Créa-blog

#100JoursPourCoder
Projet Créa-code

Ressources pour développeur web

Théme de la semaine : l’OSINT

DDoS : Comment faire une attaque par déni de service et s’en protéger

Temps de lecture estimé : 17 minutes
Accueil Sécurité DDoS : Comment faire une attaque par déni de service et s’en protéger

Connaître les méthodes employées par les attaquants aide énormément à les anticiper et à s’en prémunir. Je vais donc vous expliquer, en termes simples, quelles sont les étapes et les techniques générales qu’un attaquant utilise lors d’une attaque DDoS (attaque par déni de service). Puis quelles contre-mesures concrètes et légales mettre en place pour limiter les risques et l’impact.

L’objectif est pédagogique : comprendre les concepts pour améliorer la défense, pas pour reproduire une attaque. Je garderai un langage accessible, des exemples concrets et quelques anecdotes pour illustrer — tout en respectant la légalité et l’éthique.

Vue d’ensemble : la logique d’une attaque DDoS (point de vue non technique)

Un attaque DDoS repose presque toujours sur la même idée générale : submerger une cible par une quantité anormale de requêtes ou de trafic, ou bien exploiter un composant réseau/protocole de façon à épuiser une ressource.

Un attaquant suit typiquement un cycle qui commence par la reconnaissance (repérer la cible, ses services, son hébergement), passe par la préparation (constituer ou louer des ressources pour générer du trafic), puis l’exécution (lancer l’attaque) et enfin l’ajustement (adapter l’attaque si la défense réagit).

Comprendre ces phases vous permet d’intervenir à chaque étape : réduire les surfaces d’exposition pendant la phase de reconnaissance, limiter l’effet des ressources adverses pendant l’exécution, et être prêt à répondre rapidement lors de l’ajustement.

Les grandes familles d’attaques — explication simple et sans détails dangereux

Il existe plusieurs familles d’attaques DDoS, chacune ciblant un aspect différent d’un service.

Volumétriques : leur but est de saturer la bande passante ou la capacité réseau de la cible en envoyant un volume massif de données. L’image mentale utile est celle d’une route où un embouteillage empêche les voitures légitimes d’avancer.

Protocolaires : elles exploitent des caractéristiques des protocoles réseau pour faire consommer des ressources (par exemple tables de connexions, sockets, ou CPU sur des équipements intermédiaires). C’est comparable à forcer l’entrée d’un magasin en multipliant des demandes qui obligent le personnel à vérifier chaque personne.

Application-layer (couches applicatives) : ces attaques ciblent le service lui-même (par exemple des requêtes HTTP qui demandent des pages lourdes), en visant à épuiser la capacité de traitement applicatif plutôt que la bande passante. Imaginez des visiteurs qui tapent des commandes très lourdes et ralentissent tous les postes de caisse.

Amplification et réflexion : ce sont des techniques qui permettent à l’attaquant d’obtenir un trafic plus important en abusant de serveurs mal configurés (serveurs qui renvoient des réponses plus volumineuses que la requête). L’analogie est d’utiliser des haut-parleurs pour amplifier sa voix sur une place publique.

Chaque type nécessite des réponses différentes : la mitigation d’un volumétrique mettra l’accent sur la capacité réseau et le filtrage au niveau ISP/CDN, tandis qu’une attaque applicative demandera un filtrage intelligent côté application et des règles métier.

Lifecycle de l’attaquant : comprendre pour anticiper

Phase de reconnaissance : l’attaquant cartographie la cible (services exposés, hébergeurs, adresses IP publiques). C’est souvent fait à faible niveau et sur la durée. Pour se protéger, limitez les informations publiques superflues, utilisez des inventories internes et contrôlez ce qui est exposé.

Constitution de ressources : l’attaquant peut construire ou louer un botnet, ou s’appuyer sur services d’attaque à la demande. Du côté défense, la résilience passe par ne jamais dépendre d’une seule connexion ou d’un seul fournisseur et par l’usage de services anti-DDoS professionnels.

Exécution et variation : lors de l’attaque, l’adversaire observe la réaction et ajuste l’intensité et le vecteur. Une bonne posture de défense intègre une détection rapide, des règles adaptatives et un plan d’escalade clair.

