Qu'est-ce qu'une attaque DDoS avec demande de rançon ?

Lors d'une attaque par déni de service distribué (DDoS) avec demande de rançon, des tiers malveillants tentent d'extorquer de l'argent à leurs cibles en les menaçant de paralyser leurs propriétés web ou leurs réseaux.

Share facebook icon linkedin icon twitter icon email icon

Attaque DDoS avec demande de rançon

Objectifs d’apprentissage

Après avoir lu cet article, vous pourrez :

  • définir ce que sont les attaques DDoS avec demande de rançon (RDDoS) ;
  • comprendre pourquoi le paiement d'une rançon afin de mettre fin aux attaques DDoS demeure une mauvaise idée ;
  • détailler les composants d'une demande de rançon typique effectuée dans le cadre d'une attaque RDDoS.

Qu'est-ce qu'une attaque DDoS avec demande de rançon ?

On désigne sous le nom d'attaques DDoS avec demande de rançon (RDDoS, Ransom DDoS Attacks) les tentatives menées par des tiers malveillants d'extorquer de l'argent à une personne particulière ou une organisation en menaçant cette dernière d'une attaque par déni de service distribué (DDoS). Le tiers malveillant en question peut procéder de deux façons : commencer par lancer une attaque DDoS avant d'envoyer à sa victime une demande de rançon exigeant un paiement afin de mettre fin à l'attaque ou adresser à sa cible une demande de rançon la menaçant d'une attaque DDoS en premier lieu. Dans le deuxième cas de figure, si le pirate peut tout à fait ne pas être en mesure de perpétrer l'attaque, il n'est toutefois pas recommandé de supposer qu'il s'agit de menaces en l'air.

La meilleure protection contre les attaques DDoS avec demande de rançon repose sur un solide service d'atténuation DDoS. Le paiement de la rançon demandée à la personne ou au groupe à l'origine des menaces n'est jamais une bonne idée.

Qu'est-ce qu'une attaque DDoS ?

Une attaque DDoS constitue une tentative d'épuisement des ressources d'une application, d'un site web ou d'un réseau afin d'empêcher les utilisateurs légitimes d'accéder au service. Ce type d'attaque inonde sa cible d'un flot de trafic réseau inutile, avec un résultat comparable à l'engorgement d'une autoroute lors d'un embouteillage. Les attaques DDoS sont toutefois « distribuées », c'est-à-dire que le trafic provient de nombreuses sources différentes, rendant ainsi leur blocage d'autant plus difficile qu'une attaque par déni de service (DoS) issue d'une source unique.

Les auteurs d'attaques DDoS s'appuient sur un certain nombre de protocoles réseau différents. Vous trouverez plus d'informations sur les différents types d'attaques DDoS ici.

Les attaques DDoS peuvent affecter les opérations d'une organisation de manière significative. Pour de nombreuses entreprises, les épisodes de mise hors ligne sont synonymes de pertes de revenus. Les organisations peuvent également perdre en crédibilité en cas d'indisponibilité pendant une période prolongée.

Comment fonctionne une attaque DDoS avec demande de rançon ?

La plupart des attaques DDoS avec demande de rançon commencent par l'envoi à la cible d'un message dans lequel le pirate menace l'entreprise ou l'organisation dans le but de lui soutirer une rançon. Si la menace s'avère légitime et que le pirate décide de mettre ses plans à exécution, l'attaque se déroule comme suit :

1. Le pirate commence à envoyer du trafic hostile vers la cible. Pour mener cette attaque, il peut mettre à profit son propre botnet ou passer par un « service DDoS » auquel il a souscrit. Plusieurs personnes peuvent également unir leurs efforts afin de générer du trafic hostile à l'aide d'outils d'attaque DDoS. Le trafic hostile peut prendre pour cible les couches 3, 4 ou 7 du modèle OSI.

2. L'application ou le service visé commence à se trouver saturé par le trafic hostile, avec pour résultat soit un ralentissement de son activité soit une défaillance générale du système.

