoS est la technologie utilisée et les parties de l’infrastructure réseau ciblées.

Si un routeur réseau a un port 10Gbps (autorisant 10Gbps par seconde) et qu’une attaque envoie 11Gbps de trafic sur votre chemin, votre site web s’arrête et abandonne.

Il y a un côté positif et un côté négatif à cette méthode. L’avantage, c’est qu’il n’y a pas de menace réelle pour la sécurité. Personne n’essaie de voler vos mots de passe, vos données clients ou de pirater votre base de données. Un DDoS dure en général quelques jours au maximum, après quoi tout revient à la normale.

Malheureusement, c’est aussi le revers de la médaille. Puisque rien n’est activement piraté, tous les composants du serveur sont utilisés dans le but visé (pousser les données en avant et en arrière), il est extrêmement difficile de contourner les attaques.

Protection contre les attaques DDoS

En fait, la seule façon de les contourner est de s’engager dans une course aux armements. Si un réseau peut jeter plus de ressources derrière un site web que l’attaquant, le site web reste en place – sinon, il tombe en panne.

Il n’y a aucune chance que vous réussissiez si vous avez un petit serveur quelque part à la maison. Même avec la technologie la plus rapide disponible, le nombre d’attaques de données pouvant être lancées à l’aide de l‘amplification DNS, l’usurpation d’IP et un réseau de ressources distribuées sera beaucoup plus nombreux que ce que vous avez.

Le plus gros problème, c’est que même les hébergeurs ont des problèmes dans le domaine des ressources. La seule façon de protéger un site spécifique (ou plutôt une IP) est de mettre une couche supplémentaire entre l’attaquant et votre site. Le seul moyen pour que la couche soit efficace est qu’elle soit elle-même distribuée sur un grand réseau.

L’idée est que la couche distribue l’attaque sur votre site sur l’ensemble du réseau. C’est un peu comme la sécurité sociale en théorie. Donner des soins de santé à tout le monde coûte cher. Cependant, tout le monde n’en a pas besoin tout le temps. Tant que tout le monde paie une petite somme, ceux qui ont réellement besoin d’un traitement devraient pouvoir l’obtenir gratuitement.

C’est une analogie assez précise. Si une famille entière est blessée dans un accident de voiture, elle peut avoir besoin de 300 000$ en soins médicaux. Cependant, la base de la sécurité sociale est si importante (des millions de personnes) que cela peut être réparti. Si tous les bénéficiaires devaient payer ce coût, ce serait environ 0,006$ par personne, ce que je serais heureux de payer pour sauver toute une famille.

Par contre, si les bénéficiaires n’étaient que 100 personnes, chaque personne devrait payer 3 000$, ce qui est un montant énorme, surtout si l’on considère que ce n’est pas vous qui recevez le traitement. C’est pourquoi les petites entreprises ne peuvent pas gérer seules les attaques DDoS.

Les hébergeurs mentent-ils ?

Oui et non. Ils déforment la vérité, ou du moins n’expliquent pas l’ensemble du tableau et le fonctionnement de ces mécanismes. Par exemple, il y a une attaque DoS surnommée SMURF. Les attaques de Smurf peuvent être puissantes, mais l’un des composants est l’usurpation d’adresse IP de l’attaque pour qu’elle corresponde à celle des victimes.

C’est assez facile de se protéger contre cela puisque vous pouvez désactiver le relais des requêtes envoyées à l’adresse de diffusion d’un réseau. Puisqu’il s’agit d’une mesure de protection DDoS contre laquelle vous pouvez prétendre vous protéger, vous pouvez simplement dire que la protection n’est pas garantie en cas d’attaques importantes.

Comme je l’ai déjà dit, la seule façon d’avoir une chance, c’est d’utiliser un énorme réseau qui peut entraîner des coûts supplémentaires. Cloudflare est un exemple d’une entreprise qui possède un méga-réseau et offre une protection DDoS avancée sur son plan à 200$/mois. Une autre alternative populaire parmi les utilisateurs de WordPress serait Sucuri qui offre une protection DDoS à partir de 20$/mois.

Dans ce contexte, il est extrêmement improbable que votre service partagé à 5$/mois ou même votre VPS à 99$/mois offre une protection DDoS étendue qui contrecarrerait les attaques de la couche 7 ou d’amplification DNS qui sont parmi les plus efficaces.

La raison pour laquelle vous pouvez être sûr qu’une bonne protection vous coûtera cher est qu’en ce moment vous ne pouvez pas repousser de nombreux types d’attaques DDoS avec un logiciel. Il ne s’agit pas d’être plus malin que les attaquants et d’écrire un code de pare-feu génial qui peut arrêter le trafic DDoS. Il s’agit plutôt de laisser entrer le bon trafic.

Cela dit, les hébergeurs peuvent faire beaucoup pour se protéger contre les types de DDoS qui peuvent être stoppés par des logiciels, ils peuvent travailler avec des sociétés de sécurité, aider les réseaux distribués avec des données et plus encore.

Tout comme vous ne vous promenez pas avec une carte de crédit dont le code PIN est 1234, même s’il est rare que votre carte soit volée, les sociétés d’hébergement peuvent être (et sont généralement) vigilantes en matière de sécurité de base. Le fait est que la protection contre les attaques importantes et coordonnées est tout simplement hors de portée de leur réseau.

Que devriez-vous faire ?

Ce que vous devriez faire dépend de combien vous comptez sur votre site web pour faire de l’argent. Les attaques DDoS ne sont pas dangereuses du point de vue de la sécurité, le pire scénario est que votre site web soit hors ligne pendant quelques jours.