Maintien / post-attaque : certains attaquants testent la cible sur la durée ou cherchent à combiner DDoS avec d’autres actions (p.ex. intrusion, extorsion). La récupération inclut analyse forensique, amélioration des protections et communication transparente avec les utilisateurs.

Qu’est-ce qu’un botnet ?

Le mot botnet vient de la contraction de “bot” (pour robot) et “network” (réseau). En clair, il s’agit d’un réseau de machines infectées qui obéissent à distance à un pirate, souvent sans que leurs propriétaires ne s’en rendent compte.

Imaginez des milliers d’ordinateurs ou d’objets connectés (caméras, box internet, routeurs, voire aspirateurs connectés !) qui dorment tranquillement dans des foyers un peu partout sur la planète. Un jour, tous reçoivent un même ordre : “Envoie des requêtes sur tel site web !”. Résultat : le serveur visé croule sous les demandes, comme un standard téléphonique saturé de coups de fil simultanés.

Le plus frappant, c’est que chaque machine, prise individuellement, n’envoie qu’un petit volume de trafic, souvent insignifiant. Mais mises bout à bout, ces machines créent une vague monstrueuse. C’est ce qui rend les botnets si redoutables : leur puissance collective et leur discrétion.

En 2016, un botnet baptisé Mirai a fait tomber une bonne partie d’internet pendant plusieurs heures. Il exploitait des objets connectés mal protégés — des caméras de surveillance, pour la plupart — en utilisant des mots de passe par défaut ridicules du type admin/admin. Des millions d’appareils ont ainsi été enrôlés à leur insu pour attaquer les serveurs de géants du web. La leçon ? Même un simple objet connecté mal sécurisé peut devenir un soldat involontaire dans une armée numérique.

Comment les attaquants construisent un botnet (pour mieux s’en défendre)

Un botnet, c’est un peu comme une armée de marionnettes numériques. Chaque « bot » est un ordinateur, un serveur ou un objet connecté (comme une caméra IP, une box Internet ou même un babyphone connecté) qui a été infecté par un logiciel malveillant. Une fois contaminé, l’appareil reste sous le contrôle d’un serveur de commande et de contrôle (souvent appelé C&C ou Command and Control), piloté par le pirate.

Ce dernier peut alors envoyer des ordres à distance à l’ensemble du réseau infecté, que ce soit pour lancer une attaque DDoS, envoyer des spams, voler des données, ou encore miner de la cryptomonnaie.

Mais comment les pirates réussissent-ils à prendre le contrôle de milliers, voire de millions de machines ? C’est là que leur méthode entre en jeu.

La première étape : la propagation du virus

Le pirate doit d’abord trouver un moyen d’infecter des appareils. Il existe plusieurs approches, plus ou moins sophistiquées, mais leur point commun est toujours le même : exploiter une faille.

Parmi les moyens les plus fréquents :

  • Les failles de sécurité non corrigées : de nombreux appareils connectés utilisent encore des firmwares anciens, jamais mis à jour. Un pirate analyse ces failles connues et crée un programme capable de les exploiter automatiquement.
  • Les mots de passe par défaut : beaucoup d’appareils ont encore “admin / admin” ou “123456” comme identifiants. Un simple script suffit alors à se connecter et à installer un petit programme malveillant.
  • Les pièces jointes et liens piégés : dans les ordinateurs personnels, l’infection peut passer par une pièce jointe reçue par mail, un lien de téléchargement douteux ou un logiciel piraté. Une fois ouvert, le malware s’installe discrètement.
  • Les scripts de navigation : certains sites compromis peuvent exploiter des failles de navigateur pour installer un fichier malveillant sans même que l’utilisateur s’en rende compte.

Le botnet Mirai, que j’évoquais tout à l’heure, a infecté des centaines de milliers d’objets connectés en quelques jours seulement. Pourquoi ? Parce qu’il testait automatiquement une liste de mots de passe par défaut. Pas besoin d’être un génie du code, juste d’exploiter la négligence collective.

La deuxième étape : la connexion au serveur de commande

Une fois infectée, la machine compromise se connecte automatiquement à un serveur distant contrôlé par le pirate. Ce serveur agit comme un quartier général : il peut envoyer des ordres du type “attaque cette adresse”, “mets-toi en veille”, ou encore “mets-toi à jour”.

