Poussé à l'extrême, ce principe donne des offres comme celle mise en oeuvre par NavLink : en tant que filiale d'AT&T, l'hébergeur a accès au réseau de distribution du contenu de l'opérateur. Les sites ainsi hébergés sont répliqués sur une centaine de serveurs distincts à travers le monde, placés sur des réseaux très différents. La bande passante disponible nécessaire à faire tomber un tel réseau est multipliée par dix, pour un surcoût d'environ 20 % par rapport à un bon hébergeur traditionnel. L'autre critère important, bien entendu, est la capacité de l'hébergeur à bien configurer son réseau, ses équipements de routage, à observer en permanence l'état de son réseau et surtout à communiquer rapidement en cas d'attaque avec les partenaires au dessus de lui.
"La communication entre équipes techniques qui ont l'habitude de se parler et de travailler ensemble est essentielle lors du déclenchement d'une attaque", confirme Dominique Morvan (photo). Enfin, sur le site lui-même, une bonne configuration du serveur et éventuellement l'utilisation d'un module spécialisé (mod_evasive par exemple pour Apache) peuvent aider à tenir le choc... tant que la bande passante n'est pas saturée en amont !
Des solutions spécialisées
Lorsque la menace d'un déni de service est sérieuse et que son ampleur dépasse les capacités d'un hébergeur traditionnel, le site marchand devra se tourner vers des mesures dédiées, et chères. La décision, ici, est de payer les escrocs une fois le site menacé ou de payer d'emblée de véritables mesures de protection. Première de ces mesures : le choix d'un hébergeur "endurci". Outre une bande passante très généreuse, ces derniers déploient aussi des boîtiers matériels spécialisés dans le nettoyage du trafic (TopLayer, par exemple). Mais de telles solutions coûtent jusqu'à 80 000 dollars pièce et pour être efficaces doivent parfois être doublées. Le surcoût se retrouve nécessairement dans le prix de l'hébergement.
Mais pour une mise à l'abri de qualité industrielle, il faudra se retirer sur un réseau réellement blindé spécifiquement conçu pour résister à de telles attaques. C'est notamment ce que propose Prolexic, pionnier de cette approche. Le prestataire peut agir rapidement, au moment d'une attaque, ou plus en profondeur. "Nous pouvons détourner le trafic d'un client vers notre propre réseau en moins d'une heure. C'est une solution d'urgence", explique Gus Cunningham. Le trafic est alors nettoyé puis renvoyé vers le site, où qu'il soit. Mais pour les sites régulièrement attaqués une solution sur le long terme est préférable. "Les serveurs sont alors connectés directement à notre infrastructure via un de nos points de présence. Cela nous permet de gérer le trafic comme nous le souhaitons, et c'est tout de même plus efficace", reconnaît le vice-président de Prolexic. Mais c'est aussi plus cher. Si le ticket d'entrée de Prolexic est aux environs de 6 500 dollars par mois, la facture moyenne est de 10 000 dollars mois. Entre la protection ou l'escroc, les sites susceptibles d'être attaqués n'ont finalement pas d'autre choix que de payer pour être tranquilles...
Lire la première partie de l'article.
Lire aussi :
Les entreprises face à la menace du pharming
Réussir l'hébergement à très haut débit de son site web
Moteurs de recherche : pour transformer l'internaute en acheteur