Les cyberattaques par déni de service distribué (Distributed Denial of Service, DDoS) visent à submerger et à perturber les services en ligne afin de les rendre inaccessibles aux utilisateurs. Elles inondent le système cible sous un flot excessif de requêtes en tirant parti d'un réseau d'appareils distribués afin d'épuiser sa bande passante ou ses ressources informatiques jusqu'à la défaillance. Ces attaques peuvent se révéler très efficaces contre les sites non protégés et relativement peu coûteuses pour les acteurs malveillants. Bien qu'il s'agisse d'un des types d'attaques les plus anciens, les attaques DDoS demeurent une menace constante, qui cible souvent les services, les infrastructures et les sites web essentiels bien connus ou présentant un trafic élevé. Cloudflare a atténué plus de 14,5 millions d'attaques DDoS depuis le début de l'année 2024, soit une moyenne de 2 200 attaques DDoS par heure. (Notre rapport sur les menaces DDoS au troisième trimestre 2024 contient des statistiques supplémentaires sur le sujet.)
Si nous examinons les indicateurs associés aux attaques de grande ampleur atténuées ces dix dernières années, le graphique montre-t-il une augmentation régulière sous la forme d'une courbe exponentielle qui ne cesse de devenir plus prononcée (notamment ces dernières années) ou se rapproche-t-il d'un modèle de croissance linéaire ? Nous avons découvert que cette croissance n'était pas linéaire, mais plutôt exponentielle. La courbe dépend ainsi de l'indicateur étudié.
Pourquoi cette question est-elle intéressante ? C'est très simple. La réponse à cette question fournit des informations précieuses sur l'évolution des stratégies des acteurs malveillants, la sophistication de leurs outils et la préparation des mécanismes de défense.
Pour prendre un exemple, le fait qu'une courbe du nombre de requêtes par seconde (r/s) présente un profil ascendant suggère que les acteurs malveillants ont apporté des modifications de leur côté, ici un élément qui leur permet de générer des volumes de requêtes plus importants. Cette information nous incite à enquêter davantage et à examiner d'autres données afin de déterminer si de nouvelles évolutions sont en train de se produire.
Lors de l'un de ces épisodes, par exemple, nous avons ainsi constaté, après examen de la source du trafic, une transition de l'espace d'adressage IP des abonnés/entreprises (qui suggère l'utilisation d'appareils IdO) vers l'espace d'adressage IP du fournisseur de cloud (qui suggère donc l'utilisation de VM, ou machines virtuelles). Nous avons compris que nous étions en présence d'une évolution concernant le type et les capacités des appareils utilisés par les pirates.
Autre exemple : le nombre record de requêtes par seconde observé lorsque l'attaque HTTP/2 Rapid Reset est survenue suggérait l'emploi d'une nouvelle technique par les acteurs malveillants. Cette découverte nous a incités à enquêter rapidement sur les processus en cours d'exécution et, par là-même, à adapter nos défenses.
Définition d'une attaque individuelle
La délimitation d'une attaque particulière dans le temps s'avère étonnamment floue. L'analyse d'une attaque peut tout d'abord aboutir à des observations incohérentes sur différentes couches du modèle OSI. L'empreinte observée sur l'ensemble de ces différentes couches peut décrire des situations différentes pour la même attaque. Certaines variables examinées conjointement, toutefois, peuvent nous permettre de créer une empreinte numérique et de regrouper un ensemble d'événements, en établissant que ces derniers font partie de la même attaque. En voici quelques exemples :
Constatons-nous que le ou les mêmes vecteurs d'attaque sont utilisés dans cet ensemble d'événements ?
Les événements d'attaque se concentrent-ils tous sur la ou les mêmes cibles ?
Les contenus malveillants liés aux événements partagent-ils la même signature ? (Contenus malveillants ou types de requêtes spécifiques à certains types d'attaques ou de botnets, comme Mirai, susceptibles d'utiliser des en-têtes de requête HTTP ou des structures de paquet distinctes.)
Ampleur des attaques DDoS
Marquons une pause avant de nous intéresser plus avant à l'analyse de la croissance des attaques DDoS au cours ces dix dernières années et examinons les indicateurs généralement utilisés pour les mesurer : requêtes par seconde (r/s), paquets par seconde (p/s) et bits par seconde (b/s). Chaque indicateur retranscrit un aspect différent de l'échelle et de l'incidence d'une attaque.