Pour éviter d’être repérés, ces serveurs utilisent souvent des réseaux d’anonymisation, des proxies ou des systèmes pair-à-pair (P2P), ce qui complique leur traçage. Certains botnets utilisent même des chaînes de commande chiffrées, où chaque machine relaie l’ordre à d’autres, un peu comme un téléphone arabe géant.

L’idée est d’empêcher les enquêteurs de remonter facilement jusqu’à la source du contrôle.

La troisième étape : l’entretien du botnet

Un botnet, ça ne s’improvise pas, ça s’entretient ! Les pirates surveillent leurs “bots”, les mettent à jour et s’assurent qu’ils restent discrets. Si un antivirus ou une mise à jour corrige la faille utilisée, ils cherchent une nouvelle méthode pour réinfecter les machines ou élargir leur réseau.

Certains botnets sont même capables de se régénérer automatiquement : quand un appareil nettoyé se reconnecte à Internet, il se réinfecte via un autre membre du réseau encore contaminé. C’est ce qu’on appelle une infection persistante.

La quatrième étape : l’exploitation

Quand le botnet est assez grand, le pirate peut alors l’utiliser à différentes fins. Les attaques DDoS sont les plus connues, mais ce n’est pas tout :

  • Certains botnets servent à miner de la cryptomonnaie à l’insu des propriétaires.
  • D’autres volent des identifiants bancaires ou adresses mail.
  • D’autres encore louent leur puissance de frappe à des tiers via des “attaques à la demande”, comme nous l’avons vu plus tôt.

C’est un véritable marché souterrain, où la puissance d’un botnet se mesure en nombre de machines actives et en bande passante disponible.

Comment éviter d’être enrôlé dans un botnet

La bonne nouvelle, c’est qu’il existe des gestes simples pour éviter d’en faire partie.
Même sans être expert, vous pouvez déjà réduire énormément le risque :

  • Changez systématiquement les mots de passe par défaut de vos appareils connectés.
  • Mettez à jour vos systèmes (ordinateurs, routeurs, caméras IP, objets connectés) dès qu’une nouvelle version du firmware ou du logiciel est disponible.
  • Installez un antivirus fiable et gardez-le actif.
  • Évitez de télécharger des logiciels piratés ou provenant de sources douteuses.
  • Et surtout, surveillez le comportement de vos appareils : un routeur qui clignote sans raison, une box qui chauffe anormalement ou une connexion Internet ralentie sans explication peuvent être les signes d’une activité suspecte.

Les pirates ne créent pas un botnet du jour au lendemain : ils s’appuient sur des failles connues, la négligence des utilisateurs et l’absence de mises à jour. Leur force vient de notre faiblesse collective. Mais l’inverse est aussi vrai : plus les utilisateurs prennent conscience du problème, moins ces réseaux peuvent se développer.

En comprenant comment un botnet naît, se propage et se maintient, vous savez déjà comment casser la chaîne. Et parfois, savoir comment l’ennemi pense, c’est déjà remporter la moitié de la bataille.

Est-ce difficile de coder un botnet ?

Avant d’aller plus loin, posons une règle claire : créer, distribuer ou utiliser un botnet est illégal et dangereux. Je n’expliquerai donc pas comment en coder un. En revanche, je peux vous dire, de façon pédagogique et non technique, pourquoi c’est en réalité un projet complexe, quelles compétences et ressources il requiert, quels obstacles techniques et juridiques se dressent devant un auteur, et surtout quelles voies légales et éthiques choisir si votre intérêt est l’apprentissage ou la défense.

Pourquoi ce n’est pas « juste du code »
À première vue un botnet peut sembler n’être qu’un logiciel qui “commande” des machines. En pratique, il s’agit d’un système distribué complet. Il faut penser à la propagation (comment infecter des machines), au contrôle (comment ordonner et coordonner des milliers d’hôtes), à la persistance (rester présent malgré les nettoyages), à la furtivité (échapper aux antivirus et à la détection réseau), à la résilience (gérer la perte d’hôtes), et à l’échelle (gérer la latence, la bande passante, les erreurs). Chacun de ces aspects est un domaine technique à part entière : réseau, sécurité système, cryptographie, ingénierie logicielle, et opérations à grande échelle. Maîtriser tout cela demande du temps, de l’expérience et un environnement de test sophistiqué.

