Ces derniers mois, plusieurs institutions majeures — l’Assemblée nationale, le Sénat, Météo-France, l’Insee, la CAF, la RATP ou encore le Réseau interministériel de l’État — ont été ciblées par des attaques par déni de service distribué (DDoS), illustrant une recrudescence préoccupante de ce type de menace. Selon le dernier panorama publié par l’ANSSI, le nombre d’attaques DDoS en 2024 a doublé par rapport à 2023. Un constat alarmant qui souligne la montée en puissance des groupes hacktivistes et cybercriminels, souvent soutenus par des acteurs étatiques.
Des attaques visant à déstabiliser
Une attaque DDoS consiste, la plupart du temps, à exploiter des systèmes vulnérables compromis, qui vont simultanément saturer un serveur, un service ou une infrastructure, afin d’en priver les utilisateurs légitimes. Même si la plupart des sites institutionnels n’ont pas d’importance opérationnelle critique, leur inaccessibilité temporaire a un impact symbolique majeur. Ces attaques visent à décrédibiliser et déstabiliser les structures ciblées, semant le doute sur leur fiabilité et leur cybersécurité. Certaines opérations ont cependant des conséquences bien plus graves, affectant des infrastructures essentielles, notamment dans le domaine des télécommunications, et peuvent servir de levier pour des demandes de rançon, saturer les dispositifs de sécurité pour faciliter d’autres attaques, ou causer des pertes financières significatives pour les sites web marchands.
Le DNS toujours très ciblé
Les attaques DDoS se présentent sous diverses formes, parmi lesquelles les attaques volumétriques classiques qui visent à congestionner les liens réseau pour produire de la perte et celles ciblant les capacités de traitement pour directement perturber la délivrance de services tels que DNS, web, LDAP, etc. Les attaques peuvent exploiter des failles structurelles des protocoles. Le service DNS, essentiel au fonctionnement d’Internet, est une cible privilégiée. Selon le rapport 2023 IDC Threat Report, 90 % des organisations subissent 7,5 attaques DNS par an. Le DNS est vulnérable en raison de l’absence de connexion préalable entre l’expéditeur et le destinataire, et de l’impossibilité de filtrage géographique. L’usurpation facile des demandes DNS peut entraîner des attaques par réflexion et amplification. Les attaquants peuvent ainsi augmenter, sans surcoût pour leur botnet, l’efficacité de leurs attaques. Les requêtes DNS peuvent être envoyées de manière aléatoire et dispersée, rendant ainsi plus complexe l’identification des botnets.
Les attaquants exploitent ces caractéristiques pour générer de fausses requêtes, usurper des sources et rediriger des flux massifs vers leurs cibles. Cela entraîne une saturation de la capacité de traitement des serveurs. Les attaques DNS ciblent généralement la couche applicative, rendant difficile la distinction entre le trafic légitime et malveillant. De plus, ces attaques nécessitent moins de ressources pour l’attaquant tout en rendant le service DNS indisponible de manière aussi efficace. Très souvent, par effet de bord, bien d’autres services sont impactés.
Botnets : la saturation fatale pour le Déni de Service
Les groupes responsables de ces attaques DDoS s’appuient sur des réseaux de machines infectées — des botnets — de plus en plus vastes. En septembre 2024, un botnet mondial a été démantelé après avoir ciblé des infrastructures critiques dans plusieurs pays. Ce type d’opération démontre l’ampleur et la coordination derrière les attaques DDoS actuelles.
Mieux se protéger
Les attaques volumétriques sont généralement repérables par une forte occupation des liens réseau. En revanche, les attaques plus fines, notamment celles qui ciblent le traitement applicatif ou le DNS, sont plus difficiles à détecter. Les attaquants peuvent aussi alterner des salves de quelques secondes avec des pauses, visant à contourner les mécanismes de protection traditionnels. Les pics engendrés par l’attaque sont rapides et courts mais peuvent suffire à saturer les capacités de traitement pour quelques minutes. Ces attaques sont appelées hit and run.
Face à cette évolution, certains boîtiers de filtrage, notamment souverains, affichent un temps de réaction pour le blocage des attaques de quelques secondes, empêchant toute coordination d’attaques ultra-courtes à l’échelle mondiale. Ce niveau de performance rend la tâche très difficile aux assaillants, pour qui il est compliqué de synchroniser avec autant de précision les membres d’un botnet.
Dans ce contexte d’attaques DDoS toujours plus sophistiquées, la réactivité n’est plus un luxe, c’est une nécessité. C’est particulièrement vrai pour les attaques multi vectorielles, qui changent sans cesse de méthode et d’origine, rendant la défense statique faillible.
L’importance de s’appuyer sur des SOC de nouvelle génération
Le SOC (Security Operations Center) incarne la première ligne de défense contre les attaques DDoS. Son rôle va bien au-delà de la simple surveillance : il orchestre une stratégie proactive et adaptative, essentielle dans un paysage de menaces en constante évolution.
- Compréhension fine des services critiques et configuration préventive améliorée en continu
Tout commence par un dialogue étroit avec les responsables métiers et techniques pour identifier les services à protéger, comprendre leur fonctionnement, leur criticité et les flux qui y transitent. Cette cartographie précise permet de prioriser la défense sur les actifs réellement stratégiques.
Avant même qu’une attaque ne survienne, le SOC définit des profils de protection personnalisés, en calibrant les seuils d’alerte et les règles de filtrage selon le contexte. Ces paramètres sont pré-intégrés dans les boîtiers anti-DDoS, prêts à être activés immédiatement en cas d’alerte. Cette préparation en amont permet un gain de temps décisif au moment critique. Dans une approche d’amélioration continue, le SOC analyse les graphiques et statistiques régulièrement, même en dehors des périodes d’attaque, pour ajuster les seuils et les profils de protection, garantissant ainsi une défense toujours plus efficace et adaptée aux nouvelles menaces.
Plusieurs modes de protection existent et permettent de s’adapter à différents contextes des services à protéger. La protection peut être plus ou moins stricte et activée en permanence ou bien seulement activée en cas d’attaque. La bascule dans le mode protection peut alors se faire manuellement ou automatiquement en fonction de la politique retenue.
- Une analyse et une adaptation en temps réel
Lorsqu’une attaque est détectée, le SOC entre dans une phase d’analyse dynamique. Les équipes observent le comportement du trafic, identifient les vecteurs d’attaque et adaptent les seuils ou les règles de filtrage en conséquence. Face à des attaques qui changent d’intensité, de technique et d’origine en quelques secondes, les SOC de nouvelle génération se distinguent par leur capacité d’adaptation immédiate. En lien direct avec les systèmes de détection, ils affinent leur réponse en permanence. Cette réactivité humaine et technologique combinée est un point central qui permet une adaptation en temps réel, indispensable face à des attaques toujours plus agiles et ciblées.
- Filtrage intelligent et sélectif
L’objectif : bloquer l’attaque sans perturber l’activité légitime. Grâce à des modules avancés capables d’identifier des patterns malveillants, le SOC ajuste dynamiquement les filtres pour bloquer la menace et ainsi préserver les ressources tout en évitant les faux positifs. Ce travail de précision est crucial pour garantir la continuité de service tout en neutralisant la menace sans impacter l’activité légitime.
Par Aurélien BOUZON chez IMS Networks et Fabrice CLERC chez 6cure.