En mars dernier, le Sénat a été victime pour la deuxième fois en deux mois d’une attaque DDoS. Cette attaque par déni de service distribué (Denial of Service attack) a ainsi rendu son site web inaccessible (1). Ce fût également le cas du site web de l’Assemblée Nationale au mois de février (2). Loin d’être anecdotique, la survenance de telles attaques entraîne la nécessité d’une réponse appropriée par l’entité victime.
En quoi consiste une attaque DDoS ?
D’après l’ANSSI, le déni de service consiste en une « action ayant pour effet d’empêcher ou de limiter fortement la capacité d’un système à fournir le service attendu ».
Le déni de service est dit « distribuée », lorsque de nombreuses sources sont à l’origine du nombre important de demandes au service qui se retrouve saturé par un trafic non sollicité.
Toute entité dont l’activité dépend d’une infrastructure réseau connectée à Internet peut ainsi être la cible d’une attaque DDoS.
Le service impacté devient, en conséquence de l’attaque, indisponible. Autrement dit, le déni de service permet d’altérer le fonctionnement d’un service par une saturation de requêtes.
Il est à noter que les attaques DDoS peuvent servir de support à la réalisation d’agissements frauduleux concomitants tendant à la compromission du système visé par l’attaque.
Les attaques par déni de service peuvent entraîner des atteintes à l’image des entités attaquées et elles peuvent également engendrer des pertes financières liées à l’interruption du service.
Quelques exemples
L’Anssi a publié un guide intitulé « Comprendre et anticiper les attaques DDoS » (3). Ce guide rappelle que les attaques par déni de service distribué peuvent revêtir différentes formes.
Elle peut ainsi, notamment :
- être lancée à partir de réseaux de machines compromises (botnets) ;
- consister en l’envoi de requêtes au travers de machines dites réflecteurs ;
- viser l’exploitation d’un protocole tel que le DNS pour amplifier les requêtes dirigées vers un service.
Qualification juridique des attaques DDoS
L’attaque par déni de service entre dans la prévention de l’article 323-2 du Code pénal qui dispose :
« Le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données est puni de cinq ans d’emprisonnement et de 150 000 € d’amende.
Lorsque cette infraction a été commise à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’Etat, la peine est portée à sept ans d’emprisonnement et à 300 000 € d’amende ».
La jurisprudence reconnaît l’entrave au système de traitement automatisé des données causé par une attaque DDoS (TGI de Paris, 19 mai 2006).
L’attaque DDoS peut également avoir été opérée à l’aide d’un logiciel spécialement paramétré pour commettre cette entrave, et les dispositions de l’article 323-3-1 du Code pénal sont également susceptibles de s’appliquer :
« Le fait, sans motif légitime, notamment de recherche ou de sécurité informatique, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l’infraction elle-même ou pour l’infraction la plus sévèrement réprimée. »
Actions à mener face à une attaque DDoS
Le GIP Acyma a publié, sur la plateforme cybermalveillance.gouv.fr une fiche réflexe sur le déni de service. Elle fournit une présentation synthétique des premières actions techniques à mener.
En dehors des premières actions techniques de remédiation, l’entité peut :
- procéder à un dépôt de plainte pénale, permettant aux forces de police ou de gendarmerie d’identifier les attaquants est recommandé (3), notamment si l’attaque est susceptible de faire l’objet d’une couverture au titre d’une police de cyberassurance (4) ;
- devoir notifier l’incident de sécurité aux autorités compétentes (5),
- et, dans l’hypothèses d’une violation de données, à la Cnil (6).
Virginie Bensoussan-Brulé
Raphaël Liotier
Lexing pôle contentieux numérique
Jade Banchereau, Stagiaire
Étudiante en L3 Droit franco-allemand
Notes
- Dominique Filippone, « ESXi ciblé tous azimuts par les ransomwares, VMware réagit » Le Monde informatique, 17-05-2023.
- Dominique Filippone, « Une attaque DDoS fait tomber le site web de l’Assemblée nationale », Le Monde informatique, 27-03-2023.
- Virginie Bensoussan-Brulé, « Focus : le traitement juridique et judiciaire des cyberattaques », alain-bensoussan.com, 17-05-2021.
- Virginie Bensoussan-Brulé, Raphaël Liotier, Alexandre Turchi, « L’assurance des risques de cyberattaques », alain-bensoussan.com, 26-04-2023.
- Anthony Coquer, Jean-François Mary, « Les obligations de notification des incidents de sécurité », alain-bensoussan.com, 04-06-2018.
- « Notifier une violation de données personnelles », Cnil 24-05-2018.