Le flooding en informatique

En informatique, le flood (/flʌd/) ou flooding est une action généralement malveillante qui consiste à envoyer une grande quantité de données inutiles dans un réseau afin de le rendre inutilisable, par exemple en saturant sa bande passante ou en provoquant le plantage des machines du réseau dont le déni de service est la conséquence possible. Flood est un anglicisme désignant une inondation, illustrant ainsi le flux de données ininterrompu et excessif transitant sur le réseau, provoquant alors des dégâts. Il a donné un verbe, flooder, et la personne qui floode est un floodeur.

Sur Usenet, IRC ou des chats, le flood consiste à envoyer de nombreux messages avec le même mot ou les mêmes lettres sur un groupe ou un canal de discussion sur une courte période de temps, ce qui rend la lecture très difficile, voire impossible, pour les autres participants. Cette technique peut aussi être utilisée contre un serveur Internet, en envoyant un grand nombre de requêtes pour provoquer un trafic important. Le service est alors dégradé pour les autres utilisateurs, dans les cas extrêmes le serveur peut aussi interrompre totalement le service sous l'effet de la charge du flood.

Par extension, on utilise aussi le terme flood pour désigner une quantité importante de messages inutiles envoyés par une même personne (ou répétés par d'autres par la suite) sur une liste de diffusion ou un forum sur Internet. On parle plutôt de troll quand ces messages sont délibérément polémiques, et de flood quand les messages sont répétitifs, dépourvus de sens, n'ayant aucun rapport avec le sujet initial ou ne revêtant aucune utilité particulière. Sur les forums, le flood nuit à la lisibilité de l'espace virtuel où l'internaute vient généralement chercher une information en particulier et est alors confronté à une multitude de messages ne lui apportant aucun renseignement et l'obligeant donc soit à faire une recherche en se servant de l'outil mis à disposition par le forum, soit à parcourir les pages de messages en quête de l'élément recherché. Sur Twitter, l'usage répété et non différencié du hashtag #FF peut être considéré comme du flood.

Certaines actions malveillantes consistent à automatiser et distribuer le flood de façon à en accentuer et en prolonger l'effet nuisible sur une cible particulière. Pour protéger du flooding un site Internet qui proposerait un formulaire permettant l'ajout d'une entrée dans une base de données, la solution est de mettre en place un système de CAPTCHA. L'utilisateur doit lire une image floutée et/ou brouillée, représentant une série de lettres ou de chiffres, et la recopier avant l'envoi du formulaire. Si un robot tente d'envoyer le formulaire à la volée (flooder la base de données) il ne pourra pas déchiffrer le captcha. Le moyen de contourner sera la reconnaissance automatique de caractères après reconstitution de l'image, une opération difficile et normalement coûteuse (en termes de calcul informatique requis par l'attaquant) ce qui réduit d'autant la force du flood. L'idée d'un flood étant d'avoir du volume en peu de temps, tout ce qui ralentit l'attaquant diminue l'efficacité de cette technique.

Dans le même style, au lieu d'une image, il peut y avoir une question/réponse du type "combien font quatre dont je retire 3 ?" et l'utilisateur devra répondre "1" pour valider le formulaire. Plus simple à mettre en place mais moins sécurisé. Une protection classique est d'utiliser peu de ressource pour discriminer les requêtes inopportunes. C'est l'idée des filtres appliquée aux requêtes dans la programmation web. Par exemple, on peut flooder un serveur web (comme le serveur de Wikipédia lui-même) en lui envoyant des mauvaises requêtes d'authentification. Le serveur doit aller lire dans la base de données les credentials pour comparer le nom d'usager et son mot de passe fourni. Cette requête est coûteuse et requiert sans doute des accès disque. Une façon de réduire l'efficacité d'une telle attaque est de mettre une signature unique (suite de caractère aléatoire) sur chaque formulaire qui sera re-soumis automatiquement à chaque requête retournée au serveur. Toute signature inconnue sera rejetée par le serveur sans en considérer le contenu (et donc sans aller lire la base de données). Un attaquant qui veut donc encore flooder via l'authentification devra demander une "vraie" page de login signée pour chaque appel qu'il envoie au serveur. Par définition, le floodeur ne pourra pas aller plus vite que votre propre serveur à lui fournir des pages signées. Il existe d'autres stratégies (filtre d'adresse IP après avoir identifié des attaques probables par exemple) mais aussi des stratégies de contournement (par exemple en attaquant à plusieurs, à partir d'endroits différents ou en détournant les ressources d'une institution).

Le flooding informatique : c’est simplement le fait d’inonder une machine ciblée dans le but de bloquer ou gêner son fonctionnement.

L’action de flooding peut être effectuée de diverses manières : Mail bombing Fragments de données Appels DNS Connexions TCP Ect…

L’agresseur va envoyer un grand nombre de requêtes afin de saturer la bande passante, jusqu’à créer un Dos (déni de service).

