← Retour au blog Sécurité

Attaques DDoS : Comment Proteger le Site Web de Votre Entreprise

Envestis Team 14 min de lecture

Qu'est-ce Exactement qu'une Attaque DDoS ?

Une attaque par deni de service distribue (DDoS) inonde votre site web ou serveur avec tellement de trafic que les visiteurs legitimes ne peuvent plus y acceder. Imaginez des milliers de personnes essayant de passer simultanement par une seule porte. Personne ne peut entrer.

La partie "distribuee" est ce qui rend ces attaques particulierement redoutables. Le trafic provient de centaines ou milliers de sources differentes, generalement des ordinateurs et appareils IoT compromis formant ce que les chercheurs en securite appellent un botnet. Comme le trafic vient de tant d'endroits, vous ne pouvez pas simplement bloquer une adresse IP et resoudre le probleme.

Les attaques DDoS existent depuis la fin des annees 1990, mais elles ont considerablement augmente en frequence et en echelle. En 2024, plusieurs attaques ont depasse 1 Tbps (terabits par seconde). Pour reference, c'est approximativement equivalent au streaming simultane de 200 000 videos HD, tous diriges vers une seule cible.

Les Trois Principaux Types d'Attaques DDoS

Toutes les attaques DDoS ne fonctionnent pas de la meme maniere. Comprendre les differences est important car chaque type necessite une strategie de defense differente.

1. Attaques Volumetriques

Les attaques volumetriques sont l'approche par force brute. L'attaquant envoie simplement une enorme quantite de donnees pour saturer votre bande passante. Les techniques courantes comprennent :

  • Flood UDP - L'attaquant envoie des quantites massives de paquets UDP vers des ports aleatoires sur le serveur cible. Le serveur doit verifier chaque paquet, constater qu'aucune application n'ecoute sur ce port et renvoyer une reponse ICMP "destination inaccessible". Multipliez cela par des millions de paquets par seconde et le serveur est submerge.
  • Amplification DNS - L'attaquant envoie de petites requetes DNS avec une adresse IP source usurpee (votre IP) a des resolveurs DNS ouverts. Les resolveurs envoient leurs reponses beaucoup plus volumineuses a votre serveur. Une requete de 60 octets peut generer une reponse de 4 000 octets, donnant a l'attaquant un facteur d'amplification d'environ 70x.
  • Amplification NTP - Similaire a l'amplification DNS mais utilisant des serveurs Network Time Protocol. La commande monlist sur les anciens serveurs NTP peut produire des facteurs d'amplification de 500x ou plus.
  • Reflexion Memcached - Exploitation de serveurs Memcached mal configures exposes sur Internet. Cette technique a atteint des facteurs d'amplification superieurs a 50 000x dans certains cas.

Les attaques volumetriques se mesurent en bits par seconde (bps). Tout ce qui depasse 10 Gbps submergera la plupart des configurations d'hebergement sur serveur unique.

2. Attaques de Protocole

Les attaques de protocole exploitent les faiblesses des protocoles reseau (couches 3 et 4 du modele OSI) pour consommer les ressources du serveur ou des equipements intermediaires comme les pare-feu et les repartiteurs de charge.

  • Flood SYN - L'attaquant envoie une succession rapide de requetes TCP SYN sans completer la poignee de main en trois etapes. Chaque connexion semi-ouverte consomme des ressources sur le serveur. La table de connexions se remplit et le serveur ne peut plus accepter de nouvelles connexions.
  • Ping of Death - Envoi de paquets ICMP malformes ou surdimensionnes qui font planter le systeme cible.
  • Attaques Smurf - Diffusion de requetes ICMP echo a l'adresse de broadcast d'un reseau avec l'IP source usurpee comme adresse de la victime.
  • Attaques par paquets fragmentes - Envoi de paquets fragmentes que le serveur ne peut pas reassembler correctement, consommant memoire et ressources CPU.

3. Attaques au Niveau Applicatif

Ce sont les plus sophistiquees et souvent les plus difficiles a detecter car elles ressemblent a du trafic normal. L'attaquant cible des fonctionnalites specifiques de votre application web.

  • Flood HTTP - Envoi de requetes HTTP GET ou POST apparemment legitimes a haut volume. Un flood GET pourrait demander repetitivement votre page la plus lourde.
  • Slowloris - Ouverture de connexions a votre serveur web et maintien aussi longtemps que possible en envoyant des requetes HTTP partielles.
  • R-U-Dead-Yet (RUDY) - Similaire a Slowloris mais ciblant les champs HTTP POST. L'attaquant soumet un formulaire avec un en-tete content-length tres long, puis envoie le corps un octet a la fois.
  • Attaques WordPress XML-RPC - Exploitation de la fonctionnalite pingback dans WordPress pour amplifier les requetes.