Requêtes par seconde (r/s) : cet indicateur mesure le nombre de requêtes HTTP (ou d'un protocole similaire) effectuées chaque seconde. Ce chiffre s'avère particulièrement pertinent dans le cas d'attaques sur la couche applicative (couche 7), dont l'objectif consiste à submerger une application ou un service spécifique en surchargeant sa capacité de traitement des requêtes. Il est utile pour mesurer les attaques qui ciblent des serveurs web, des API ou des applications, car il reflète le volume de requêtes et pas uniquement le transfert de données brutes.
Paquets par seconde (p/s) : cette valeur représente le nombre de paquets individuels envoyés à la cible par seconde, indépendamment de leur taille. Cet indicateur se révèle essentiel pour les attaques visant la couche réseau (couches 3 et 4), dont l'objectif consiste à surcharger l'infrastructure réseau en excédant sa capacité de traitement des paquets. Les mesures p/s sont utiles dans le cas des attaques volumétriques, car elles permettent d'identifier une quantité de paquets susceptible d'avoir une incidence sur les routeurs, les commutateurs ou les pare-feu.
Bits par seconde (b/s) : ce chiffre mesure la quantité totale de données transférées par seconde et s'avère particulièrement utile pour évaluer les attaques au niveau de la couche réseau qui tentent de saturer la bande passante de la cible ou de son fournisseur en amont. La valeur b/s est largement utilisée pour mesurer les attaques sur les couches 3 et 4, comme les floods UDP, c'est-à-dire d'attaques destinées à encombrer la bande passante du réseau. Cet indicateur est souvent mis en évidence dans le cas d'attaques DDoS, car des valeurs b/s élevées (souvent mesurées en gigabits ou térabits) signalent une saturation de la bande passante, soit l'objectif courant des campagnes DDoS de grande ampleur.
Évolution de l'ampleur des attaques DDoS au cours de la dernière décennie
Comment l'ampleur des attaques DDoS a-t-elle évolué au cours de la dernière décennie ? Nous constatons que les attaques DDoS sont devenues plus volumineuses et plus puissantes sur cette période, en présentant chaque année un potentiel toujours supérieur d'entraîner davantage de perturbations.
L'examen des indicateurs associés aux attaques de grande ampleur observées ces dix dernières années montre-t-il une augmentation régulière sous la forme d'une courbe exponentielle qui ne cesse de s'accentuer (notamment ces dernières années) ou cette courbe se rapproche-t-elle d'une croissance linéaire ? Nous avons constaté que cette dernière était exponentielle, alors examinons les détails des raisons pour lesquelles nous sommes arrivés à cette conclusion.
Pour cette analyse, nous avons utilisé des attaques observées par Google entre 2010 et 2022 à titre de base de référence (figure 1), que nous avons étendue à l'aide des attaques observées par Cloudflare en 2023 et 2024 (figure 2).
En remontant le temps au début des années 2010, nous remarquons que les attaques les plus volumineuses se mesuraient en gigabits par seconde (Gb/s), tandis qu'aujourd'hui, toutes ces dernières se chiffrent en térabits par seconde (Tb/s). Les quantités de requêtes par seconde (r/s) et de bits par seconde (b/s) sont également considérablement plus élevées à l'heure actuelle, comme nous le verrons plus loin.
Les données historiques de Google présentées ci-dessous dans la figure 1 montrent une tendance croissante du nombre de requêtes par seconde lors des attaques DDoS observées entre 2010 et 2022, avec un pic à 6 millions de requêtes par seconde (Mr/s) en 2020. Cette augmentation révèle une escalade significative du volume des attaques au cours de la décennie.