Compétences et connaissances nécessaires
Un développeur qui voudrait théoriquement bâtir quelque chose d’aussi robuste que les grands botnets doit connaître en profondeur les protocoles réseau (TCP/IP, UDP, DNS), l’administration et l’exploitation de systèmes (Linux, Windows, firmwares embarqués), l’ingénierie des logiciels malveillants (persistence, contournement d’AV), la sécurisation des communications (C&C chiffré, anonymisation), et les techniques d’obfuscation. Il faut aussi des compétences en gestion d’infrastructure pour orchestrer et surveiller l’ensemble. Bref : ce n’est pas un script de week-end.

Obstacles techniques et opérationnels
Au-delà du code, gérer un botnet implique des risques pratiques majeurs. Il faut des serveurs pour le contrôle, des moyens pour monétiser ou contrôler le réseau, des mécanismes pour maintenir l’anonymat (ce qui est extrêmement difficile à long terme), et des procédures pour remplacer les hôtes retirés ou nettoyés. De plus, les défenses modernes—antivirus, EDR, filtrage réseau, fournisseurs d’anti-DDoS—rendent la tâche de plus en plus ardue. Les grandes opérations criminelles subissent fréquemment des infiltrations, des démantèlements et des poursuites ; ce n’est pas un métier “secure”.

Risques juridiques et éthiques
Techniquement difficile ou non, l’obstacle le plus définitif est la loi. La création ou la gestion d’un botnet constitue des infractions pénales dans la majorité des pays (intrusion, altération de données, fraude, complicité, etc.). Les sanctions peuvent être très lourdes (peines de prison, amendes, confiscations), et l’impact réputationnel et professionnel est irréversible. Sur le plan éthique, enrôler des machines appartenant à des tiers viole la confiance et cause un tort réel aux victimes.

Voies légales et constructives si votre but est d’apprendre
Si votre curiosité porte sur la sécurité, l’analyse de malwares ou la résilience réseau, orientez-vous vers des approches légales et pédagogiques. Montez un laboratoire isolé en machines virtuelles, étudiez la rétro-ingénierie et l’analyse dynamique sur des échantillons publics dans des environnements sandbox, participez à des CTF (Capture The Flag) orientés sécurité, suivez des cours certifiants (sécurité offensive/défensive), ou travaillez sur des outils de détection et de mitigation. Vous pouvez aussi contribuer à des projets open source d’IDS/EDR ou collaborer avec des CERT/équipes SOC pour apprendre en pratique sans nuire à autrui.

Alternatives pratiques pour « comprendre » sans nuire
Plutôt que de chercher à reproduire une menace, expérimentez avec des générateurs de trafic légaux et des outils de test de charge dans un environnement que vous contrôlez, ou utilisez des datasets et des plateformes didactiques dédiées à l’analyse réseau. Lisez des études de cas publiques et des publications académiques sur la structure des botnets et leurs contre-mesures ; ces ressources vous donnent une excellente vision technique sans franchir la ligne légale.

J’ai connu un jeune développeur, passionné et curieux, qui pensait pouvoir “tester” un botnet sur un petit réseau local. Il a rapidement été dépassé par la complexité et a failli provoquer une panne sur son propre réseau domestique. Il a fini par réorienter sa curiosité vers la défense : aujourd’hui il administre des systèmes et contribue à des outils de détection. La morale : l’intérêt technique est légitime, mais la voie constructive mène plus loin et sans risque.

Coder un botnet n’est pas seulement une question de difficulté technique ; c’est un projet risqué, lourd de conséquences juridiques et morales. Si l’objectif est d’apprendre, il existe des chemins sûrs et riches d’enseignement qui vous donneront les mêmes compétences exploitables dans la sécurité défensive et l’analyse sans enfreindre la loi. Si vous le souhaitez, je peux vous proposer un plan d’apprentissage détaillé (modules, exercices en laboratoire isolé, ressources et lectures) pour devenir compétent en cybersécurité de façon éthique et professionnelle.

Peut-on acheter des botnets ?