3. L'attaque se poursuit jusqu'à ce que le pirate arrive à épuisement de ses ressources, qu'il mette fin à son attaque pour une raison ou pour une autre, ou que la cible parvienne à atténuer l'attaque. Les moyens d'atténuation comprennent la limitation du débit, le blocage d'adresse IP, le routage vers un trou noir ou un service de protection anti-DDoS, ces trois premières méthodes étant particulièrement difficiles à mettre en œuvre contre les attaques largement distribuées.

4. Le pirate peut alors renouveler sa demande de rançon, conduire d'autres attaques ou les deux.

Découvrez plus de détails sur la manière dont les attaques DDoS se déroulent.

Quels sont les éléments constitutifs d'une demande de rançon typique adressée dans le cadre d'une attaque RDDoS ?

Une demande de rançon type se compose d'un message envoyé à une entreprise par un tiers malveillant et exigeant de l'argent de cette dernière, sous peine d'attaque DDoS. Ces messages sont généralement envoyés par e-mail. Il arrive parfois que le pirate envoie plusieurs messages, chacun d'eux révélant plus de détails que le précédent sur la nature spécifique des menaces ou des exigences.

La menace

La menace véhiculée par une demande de rançon effectuée dans le contexte d'une attaque RDDoS peut prendre plusieurs formes :

  • Le tiers malveillant peut se présenter comme l'instigateur d'une attaque DDoS précédente et menacer sa cible d'une autre attaque.
  • Il peut s'arroger le mérite d'une attaque DDoS actuellement en cours contre la cible.
  • Le pirate peut menacer sa cible d'une attaque DDoS à venir, soit à un moment défini soit à un moment indéfini.

Spécificités de l'attaque associée à la menace

Afin de faire paraître sa menace plus dangereuse, le pirate peut prétendre disposer de la capacité de mener une attaque DDoS d'une certaine envergure et pendant une certaine durée. Ces prétentions ne sont pas nécessairement avérées : ce n'est pas parce qu'un individu prétend être en mesure de lancer une attaque de 3 Tbit/s pendant une durée de 24 h qu'il dispose en réalité des ressources nécessaires pour mettre sa menace à exécution.

Affiliation à un groupe

Afin d'ajouter un supplément de crédibilité à ses menaces, le pirate peut prétendre être affilié à un célèbre groupe de « hackers », comme Fancy Bear, Cozy Bear, le Lazarus Group ou Armada Collective, parmi tant d'autres. Ces prétentions peuvent se révéler exactes, mais se montrent difficiles à vérifier.

Demande de paiement et instructions relatives aux modalités de ce dernier

La demande de rançon exigera un paiement sous une certaine forme. Le paiement en bitcoins constitue une demande courante, mais le pirate peut également exiger le versement de la rançon dans une autre cryptomonnaie ou dans la devise officielle d'un État (dollars, euros, etc.). À un certain moment, le pirate demandera généralement une somme d'argent spécifique et communiquera à la cible des instructions relatives aux modalités du paiement.

Heure ou date limite

Enfin, afin de conférer un degré d'urgence à ses exigences et d'augmenter les chances que la partie visée y accède, la demande de rançon peut également inclure une date limite stricte pour le paiement de la rançon avant le début de l'attaque ou afin que l'attaque actuelle s'arrête.

Faut-il payer la rançon ?

Non. En dehors du fait que le paiement implique de donner de l'argent à des criminels, il ne garantit en rien que les pirates mettront fin à leurs activités. Au contraire, une organisation qui verse une rançon devient une cible d'autant plus désirable, car en apportant la preuve qu'elle pouvait satisfaire les exigences des pirates, elle se voit ainsi considérée comme plus encline à répondre à leurs futures demandes.

En outre, plus le pirate obtient d'argent, plus il sera en mesure de financer ses activités d'extorsion et d'étendre ses capacités en vue de prochaines attaques.

Enfin, il reste toujours possible que la menace ne repose sur aucune base concrète en premier lieu et que l'entreprise verse une rançon pour rien.