Figure 1. Les attaques DDoS les plus volumineuses connues, 2010–2022. (Source : Google)
La figure 2 (ci-dessous) présente une vue des tendances observées pour les différents indicateurs. L'escalade observée dans les statistiques de Google est également visible dans les données de Cloudflare concernant l'observation des attaques DDoS de grande ampleur atténuées en 2023 et 2024, qui ont culminé à 201 Mr/s (courbe verte) en septembre 2024. Le nombre de paquets par seconde (p/s) présente une légère croissance exponentielle au fil du temps (courbe bleue). Passé de 230 Mp/s en 2015 à 2 100 Mp/s en 2024, ce chiffre suggère que les acteurs malveillants parviennent de plus en plus à produire un débit plus élevé. Sur le plan des bits par seconde (b/s), la tendance se révèle là aussi exponentielle, avec une courbe croissante plus prononcée (en rouge), en évoluant d'une attaque culminant à 309 Gb/s en 2013 à une attaque chiffrée à 5,6 Tb/s (5 600 Gb/s) en 2024.
Les attaques représentées par ces indicateurs ont connu des taux de croissance importants au cours de la dernière décennie :
Le nombre de bits par seconde a augmenté d'un facteur 20 entre 2013 et 2024.
Le nombre de paquets par seconde a été multiplié par 10 entre 2015 et 2024.
Le nombre de requêtes par seconde a été multiplié par 70 entre 2014 et 2024.
Figure 2. Données de la figure 1 étendues à l'aide des attaques de grande ampleur observées par Cloudflare en 2023 et 2024.
Les articles de blog figurant dans le tableau 1 présentent en détail certaines des attaques que nous avons observées entre 2021 et 2024.
Mois | Taille de l'attaque | Article de blog |
Août 2021 | 17,2 Mr/s | |
Avril 2022 | 15 Mr/s | Cloudflare bloque une attaque DDoS HTTPS culminant à 15 millions de r/s |
JUIN 2022 | 26 Mr/s | Cloudflare atténue une attaque DDoS de 26 millions de requêtes par seconde |
Février 2023 | 71 Mr/s | Cloudflare atténue une attaque DDoS record de 71 millions de requêtes par seconde |
Septembre 2024 | 3,8 Tb/s | Comment Cloudflare a atténué automatiquement une attaque DDoS de 3,8 Tb/s, le nouveau record mondial |
Octobre 2024 | 4,2 Tb/s | |
Octobre 2024 | 5,6 Tb/s |
Tableau 1. Les attaques DDoS notables observées par Cloudflare entre 2021 et 2024.
Vous trouverez également une vue d'ensemble d'autres attaques DDoS de grande ampleur survenues au cours de la dernière décennie, notamment l'attaque par abus Memcached de 2018 et les attaques HTTP/2 « Rapid Reset » de 2023, dans le Centre d'apprentissage Cloudflare.
La durée des attaques en tant qu'indicateur
La durée n'est pas un indicateur efficace pour caractériser l'agressivité d'une attaque, car il est difficile d'établir la durée d'une attaque ou d'une campagne unique, en raison de leur nature intermittente, de la possibilité qu'une multitude de vecteurs d'attaque soient utilisés en même temps ou de la manière dont les différentes couches de défense se sont activées au fil du temps.
Les schémas d'attaque peuvent varier considérablement. Certains culminent en un unique pic de grande ampleur, tandis que d'autres se présentent sous la forme de plusieurs pics étroitement regroupés ou d'une charge constante, maintenue sur une période donnée, aux côtés d'autres caractéristiques plus ou moins changeantes.
Les tendances des types d'appareils utilisés pour lancer des attaques
Les attaques DDoS abandonnent de plus en plus les botnets basés sur l'IdO pour des botnets plus puissants, basés sur des machines virtuelles (VM, Virtual Machines). Cette évolution est principalement due à l'augmentation des capacités de calcul et de débit des machines virtuelles hébergées dans le cloud, qui permettent aux acteurs malveillants de lancer des attaques de grande ampleur avec beaucoup moins d'appareils.
Plusieurs facteurs facilitent ce changement : les botnets VM peuvent être plus faciles à mettre en place que les botnets IdO, car ils ne nécessitent pas nécessairement d'infection généralisée par un logiciel malveillant. En effet, les acteurs malveillants peuvent les déployer sur l'infrastructure d'un fournisseur de cloud de manière anonyme à l'aide d'informations de paiement dérobées lors de violations de données ou d'attaques Magecart.
Cette tendance souligne l'évolution des tactiques de protection contre les attaques DDoS, tandis que les acteurs malveillants exploitent à la fois la puissance de traitement des machines virtuelles et l'accès anonymisé aux ressources du cloud afin de créer des botnets plus petits et plus efficaces, capables de lancer des attaques à grande échelle, sans les complexités liées à l'infection et à la gestion de flottes d'appareils IdO.
