09 octobre 2025
La cybersécurité pourrait tout aussi bien avoir son propre langage. Il y a tellement d’acronymes, de termes et de dictons que les professionnels de la cybersécurité et les acteurs de la menace utilisent, qu’à moins d’avoir des connaissances approfondies, une expérience dans le domaine de la sécurité ou un vif intérêt, on ne le sait peut-être pas. Comprendre la signification de ces acronymes et termes est la première étape pour développer une compréhension approfondie de la cybersécurité et, par conséquent, mieux vous protéger, ainsi que vos clients et vos employés.
Dans cette série de blogs, nous visons à expliquer et à simplifier certains des termes les plus couramment utilisés. Auparavant, nous avons abordé l’hébergement à toute épreuve, les CVE, les API, les attaques par force brute, les exploits Zero Day, le doxing, la collecte de données, les IoC et le credential stuffing. Dans cette édition, nous nous penchons sur les attaques DDoS.
Attaques DDoS 101
DDoS est l’acronyme de Distributed Denial of Service Attack – une attaque malveillante sur un réseau qui est exécutée en inondant un serveur avec un trafic réseau inutile, qui exploite les limites des protocoles TCP/IP et rend le réseau inaccessible. Ce trafic excessif empêche les utilisateurs légitimes d’accéder au service, provoquant ainsi un « déni de service ».
La fréquence des attaques DDoS est en constante augmentation. Certains rapports estiment qu’il y a eu environ 2 200 attaques DDoS chaque heure au cours des trois premiers trimestres de 2024, soit une augmentation stupéfiante de 49 % en glissement trimestriel des attaques DDoS et une augmentation de 55 % en glissement annuel. Les États-Unis ont ingéré plus de 40 % des attaques DDoS, suivis par l’Allemagne, puis le Brésil, Singapour, la Russie, la Corée du Sud, Hong Kong, le Royaume-Uni, les Pays-Bas et le Japon.
Même si la durée moyenne d’une attaque DDoS est inférieure à 10 minutes, les dommages financiers qu’elle peut causer à l’attaquant peuvent être très dommageables : le coût moyen par minute d’indisponibilité est de 22 000 $. D’un autre côté, les attaquants peuvent louer des outils en ligne pour lancer une attaque pour seulement 5 dollars de l’heure.
Comment fonctionne une attaque DDoS ?
Une attaque DDoS exploite un vaste réseau de botnets. Le botnet peut être défini comme une armée d’ordinateurs ou d’appareils Internet des objets (IoT) compromis utilisés collectivement à des fins malveillantes. Ce flot de trafic empêche l’appareil d’être utilisé par des utilisateurs légitimes. Motivations pour commettre une plage d’attaque DDoS :
- Extorsion: Les attaquants exigent une rançon de la part de la cible pour arrêter l’attaque.
- Hacktivisme: Les attaquants utilisent des techniques de piratage pour réaliser un agenda politique ou social, comme protester contre des organisations, des gouvernements ou des idéologies avec lesquels ils ne sont pas d’accord, sensibiliser l’opinion à un agenda politique ou dénoncer la corruption.
- Concurrence commerciale: Une entreprise peut lancer une attaque contre un concurrent pour perturber ses services et obtenir un avantage concurrentiel.
- Cyberguerre: Les États-nations endommagent l’infrastructure numérique, les systèmes d’information ou les services critiques d’un autre pays à des fins militaires ou politiques.
- Distraction: Une attaque DDoS peut constituer un écran de fumée pour distraire les équipes de sécurité pendant que les attaquants procèdent à une violation plus sophistiquée, comme le vol de données.
Attaques DDoS dans la nature
Esports et jeux
Les plateformes d’esports, les streamers et les tournois sont devenus des cibles privilégiées des cyberattaques. Les raisons sont simples : une grande visibilité, une audience en ligne massive et souvent une infrastructure mal sécurisée.
Un rapport de Control Risks explique que « la simple popularité de l’e-sport, combinée à des protocoles de sécurité laxistes dans certains domaines, en fait une cible idéale pour les attaques DDoS, le vol d’identifiants et l’extorsion ». En fait, le rapport indique que plus de 37 % de toutes les attaques DDoS sont dirigées contre les plateformes de jeux en ligne et d’esports. Cela fait des jeux et des paris l’industrie la plus ciblée par les attaques DDoS.
Ce ne sont pas des menaces hypothétiques. Ces dernières années, des tournois majeurs ont été interrompus en cours de route en raison d’attaques, des joueurs ont été contraints de se déconnecter lors de matchs cruciaux et des attaquants ont utilisé des ransomwares pour prendre en otage les serveurs de tournois.
Conseils britanniques
Les conseils britanniques, qui constituent le niveau de gouvernement local du Royaume-Uni, sont un groupe d’organisations de plus en plus ciblé par les groupes de ransomwares et d’autres acteurs malveillants. Récemment, des groupes hacktivistes associés à des pays impliqués dans des conflits tels que la Russie, l’Ukraine, la Palestine, l’Iran et Israël ont mené des attaques DDoS ciblant les sites Web des conseils. L’image de gauche montre une preuve de DDOS contre l’arrondissement londonien de Harrow par un groupe hacktiviste affilié palestinien qui a provoqué des pannes temporaires de sites Web et des interruptions de service dans plusieurs conseils locaux, notamment Blackburn avec Darwen, Exeter et le conseil de district d’Arun. Ces attaques étaient politiquement motivées en réponse au soutien du Royaume-Uni à l’Ukraine et menées par le groupe hacktiviste NoName057(16).
Groupe hacktiviste : Dark Storm
Plus tôt cette année, X a subi plusieurs pannes dans le monde entier. Le groupe hacktiviste Dark Storm a revendiqué les attaques DDoS à l’origine des pannes. Plus précisément, le groupe a publié des messages sur sa chaîne Telegram le jour même des attaques et a partagé des captures d’écran de check-host.net comme preuve de l’attaque. Des dizaines de milliers d’utilisateurs ont été touchés par les pannes.
Un mois après que Dark Storm ait provoqué les pannes de X, le célèbre forum de piratage BreachForums a été mis hors ligne, cette fois peut-être à la suite d’une attaque par déni de service distribué (DDoS). Dark Storm a encore une fois affirmé qu’il était à l’origine d’une attaque DDoS contre BreachForums. Le groupe a partagé un lien Check-Host.net sur sa chaîne Telegram qui montrait que le forum de piratage était en panne dans plus de deux douzaines de pays.
Protection et atténuation
Comme toujours, Illicit Trade FR recommande de pratiquer une bonne cyber-hygiène afin de prévenir si possible une attaque avant qu’elle ne se produise. Alors que les attaquants modifient constamment leurs TTP (tactiques, techniques et procédures), il n’existe pas de moyen unique et infaillible de prévenir une attaque DDoS ; une approche de protection à plusieurs niveaux est recommandée. Chaque organisation doit disposer d’un plan de réponse DDoS et le tenir à jour (qui contacter, quels systèmes vérifier, etc.), connaître les normalités de votre réseau afin que vous puissiez savoir quand des modèles ou des activités apparaissent, maintenir une bonne cyber-hygiène en gardant tous les systèmes, logiciels et applications à jour avec les derniers correctifs de sécurité, et augmenter la bande passante de votre système afin que si une attaque se produit, vous ayez plus de capacité pour gérer le flot de trafic et rester en ligne.