Les entreprises qui reçoivent des demandes de rançon dans le cadre d'attaques RDDoS doivent les signaler aux autorités compétentes et installer des mesures de protection appropriées afin de se défendre contre les attaques potentielles, au cas où les pirates mettraient ces menaces à exécution. La protection anti-DDoS de Cloudflare constitue un exemple de service susceptible de protéger les entreprises contre les attaques DDoS de n'importe quelle envergure.

La plupart des demandes de rançon effectuées dans le cadre d'attaques RDDoS sont-elles crédibles ?

Toutes les menaces envers la sécurité doivent être prises au sérieux. Toutefois, ces dernières ne se révèlent pas toutes légitimes. N'importe qui peut rédiger et envoyer un court e-mail. Il faut beaucoup plus de ressources pour entretenir, gérer et diriger un vaste réseau d'appareils compromis (également connu sous le nom de botnet) afin de mener des attaques DDoS de grande envergure.

Ceci dit, l'Internet clandestin propose de nombreux services « DDoS à louer » auxquels un pirate n'a qu'à souscrire pour être en mesure de mener son attaque. Naturellement, ce service coûte de l'argent au pirate, argent qu'il pourra récupérer par le biais de demandes de rançon effectuées dans le cadre d'attaques RDDoS.

Les attaques DDoS avec demande de rançon constituent généralement un jeu comptable. Peu importe que le tiers exigeant la rançon soit ou non capable de mettre ses menaces à exécution, ce dernier compte sur le petit pourcentage de cibles qui verseront la rançon.

Ainsi, plutôt que d'essayer d'évaluer la crédibilité de la menace, le plus sûr reste d'utiliser un service de protection anti-DDoS susceptible de protéger une propriété web ou un réseau en ligne en toutes circonstances.

Comment les solutions Cloudflare protègent-elles les utilisateurs contre les attaques RDDoS ?

Tous les clients de Cloudflare, y compris les clients profitant d'une offre gratuite, ont accès à notre protection anti-DDoS, capable d'atténuer toutes les attaques DDoS, même les plus importantes. En outre, la solution Cloudflare Magic Transit protège l'infrastructure réseau des entreprises clientes contre les attaques DDoS sur la couche 3. Le réseau de Cloudflare affiche une capacité de 42 Tbps, soit une capacité largement supérieure à celle des plus vastes attaques DDoS jamais enregistrées. Si toutes les menaces envers la sécurité doivent être enregistrées et surveillées, ce niveau de protection implique que les clients de Cloudflare n'ont pas à s'inquiéter des demandes de rançon effectuées dans le cadre d'attaques RDDoS ni des autres menaces liées aux attaques DDoS.

Si votre organisation a reçu une demande de rançon, vous pouvez contacter Cloudflare ici.

Quelle est la différence entre une attaque DDoS avec demande de rançon et un rançongiciel ?

Les attaques de rançongiciels représentent une autre forme courante d'extorsion en ligne. Le terme rançongiciel désigne un logiciel malveillant capable de chiffrer les systèmes et les bases de données d'une organisation, afin de les rendre inutilisables. Une fois le chiffrement effectué, le pirate demande de l'argent en échange du déchiffrement des systèmes de l'organisation. Les rançongiciels doivent être introduits d'une manière ou d'une autre au sein des systèmes internes ou du réseau d'une entreprise. L'association des pièces jointes malveillantes contenue dans les e-mails et des attaques par hameçonnage (phishing) constitue ainsi un vecteur de menace courant.

À la différence d'une attaque de rançongiciel, une attaque DDoS avec demande de rançon ne chiffre pas les systèmes d'une entreprise, mais vise simplement à les mettre hors ligne. Elle n'exige pas non plus que le pirate puisse accéder aux systèmes internes d'une entreprise avant de pouvoir être mise à exécution. Toutefois, face à une protection anti-DDoS suffisamment solide, les attaques DDoS avec demande de rançon n'ont que peu ou pas d'effet sur le fonctionnement d'une entreprise.