Les attaques par déni de service ou attaques DoS font régulièrement les titres des actualités, car les conséquences peuvent être importantes. Ces attaques visent à rendre inaccessible un serveur, une infrastructure réseau, une application …
Comment s’en protéger ? Vous pouvez choisir de tester votre résistance aux attaques DoS dans le cadre d’un test d’intrusion.
De quoi parle-t-on : les attaques DoS ? DDoS ?
Pour une attaque par déni de service (DoS) comme par déni de service distribué (DDoS), il y a deux stratégies d’attaque :
- surcharger les équipements (bande passante, pare-feu, IPS, équilibreur de charge, etc.), ou
- cibler une vulnérabilité dans une application pour la rendre inaccessible.
Une attaque DoS ou DDoS peut durer de quelques minutes à plusieurs jours, en fonction des moyens de l’attaquant.
La spécificité des attaques DDoS est que plusieurs appareils attaquent simultanément la cible. Conduire des tests DDoS dans le cadre d’un pentest a peu d’intérêt pour l’entreprise ayant commandité l’audit, car il sera toujours possible de faire tomber un service si l’on y consacre les moyens nécessaires (il s’agit principalement d’une question de « moyens » du côté attaquant comme attaqué).
A contrario, conduire des tests d’attaques DoS permet de détecter des vulnérabilités au niveau configuration ou applicatif, pour lesquelles des remédiations sont possibles. Les correctifs sont généralement liés à la configuration, ou bien il peut être nécessaire de modifier une fonctionnalité.
Quels sont les risques lors d’un pentest comportant des tests DoS ?
En théorie, les risques sont variables : cela peut aller d’une baisse de performance jusqu’à la chute d’un serveur, dans les cas les plus sévères.
Comment réduire les risques pendant le pentest ?
Exclure les tests DoS permettrait de réduire les risques pendant le pentest, mais pas en cas de réelle attaque par un individu malveillant !
Au contraire, conduire des tests DoS permet de réduire les risques d’attaques par déni de service sur l’entreprise. Pour rendre ces tests acceptables pendant un audit de sécurité, plusieurs aspects sont à prendre en compte :
- Le pentest sera-t-il effectué sur
l’environnement de production ou sur un environnement de test ?
- Dans le cadre d’un pentest sur la production, il est possible de conduire spécifiquement les tests DoS sur l’environnement de pré-production afin de limiter les risques.
- Si l’ensemble du pentest est effectué sur la production, il est possible de conduire les tests DoS sur des plages jours/horaires adaptées, afin de limiter les dérangements pour les utilisateurs
- La communication entre l’équipe en charge du pentest et l’équipe technique du client est un point crucial : plus l’équipe du client est joignable et prête à réagir si besoin, plus il sera possible de limiter l’impact d’un éventuel incident.
- Enfin, il faut garder à l’esprit qu’un pentest conduit dans les règles de l’art comporte bien moins de risque qu’une réelle attaque : il y a un contrôle permanent de ce qui est fait. Les attaques DoS sont testées graduellement : si le service ciblé ralentit rapidement, pas besoin de sortir l’artillerie lourde ! De plus, un test qui provoquerait un déni de service est arrêté immédiatement après avoir atteint ce point de déni. Le service peut ainsi finir ses traitements et sera inaccessible seulement pendant un temps minime.
Quels sont les types de tests DoS conduits ?
Vaadata teste les attaques par déni de service courantes, comme par saturation de sessions ou inondation de paquets, et des dénis applicatifs, liés à une fonctionnalité de la solution testée. Pour plus d’informations à ce sujet, le plus simple est de nous contacter.
Pour conclure, vous pouvez tester la résistance d’un système ou d’une plateforme face aux attaques par déni de service lors d’un audit de sécurité, et c’est un choix que nous vous recommandons si la continuité de service est un enjeu important pour votre business. Les tests DoS permettent d’identifier des pistes d’améliorations concrètes qui dépendent de vous et non pas uniquement de votre hébergement.