Une attaque en déni de service ou DDoS vise à rendre inaccessible un serveur afin de provoquer une panne ou un fonctionnement fortement dégradé du service. Que faire en cas de DDoS ? Ne pas payer la rançon, filtrer les requêtes de l’attaquant, déposer plainte…
- Déni de service ou DDoS : définition
- Comment s’en protéger ?
- Victime d’une attaque par déni de service, que faire ?
- Que dit la loi en cas d’attaque DDoS ?
- Nos supports sur le déni de service
Vous pensez être victime d’une attaque DDoS ?
Notre dispositif conseille et oriente les victimes de cybermalveillance :
1. Déni de service ou DDoS : définition
Une attaque en déni de service ou en déni de service distribué (DDoS pour Distributed Denial of Service en anglais) vise à rendre inaccessible un serveur par l’envoi de multiples requêtes jusqu’à le saturer ou par l’exploitation d’une faille de sécurité afin de provoquer une panne ou un fonctionnement fortement dégradé du service. Ce type d’attaque peut être d’une grande gravité pour l’organisation qui en est victime. Durant l’attaque, le site ou service n’est plus utilisable, au moins temporairement, ou difficilement, ce qui peut entraîner des pertes directes de revenus pour les sites marchands et des pertes de productivité.
L’attaque est souvent visible publiquement, voire médiatiquement, et laisse à penser que l’attaquant aurait pu prendre le contrôle du serveur, donc potentiellement accéder à toutes ses données, y compris les plus sensibles (données personnelles, bancaires, commerciales…) : ce qui porte directement atteinte à l’image et donc la crédibilité du propriétaire du site auprès de ses utilisateurs, clients, usagers, partenaires, actionnaires…
But recherché :
Rendre un service indisponible. Le cybercriminel agit pour des motivations politiques, idéologiques, par goût du challenge, chantage, vengeance, ou pour des raisons économiques (concurrence). Cette attaque peut être utilisée pour faire diversion d’une autre attaque visant à voler des données sensibles de sa cible.
2. Comment s’en protéger ?
3. Victime d’une attaque par déni de service, que faire ?
- Ne payez pas la rançon : en cas de menace d’attaque, ne payez pas la rançon car vous alimenteriez le système mafieux, sans garantie que l’attaque n’aura pas lieu ou même qu’elle aurait pu avoir lieu.
- Filtrez ou faites filtrer les requêtes de l’attaquant au niveau de votre pare-feu ou de votre hébergeur.
- Conservez les preuves : réalisez ou faites réaliser une copie complète de la machine attaquée et de sa mémoire. Essayez de récupérer ou de faire récupérer par un professionnel les fichiers de journalisation (logs) de votre pare-feu, serveur mandataire (proxy), des serveurs touchés et des disques durs qui seront des éléments d’investigation. Ces éléments peuvent permettre d’obtenir des « traces » du cybercriminel dans le cadre de l’analyse de l’attaque. Ils peuvent également constituer des preuves à valeur juridique en cas de procédures ultérieures.
- Évaluez les dégâts causés et les éventuelles informations perdues. Vérifiez que, lors de l’attaque, les cybercriminels n’en aient pas profité pour réaliser d’autres actions frauduleuses sur le système informatique. En effet, les cybercriminels peuvent utiliser ce type d’attaques pour détourner l’attention de leur victime et procéder à d’autres actions malveillantes. Pour cela, vérifiez vos journaux de connexions en recherchant toute activité anormale ou suspecte, procédez à une analyse anti-virus approfondie. Au moindre doute ou en cas de symptômes de piratage, réalisez un parcours d’assistance sur notre site pour l’équipement concerné afin d’obtenir des conseils plus détaillés.
- Changez tous les mots de passe d’accès au moindre doute : au moindre doute sur leur possible prise de contrôle par le cybercriminel, changez tous les mots de passe d’accès aux serveurs suspectés touchés (tous nos conseils pour gérer au mieux vos mots de passe). Envisagez également leur réinstallation complète à partir de sauvegardes réputées saines (tous nos conseils pour gérer au mieux vos sauvegardes).
- Faites-vous assister au besoin par des professionnels qualifiés. Vous trouverez sur www.cybermalveillance.gouv.fr des professionnels en cybersécurité susceptibles de pouvoir vous apporter leur assistance.