Comment Cloudflare vous aide-t-elle à vous protéger contre les attaques DDoS ?
Le cloud de connectivité Cloudflare, bâti sur notre vaste réseau mondial Anycast, joue un rôle crucial dans les défenses contre les attaques DDoS, en tirant parti de fonctionnalités automatisées en matière de détection, de répartition du trafic et de réponse rapide. Découvrez comment Cloudflare renforce la protection contre les attaques DDoS :
Détection et atténuation des attaques automatisées : la protection anti-DDoS de Cloudflare repose fortement sur l'automatisation, en utilisant des algorithmes d'apprentissage automatique (Machine Learning, ML) pour identifier les modèles de trafic suspects en temps réel. Grâce à l'automatisation du processus de détection, Cloudflare peut rapidement identifier et bloquer les attaques DDoS, sans intervention manuelle. Cet aspect se révèle essentiel dans le cas d'attaques à volume élevé, susceptibles de submerger les intervenants humains.
Répartition du trafic mondial avec adresse IP Anycast : le réseau Cloudflare s'étend à plus de 330 villes à travers le monde et le trafic lié aux attaques DDoS est réparti sur nos nombreux datacenters. L'adressage IP nous permet de répartir le trafic sur ce réseau mondial. Ce principe de distribution étendu contribue à absorber et à atténuer les attaques de grande ampleur, car le trafic hostile n'est pas dirigé vers un point unique. Ce procédé permet ainsi de réduire la pression sur les serveurs et les réseaux individuels.
Défense par couches : le cloud de connectivité Cloudflare assure une défense superposée sur plusieurs couches, notamment la couche réseau (couche 3), la couche de transport (couche 4) et la couche applicative (couche 7). Cette approche par couches permet de mettre en place des stratégies de défense sur mesure en fonction du type d'attaque afin de garantir une atténuation efficace des attaques multicouches, même complexes. Vous trouverez davantage d'informations sur la protection contre les attaques DDoS visant les couches 3, 4 et 7 dans notre documentation sur la protection anti-DDoS.
Atténuation illimitée des attaques DDoS : pionnière de cette approche depuis 2017 afin de garantir la sécurité sur Internet, Cloudflare propose une protection illimitée contre les attaques DDoS, qui permet à nos clients de se protéger sans se soucier des limitations en matière de bande passante ou de coûts lors des attaques. Cette approche permet de s'assurer que les entreprises puissent bénéficier d'une protection anti-DDoS, indépendamment de leur taille ou de leur budget.
L'infrastructure cloud distribuée et la technologie avancée de Cloudflare nous permettent de détecter, d'absorber et d'atténuer les attaques DDoS d'une manière à la fois évolutive et réactive, d'éviter les épisodes d'interruption et de préserver la fiabilité des services afin de proposer une solution performante pour faire face à l'intensité et à la fréquence croissantes des attaques DDoS par rapport aux options traditionnelles.
Une protection contre les attaques DDoS s'avère essentielle pour les entreprises de toutes tailles. Si les attaques sont bien lancées par des humains, elles restent néanmoins conduites par des bots. Une défense efficace nécessite ainsi des outils automatisés pour contrer ces menaces soutenues par des bots. Les processus de détection et d'atténuation en temps réel doivent être aussi automatisés que possible, car le fait de s'en remettre uniquement à l'intervention humaine constitue un désavantage pour les équipes chargées de la défense. En effet, les acteurs malveillants s'adaptent aux nouvelles barrières et peuvent modifier les vecteurs d'attaque, le comportement du trafic, les signatures du contenu malveillant, etc., afin de donner naissance à un scénario imprévu, susceptible de rendre certaines configurations manuelles inutiles. Les systèmes automatisés de Cloudflare identifient et bloquent en permanence les attaques DDoS pour le compte de ses clients afin de leur assurer une protection sur mesure, répondant à leurs besoins individuels.
Nous nous sommes donné pour mission de contribuer à bâtir un Internet meilleur et la résilience face aux menaces DDoS en fait partie.
Vous trouverez davantage d'informations sur la protection contre les attaques DDoS de Cloudflare dans notre documentation technique publique.