Une attaque DDoS record de 5,6 Tb/s et les tendances mondiales en matière d'attaques DDoS au quatrième trimestre 2024

Bienvenue dans la 20e édition du rapport Cloudflare sur les menaces DDoS, dont la première édition a été publiée il y a cinq ans, en 2020.

Publié chaque trimestre, ce rapport propose une analyse complète du panorama changeant des menaces liées aux attaques par déni de service distribué (DDoS), sur la base des données issues du réseau Cloudflare. Dans cette édition, nous nous concentrerons sur le quatrième trimestre 2024 et examinerons l'année dans son ensemble.

Lorsque nous avons publié la première édition de notre rapport, la capacité du réseau mondial de Cloudflare était de 35 térabits par seconde (Tb/s). Depuis, la capacité de notre réseau a augmenté de 817 %, pour atteindre 321 Tb/s. Nous avons également augmenté de 65 % notre présence mondiale, de 200 villes au début de 2020 à 330 villes à la fin de l'année 2024.

Grâce à cet immense réseau, nous servons et protégeons aujourd'hui près de 20 % de l'ensemble des sites web, ainsi que près de 18 000 adresses IP uniques de clients Cloudflare. Notre infrastructure et notre clientèle étendues nous confèrent un positionnement unique, nous permettant de proposer des informations et des tendances essentielles qui profitent à l'ensemble de la communauté Internet.

• En 2024, les systèmes autonomes de défense contre les attaques DDoS de Cloudflare ont bloqué près de 21,3 millions d'attaques DDoS, soit une augmentation de 53 % par rapport à 2023. En moyenne, en 2024, Cloudflare a bloqué 4 870 attaques DDoS par heure.

• Au quatrième trimestre, plus de 420 de ces attaques étaient des attaques hyper-volumétriques, avec des débits supérieurs à 1 milliard de paquets par seconde (p/s) et 1 Tb/s. En outre, le nombre d'attaques dépassant 1 Tb/s a connu une progression stupéfiante de 1 885 % par rapport au trimestre précédent.

• Pendant la semaine de Halloween en 2024, les systèmes de défense DDoS de Cloudflare ont détecté et bloqué de manière autonome une attaque DDoS de 5,6 térabits par seconde (Tb/s), la plus vaste attaque jamais enregistrée.

Pour en savoir plus sur les attaques DDoS et les autres types de cybermenaces, consultez notre Centre d'apprentissage, accédez aux précédents rapports sur les menaces DDoS publiés sur le blog de Cloudflare ou rendez-vous sur notre portail interactif, Cloudflare Radar. Une API gratuite est également disponible pour les utilisateurs intéressés par l'exploration de ces informations et d'autres tendances liées à Internet. Vous pouvez également en apprendre davantage sur les méthodologies employées pour préparer ces rapports.

Au cours du seul quatrième trimestre 2024, Cloudflare a atténué 6,9 millions d'attaques DDoS. Ce chiffre représente une augmentation de 16 % par rapport au trimestre précédent et de 83 % par rapport à l'année précédente.

Parmi les attaques DDoS survenues au quatrième trimestre 2024, 49 % (3,4 millions) ciblaient la couche 3 ou la couche 4 et 51 % (3,5 millions) étaient des attaques DDoS HTTP.

^{Répartition de 6,9 millions d'attaques DDoS : quatrième trimestre 2024}

La majeure partie des attaques DDoS HTTP (73 %) ont été lancées par des botnets connus. La détection et le blocage rapides de ces attaques ont été rendus possibles par la présence d'un réseau immense et l'observation de nombreux types d'attaques et de botnets. Ceci permet à nos ingénieurs en sécurité et à nos chercheurs de mettre au point des méthodes heuristiques contribuant à accroître l'efficacité de l'atténuation de ces attaques.

Par ailleurs, 11 % des attaques DDoS HTTP interceptées imitaient un navigateur légitime, et 10 % des attaques présentaient des attributs HTTP suspects ou inhabituels. Les 8 % d'attaques restantes étaient des attaques HTTP flood génériques, des attaques volumétriques de type cache busting (infiltration de cache) et des attaques volumétriques ciblant les points de terminaison de connexion.

