Lors d'une attaque par déni de service distribué (DDoS) avec demande de rançon, des tiers malveillants tentent d'extorquer de l'argent à leurs cibles en les menaçant de paralyser leurs propriétés web ou leurs réseaux.
Cet article s'articule autour des points suivants :
Contenu associé
Qu'est-ce qu'une attaque DDoS ?
Atténuation DDoS
DDoS : mode d'emploi
L'univers du botnet DDoS
Attaques DDoS célèbres
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
On désigne sous le nom d'attaques DDoS avec demande de rançon (RDDoS, Ransom DDoS Attacks) les tentatives menées par des tiers malveillants d'extorquer de l'argent à une personne morale ou physique en menaçant cette dernière d'une attaque par déni de service distribué (DDoS). Le tiers malveillant peut procéder de deux façons : lancer une attaque DDoS avant d'envoyer à sa victime une demande de rançon exigeant un paiement afin de mettre fin à l'attaque ou adresser à sa cible une demande de rançon la menaçant d'une attaque DDoS en premier lieu. Dans le deuxième cas de figure, il reste recommandé de ne pas prendre ces menaces à la légère, quand bien même le pirate s'avérerait incapable de perpétrer l'attaque en réalité.
La meilleure protection contre les attaques DDoS avec demande de rançon repose sur un solide service d'atténuation DDoS. Le paiement de la rançon demandée à la personne ou au groupe à l'origine des menaces n'est jamais une bonne idée.
Une attaque DDoS constitue une tentative d'épuisement des ressources d'une application, d'un site web ou d'un réseau afin d'empêcher les utilisateurs légitimes d'accéder au service. Ce type d'attaque bombarde sa cible d'un flot de trafic réseau inutile, avec un résultat comparable à l'engorgement d'une autoroute lors d'un embouteillage. Les attaques DDoS sont « distribuées », c'est-à-dire que le trafic provient de nombreuses sources différentes (souvent des sources mystifiées), rendant ainsi leur blocage plus difficile qu'une attaque par déni de service (DoS) issue d'une source unique.
Les auteurs d'attaques DDoS s'appuient sur un certain nombre de protocoles réseau différents. Vous trouverez plus d'informations sur les différents types d'attaques DDoS ici.
Les attaques DDoS peuvent affecter les opérations d'une organisation de manière significative. Pour de nombreuses entreprises, les interruptions de service sont synonymes de pertes de revenus. Les organisations peuvent également perdre en crédibilité en cas d'indisponibilité pendant une période prolongée.
La plupart des attaques DDoS avec demande de rançon commencent par l'envoi à la cible d'un message dans lequel le pirate menace l'entreprise ou l'organisation dans le but de lui soutirer une rançon. Dans certains cas, un pirate peut simuler une petite attaque pour donner du poids à sa menace avant d'envoyer le message. Si la menace s'avère réelle et que le pirate décide de mettre ses plans à exécution, l'attaque se déroule comme suit :
1. Le pirate commence à envoyer du trafic hostile vers la cible. Pour mener cette attaque, il peut utiliser son propre botnet ou passer par un « service DDoS » auquel il a souscrit. Plusieurs personnes peuvent également unir leurs efforts afin de générer du trafic hostile à l'aide d'outils d'attaque DDoS. Le trafic hostile peut prendre pour cible les couches 3, 4 ou 7 du modèle OSI.
2. L'application ou le service visé commence à se trouver saturé par le trafic hostile, avec pour résultat soit un ralentissement de son activité soit une défaillance générale du système.
3. L'attaque se poursuit jusqu'à ce que le pirate arrive à épuisement de ses ressources, qu'il mette fin à son attaque pour une raison ou pour une autre, ou que la cible parvienne à atténuer l'attaque. Les moyens d'atténuation comprennent la limitation du débit, le blocage d'adresse IP, le routage vers un trou noir ou un service de protection anti-DDoS, ces trois premières méthodes étant particulièrement difficiles à mettre en œuvre contre les attaques largement distribuées.
4. Le pirate peut alors renouveler sa demande de rançon, conduire d'autres attaques ou les deux.
Découvrez plus de détails sur la manière dont les attaques DDoS se déroulent.
Une demande de rançon type se compose d'un message envoyé à une entreprise par un tiers malveillant et exigeant de l'argent de cette dernière, sous peine d'attaque DDoS. Ces messages sont généralement envoyés par e-mail. Il arrive parfois que le pirate envoie plusieurs messages, chacun d'eux révélant plus de détails que le précédent sur la nature spécifique des menaces ou des exigences.
La menace véhiculée par une demande de rançon effectuée dans le contexte d'une attaque RDDoS peut prendre plusieurs formes :
Afin de faire paraître sa menace plus dangereuse, le pirate peut prétendre disposer de la capacité de mener une attaque DDoS d'une certaine envergure et pendant une certaine durée. Ces prétentions ne sont pas nécessairement avérées : ce n'est pas parce qu'un individu prétend être en mesure de lancer une attaque de 3 Tbit/s pendant une durée de 24 h qu'il dispose en réalité des ressources nécessaires pour mettre sa menace à exécution.
Pour ajouter de la crédibilité à ses menaces, l'attaquant peut prétendre être affilié à des groupes de « pirates » bien connus, tels que Fancy Bear, Cozy Bear, Lazarus Group, Armada Collective, etc. Ces affirmations peuvent être vraies, mais sont difficiles à vérifier. Il peut s'agir d'un bluff ou d'une tentative de copiage de la part de l'attaquant.