- Déposez plainte au commissariat de police ou à la brigade de gendarmerie dont vous dépendez. Vous pouvez également adresser votre plainte par écrit au procureur de la République du tribunal judiciaire dont vous dépendez en fournissant toutes les preuves en votre possession.
- Notifiez cette attaque à la CNIL s’il y a eu une violation de données à caractère personnel : si l’attaque en déni de service à pour conséquence une indisponibilité, une modification ou une suppression de données à caractère personnel, vous pourriez être dans l’obligation de notifier l’incident à la CNIL voire aux personnes concernées. Vous devrez notamment préciser :
– la nature de la violation,
– les catégories et le nombre approximatif de personnes concernées par la violation,
– les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés,
– les conséquences probables de la violation de données,
– les mesures prises ou que vous envisagez de prendre pour éviter que cet incident se reproduise ou atténuer les éventuelles conséquences négatives.
Témoignage d’une victime de déni de service
« Nous avons reçu des menaces d’attaques en déni de service si nous ne payions pas une rançon de plusieurs milliers d’euros. Nous n’avons pas pris ces menaces au sérieux. Quand l’attaque a été déclenchée, notre site Internet s’est retrouvé paralysé puis fortement perturbé pendant plusieurs jours. Nous avons travaillé avec nos prestataires et notre opérateur Internet pour contenir l’attaque et pouvoir reprendre notre activité. Nous n’étions pas préparés à faire face à ce type d’attaque car nous n’imaginions pas pouvoir y être confrontés un jour. Depuis nous avons pris les mesures nécessaires pour que cette situation ne puisse pas se reproduire. »
4. Que dit la loi en cas d’attaque DDoS ?
En fonction du cas d’espèce, les infractions suivantes peuvent être retenues :
L’incrimination principale qui peut être ici retenue est celle d’entrave à un système de traitement automatisé de données (STAD ou système d’information).
Les articles 323-1 à 323-7 du code pénal disposent que :
• Article 323-2 du code pénal : « le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données ». Cet article pourra être appliqué dans l’hypothèse d’une attaque par « déni de service ». Il est passible d’une peine de cinq ans d’emprisonnement et de 150000 euros d’amende. « Lorsque cette infraction a été commise à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’État, la peine est portée à sept ans d’emprisonnement et à 300 000 euros d’amende ».
• Article 323-1 du code pénal : « le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données » est passible de deux ans d’emprisonnement et de 60 000 euros d’amende. « Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système », les auteurs sont passibles de trois ans d’emprisonnement et de 100 000 euros d’amende. « Lorsque les infractions […] ont été commises à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’État, la peine est portée à cinq ans d’emprisonnement et à 150 000 euros d’amende »..
Les tentatives de ces infractions sont passibles des mêmes peines.
Si l’attaque fait suite à un « chantage »: les faits peuvent être qualifiés juridiquement de tentative d’extorsion, punie et réprimée par l’article 312-1 du code pénal : « L’extorsion est le fait d’obtenir par violence, menace de violences ou contrainte soit une signature, un engagement ou une renonciation, soit la révélation d’un secret, soit la remise de fonds, de valeurs ou d’un bien quelconque ». L’extorsion est passible de sept ans d’emprisonnement et de 100 000 euros d’amende.
5. Nos supports sur le déni de service
Déni de service (DDoS)
Téléchargez notre fiche réflexe sur le déni de service au format PDF afin d’adopter les bonnes pratiques en matière de sécurisation numérique et savoir réagir si vous en êtes victime.
Publié le 26/03/2021PDF 115 KoTÉLÉCHARGER
Pour aller plus loin :
« Comprendre et anticiper les attaques DDoS » par l’ANSSI
Réalisé par l’Agence nationale de la sécurité des systèmes d’information, ce guide présente les solutions existantes permettant d’anticiper et faire face aux attaques DDoS.
Pour informer et sensibiliser les publics sur les menaces numériques, Cybermalveillance.gouv.fr met à disposition divers contenus thématiques : des supports variés pour comprendre les cybermenaces et savoir comment y réagir, ainsi que des bonnes pratiques à adopter pour assurer votre cybersécurité.
> Consulter la liste de l’ensemble des ressources mises à disposition par le dispositif.