Attaque DDoS, que faire ?

Une attaque en déni de service ou DDoS vise à rendre inaccessible un serveur afin de provoquer une panne ou un fonctionnement fortement dégradé du service. Que faire en cas de DDoS ? Ne pas payer la rançon, filtrer les requêtes de l’attaquant, déposer plainte…

• Déni de service ou DDoS : définition
• Comment s’en protéger ?
• Victime d’une attaque par déni de service, que faire ?
• Que dit la loi en cas d’attaque DDoS ?
• Nos supports sur le déni de service

Vous pensez être victime d’une attaque DDoS ? 
Notre dispositif conseille et oriente les victimes de cybermalveillance :

1. Déni de service ou DDoS : définition

Une attaque en déni de service ou en déni de service distribué (DDoS pour Distributed Denial of Service en anglais) vise à rendre inaccessible un serveur par l’envoi de multiples requêtes jusqu’à le saturer ou par l’exploitation d’une faille de sécurité afin de provoquer une panne ou un fonctionnement fortement dégradé du service. Ce type d’attaque peut être d’une grande gravité pour l’organisation qui en est victime. Durant l’attaque, le site ou service n’est plus utilisable, au moins temporairement, ou difficilement, ce qui peut entraîner des pertes directes de revenus pour les sites marchands et des pertes de productivité.
L’attaque est souvent visible publiquement, voire médiatiquement, et laisse à penser que l’attaquant aurait pu prendre le contrôle du serveur, donc potentiellement accéder à toutes ses données, y compris les plus sensibles (données personnelles, bancaires, commerciales…) : ce qui porte directement atteinte à l’image et donc la crédibilité du propriétaire du site auprès de ses utilisateurs, clients, usagers, partenaires, actionnaires…

2. Comment s’en protéger ?

• 1. Appliquez de manière régulière et systématique les mises à jour de sécurité

  du système et des logiciels installés sur votre machine.

• 2. Ayez un pare-feu correctement paramétré :

  fermez tous les ports inutilisés et ne laissez que les adresses des machines indispensables accéder à distance aux fonctionnalités d’administration du site.

• 3. Vérifiez que les mots de passe sont suffisamment complexes et changés régulièrement,

  mais également que ceux créés par défaut sont effacés s’ils ne sont pas tout de suite changés.

• 4. Sollicitez votre hébergeur

  afin qu’il prévoie une réponse à ce type d’attaque au niveau de ses infrastructures.

3. Victime d’une attaque par déni de service, que faire ?

1. Ne payez pas la rançon : en cas de menace d’attaque, ne payez pas la rançon car vous alimenteriez le système mafieux, sans garantie que l’attaque n’aura pas lieu ou même qu’elle aurait pu avoir lieu.
2. Filtrez ou faites filtrer les requêtes de l’attaquant au niveau de votre pare-feu ou de votre hébergeur.
3. Conservez les preuves : réalisez ou faites réaliser une copie complète de la machine attaquée et de sa mémoire. Essayez de récupérer ou de faire récupérer par un professionnel les fichiers de journalisation (logs) de votre pare-feu, serveur mandataire (proxy), des serveurs touchés et des disques durs qui seront des éléments d’investigation. Ces éléments peuvent permettre d’obtenir des « traces » du cybercriminel dans le cadre de l’analyse de l’attaque. Ils peuvent également constituer des preuves à valeur juridique en cas de procédures ultérieures.
4. Évaluez les dégâts causés et les éventuelles informations perdues.  Vérifiez que, lors de l’attaque, les cybercriminels n’en aient pas profité pour réaliser d’autres actions frauduleuses sur le système informatique. En effet, les cybercriminels peuvent utiliser ce type d’attaques pour détourner l’attention de leur victime et procéder à d’autres actions malveillantes. Pour cela, vérifiez vos journaux de connexions en recherchant toute activité anormale ou suspecte, procédez à une analyse anti-virus approfondie. Au moindre doute ou en cas de symptômes de piratage, réalisez un parcours d’assistance sur notre site pour l’équipement concerné afin d’obtenir des conseils plus détaillés.
5. Changez tous les mots de passe d’accès au moindre doute : au moindre doute sur leur possible prise de contrôle par le cybercriminel, changez tous les mots de passe d’accès aux serveurs suspectés touchés (tous nos conseils pour gérer au mieux vos mots de passe). Envisagez également leur réinstallation complète à partir de sauvegardes réputées saines (tous nos conseils pour gérer au mieux vos sauvegardes).
6. Faites-vous assister au besoin par des professionnels qualifiés. Vous trouverez sur www.cybermalveillance.gouv.fr des professionnels en cybersécurité susceptibles de pouvoir vous apporter leur assistance.
7. Déposez plainte au commissariat de police ou à la brigade de gendarmerie dont vous dépendez. Vous pouvez également adresser votre plainte par écrit au procureur de la République du tribunal judiciaire dont vous dépendez en fournissant toutes les preuves en votre possession.
8. Notifiez cette attaque à la CNIL s’il y a eu une violation de données à caractère personnel : si l’attaque en déni de service à pour conséquence une indisponibilité, une modification ou une suppression de données à caractère personnel, vous pourriez être dans l’obligation de notifier l’incident à la CNIL voire aux personnes concernées. Vous devrez notamment préciser :
   – la nature de la violation,
   – les catégories et le nombre approximatif de personnes concernées par la violation,
   – les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés,
   – les conséquences probables de la violation de données,
   – les mesures prises ou que vous envisagez de prendre pour éviter que cet incident se reproduise ou atténuer les éventuelles conséquences négatives.

Témoignage d’une victime de déni de service

« Nous avons reçu des menaces d’attaques en déni de service si nous ne payions pas une rançon de plusieurs milliers d’euros. Nous n’avons pas pris ces menaces au sérieux. Quand l’attaque a été déclenchée, notre site Internet s’est retrouvé paralysé puis fortement perturbé pendant plusieurs jours. Nous avons travaillé avec nos prestataires et notre opérateur Internet pour contenir l’attaque et pouvoir reprendre notre activité. Nous n’étions pas préparés à faire face à ce type d’attaque car nous n’imaginions pas pouvoir y être confrontés un jour. Depuis nous avons pris les mesures nécessaires pour que cette situation ne puisse pas se reproduire. »

4. Que dit la loi en cas d’attaque DDoS ?

5. Nos supports sur le déni de service

Pour aller plus loin :

Pour informer et sensibiliser les publics sur les menaces numériques, Cybermalveillance.gouv.fr met à disposition divers contenus thématiques : des supports variés pour  comprendre les cybermenaces et savoir comment y réagir, ainsi que des bonnes pratiques à adopter pour assurer votre cybersécurité.
> Consulter la liste de l’ensemble des ressources mises à disposition par le dispositif.