En cas de Mail bombing (envoi d’un grand nombre d’e-mails), on peut utiliser un programme ne récupérant que les sujets de messages et supprimer directement les courriers non désirés sur le serveur.

Certains serveurs de messageries limitent la taille de leur boîte de réception ainsi que la quantité de courriers émanant d’un même destinataire.

Le flooding est une attaque informatique qui consiste à submerger un réseau, un serveur ou un système de requêtes massives pour le saturer et le rendre indisponible.

Le flooding, ou inondation numérique, est une technique utilisée par les cyberattaquants pour perturber les systèmes informatiques en envoyant un volume massif de données ou de requêtes. Le but principal est de surcharger les ressources du système visé, comme la bande passante réseau, la mémoire ou le processeur, afin de provoquer une interruption de service. Les attaques par flooding font partie des attaques par déni de service (DoS) et de déni de service distribué (DDoS). Elles exploitent souvent des vulnérabilités dans les protocoles réseau ou les configurations système pour maximiser leur impact.

Saturation réseau : Envoi d'un grand nombre de paquets de données pour épuiser la bande passante disponible. Exemple : Attaques ICMP Flood ou UDP Flood. Surcharge applicative : Bombardement de requêtes ciblant des services spécifiques (ex : HTTP ou DNS). Exemple : HTTP Flood, DNS Flood. Exploitation des protocoles : Exploitation des failles dans les protocoles réseau pour générer une surcharge. Exemple : SYN Flood, qui exploite le processus de connexion TCP.

Préparation : L'attaquant mobilise des ressources, comme un botnet, ou configure des scripts pour générer un volume important de trafic. Lancement : Les requêtes sont envoyées en masse vers la cible, saturant les ressources disponibles. Impact : La cible devient lente ou totalement inaccessible pour les utilisateurs légitimes.

SYN Flood Description : L'attaquant envoie un grand nombre de requêtes SYN (Synchronisation) sans compléter la connexion TCP, laissant les ressources serveur occupées inutilement. Impact : Épuise les connexions disponibles, empêchant de nouvelles connexions légitimes. UDP Flood Description : Envoi massif de paquets UDP vers des ports aléatoires, forçant la cible à répondre ou à analyser chaque paquet. Impact : Saturation de la bande passante et surcharge des ressources système. HTTP Flood Description : Bombardement de requêtes HTTP GET ou POST vers un serveur web. Impact : Perturbe les services web, rendant les sites indisponibles pour les utilisateurs légitimes.

Interruption de service : Les systèmes visés deviennent inaccessibles pour les utilisateurs légitimes. Détérioration des performances : Les services affectés subissent des ralentissements importants. Dommages matériels : Dans certains cas, la surcharge peut entraîner des pannes matérielles. Perte de revenus : Les entreprises en ligne perdent des opportunités commerciales. Coûts de remédiation : Les ressources nécessaires pour répondre à une attaque peuvent être élevées. Perte de confiance : Les clients et partenaires peuvent perdre confiance en la capacité d'une organisation à sécuriser ses systèmes. Atteinte à l'image de marque : Une indisponibilité prolongée peut nuire à la réputation d'une entreprise.

Pare-feu et filtres : Utiliser des pare-feu pour filtrer les paquets malveillants. Configurer des systèmes de prévention d'intrusion (IPS). Capacité réseau accrue : Surdimensionner la bande passante pour absorber les pics de trafic. Solutions anti-DDoS : Déployer des services spécialisés, comme Cloudflare ou Akamai, pour détecter et bloquer les attaques en temps réel. Monitoring constant : Surveiller le trafic réseau pour identifier rapidement les anomalies. Mise à jour des systèmes : Appliquer les correctifs de sécurité pour réduire les vulnérabilités exploitables. Segmentation réseau : Diviser le réseau en segments pour limiter la propagation d'une attaque.

Attaque Mirai Botnet (2016) Description : Utilisation d'un botnet composé de dispositifs IoT pour lancer des attaques DDoS massives. Impact : A rendu indisponibles des services majeurs comme Twitter, Spotify et Reddit. Attaque Cloudflare (2021) Description : Une attaque DDoS atteignant 17,2 millions de requêtes par seconde. Impact : Bien que mitigée par Cloudflare, cette attaque illustre l'ampleur des menaces modernes.

Le flooding est une technique redoutable dans l'arsenal des cybercriminels, exploitant la capacité limitée des systèmes à gérer des volumes massifs de données. Si les impacts peuvent être dévastateurs, des mesures préventives comme les solutions anti-DDoS, la surveillance proactive et la sécurisation des réseaux permettent de réduire considérablement les risques. Dans un contexte de menaces croissantes, la vigilance et l'investissement dans des technologies de défense avancées sont essentiels pour protéger les infrastructures numériques.