Qu’est-ce qu’un botnet DDoS ?

Une botnet DDoS est un réseau d'ordinateurs ou de dispositifs de l'Internet des Objets (IdO) compromis, utilisés par des acteurs malveillants pour lancer des attaques par déni de service distribué (DDoS). Ces attaques visent à submerger la cible de trafic, perturbant sa fonctionnalité normale et la rendant indisponible pour les utilisateurs légitimes. 

Botnet vs. botnet DDoS

Un botnet est un groupe d’ordinateurs ou d’appareils IdO (Internet des Objets) infectés qui sont passés sous le contrôle d’un hacker, parfois appelé « botmaster » ou encore « bot herder ». Le botmaster utilise les ressources informatiques mises en commun auxquelles le botnet permet d’accéder dans le but de mener des attaques de masse. 

Un botnet de déni de service distribué est simplement un botnet utilisé spécifiquement pour mener des attaques de déni de service distribué.

Qu’est-ce qu’une attaque DDoS ?

Une attaque par déni de service distribué (DDoS) est une forme de cyberattaque où un hacker utilise de nombreux ordinateurs compromis (un botnet DDoS) pour générer une attaque volumétrique, dans le but de submerger un système cible. Ce type d'attaque peut rendre la cible (un service ou un serveur) indisponible pour les utilisateurs légitimes. Vous pouvez considérer une attaque par déni de service distribué (DDoS) comme un déluge de trafic illégitime provenant de diverses sources qui paralyse efficacement le système ciblé.  

Comment les botnets sont-ils créés ?

Pour créer un botnet, le botmaster commence par infecter un réseau d’appareils qu’il pourra utiliser pour diriger ses attaques. Pour infecter ces appareils, les hackers ont recours à différentes techniques comme les failles de sécurité de logiciels, celles de micrologiciels ou le téléchargement de liens/fichiers comportant un programme malveillant. Une fois l’appareil infecté, le botmaster peut exploiter les différentes ressources informatiques pour mener des attaques, bien souvent à l’insu du propriétaire de l’appareil. Bien qu’il n’existe aucun nombre défini d’appareils pour créer un botnet, plus le réseau est étendu, plus le hacker peut lancer des attaques de grande envergure. Une fois les appareils infectés, deux modèles permettent d’en prendre le contrôle.

Comment les botnets sont-ils contrôlés ?

Modèle client-serveur

Pour contrôler les bots, le hacker a besoin d’une infrastructure pour établir la communication entre le serveur (c.-à-d. le botmaster) et ses clients (les ordinateurs ou appareils infectés). Le modèle client-serveur s’inscrit comme le tout premier modèle de botnet. Il s’appuie sur un serveur centralisé (serveur de commande et de contrôle ou C&C) pour transmettre ses instructions. Ainsi, avec le modèle client-serveur, les clients obéissent uniquement aux instructions transmises par le serveur C&C du botmaster. Cette dépendance constitue la plus grande faiblesse de ce modèle, car si le serveur C&C est découvert et neutralisé, le botnet entier devient inutilisable.

P2P et serveur C&C décentralisé

Les modèles de peer-to-peer (P2P) et les serveurs de commande et de contrôle décentralisés C&C sont apparus pour contourner l’architecture centralisée du modèle client-serveur. Ces modèles permettent en effet à n’importe quel client de faire office de serveur. Ainsi, contrairement au modèle client-serveur dans lequel les instructions proviennent d’une seule source, tout client du botnet peut envoyer des instructions. Bien que l’envoi d’instructions prenne plus de temps, cette particularité fait qu’il est presque impossible de neutraliser le botnet.

Quels types d’attaques peuvent être menées grâce à un botnet ?

Les botnets peuvent mener les mêmes attaques qu’un ordinateur, mais la différence porte sur l’ampleur des attaques. Le déni de service distribué (DDoS), le piratage de compte, les spams et autres attaques en masse sont celles privilégiées par les botnets.  Parmi les plus célèbres de ces botnets, on retrouve le botnet Mirai, qui a été utilisé pour mener des attaques en déni de service distribué massives qui ont touché de grands sites Web comme Twitter, Netflix et Reddit en 2016, ainsi que le botnet 3ve qui a utilisé près de deux millions d’ordinateurs infectés pour mener des fraudes au clic d’une valeur estimée à quelque 30 millions de dollars.  

Comment protéger vos applications contre les réseaux de robots DDoS ?

Protéger vos applications contre les botnets de déni de service distribué revient à protéger vos applications contre les attaques de déni de service distribué. Les meilleures pratiques incluent : 

  1. Comprendre les comportements du trafic : la première ligne de défense consiste à créer un profil de trafic. Ce profil doit montrer à quoi ressemble le trafic légitime et définir des attentes concernant le volume de trafic attendu sur votre réseau.  En surveillant votre trafic à l’aide de ce profil, vous pourrez configurer des règles pour accepter autant de trafic que votre infrastructure le permet sans que cela ait des conséquences pour vos utilisateurs finaux. 

  2. Utiliser la limitation du débit : la limitation du débit fournit une base de référence, et vous pouvez ensuite mettre en place des méthodes de détection avancées pour recevoir le trafic qui a été validé par l'analyse de variables supplémentaires. Un seul problème de sécurité, aussi minime soit-il, peut causer des dommages irréparables sur votre réseau et vos serveurs, entraînant vos employés dans la spirale allant du choc à la reconstruction suite à une attaque DDoS. Pour éviter cette descente aux enfers, mieux vaut prendre les mesures nécessaires le plus tôt possible.