Dans les faits, il existe deux marchés distincts. D’un côté les services « booter » / « stresser » — ces plateformes qui proposent, contre quelques euros, de lancer une attaque DDoS contre une adresse IP donnée — et qui opèrent souvent sur le Web visible en se présentant comme des outils de test de charge. Ces services rendent l’attaque accessible à des personnes sans compétences techniques, et ils existent depuis des années.

De l’autre côté, sur le Dark Web et certains marchés clandestins spécialisés on peut trouver des offres plus « lourdes » : location de parties de botnets, vente d’accès à des infrastructures compromises, ou même botnets complets mis en vente par des opérateurs. Des études académiques et des rapports de société de cybersécurité montrent que des acteurs proposent ces prestations et que des places de marché underground facilitent ces transactions. Mais tout cela se fait hors la loi et avec des paiements et mécanismes destinés à masquer l’identité des vendeurs et acheteurs.

Important à savoir : payer ou utiliser ces services expose l’acheteur à des poursuites pénales, à des conséquences financières, et souvent à l’arnaque (certains soi-disant vendeurs disparaissent après paiement). Les plateformes « légitimes » de tests de charge exigent toujours une preuve de propriété et un contrat — ce qui différencie l’usage autorisé (tests encadrés) de l’abus criminel.

Formation web et informatique - Alban Guillier - Formateur

Des formations informatique pour tous !

Débutant ou curieux ? Apprenez le développement web, le référencement, le webmarketing, la bureautique, à maîtriser vos appareils Apple et bien plus encore…

Formateur indépendant, professionnel du web depuis 2006, je vous accompagne pas à pas et en cours particulier, que vous soyez débutant ou que vous souhaitiez progresser. En visio, à votre rythme, et toujours avec pédagogie.

Découvrez mes formations Qui suis-je ?

Pourquoi c’est courant et dangereux

Le modèle « DDoS-as-a-service » a baissé la barrière d’entrée pour commettre une attaque : il suffit de payer, entrer une cible, et cliquer. Les motivations vont du vandalisme (« faire tomber un serveur de jeu ») à l’extorsion (menacer une entreprise de l’attaquer si elle ne paie pas), en passant par la concurrence déloyale. Les intervenants qui fournissent ces services profitent de l’anonymat et des paiements en cryptomonnaie pour échapper aux poursuites.

Les botnets les plus célèbres

Emotet (botnet/malware, démantèlement 2021)
Emotet a fonctionné comme un service de distribution de malwares et a formé des réseaux très rentables pour le spam, la distribution de ransomwares et le vol de données. Une opération internationale de police en 2021 a permis de perturber et désorganiser son infrastructure, montrant que la coopération internationale peut porter ses fruits. 

Conficker (2008) — ver/épidémie massive
Conficker est un ver Windows qui a infecté des millions de machines en exploitant une faille système et des attaques par dictionnaire sur les mots de passe administrateurs. Sa propagation rapide a provoqué une mobilisation importante pour le nettoyage et la mise à jour des systèmes.

Necurs et Cutwail (botnets de spam et d’infrastructure)
Necurs et Cutwail sont des familles de botnets connues pour la distribution massive de spam, et comme infrastructures de livraison pour d’autres malwares (ransomware, trojans bancaires). Ils ont servi de colonne vertébrale à de nombreuses campagnes malveillantes. Les agences de santé publique, CERTs et fournisseurs publient souvent des alertes sur ces familles.

Storm, Mariposa, et autres (exemples historiques)
Des botnets plus anciens comme Storm (2007) ou Mariposa (vers 2008–2009) ont été tristement célèbres pour leur taille et l’usage qu’en faisaient leurs opérateurs (spam, fraude, DDoS). Ils sont devenus des études de cas pour comprendre comment se propagent ces réseaux et comment y répondre. 

Ce que cela implique pour votre défense

Savoir que des botnets se vendent et sont loués implique de renforcer plusieurs points simples : bien configurer vos objets connectés (changer les mots de passe par défaut), appliquer les mises à jour, utiliser des services anti-DDoS ou CDN si vous avez un service public, surveiller les logs et établir un plan d’incident avec votre hébergeur.

Rappelez-vous également qu’en tant que particulier ou entreprise, utiliser ou commander une attaque est un délit — la défense doit rester sur le terrain légal et technique. 

