Qu’est-ce qu’une attaque par saturation de SSL et comment l’éviter ?

What is an SSL Flood Attack

Vous connaissez sans doute les attaques par déni de service distribué (DDoS), qui inondent un serveur ou un réseau cible d’un trafic excessif provenant de sources multiples, le rendant inaccessible aux utilisateurs légitimes.

Mais avez-vous envisagé la particularité d’une attaque par inondation SSL? Cette cyber-attaque manipule les protocoles SSL (Secure Sockets Layer) et TLS (Transport Layer Security), la mesure de protection standard pour établir des connexions cryptées entre un serveur web et un navigateur.

En inondant le serveur SSL/TLS d’un système avec des demandes de session, un attaquant peut épuiser les ressources du serveur et provoquer un déni de service. Il s’agit d’un type d’attaque sophistiqué et insidieux. La question est de savoir comment l’éviter. Explorons ensemble la réponse.


Table des matières

  1. Qu’est-ce qu’une attaque par saturation SSL ?
  2. Comment fonctionnent les attaques par saturation de SSL ?
  3. Types d’attaques par saturation SSL
  4. Comment se protéger des attaques par saturation de SSL ?

Qu’est-ce qu’une attaque par saturation SSL ?

Une attaque par inondation SSL, souvent rencontrée dans le domaine de la sécurité des réseaux, est un type d’attaque DDoS dans lequel un nombre massif de demandes d’échange SSL surcharge les ressources d’un serveur, le rendant indisponible pour les utilisateurs.

Vous vous demandez peut-être ce qu’est une poignée de main SSL. Il s’agit d’un protocole utilisé pour établir la sécurité d’une connexion réseau. Les pirates exploitent la poignée de main pour épuiser les ressources du serveur. C’est pourquoi une attaque par inondation SSL/TLS est également connue sous le nom d’attaque par épuisement SSL.

Il cible spécifiquement les protocoles SSL/TLS, qui créent des connexions sécurisées entre les clients et les serveurs. Les cybercriminels empêchent ainsi le serveur de répondre aux demandes honnêtes.

Une telle attaque peut être extrêmement dommageable. Il est non seulement capable de surcharger un serveur, mais aussi de détruire sa capacité à sécuriser les connexions. Dans un monde de plus en plus dépendant des transactions en ligne, une attaque par saturation du protocole SSL peut potentiellement compromettre des données sensibles.


Comment fonctionnent les attaques par saturation de SSL ?

Décortiquons étape par étape une attaque classique par inondation SSL :

  1. Initiation: L’attaquant envoie au serveur un message initial “hello”, qui lance le processus de poignée de main SSL.
  2. Démarrage de la poignée de main: Dès réception du message “hello”, le serveur entame la poignée de main SSL en générant une paire de clés publique-privée et en renvoyant un certificat.
  3. Exécution de l’attaque: Au lieu d’achever la poignée de main, l’attaquant envoie continuellement de nouveaux messages “hello” sans progresser dans le processus de poignée de main.
  4. Consommation de ressources: Chaque nouveau message “hello” oblige le serveur à allouer des ressources pour une nouvelle poignée de main SSL. Comme l’attaquant n’achève pas la poignée de main, ces ressources restent allouées et inutilisées.
  5. Répétition: L’attaquant répète ce processus rapidement, submergeant le serveur avec de nombreuses poignées de main SSL inachevées.
  6. Épuisement des ressources: L’afflux constant de requêtes SSL inachevées épuise les ressources critiques du serveur, telles que l’unité centrale et la mémoire.
  7. Interruption de service: Ses ressources étant épuisées, le serveur a du mal à traiter les demandes légitimes, ce qui entraîne une interruption du service, un ralentissement ou une panne complète du système.

Types d’attaques par saturation SSL

Vous savez maintenant comment fonctionnent les attaques par inondation SSL, alors explorons les différents types d’attaques. Nous examinerons plus particulièrement les attaques PushDo Botnet et THC-SSL-DoS, deux attaques d’épuisement SSL bien connues.

Attaque du botnet PushDo

Le réseau de zombies PushDo, connu sous le nom de PushBot ou Cutwail, est apparu pour la première fois aux alentours de 2007. Il agit principalement en infectant les ordinateurs avec des logiciels malveillants, les transformant en robots sous le contrôle d’un serveur central de commande et de contrôle (C&C). Les pirates utilisent le réseau de zombies pour diverses activités malveillantes, notamment des campagnes de spam, des attaques DDoS et des attaques par inondation SSL.