Si c’est un mal de tête et un inconvénient mais pas la fin du monde, je pense qu’il est correct de fermer les yeux. Au cas où vous ne l’auriez pas déjà fait, je vous recommande d’opter pour l’hébergement géré. Il n’y a aucun moyen de vous protéger avec un compte d’hébergement mutualisé et de nombreuses entreprises de haute qualité offrent des solutions VPS bon marché. Et essayer d’économiser 20$/mois est une mauvaise idée et peut rapidement se transformer en cauchemar.

Un hébergeur comme Kinsta ne sera pas en mesure de protéger directement votre ordinateur contre toutes les attaques DDoS, mais il se défendra mieux qu’un hébergeur de mauvaise qualité. La plateforme d’hébergement sécurisé comprend également les fonctionnalités suivantes :

  • Surveillez le temps de disponibilité, en vérifiant l’état de tous les sites web toutes les 2 minutes. Cela se traduit par 720 contrôles par jour pour chaque site.
  • Disposez de restrictions strictes basées sur des logiciels et empêche de manière proactive l’entrée de codes malveillants sur le réseau.
  • Détectez les attaques DDoS dès qu’elles se produisent.
  • Bannissez automatiquement les adresses IP qui ont plus de 6 tentatives de connexion échouées en une minute.
  • Ne supportez que les connexions SFTP et SSH cryptées (pas de FTP).
  • Supportez le blocage GeoIP pour restreindre l’accès à partir de différents emplacements géographiques.

De plus, tous les hébergeurs de haute qualité font des recherches actives sur ce sujet – être à l’avant-garde de la protection DDoS vous assurera d’obtenir la meilleure protection possible pour votre argent.

Un hébergeur de mauvaise qualité vous « protégera » probablement en fermant vos serveurs ou en vous bannissant complètement du service. Ils n’ont pas les ressources pour faire autre chose et comme ils peuvent avoir des milliers de sites sur le même serveur, votre site peut être fermé, même si ce n’était pas la cible visée.

Des hébergeurs comme Kinsta font tout ce qui est en leur pouvoir pour mettre un service spécialisé comme Cloudflare ou Sucuri sur votre site, vous mettre sur une IP différente, et d’autres méthodes qui aident à contrer l’attaque.

Si votre site web est votre principal moyen de gagner de l’argent, ou si vous avez une activité secondaire saisonnière sur laquelle vous comptez, il peut être intéressant d’investir dans une protection DDoS décente toute l’année ou uniquement pour les mois saisonniers. Actuellement, il semble que la meilleure protection contre le DDoS soit Cloudflare et Sucuri.

Cloudflare

Avec le plan Pro de Cloudflare à 20$/mois, vous obtenez seulement une protection DDoS avancée aux couches 3 et 4 (pour en savoir plus sur les attaques DDoS des couches 3 et 4). Ceci aidera à arrêter automatiquement les attaques TCP SYN, UDP et ICMP sur leurs serveurs périphériques, afin qu’ils n’atteignent jamais votre serveur. Pour bénéficier de la protection de la couche 7, vous devez passer au forfait à 200$/mois. Si vous pensez que vous avez de bonnes chances d’être ciblé et/ou que vous avez un site qui rapporte de l’argent, l’investissement en vaut probablement la peine.

Cloudflare

Sucuri

Avec le plan de Sucuri à 20$/mois, vous obtenez une protection DDoS avancée aux couches 3 et 4, ainsi qu’à la couche 7. Cela permet de détecter automatiquement les changements soudains dans le trafic et protège contre les floods de POST et les attaques basées sur le DNS, de sorte qu’elles n’atteignent jamais votre serveur.

Une attaque d’inondation HTTP est un type d’attaque d’application de couche 7 qui utilise les requêtes GET/POST valides standard utilisées pour récupérer des informations, comme dans les récupérations de données URL typiques (images, informations, etc.) pendant les sessions SSL. Un flood HTTP GET/POST est une attaque volumétrique qui n’utilise pas de paquets malformés, de techniques de spoofing ou de réflexion. – Sucuri

Sucuri DDoS

Résumé

DDoS est ennuyeux parce que c’est tout simplement inutile. Aucune donnée n’est volée, rien n’est gagné du point de vue de l’attaquant. La seule raison pour laquelle quelqu’un exécuterait une attaque DDoS est que quelqu’un les paie pour le faire pour gêner un concurrent par exemple. Une attaque DDoS efficace nécessite un investissement en ressources, sinon, elle rebondit sur de simples mesures de protection.

Les attaques DDoS sont ennuyeuses parce qu'elles sont tout simplement inutiles. Ou le sont-elles ? 🤔Click to Tweet

La protection DDoS n’en est encore qu’à ses balbutiements, avec le temps, elle s’améliorera de mieux en mieux, mais les attaquants deviendront eux aussi plus efficaces. La recherche dans ce domaine de l’Internet est coûteuse, tout comme la protection qui peut être offerte.

Par conséquent, les hébergeurs ne mentent peut-être pas carrément lorsqu’ils promettent une protection DDoS, mais ils déforment la vérité. Des phrases comme « ceci ne garantit pas que nous pouvons prévenir toutes les attaques DDoS » ne commencent même pas à décrire la facilité avec laquelle un réseau peut se planter en cas d’attaque.

À tout le moins, soyez sceptique et demandez à votre hébergeur ce qu’il vous offre exactement et comment il vous protégera contre les attaques à grande échelle, si elles se produisent.

Quelques lectures complémentaires :

Si vous avez de l’expérience avec les attaques DDoS ou la protection contre elles, n’hésitez pas à partager vos avis dans la section des commentaires ci-dessous !