Comment se Deroule Reellement une Attaque DDoS

Voici ce qui se passe typiquement quand une entreprise est touchee :

  1. Reconnaissance - L'attaquant identifie l'adresse IP de votre serveur, votre hebergeur et potentiellement vos modeles de trafic.
  2. Activation du botnet - L'attaquant commande son botnet pour commencer a envoyer du trafic vers votre serveur. Les botnets sont disponibles a la location sur les marches du dark web pour aussi peu que 10-50 dollars de l'heure.
  3. Montee en charge - L'attaque commence souvent lentement et augmente sur des minutes ou des heures.
  4. Degradation du service - Votre site web commence a charger lentement. Les connexions a la base de donnees expirent. Les poignees de main SSL echouent.
  5. Panne complete - Si l'attaque submerge vos defenses, le site tombe completement hors ligne.
  6. Dommages collateraux - Si vous etes sur un hebergement partage, d'autres sites sur le meme serveur peuvent aussi tomber.

L'Impact Commercial des Attaques DDoS

Le cout d'une attaque DDoS va bien au-dela du temps d'arret immediat.

Pertes Financieres Directes

Type d'EntrepriseCout Estime par Heure d'Indisponibilite
Petit e-commerce1 000 $ - 10 000 $
E-commerce moyen10 000 $ - 100 000 $
Grande entreprise100 000 $ - 1 000 000 $+
Services financiers1 000 000 $+

Atteinte a la Reputation

Les clients qui ne peuvent pas atteindre votre site n'attendent pas. Ils vont chez un concurrent. Les etudes montrent regulierement que les utilisateurs ayant subi une interruption sont nettement moins susceptibles de revenir. Pour une entreprise cherchant a etablir la confiance, surtout dans des secteurs comme la finance ou la sante, une panne visible mine la credibilite.

Impact SEO

Un temps d'arret prolonge affecte les classements de recherche. Les robots de Google finiront par remarquer que votre site est inaccessible et pourraient temporairement retirer vos pages des resultats de recherche.

Le DDoS comme Ecran de Fumee

Une des tendances les plus preoccupantes est l'utilisation des attaques DDoS comme distraction. Pendant que l'equipe de securite s'efforce de retablir le service, l'attaque reelle se deroule ailleurs : exfiltration de donnees, installation de malwares ou compromission de comptes.

Strategie de Protection : CloudFlare et Defense Basee sur CDN

L'etape la plus efficace que la plupart des entreprises peuvent franchir est de placer leur site derriere un CDN avec protection DDoS integree. Nous avons ecrit en detail sur les avantages des CDN, mais voici l'angle specifique DDoS.

Comment Fonctionne la Protection CloudFlare

CloudFlare (et des services similaires comme AWS Shield ou Akamai) exploite un reseau mondial massif. Quand vous routez votre trafic via CloudFlare :

  1. L'IP reelle de votre serveur est masquee derriere le reseau CloudFlare.
  2. Le trafic est distribue a travers le reseau mondial de centres de donnees de CloudFlare.
  3. Le trafic malveillant est filtre en peripherie, pres de sa source, avant d'atteindre votre serveur.
  4. Le trafic legitime passe normalement avec une latence minimale ajoutee.

Reseaux Anycast Expliques

Anycast est la technique de routage qui rend possible la protection DDoS basee sur CDN. Dans une configuration normale (unicast), votre serveur a une adresse IP a un seul emplacement. Avec anycast, la meme adresse IP est annoncee depuis plusieurs emplacements dans le monde. Quand un attaquant envoie du trafic a votre adresse IP, ce trafic est automatiquement route vers le point de presence anycast le plus proche.

Limitation de Debit : Votre Deuxieme Ligne de Defense

La limitation de debit restreint le nombre de requetes qu'une seule adresse IP peut effectuer dans une fenetre de temps donnee. C'est particulierement efficace contre les attaques au niveau applicatif.

  • Identifiez vos modeles de trafic normaux avant de definir des limites.
  • Definissez des limites par point d'acces - Differentes pages necessitent des limites differentes.
  • Utilisez des reponses progressives - D'abord un CAPTCHA, puis un blocage temporaire.
  • Limitez par plus que l'IP - Considerez le token de session, les modeles d'agent utilisateur ou les empreintes comportementales.

Pare-feu d'Application Web (WAF)

Un WAF inspecte le trafic HTTP entrant et bloque les requetes correspondant a des modeles d'attaque connus. Contrairement a la limitation de debit qui s'interesse au volume, un WAF examine le contenu de chaque requete.