La demande de rançon exigera un paiement sous une certaine forme. Le paiement en bitcoins constitue une demande courante, mais le pirate peut également exiger le versement de la rançon dans une autre cryptomonnaie ou dans la devise officielle d'un État (dollars, euros, etc.). À un certain moment, le pirate demandera généralement une somme d'argent spécifique et communiquera à la cible des instructions relatives aux modalités du paiement.
Enfin, pour donner un caractère d'urgence à leur demande et augmenter la probabilité que la partie visée s'exécute, la note de rançon peut inclure une date limite stricte pour la remise de la rançon avant que l'attaque menaçante ne commence, ou pour que l'attaque en cours prenne fin. Certains attaquants ajoutent que le montant du paiement requis augmente chaque heure ou chaque jour passé le délai fixé.
Non. En dehors du fait que le paiement implique de donner de l'argent à des criminels, il ne garantit en rien que les pirates mettront fin à leurs activités. Au contraire, une organisation qui verse une rançon devient une cible d'autant plus désirable, car en apportant la preuve qu'elle pouvait satisfaire les exigences des pirates, elle se voit ainsi considérée comme plus encline à répondre à leurs futures demandes.
En outre, plus le pirate obtient d'argent, plus il sera en mesure de financer ses activités d'extorsion et d'étendre ses capacités en vue de prochaines attaques.
Enfin, il reste toujours possible que la menace ne repose sur aucune base concrète en premier lieu et que l'entreprise verse une rançon pour rien.
Les entreprises qui reçoivent des demandes de rançon dans le cadre d'attaques RDDoS doivent les signaler aux autorités compétentes et installer des mesures de protection appropriées afin de se défendre contre les attaques potentielles, au cas où les pirates mettraient ces menaces à exécution. La protection anti-DDoS de Cloudflare constitue un exemple de service susceptible de protéger les entreprises contre les attaques DDoS de n'importe quelle envergure.
Toutes les menaces envers la sécurité doivent être prises au sérieux. Toutefois, ces dernières ne se révèlent pas toutes légitimes. N'importe qui peut rédiger et envoyer un court e-mail. Il faut beaucoup plus de ressources pour entretenir, gérer et diriger un vaste réseau d'appareils compromis (également connu sous le nom de botnet) afin de mener des attaques DDoS de grande envergure.
Ceci dit, l'Internet clandestin propose de nombreux services « DDoS à louer » auxquels un pirate n'a qu'à souscrire pour être en mesure de mener son attaque. Naturellement, ce service coûte de l'argent au pirate, argent qu'il pourra récupérer par le biais de demandes de rançon effectuées dans le cadre d'attaques RDDoS.
Les attaques DDoS avec demande de rançon constituent généralement un jeu comptable. Peu importe que le tiers exigeant la rançon soit ou non capable de mettre ses menaces à exécution, ce dernier compte sur le petit pourcentage de cibles qui verseront la rançon.
Ainsi, plutôt que d'essayer d'évaluer la crédibilité de la menace, le plus sûr reste d'utiliser un service de protection anti-DDoS susceptible de protéger une propriété web ou un réseau en ligne en toutes circonstances.
Tous les clients de Cloudflare, y compris les clients profitant d'une offre gratuite, ont accès à notre protection anti-DDoS, capable d'atténuer toutes les attaques DDoS, même les plus importantes. En outre, la solution Cloudflare Magic Transit protège l'infrastructure réseau des entreprises clientes contre les attaques DDoS sur la couche 3. Le réseau de Cloudflare affiche une capacité de 296 Tbps, soit une capacité largement supérieure à celle des plus vastes attaques DDoS jamais enregistrées. Si toutes les menaces envers la sécurité doivent être enregistrées et surveillées, ce niveau de protection implique que les clients de Cloudflare n'ont pas à s'inquiéter des demandes de rançon effectuées dans le cadre d'attaques RDDoS ni des autres menaces liées aux attaques DDoS.
Si votre organisation a reçu une demande de rançon, vous pouvez contacter Cloudflare ici.
Les attaques de rançongiciels représentent une autre forme courante d'extorsion en ligne. Le terme rançongiciel désigne un logiciel malveillant capable de chiffrer les systèmes et les bases de données d'une organisation, afin de les rendre inutilisables. Une fois le chiffrement effectué, le pirate demande de l'argent en échange du déchiffrement des systèmes de l'organisation. Les rançongiciels doivent être introduits d'une manière ou d'une autre au sein des systèmes internes ou du réseau d'une entreprise. L'association des pièces jointes malveillantes contenue dans les e-mails et des attaques par hameçonnage (phishing) constitue ainsi un vecteur de menace courant.
À la différence d'une attaque de rançongiciel, une attaque DDoS avec demande de rançon ne chiffre pas les systèmes d'une entreprise, mais vise simplement à les mettre hors ligne. Elle n'exige pas non plus que le pirate puisse accéder aux systèmes internes d'une entreprise avant de pouvoir être mise à exécution. Toutefois, face à une protection anti-DDoS suffisamment solide, les attaques DDoS avec demande de rançon n'ont que peu ou pas d'effet sur le fonctionnement d'une entreprise.