Attaques par force brute, DoS et DDoS : quelle est la différence ?
Ces types de cyberattaques sont connus depuis les débuts d'Internet. Représentent-elles un risque pour la sécurité de WordPress ? Quels outils de sécurité permettent de les contrer efficacement ? Quelles sont nos chances de réussite ?
English version: Brute-force, DoS, and DDoS attacks – what’s the difference?
Une attaque par force brute est une méthode par essais et erreurs utilisée par les pirates informatiques pour deviner des identifiants ou des données chiffrées, comme des noms d'utilisateur, des mots de passe ou des clés de chiffrement, en recourant à une approche exhaustive (force brute) dans l'espoir de trouver la bonne réponse. L'attaque par force brute est l'une des méthodes de piratage de mots de passe les plus courantes pour accéder aux sites WordPress.
Une attaque par déni de service (DoS) vise à rendre un site web ou un serveur web inaccessible à ses utilisateurs en le submergeant de trafic inutile (requêtes indésirables) provenant d'une seule adresse IP. Les attaques DoS sont parfois utilisées pour neutraliser les systèmes de défense informatique. Certaines fonctionnalités de WordPress peuvent être exploitées comme vecteur d'attaque pour ce type d'attaque. Par exemple, la vulnérabilité CVE-2018-6389 .
Une attaque DDoS, ou attaque par déni de service distribué, consiste à saturer un site web ou un serveur web ciblé avec du trafic inutile provenant de multiples appareils ou d'un réseau de zombies (botnet). Un botnet est un réseau d'ordinateurs infectés par un logiciel malveillant (malware) à l'insu de l'utilisateur, organisés en groupe et contrôlés par des cybercriminels. Les botnets modernes peuvent compter des dizaines de milliers d'appareils mobiles ou d'ordinateurs de bureau compromis. De par leur nature, les attaques DDoS modernes sont coûteuses et nécessitent d'importantes ressources. Généralement, cela signifie qu'un adversaire puissant dispose des moyens financiers nécessaires pour commanditer ce type d'attaque. Très souvent, les attaques DDoS sont commanditées par des concurrents peu scrupuleux ou des opposants politiques.
Alors, quelle est la différence ?
Techniquement, elles semblent différentes, mais du point de vue du propriétaire d'un site web, la différence réside uniquement dans l'objectif de l'attaque .
Les attaques DoS et DDoS ont le même objectif : mettre hors service la victime , le site web ciblé ou le serveur web, et en tirer profit. Parfois, une attaque DDoS est menée pour détruire un système de défense et obtenir un accès administrateur.
L'objectif des attaques par force brute est d'obtenir un accès administrateur au site web ciblé afin de mener une activité illégale. Leurs activités typiques sont les suivantes :
- Rediriger les utilisateurs légitimes vers de faux sites web pour voler leurs données personnelles
- Création de pages d'hameçonnage avec des formulaires de paiement imitant ceux légitimes du site web de la victime
- Vol de données personnelles dans une base de données clients
- Installation de portes dérobées et de chevaux de Troie sur le serveur web afin de les utiliser comme outils pour attaquer d'autres sites web.
- Installation de logiciels malveillants pour infecter les ordinateurs des administrateurs et des clients
- Modification du contenu de sites web fiables pour y insérer des liens vers des sites d'hameçonnage.
Quel est l'impact de ces attaques sur WordPress ?
Par défaut, WordPress autorise un nombre illimité de tentatives de connexion via le formulaire de connexion, l'API REST , XML-RPC ou l'envoi de cookies d'authentification spécifiques. Cela permet de pirater les mots de passe relativement facilement grâce à l'attaque par force brute mentionnée précédemment.
Comment protéger WordPress et atténuer ces attaques
Les attaques par force brute et les attaques par déni de service (DoS) peuvent être efficacement contrées grâce à un logiciel de sécurité installé sur un site web. Dans les deux cas, nul besoin d'être un expert : cette protection est gratuite.
- Les attaques par force brute contre WordPress peuvent être efficacement contrées par l'extension WP Cerber. Parmi ses nombreuses fonctionnalités de sécurité, elle protège notamment les interfaces XML-RPC et REST API .
- Les attaques par déni de service (DoS) peuvent être atténuées grâce à une configuration spécifique du serveur web. L'installation d'un plugin de sécurité ne suffit pas. La meilleure pratique consiste à utiliser les règles de limitation de débit de NGINX. Consultez nos recommandations : Transformez votre WordPress en forteresse .
Malheureusement, les attaques DDoS ne peuvent être contrées au niveau d'un serveur web ni par un simple plugin WordPress. Seule une infrastructure matérielle dédiée, installée sur le réseau de l'hébergeur, permet une protection efficace . De par leur nature, la protection contre les attaques DDoS exige d'importantes ressources de calcul et est proposée comme service par les hébergeurs, généralement sur abonnement. Contrairement aux attaques par force brute et aux attaques DoS, il n'existe aucune garantie de succès pour la protection contre toutes les attaques DDoS. Tout dépend de la puissance de l'attaque, de la performance du système anti-DDoS et de la bande passante réseau allouée par le fournisseur de sécurité.
L'une des solutions les plus abordables pour protéger WordPress contre les attaques par déni de service distribué (DDoS) est l'utilisation des services Cloudflare. Cependant, il existe certains inconvénients à connaître et à prendre en compte. Cloudflare contrôle tous les enregistrements DNS de votre domaine, le trafic web entrant et sortant de votre site, y compris les données personnelles de vos clients, car tout ce trafic et ces données transitent par les serveurs proxy de Cloudflare sans chiffrement. Certains utilisateurs ont même signalé des problèmes de blocage d'accès à leur site web. Par conséquent, si vous n'êtes pas sensible aux attaques DDoS, comme beaucoup d'entre nous, il n'y a aucune raison d'ajouter une couche de protection supplémentaire susceptible de vous causer des désagréments.
Une fois que vous avez décidé d'utiliser Cloudflare, nous vous recommandons d'utiliser un module complémentaire Cloudflare spécial pour WP Cerber .
Surprendre un intrus
Cerber shows additional WHOIS information about the intruder IP address in the WordPress dashboard
Il est facile d'identifier la source physique d'une attaque : un ordinateur, un appareil mobile, etc.
Si vous avez installé WP Cerber Security & Antispam, consultez cet article : En savoir plus sur l’adresse IP de l’intrus . Le plus décevant est que la grande majorité de ces attaques ne peuvent être attribuées à un véritable auteur ou à un cerveau derrière tout cela. Chaque tentative de traçage aboutit à la découverte d’ordinateurs et d’appareils mobiles infectés, utilisés comme relais ou points d’entrée pour une attaque.
Limiter les tentatives de connexion sans plugin ?
WP Cerber Security 2.7.2
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.