  3. Minimisez l’exposition : l’un des moyens les plus simples d’atténuer les attaques DDoS est de réduire la surface pouvant être prise pour cible, c’est-à-dire réduire la marge de manœuvre des hackers tout en concevant des mesures de protection et des mesures correctives regroupées au même point. Il est important de s’assurer que vos applications et hôtes ne sont pas exposés à des ports, protocoles et autres applications avec lesquels ils n’ont pas besoin de communiquer. La plupart du temps, cela peut être fait en protégeant les ressources de votre infrastructure avec un CDN proxy qui limite le trafic web direct vers certaines parties de votre infrastructure. Dans d’autres cas, vous pouvez utiliser un pare-feu ou des listes de contrôle d’accès (Access Control Lists ou ACLS) pour autoriser ou interdire l’accès à certaines applications.

  4. Déployer un firewall basé sur les applications : si votre application est connectée à Internet, il y a fort à parier qu’elle soit prise pour cible plusieurs fois par jour. Les applications connectées subissent en moyenne une attaque toutes les 39 secondes. Pour stopper ces attaques, il est recommandé d’utiliser un Web Application Firewall (WAF). Un bon point de départ est de se renseigner sur les types d’attaques répertoriés dans le Top 10 de l’OWASP et de prendre les mesures nécessaires pour les atténuer. Cela vous permettra de créer un profil de trafic adapté contre d’autres requêtes non valides. Ces requêtes peuvent prendre l’apparence de trafic légitime, alors qu’elles proviennent en réalité d’adresses IP malveillantes déjà connues ou de régions du monde avec lesquelles vous n’avez aucune relation professionnelle ou commerciale. Un WAF peut aussi être utile pour atténuer les attaques, car il vous permet de vous appuyer sur un service d’assistance expérimenté pour effectuer des analyses heuristiques du trafic et développer des mesures de protection conçues spécifiquement pour votre application.

  5. Échelle par conception : bien qu’il ne s’agisse pas de la meilleure solution de manière isolée, vous pouvez augmenter votre bande passante (transit) ou la capacité de vos serveurs (puissance de calcul) pour absorber et atténuer les attaques. Assurez-vous d’avoir une connectivité redondante à Internet lorsque vous concevez et développez vos applications pour gérer plus efficacement les pics de trafic. Une pratique courante consiste à utiliser l’équilibrage de charge (load balancing) pour surveiller constamment les charges et les répartir entre toutes les ressources disponibles afin d’éviter de surcharger un seul serveur. Vous pouvez également créer vos applications web en utilisant un CDN pour ajouter une couche d’infrastructure réseau supplémentaire et distribuer du contenu à partir d’emplacements plus proches de vos utilisateurs finaux. La plupart des attaques DDoS sont des attaques volumétriques et utilisent des ressources colossales face auxquelles vos applications augmenter ou diminuer rapidement leur puissance de calcul. Grâce à sa nature distribuée, un CDN permet de répartir et de disperser l’attaque jusqu’à ce qu’elle puisse être facilement absorbée. Les CDN vous donnent également accès à d’autres méthodes pour contrecarrer les attaques les plus sophistiquées. Le fait de développer un profil d’attaque permet aux CDN de supprimer ou de ralentir le trafic malveillant. 

Pour en savoir plus sur la manière d'atténuer une attaque de déni de service distribué, vous pouvez consulter nos recommandations sur les meilleures pratiques DDoS

Les avantages de Fastly

  • Atténuation automatique des attaques : la plateforme détecte et neutralise les attaques DDoS sans intervention manuelle, garantissant une disponibilité constante du service.

  • Capacité mondiale massive : avec une capacité réseau de plus de 350 To/s, Fastly peut résister aux attaques volumétriques les plus importantes, tout en maintenant la résilience de l’infrastructure lors d’événements extrêmes.

  • Surveillance dynamique du trafic : l’évaluation continue des modèles de trafic permet de détecter les anomalies et de traiter efficacement les menaces avant qu’elles ne perturbent vos opérations.

  • Temps de réponse rapide : la plateforme DDoS de Fastly bloque les attaques en quelques secondes, minimisant ainsi les perturbations pour vos utilisateurs finaux.

  • Techniques d’identification adaptatives : à l’aide de méthodes innovantes telles que le démasquage des attributs, Fastly identifie et bloque rapidement les attaques sophistiquées et évolutives qui contournent les défenses conventionnelles.

  • Prise en charge d’une architecture polyvalente : la plateforme de protection DDoS se déploie rapidement sur diverses infrastructures, s’adaptant aux modifications à la demande.

  • Expérience de plateforme intégrée : Fastly propose une solution autonome qui s'intègre aux autres services Fastly Edge Cloud selon les besoins.

  • Opérations rentables : Fastly facture en fonction du trafic légitime, garantissant que vous n'êtes pas accablé(e) par des dépenses résultant de pics d'attaques.

  • Protection résiliente des applications et des API : Fastly protège les applications et les API contre la baisse de performance et les pannes, garantissant ainsi une distribution de service fiable, même en cas d’attaque.

  • Déploiement simple : la solution s'active d'un simple clic, offrant une protection immédiate aux entreprises de toutes tailles.

Apprenez-en davantage sur la façon dont la protection DDoS de Fastly peut vous aider à sécuriser votre infrastructure numérique et à assurer un service ininterrompu en demandant une démonstration

En savoir plus sur l’outil Next-Gen WAF de Fastly

Demander une démonstration