Une attaque par déni de service (denial of service attack, d'où l'abréviation DoS) est une attaque ayant pour but de rendre indisponible un service, d'empêcher les utilisateurs légitimes d'un service de l'utiliser. Il peut s'agir de :
L'attaque par déni de service peut ainsi bloquer un serveur de fichiers, rendre impossible l'accès à un serveur web, empêcher la distribution de courriel dans une entreprise ou rendre indisponible un site internet.
Le pirate n'a pas forcément besoin de matériel sophistiqué. Ainsi, certaines attaques DOS peuvent être exécutées avec des ressources limitées contre un réseau beaucoup plus grand et moderne. On appelle parfois ce type d'attaque « attaque asymétrique » (en raison de la différence de ressources entre les protagonistes). Un pirate avec un ordinateur obsolète et un modem lent peut ainsi neutraliser des machines ou des réseaux beaucoup plus importants.
Les attaques en déni de service se sont modifiées au cours du temps (voir ).
Tout d'abord, les premières n'étaient perpétrées que par un seul « attaquant » ; rapidement, des attaques plus évoluées sont apparues, impliquant une multitude de « soldats », aussi appelés « zombies ». On parle alors de DDoS (distributed denial of service attack). Ensuite, les attaques DoS et DDoS étaient perpétrées par des pirates seulement attirés par l’exploit et la renommée. Aujourd’hui, il s'agit majoritairement d'organisations criminelles, essentiellement motivées par l'argent. Ainsi, certains pirates se sont spécialisés dans la « levée » d’armées de « zombies », qu’ils peuvent ensuite louer à d’autres pirates pour attaquer une cible particulière. Avec la forte augmentation du nombre d’échanges commerciaux sur Internet, le nombre de chantages au déni de service a très fortement progressé (un pirate lance une attaque en DoS ou DDoS contre une entreprise et lui demande une rançon pour arrêter cette attaque !).
Les attaques par déni de service ont vu le jour dans les années 80. Les DDoS (ou attaques DoS Distribuées) seraient plus récentes : la première attaque DDoS officielle a eu lieu en août 1999 : un outil appelé « Trinoo DDO » (décrit ci-dessous) a été déployé dans au moins 227 systèmes, dont 114 étaient sur Internet, pour inonder les serveurs de l'université du Minnesota. Suite à cette attaque, l'accès internet de l'université est resté bloqué pendant plus de deux jours.
La première attaque DDOS médiatisée dans la presse grand public a eu lieu en février 2000, causé par Michael Calce, mieux connu sous le nom de Mafiaboy. Le 7 février, Yahoo! a été victime d'une attaque DDOS qui a rendu son portail Internet inaccessible pendant trois heures. Le 8 février, Amazon.com, Buy.com, CNN et eBay ont été touchés par des attaques DDOS qui ont provoqué soit l'arrêt soit un fort ralentissement de leur fonctionnement. Le 9 février, E Trade et ZDNet ont à leur tour été victimes d’attaques DDOS.
Les analystes estiment que durant les trois heures d'inaccessibilité, Yahoo! a subi une perte de l'e-commerce et de recettes publicitaires s'élevant à environ 500 000 $. Selon Amazon.com, son attaque a entraîné une perte de 600 000 $ sur 10 heures. Au cours de l'attaque, eBay.com est passé de 100 % de disponibilité à 9,4 % ; CNN.com est passé au-dessous de 5 % du volume normal ; Zdnet.com et ETrade.com étaient, eux, pratiquement inaccessibles. Schwab.com, le site en ligne du courtier Charles Schwab, a également été touché mais il a refusé de donner des chiffres exacts sur ses pertes. On peut seulement supposer que, dans une société qui fait 2 milliards de dollars par semaine sur les métiers en ligne, la perte n’a pas été négligeable. Michael Calce, celui qui a piraté Amazon.com, Yahoo!, CNN et Ebay, fut condamné à 8 mois dans un centre de détention pour jeune (il n'avait que 15 ans au moment des faits).
En septembre 2001, un certain virus Code Red infecte quelques milliers de systèmes, et une seconde version, intitulée Code Red II, installe un agent DDOS. Les rumeurs prétendent qu'il devait lancer une attaque contre la Maison Blanche. Dans un contexte politique de crise, le gouvernement américain annonce que des mesures de sécurité vont être entreprises. Mais dès l'été 2002, c'est au tour d'Internet de subir une attaque DDOS à l'encontre de ses 13 serveurs racines. Ces serveurs sont les points clés du système d'aiguillage de l'Internet, appelé Domain Name System (DNS). Cette attaque ne durera qu'une heure mais aurait pu paralyser l'ensemble du réseau Internet. L'incident est pris au sérieux par les experts qui affirment renforcer à l'avenir la sécurité de leurs machines.
La première version de Slapper, apparue à la mi-septembre 2002, a contaminé plus de 13 000 serveurs Linux en deux semaines. Slapper utilise un trou de sécurité présent dans le module OpenSSL1, et véhicule un agent DDOS. Celui-ci est détecté et stoppé à temps.
Malgré tout, le lundi 21 octobre 2002, une nouvelle attaque DOS bloque 9 des 13 serveurs clefs, rendant leurs ressources inaccessibles pendant trois heures. Une partie des entreprises et organismes gérant ces serveurs clés réagit et décide de revoir leurs dispositifs de sécurité. Le FBI a ouvert une enquête, mais localiser le ou les auteurs de l'attaque s'annonce difficile.
Peu de temps après des serveurs de bases de données Microsoft SQL Server, mal configurés, sont infectés par le ver SQL Slammer. Ce dernier transporte un agent DDOS qui lance une attaque le 25 janvier 2003 contre Internet. Cette fois ci, seuls 4 des 13 serveurs racines responsables du routage d'Internet ont été affectés. Malgré la virulence de l'attaque, la performance globale du réseau a été à peine réduite de 15 %.