Conseil et assistance aux entreprises victimes de cybermalveillance : LES ATTAQUES EN DÉNI DE SERVICE (DDOS)
Face à la recrudescence des cyberattaques de toutes sortes, visant en particulier les entreprises mais également plus largement les particuliers et les collectivités, profitez des conseils et de l'assistance du site Cybermalveillance.gouv.fr
Cybermalveillance.gouv.fr a pour missions d'aider les entreprises, les particuliers et les collectivités victimes de cybermalveillance, de les informer sur les menaces numériques et de leur donner les moyens de se défendre.
COMPRENDRE LES RISQUES ET LES MENACES ET S'EN PROTÉGER
Les attaques en déni de service (DDoS)
Une attaque en déni de service ou en déni de service distribué (DDoS pour Distributed Denial of Service en anglais) vise à rendre inaccessible un serveur par l’envoi de multiples requêtes jusqu’à le saturer ou par l’exploitation d’une faille de sécurité afin de provoquer une panne ou un fonctionnement fortement dégradé du service. Ce type d’attaque peut être d’une grande gravité pour l’organisation qui en est victime. Durant l’attaque, le site ou service n’est plus utilisable, au moins temporairement, ou difficilement, ce qui peut entraîner des pertes directes de revenus pour les sites marchands et des pertes de productivité. L’attaque est souvent visible publiquement, voire médiatiquement, et laisse à penser que l’attaquant aurait pu prendre le contrôle du serveur, donc potentiellement accéder à toutes ses données, y compris les plus sensibles (données personnelles, bancaires, commerciales…) : ce qui porte directement atteinte à l’image et donc la crédibilité du propriétaire du site auprès de ses utilisateurs, clients, usagers, partenaires, actionnaires…
But recherché :
Rendre un service indisponible. Le cybercriminel agit pour des motivations politiques, idéologiques, par goût du challenge, chantage, vengeance, ou pour des raisons économiques (concurrence). Cette attaque peut être utilisée pour faire diversion d’une autre attaque visant à voler des données sensibles de sa cible.
1. Déni de service : Quelles sont les mesures préventives ?
du système et des logiciels installés sur votre machine.
2. Ayez un pare-feu correctement paramétré :
fermez tous les ports inutilisés et ne laissez que les adresses des machines indispensables accéder à distance aux fonctionnalités d’administration du site.
3. Vérifiez que les mots de passe sont suffisamment complexes et changés régulièrement,
mais également que ceux créés par défaut sont effacés s’ils ne sont pas tout de suite changés.
4. Sollicitez votre hébergeur
afin qu’il prévoie une réponse à ce type d’attaque au niveau de ses infrastructures.
2. Que faire si vous êtes victime ?
Ne payez pas la rançon : en cas de menace d’attaque, ne payez pas la rançon car vous alimenteriez le système mafieux, sans garantie que l’attaque n’aura pas lieu ou même qu’elle aurait pu avoir lieu.
Filtrez ou faites filtrer les requêtes de l’attaquant au niveau de votre pare-feu ou de votre hébergeur.
Conservez les preuves : réalisez ou faites réaliser une copie complète de la machine attaquée et de sa mémoire. Essayez de récupérer ou de faire récupérer par un professionnel les fichiers de journalisation (logs) de votre pare-feu, serveur mandataire (proxy), des serveurs touchés et des disques durs qui seront des éléments d’investigation. Ces éléments peuvent permettre d’obtenir des « traces » du cybercriminel dans le cadre de l’analyse de l’attaque. Ils peuvent également constituer des preuves à valeur juridique en cas de procédures ultérieures.
Évaluez les dégâts causés et les éventuelles informations perdues. Vérifiez que, lors de l’attaque, les cybercriminels n’en aient pas profité pour réaliser d’autres actions frauduleuses sur le système informatique. En effet, les cybercriminels peuvent utiliser ce type d’attaques pour détourner l’attention de leur victime et procéder à d’autres actions malveillantes. Pour cela, vérifiez vos journaux de connexions en recherchant toute activité anormale ou suspecte, procédez à une analyse anti-virus approfondie. Au moindre doute ou en cas de symptômes de piratage, réalisez un parcours d’assistance sur notre site pour l’équipement concerné afin d’obtenir des conseils plus détaillés.
Changez tous les mots de passe d’accès au moindre doute : au moindre doute sur leur possible prise de contrôle par le cybercriminel, changez tous les mots de passe d’accès aux serveurs suspectés touchés (tous nos conseils pour gérer au mieux vos mots de passe). Envisagez également leur réinstallation complète à partir de sauvegardes réputées saines (tous nos conseils pour gérer au mieux vos sauvegardes).
Faites-vous assister au besoin par des professionnels qualifiés. Vous trouverez sur www.cybermalveillance.gouv.fr des professionnels en sécurité informatique susceptibles de pouvoir vous apporter leur assistance.
Notifiez cette attaque à la CNIL s’il y a eu une violation de données à caractère personnel : si l’attaque en déni de service à pour conséquence une indisponibilité, une modification ou une suppression de données à caractère personnel, vous pourriez être dans l’obligation de notifier l’incident à la CNIL voire aux personnes concernées. Vous devrez notamment préciser : – la nature de la violation, – les catégories et le nombre approximatif de personnes concernées par la violation, – les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés, – les conséquences probables de la violation de données, – les mesures prises ou que vous envisagez de prendre pour éviter que cet incident se reproduise ou atténuer les éventuelles conséquences négatives.
En fonction du cas d’espèce, les infractions suivantes peuvent être retenues :
L’incrimination principale qui peut être ici retenue est celle d’entrave à un système de traitement automatisé de données (STAD ou système d’information).
Les articles 323-1 à 323-7 du code pénal disposent que : • Article 323-2 du code pénal : « le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données ». Cet article pourra être appliqué dans l’hypothèse d’une attaque par « déni de service ». Il est passible d’une peine de cinq ans d’emprisonnement et de 150000 euros d’amende. « Lorsque cette infraction a été commise à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’État, la peine est portée à sept ans d’emprisonnement et à 300 000 euros d’amende ». • Article 323-1 du code pénal : « le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données » est passible de deux ans d’emprisonnement et de 60 000 euros d’amende. « Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système », les auteurs sont passibles de trois ans d’emprisonnement et de 100 000 euros d’amende. « Lorsque les infractions […] ont été commises à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’État, la peine est portée à cinq ans d’emprisonnement et à 150 000 euros d’amende »..
Les tentatives de ces infractions sont passibles des mêmes peines.
Si l’attaque fait suite à un « chantage »: les faits peuvent être qualifiés juridiquement de tentative d’extorsion, punie et réprimée par l’article 312-1 du code pénal : « L’extorsion est le fait d’obtenir par violence, menace de violences ou contrainte soit une signature, un engagement ou une renonciation, soit la révélation d’un secret, soit la remise de fonds, de valeurs ou d’un bien quelconque ». L’extorsion est passible de sept ans d’emprisonnement et de 100 000 euros d’amende.
Pour aller plus loin :
« Comprendre et anticiper les attaques DDoS » par l’ANSSI
Réalisé par l’Agence nationale de la sécurité des systèmes d’information, ce guide présente les solutions existantes permettant d’anticiper et faire face aux attaques DDoS.