PushDo utilise une technique appelée fast-flux DNS pour modifier rapidement les adresses IP associées à ses serveurs de commande et de contrôle. Cette technique de DNS dynamique complique la tâche des défenseurs qui veulent suivre et bloquer l’infrastructure du botnet, car les adresses IP changent constamment, ce qui donne l’impression que le botnet se déplace sur l’internet.

Il génère un trafic factice ou leurre qui masque ses activités malveillantes. Cette tactique complique les efforts de détection en inondant le serveur cible d’un trafic d’apparence légitime parallèlement à l’attaque par inondation SSL, ce qui rend plus difficile pour les défenseurs de distinguer le trafic légitime du trafic hostile.

Attaques THC-SSL-DoS

L’attaque THC-SSL-DoS, mise au point par le groupe de pirates “The Hacker’s Choice”, est une puissante attaque par inondation SSL qui cible également le mécanisme de la poignée de main SSL. Il inonde les serveurs d’un barrage de demandes d’échange SSL, ce qui conduit finalement à un déni de service. L’attaque s’appuie sur l’outil THC-SSL-DoS, qui exploite les vulnérabilités des protocoles SSL/TLS.

En créant de multiples connexions SSL semi-ouvertes, l’outil THC-SSL-DoS submerge les serveurs en consommant une puissance de calcul considérable sans achever le processus de poignée de main.

Au fur et à mesure que ces connexions semi-ouvertes s’accumulent, elles épuisent les ressources de l’unité centrale et de la mémoire du serveur. Le serveur finit par atteindre sa capacité de traitement des nouvelles connexions, ce qui empêche les utilisateurs d’établir des connexions SSL en raison de l’épuisement des ressources.


Comment se protéger des attaques par saturation de SSL ?

Mettez en œuvre une stratégie de sécurité solide pour protéger votre système contre les attaques de type “SSL flood”. Tout d’abord, mettez régulièrement à jour vos bibliothèques SSL/TLS et vos logiciels de serveur pour vous assurer qu’ils ne sont pas sensibles aux vulnérabilités connues. Il est également important de configurer vos serveurs pour qu’ils gèrent correctement les renégociations SSL.

Pour une protection supplémentaire, envisagez de déployer un dispositif de délestage SSL. Cet outil intercepte les requêtes SSL entrantes, déchargeant ainsi votre serveur du processus d’échange SSL et réduisant l’impact d’une attaque.

L’application d’une limitation de débit sur votre serveur est une autre excellente mesure préventive. Il permet de contrôler le nombre d’échanges SSL que votre serveur doit traiter dans un délai donné, afin d’éviter qu’il ne soit submergé par un flot de demandes.

Enfin, faites appel à un service de protection contre les attaques DDoS. Ces services peuvent détecter et bloquer les schémas de trafic anormaux avant qu’ils n’atteignent votre système.


Résultat final

Les attaques par inondation SSL visent à submerger les ressources du serveur, ce qui entraîne des incidents de déni de service plutôt que de provoquer directement des violations de données. Ces attaques épuisent les ressources du serveur, ce qui rend l’accès aux services difficile ou impossible pour les utilisateurs.

Toutefois, dans certains cas, des incidents prolongés de déni de service pourraient indirectement contribuer à des failles de sécurité s’ils empêchent de réagir à temps à d’autres menaces de sécurité ou laissent les systèmes vulnérables en raison de l’épuisement des ressources.

Par conséquent, bien que les attaques par inondation du protocole SSL concernent principalement l’épuisement des serveurs et le déni de service, elles peuvent avoir des conséquences indirectes sur la sécurité des données si elles ne sont pas traitées de manière adéquate.

Economisez 10% sur les certificats SSL en commandant aujourd’hui!

Émission rapide, cryptage puissant, confiance de 99,99 % du navigateur, assistance dédiée et garantie de remboursement de 25 jours. Code de coupon: SAVE10

Rédigé par

Rédacteur de contenu expérimenté spécialisé dans les certificats SSL. Transformer des sujets complexes liés à la cybersécurité en un contenu clair et attrayant. Contribuer à l'amélioration de la sécurité numérique par des récits percutants.