  • Tentatives d'injection SQL dans les parametres URL et champs de formulaire
  • Charges utiles Cross-site scripting (XSS)
  • Signatures de bots malveillants connus
  • Requetes depuis les noeuds de sortie TOR ou services proxy connus
  • Requetes avec en-tetes suspects ou HTTP malformes
  • Restrictions geographiques

Construire une Defense Multi-Couches

Aucune mesure unique ne stoppe toutes les attaques DDoS. Une protection efficace necessite des couches :

Couche 1 : Reseau

  • Utilisez un service CDN/protection DDoS
  • Gardez l'IP de votre serveur d'origine cachee
  • Utilisez anycast si possible pour votre propre infrastructure
  • Assurez-vous que votre hebergeur dispose d'un filtrage DDoS en amont

Couche 2 : Serveur

  • Configurez votre pare-feu pour rejeter le trafic manifestement malveillant
  • Activez les SYN cookies pour gerer les floods SYN
  • Ajustez les parametres du noyau pour les charges de connexion elevees
  • Implementez des delais d'attente de connexion agressifs

Couche 3 : Application

  • Deployez un WAF avec des regles gerees et personnalisees
  • Implementez la limitation de debit par point d'acces
  • Mettez en cache agressivement pour reduire la charge backend
  • Implementez des disjoncteurs pour eviter les effets de cascade

Couche 4 : Surveillance et Reponse

  • Configurez des alertes pour les anomalies de trafic
  • Preparez un guide de reponse DDoS
  • Entrainez-vous a votre plan de reponse au moins une fois par an

Exemples d'Attaques Reelles

GitHub (2018) - Attaque Memcached de 1,35 Tbps

En fevrier 2018, GitHub a ete frappe par la plus grande attaque DDoS enregistree a l'epoque. Le trafic de GitHub est passe de normal a 1,35 Tbps en moins de 10 minutes. Leur fournisseur de mitigation DDoS (Akamai Prolexic) a absorbe l'attaque et le service a ete retabli en environ 20 minutes.

Dyn DNS (2016) - Le Botnet Mirai

Le botnet Mirai, construit a partir d'appareils IoT compromis, a attaque l'infrastructure DNS de Dyn et a mis hors service une partie significative d'Internet sur la cote est des Etats-Unis. Des sites comme Twitter, Reddit, Netflix et CNN sont devenus inaccessibles.

Attaques contre les Petites Entreprises

Pour chaque attaque mediatisee contre une grande entreprise, des milliers de PME sont touchees sans couverture mediatique. Nous avons travaille avec des entreprises en Suisse qui ont vecu exactement ce scenario. Dans la plupart des cas, placer le site derriere CloudFlare et implementer une limitation de debit basique a suffi pour prevenir les attaques repetees.

Etapes Pratiques a Prendre des Maintenant

  1. Configurez CloudFlare (ou un service similaire). Meme le plan gratuit est considrablement mieux que pas de protection.
  2. Masquez votre IP d'origine.
  3. Activez la limitation de debit sur vos points d'acces les plus sensibles.
  4. Mettez en place la surveillance.
  5. Creez un plan de reponse.
  6. Testez votre resilience.
  7. Verifiez la politique DDoS de votre hebergeur.

Quand Faire Appel aux Professionnels

Si votre entreprise depend de la disponibilite web et que vous traitez des donnees sensibles ou des volumes de transactions importants, la protection en autonomie a ses limites. Une evaluation de securite professionnelle peut identifier des lacunes dans votre defense que vous ne verriez pas vous-meme.

Chez Envestis, nous aidons les entreprises en Suisse a construire des strategies de protection DDoS multi-couches adaptees a leur profil de risque et budget specifiques. Contactez notre equipe si vous souhaitez un tableau clair de l'etat de vos defenses et de ce qui doit etre fait.

Vous voulez savoir si votre site est sécurisé ?

Demandez un audit de sécurité gratuit. En 48 heures vous recevez un rapport complet.

Demander un Audit Gratuit

Articles Connexes

Sécurité

Vulnerabilites WordPress en 2025 : Pourquoi Votre Site Est Encore en Danger

WordPress propulse plus de 40% du web, mais sa popularite en fait la cible numero un des attaquants. Nous analysons les classes de vulnerabilites les plus courantes, des CVE reels et les mesures concretes pour securiser votre installation.

· 18 min de lecture
Sécurité

SPF, DKIM et DMARC : Protegez Votre Entreprise Contre le Spoofing Email

Le spoofing email coute des milliards aux entreprises chaque annee via les fraudes BEC et le phishing. SPF, DKIM et DMARC sont trois protocoles qui, correctement configures, rendent l'usurpation de votre domaine quasi impossible.

· 15 min de lecture
Sécurité

Pages d'Administration Exposees : Un Cadeau pour les Hackers

Vos pages /wp-admin, /admin ou /login sont visibles par tout internet. Les bots les scannent en ce moment. Le CAPTCHA seul ne vous sauvera pas. Voici comment les attaquants exploitent les panneaux admin exposes.

· 13 min de lecture

Contact Rapide