Accéder au contenu Cybermalveillance.gouv.fr Assistance et prévention du risque numérique

Attaque DDoS, que faire ?

Publié le 09 Oct 2019

attaque par déni de service déni de service

Temps de lecture : 16 min

Une attaque en déni de service ou DDoS vise à rendre inaccessible un serveur afin de provoquer une panne ou un fonctionnement fortement dégradé du service. Que faire en cas de DDoS ? Ne pas payer la rançon, filtrer les requêtes de l’attaquant, déposer plainte…

Vous souhaitez vous faire aider par un
professionel référencé ?

1. Déni de service ou DDoS : définition

Une attaque en déni de service ou en déni de service distribué (DDoS pour Distributed Denial of Service en anglais) vise à rendre inaccessible un serveur par l’envoi de multiples requêtes jusqu’à le saturer ou par l’exploitation d’une faille de sécurité afin de provoquer une panne ou un fonctionnement fortement dégradé du service. Ce type d’attaque peut être d’une grande gravité pour l’organisation qui en est victime. Durant l’attaque, le site ou service n’est plus utilisable, au moins temporairement, ou difficilement, ce qui peut entraîner des pertes directes de revenus pour les sites marchands et des pertes de productivité.
L’attaque est souvent visible publiquement, voire médiatiquement, et laisse à penser que l’attaquant aurait pu prendre le contrôle du serveur, donc potentiellement accéder à toutes ses données, y compris les plus sensibles (données personnelles, bancaires, commerciales…) : ce qui porte directement atteinte à l’image et donc la crédibilité du propriétaire du site auprès de ses utilisateurs, clients, usagers, partenaires, actionnaires…

But recherché :

Rendre un service indisponible. Le cybercriminel agit pour des motivations politiques, idéologiques, par goût du challenge, chantage, vengeance, ou pour des raisons économiques (concurrence). Cette attaque peut être utilisée pour faire diversion d’une autre attaque visant à voler des données sensibles de sa cible.

2. Comment s’en protéger ? 

  • 1. Appliquez de manière régulière et systématique les mises à jour de sécurité

    du système et des logiciels installés sur votre machine.

  • 2. Ayez un pare-feu correctement paramétré :

    fermez tous les ports inutilisés et ne laissez que les adresses des machines indispensables accéder à distance aux fonctionnalités d’administration du site.

  • 3. Vérifiez que les mots de passe sont suffisamment complexes et changés régulièrement,

    mais également que ceux créés par défaut sont effacés s’ils ne sont pas tout de suite changés.

  • 4. Sollicitez votre hébergeur

    afin qu’il prévoie une réponse à ce type d’attaque au niveau de ses infrastructures.

Vous êtes un professionnel et souhaitez
sécuriser votre installation informatique ?

3. Victime d’une attaque par déni de service, que faire ? 

  1. Ne payez pas la rançon : en cas de menace d’attaque, ne payez pas la rançon car vous alimenteriez le système mafieux, sans garantie que l’attaque n’aura pas lieu ou même qu’elle aurait pu avoir lieu.

  2. Filtrez ou faites filtrer les requêtes de l’attaquant au niveau de votre pare-feu ou de votre hébergeur.

  3. Conservez les preuves : réalisez ou faites réaliser une copie complète de la machine attaquée et de sa mémoire. Essayez de récupérer ou de faire récupérer par un professionnel les fichiers de journalisation (logs) de votre pare-feu, serveur mandataire (proxy), des serveurs touchés et des disques durs qui seront des éléments d’investigation. Ces éléments peuvent permettre d’obtenir des « traces » du cybercriminel dans le cadre de l’analyse de l’attaque. Ils peuvent également constituer des preuves à valeur juridique en cas de procédures ultérieures.

  4. Évaluez les dégâts causés et les éventuelles informations perdues.  Vérifiez que, lors de l’attaque, les cybercriminels n’en aient pas profité pour réaliser d’autres actions frauduleuses sur le système informatique. En effet, les cybercriminels peuvent utiliser ce type d’attaques pour détourner l’attention de leur victime et procéder à d’autres actions malveillantes. Pour cela, vérifiez vos journaux de connexions en recherchant toute activité anormale ou suspecte, procédez à une analyse anti-virus approfondie. Au moindre doute ou en cas de symptômes de piratage, réalisez un parcours d’assistance sur notre site pour l’équipement concerné afin d’obtenir des conseils plus détaillés.