Lors de la vague Mirai, des entreprises pensaient être trop petites pour être ciblées. Pourtant, des caméras grand public mal configurées ont permis à des acteurs de faire chuter des fournisseurs majeurs. La morale : la sécurité d’un réseau commence par des gestes basiques et touche tout le monde — vos appareils domestiques peuvent, sans le savoir, alimenter une attaque mondiale.

Il est donc possible de payer pour louer un botnet ou un service DDoS, via des booters/stressers sur le Web visible ou via des marchés clandestins sur le Dark Web. Ces services rendent l’attaque accessible mais sont illégaux et dangereux. La connaissance des incidents historiques (Mirai, Emotet, Conficker, Necurs, Storm, etc.) aide à comprendre comment se protéger : patching, mots de passe forts, surveillance et recours à des protections professionnelles en cas d’enjeu critique. La bonne nouvelle, c’est que des actions simples et des bons contrats d’hébergement/CDN réduisent fortement votre exposition.

Qu’est-ce qu’une attaque à la demande ?

Si le botnet est une armée, l’attaque à la demande en est le service commercial.

Il existe aujourd’hui (hélas) des plateformes illégales qui proposent de “louer” la puissance d’un botnet pour quelques euros. Cela s’appelle parfois du booter ou du stresser.

Ces services se présentent, ironiquement, comme des outils pour “tester la résistance de son propre site web” (ce qui, dans un cadre professionnel et avec autorisation, peut être légitime). Mais dans les faits, la majorité de leurs utilisateurs s’en servent pour faire tomber les sites des autres, sans autorisation.

Concrètement, un utilisateur mal intentionné se connecte à l’un de ces sites, choisit une cible, la durée et le type d’attaque, puis clique sur “Lancer”. Le botnet fait alors le travail à sa place. C’est une sorte d’attaque DDoS clef en main, comme on commanderait une pizza — sauf qu’ici, on parle d’un acte illégal, passible de poursuites lourdes.

Pourquoi c’est important de le comprendre

Savoir que ce type de “location” existe permet de mieux comprendre pourquoi même de petites entreprises peuvent être ciblées. Il ne faut pas forcément être une grande société pour subir une attaque : parfois, il suffit de contrarier la mauvaise personne ou d’avoir un concurrent un peu trop nerveux.

Contrairement à ce qu’on pourrait croire, les sites d’attaque à la demande ne se trouvent pas tous dans le Dark Web. Une partie y est effectivement hébergée, mais beaucoup opèrent aussi sur le Web “classique”, celui que vous utilisez chaque jour, simplement dissimulés derrière une apparence trompeuse ou des tournures ambiguës.

Le mythe du Dark Web tout-puissant

Quand on parle de cybercriminalité, beaucoup imaginent un monde souterrain secret où tout s’échange en bitcoins, dans un décor de science-fiction. En réalité, le Dark Web n’est qu’une petite partie d’Internet, accessible via des navigateurs spécialisés comme TorI2Pou Freenet. On y trouve effectivement des marchés illégaux, des forums d’échange de données volées, et des services interdits (vente de botnets, trafic de données, etc.).

Les attaques à la demande les plus sophistiquées — celles qui utilisent de véritables botnets ou des infrastructures internationales — s’y trouvent souvent, car elles recherchent l’anonymat complet et échappent ainsi plus facilement aux autorités. Les transactions s’y font généralement en cryptomonnaie et les adresses de ces sites changent régulièrement pour éviter le traçage.

Mais attention : tout ce qui est illégal ne se passe pas dans le Dark Web.

Le Web “classique” héberge aussi des attaques déguisées

De nombreux sites d’attaque à la demande existent aussi sur le Web visible, parfois même indexés par Google pendant un temps. Ces plateformes se présentent souvent sous un nom plus respectable, par exemple :

  • « Stress testing service »
  • « Website performance tester »
  • « Network load simulator »

Sur le papier, ces services prétendent aider les entreprises à tester la résistance de leurs serveurs, ce qui, dans un cadre légal, est parfaitement légitime. C’est ce qu’on appelle un test de charge ou un test de résistance (load testing).

