Submerger un service Internet sous le nombre des requêtes est sans doute le moyen le plus simple pour faire tomber un service. Les attaquants entretiennent de vastes réseaux de botnet sur des PC ou même des objets connectés pour pouvoir lancer ces attaques qui prennent aujourd’hui une ampleur considérable.
Dans une attaque de type déni de service, l’objectif initial est de mettre hors ligne un service Cloud, une API ou un site Web tout simplement en les saturant de requêtes. Face à une avalanche soudaine de requêtes, les serveurs saturent et commencent à émettre des messages d’erreur, ce qui rend le service visé inaccessible pour les véritables utilisateurs. Il s’agit généralement d’attaques DDoS (Distributed Denial-of-Service) car l’attaquant génère sa charge au moyen de milliers d’ordinateurs zombies. Des bots patiemment mis en place pendant des mois vont générer les requêtes d’attaque le jour J. Cette approche massive est aujourd’hui nécessaire pour faire tomber un site, car les défenseurs mettent en place diverses techniques pour contrer ces attaques. Outre les caches qui soulagent les serveurs, ceux-ci placent des filtres pour écarter les requêtes réseau considérées comme hostiles. Ils peuvent aussi s’appuyer sur un fournisseur de CDN (Content Delivery Network) qui va pouvoir absorber l’attaque beaucoup plus facilement grâce à son architecture réseau mondiale.
Dans ce jeu du chat et de la souris entre attaquants et défenseurs, on assiste à une inflation de l’ampleur de ces attaques. Le 1er juillet 2022, Google a annoncé avoir bloqué une attaque qui a culminé à 46 millions de requêtes par seconde, soit 76% de plus que le précédent record enregistré par Cloudflare le 14 juin 2022 avec 26 millions de requêtes par seconde.
De telles attaques ont pour finalité de pénaliser un concurrent commercial, mais peuvent aussi donner lieu à une demande de rançon par l’attaquant. Elles peuvent aussi faire partie d’une stratégie d’attaque plus large, l’attaque DDoS n’étant qu’une partie visible de l’attaque, les pirates réalisant une infiltration plus discrète au moment même où l’équipe de sécurité tente de résoudre le déni de service.