  5. Changez tous les mots de passe d’accès au moindre doute : au moindre doute sur leur possible prise de contrôle par le cybercriminel, changez tous les mots de passe d’accès aux serveurs suspectés touchés (tous nos conseils pour gérer au mieux vos mots de passe). Envisagez également leur réinstallation complète à partir de sauvegardes réputées saines (tous nos conseils pour gérer au mieux vos sauvegardes).

  6. Faites-vous assister au besoin par des professionnels qualifiés. Vous trouverez sur www.cybermalveillance.gouv.fr des professionnels en cybersécurité susceptibles de pouvoir vous apporter leur assistance.

  7. Déposez plainte au commissariat de police ou à la brigade de gendarmerie dont vous dépendez. Vous pouvez également adresser votre plainte par écrit au procureur de la République du tribunal judiciaire dont vous dépendez en fournissant toutes les preuves en votre possession.

  8. Notifiez cette attaque à la CNIL s’il y a eu une violation de données à caractère personnel : si l’attaque en déni de service à pour conséquence une indisponibilité, une modification ou une suppression de données à caractère personnel, vous pourriez être dans l’obligation de notifier l’incident à la CNIL voire aux personnes concernées. Vous devrez notamment préciser :
    – la nature de la violation,
    – les catégories et le nombre approximatif de personnes concernées par la violation,
    – les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés,
    – les conséquences probables de la violation de données,
    – les mesures prises ou que vous envisagez de prendre pour éviter que cet incident se reproduise ou atténuer les éventuelles conséquences négatives.

Témoignage d’une victime de déni de service

« Nous avons reçu des menaces d’attaques en déni de service si nous ne payions pas une rançon de plusieurs milliers d’euros. Nous n’avons pas pris ces menaces au sérieux. Quand l’attaque a été déclenchée, notre site Internet s’est retrouvé paralysé puis fortement perturbé pendant plusieurs jours. Nous avons travaillé avec nos prestataires et notre opérateur Internet pour contenir l’attaque et pouvoir reprendre notre activité. Nous n’étions pas préparés à faire face à ce type d’attaque car nous n’imaginions pas pouvoir y être confrontés un jour. Depuis nous avons pris les mesures nécessaires pour que cette situation ne puisse pas se reproduire. »

DSI d’une PME de 200 salariés de la région Grand Est

4. Que dit la loi en cas d’attaque DDoS ? 

En fonction du cas d’espèce, les infractions suivantes peuvent être retenues :

L’incrimination principale qui peut être ici retenue est celle d’entrave à un système de traitement automatisé de données (STAD ou système d’information).

Les articles 323-1 à 323-7 du Code pénal disposent que :
Article 323-2 du Code pénal : « le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données ». Cet article pourra être appliqué dans l’hypothèse d’une attaque par « déni de service ». Il est passible d’une peine de cinq ans d’emprisonnement et de 150 000 euros d’amende.
Article 323-1 du Code pénal : « le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données » est passible de trois ans d’emprisonnement et de 100 000 euros d’amende. « Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système », les auteurs sont passibles de cinq ans d’emprisonnement et de 150 000 euros d’amende.

Par ailleurs, « lorsque les infractions […] ont été commises à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’État, la peine est portée à sept ans d’emprisonnement et à 300 000 euros d’amende« .

Les tentatives de ces infractions sont passibles des mêmes peines (article 323-7 du Code pénal).

5. Nos supports sur le déni de service

Le déni de service (DDoS)

Le déni de service (DDoS)

Téléchargez notre fiche réflexe sur le déni de service au format PDF afin d’adopter les bonnes pratiques en matière de sécurisation numérique et savoir réagir si vous en êtes victime.

Publié le 26/06/2023PDF 152 KoTéléchargerLire

Pour aller plus loin :

« Comprendre et anticiper les attaques DDoS » par l'ANSSI

« Comprendre et anticiper les attaques DDoS » par l’ANSSI

Réalisé par l’Agence nationale de la sécurité des systèmes d’information, ce guide présente les solutions existantes permettant d’anticiper et faire face aux attaques DDoS.

Publié le 21/11/2019TéléchargerLire

Pour informer et sensibiliser les publics sur les menaces numériques, Cybermalveillance.gouv.fr met à disposition divers contenus thématiques : des supports variés pour  comprendre les cybermenaces et savoir comment y réagir, ainsi que des bonnes pratiques à adopter pour assurer votre cybersécurité.
> Consulter la liste de l’ensemble des ressources mises à disposition par le dispositif.

Avez-vous trouvé cet article intéressant et utile ?
* le commentaire ne sera pas visible aux yeux de tous

Autres Fiches réflexes

AIDE RECOMMANDEE

QUESTIONS REPONSES - Contextualisées

QUESTIONS GENERALES