Mais dans les faits, certains de ces sites acceptent que leurs utilisateurs ciblent n’importe quelle adresse IP sans preuve de propriété. Autrement dit, ils ferment les yeux sur la finalité, et c’est là que cela devient illégal.

Certains pirates vont même jusqu’à héberger ces sites sur des serveurs commerciaux parfaitement standards, dans des pays où la législation est floue ou mal appliquée. Ils changent souvent de nom, de domaine, voire d’hébergeur, dès que la police ou les FAI les repèrent.

Autrement dit, le Web “classique” est loin d’être épargné. La frontière entre les deux mondes est poreuse.

Pourquoi certains attaquants préfèrent rester sur le Web visible

Plusieurs raisons expliquent ce choix surprenant :

  • L’accessibilité : tout le monde peut y accéder sans outil particulier. Cela attire davantage de “clients” novices.
  • La crédibilité : en se présentant comme un service professionnel de test de performance, le site peut échapper plus longtemps à la surveillance.
  • La rapidité : les paiements par carte prépayée ou PayPal peuvent transiter avant que les comptes ne soient bloqués.
  • L’effet de masse : ces services changent constamment d’adresse, rendant les poursuites complexes et souvent inutiles.

En somme, pour un cybercriminel, le Web visible est pratique : plus simple d’accès, plus rapide à rentabiliser, et suffisamment vaste pour se fondre dans la masse.

Les signes qui trahissent un “faux” site de test de charge

Certains indices permettent de reconnaître un site douteux, même s’il prétend être légitime :

  • Il ne demande aucune preuve que le site cible vous appartient.
  • Il propose des tarifs “par minute d’attaque”.
  • Il parle d’“attaque”, de “serveur cible” ou de “DDoS” sans contexte professionnel clair.
  • Il accepte le paiement uniquement en cryptomonnaie.
  • Il affiche des “statistiques de réussite” ou des témoignages anonymes de clients.

Un véritable service de test de charge, lui, exige toujours un contrat, une preuve de propriété du domaine, et parfois même la présence d’un technicien de votre équipe pendant le test.

La ligne floue entre test et attaque

Il y a quelques années, un jeune développeur anglais avait lancé un service de “stress test” pour les sites web, destiné selon lui à des usages légitimes. Sauf qu’il n’a jamais vérifié qui l’utilisait. Résultat : ses “clients” s’en servaient pour faire tomber des sites scolaires et municipaux. Il a fini condamné, malgré sa bonne foi initiale, car la loi considère que le simple fait de permettre une attaque, même indirectement, constitue un délit.

Cela montre à quel point la frontière est mince entre un outil technique et une arme numérique.

Les attaques à la demande ne se limitent pas au Dark Web. Beaucoup de plateformes opèrent sur le Web visible, souvent déguisées en services de test de performance, et changent régulièrement d’identité pour échapper aux autorités.

Le Dark Web, lui, concentre les services les plus discrets, les plus puissants et les plus chers, souvent liés à de véritables organisations criminelles. Mais dans les deux cas, le principe reste le même : on “loue” la puissance d’un réseau de machines infectées pour saturer une cible.

Pour s’en protéger, il est crucial de connaître ces réalités, non pas pour les reproduire, mais pour savoir reconnaître un risqueéduquer les utilisateurs et choisir des prestataires fiables.

Défenses techniques et opérationnelles (ce que vous pouvez réellement faire)

Surveillance et détection précoce : mettez en place des outils de surveillance du trafic et des alertes sur les anomalies (pics de trafic, taux d’erreur, latences inhabituelles). Une alerte rapide réduit le temps d’exposition.

Capacité et redondance : répartissez vos services sur plusieurs points d’entrée (multi-région, multi-fournisseur), utilisez des CDN et Anycast pour absorber et disperser le trafic, et prévoyez des capacités tampon. Avoir plusieurs chemins et points de présence réduit l’impact d’un pic soudain.

Protection au niveau applicatif : installez un pare-feu applicatif (WAF) et des règles qui reconnaissent le trafic légitime selon le comportement réel (patrons de navigation, fréquences de requêtes). Les contrôles doivent être intelligents pour ne pas bloquer vos vrais utilisateurs.

Filtrage et scrubbing : collaborez avec votre hébergeur ou un fournisseur spécialisé qui propose du « scrubbing » (nettoyage du trafic) et des filtres en amont. Ces services redirigent et filtrent le trafic malveillant avant qu’il n’atteigne votre infrastructure.

Limits et politiques côté serveur : limitez le nombre de connexions par adresse, mettez en place des timeouts raisonnables et optimisez les gestionnaires de connexion. Cela aide à réduire l’effet des requêtes lentes et à éviter l’épuisement des ressources.

Plans d’escalade et contact opérateurs : définissez un protocole clair pour contacter votre hébergeur, opérateur Internet et fournisseurs CDN en cas d’attaque. Les opérateurs disposent souvent de leviers (filtrage BGP, capacité d’absorption) qui ne sont pas accessibles depuis un serveur individuel.

Procédures d’incident et communication : préparez un playbook (qui fait quoi, quand, comment communiquer aux utilisateurs). Lors d’un incident, une communication claire préserve la confiance : expliquez l’impact, les actions en cours et les délais estimés de résolution.

Sauvegardes et tests post-incident : conservez des sauvegardes récentes, effectuez des post-mortems pour comprendre les failles exploitées et améliorez durablement les configurations.

Mesures organisationnelles et juridiques

Sensibilisez les équipes : la sécurité n’est pas seulement technique. Formez les responsables à reconnaître les signes, à activer le plan d’incident et à communiquer correctement.

Assurez-vous contractuellement : vérifiez que vos contrats d’hébergement et de cloud prévoient des SLA et des options de mitigation DDoS. Évaluez les coûts et les limites de responsabilité.

Signalez et collaborez : en cas d’attaque significative, informez les autorités compétentes et votre fournisseur. Certaines attaques s’inscrivent dans des schémas illégaux (extorsion, intrusion) qui doivent être portés à la connaissance des services compétents.

J’ai souvent vu des petites structures croire qu’un simple hébergement mutualisé les protégerait ; lors d’un weekend, un afflux anormal a coupé leurs formulaires de contact et la boutique en ligne. La vraie leçon n’était pas uniquement technique : la panique a empiré la situation parce qu’il n’y avait pas de procédure claire pour prévenir les clients ni de contact direct avec l’hébergeur. Une autre situation courante est celle d’un site qui pense qu’un seul CDN suffit ; quand le CDN a été ciblé, le site est tombé car il n’avait pas de plan B ni d’IP de secours chez un autre fournisseur.

Ce qu’il ne faut pas faire lors d’une attaque DDoS

Ne jamais tenter de vous « défendre » par des actions offensives (riposte, contre-attaque). Non seulement cela est illégal, mais cela aggrave le risque et peut engager votre responsabilité. La défense doit rester préventive, détective et corrective, pas punitive.

Une stratégie en couches et un état d’esprit proactif

Se protéger efficacement contre le DDoS, c’est combiner plusieurs couches de défense : observation, réduction de la surface d’exposition, capacité et dispersion, filtrage intelligent, procédures opérationnelles et coopération avec des fournisseurs et autorités. Plus qu’une technologie unique, la résilience à une attaque DDoS est un état d’esprit : anticiper les coupures, planifier les réactions, tester régulièrement les

Articles relatifs

  1. Le Sniffing : comprendre, détecter et se protéger
    Lorsque nous naviguons sur Internet, nous avons souvent l’impression que nos échanges sont privés. Pourtant, dans certaines conditions, nos données peuvent être interceptées sans que nous le sachions. Ce procédé…
  2. Hydra / Pentest : Test et hack d’un mot de passe
    Hydra et la sécurité des mots de passe est au cœur de notre vie numérique. Chaque jour, nous utilisons des dizaines de comptes en ligne : messageries, réseaux sociaux, espaces…
  3. Header HTTP : Guide complet pour sécuriser son site web PHP
    La sécurité d’un site web est un enjeu crucial, et l’une des premières lignes de défense repose sur les Header HTTP en PHP. Ces en-têtes permettent de protéger votre application contre…
  4. DNS : comprendre les enregistrements A, AAAA, CNAME, MX …
    Découvrez le fonctionnement du DNS, les enregistrements A, AAAA, CNAME, MX, et apprenez à configurer, diagnostiquer et sécuriser votre domaine facilement. Un guide complet et clair pour tous les débutants….