^{Principaux vecteurs d'attaque DDoS HTTP : quatrième trimestre 2024}

Ces vecteurs d'attaque, ou groupes d'attaques, ne sont pas nécessairement exclusifs. Par exemple, les botnets connus imitent également des navigateurs et présentent des attributs HTTP suspects ; toutefois, cette répartition constitue notre tentative de proposer une catégorisation pertinente des attaques DDoS HTTP.

À la date de publication de ce rapport, la version stable actuelle de Chrome pour Windows, Mac, iOS et Android est la version 132, selon les notes de version de Google. Cependant, il semble que les auteurs de menaces soient à la traîne, car treize des agents utilisateurs les plus fréquemment observés lors des attaques DDoS étaient des versions de Chrome allant de 118 à 129.

L'agent utilisateur HITV_ST_PLATFORM représentait la part la plus élevée de requêtes liées à des attaques DDoS par rapport au nombre total de requêtes (99,9 %), s'imposant comme l'agent utilisateur utilisé presque exclusivement lors des attaques DDoS. En d'autres termes, si vous observez du trafic provenant de l'agent utilisateur HITV_ST_PLATFORM, il y a 0,1 % de chances qu'il s'agisse de trafic légitime.

Les acteurs malveillants évitent souvent d'avoir recours à des agents utilisateurs inhabituels, au profit d'agents plus courants, comme Chrome, afin de se fondre dans le trafic normal. La présence de l'agent utilisateur HITV_ST_PLATFORM, qui est associé aux téléviseurs connectés et aux boîtiers décodeurs, suggère que les appareils impliqués dans certaines cyberattaques sont des téléviseurs connectés ou des boîtiers décodeurs compromis. Cette observation souligne l'importance de la sécurisation de l'ensemble des appareils connectés à Internet, notamment les téléviseurs connectés et les boîtiers décodeurs, afin d'empêcher leur exploitation lors de cyberattaques.

^{Principaux agents utilisateurs exploités pour lancer des attaques DDoS : quatrième trimestre 2024}

L'agent utilisateur hackney est arrivé en deuxième position ; en effet, 93 % des requêtes contenant cet agent utilisateur étaient associées à une attaque DDoS. Si vous observez du trafic provenant de l'agent utilisateur hackney, il y a 7 % de chances qu'il s'agisse de trafic légitime. Hackney est une bibliothèque de client HTTP pour Erlang, utilisée pour exécuter des requêtes HTTP. Elle est fréquemment mise en œuvre dans les écosystèmes Erlang/Elixir.

Parmi les autres agents utilisateurs employés lors d'attaques DDoS figure uTorrent, qui est associé à un client BitTorrent populaire utilisé pour le téléchargement de fichiers. Go-http-client et fasthttp ont également été fréquemment utilisés dans le cadre d'attaques DDoS. Le premier est le client HTTP par défaut de la bibliothèque standard de Go, tandis que le second est une alternative très performante. fasthttp est utilisé pour développer des applications web rapides, mais il est également souvent exploité pour lancer des attaques DDoS, ainsi qu'aux fins de l'extraction de contenus web.

Les méthodes HTTP (également appelées verbes HTTP) définissent l'action à exécuter sur une ressource sur un serveur. Elles font partie du protocole HTTP et permettent la communication entre les clients (tels que les navigateurs) et les serveurs.

La méthode GET est la plus fréquemment utilisée. Près de 70 % des requêtes HTTP légitimes utilisaient la méthode GET. La méthode POST arrive en deuxième place, avec une part de 27 %.

Avec les attaques DDoS, nous observons une situation différente. Près de 14 % des requêtes HTTP utilisant la méthode HEAD étaient associées à une attaque DDoS, bien que cette méthode soit à peine présente dans les requêtes HTTP légitimes (0,75 % de l'ensemble des requêtes). La méthode DELETE arrivait en deuxième position, environ 7 % de son utilisation étant liée à des attaques DDoS.

La disproportion entre les méthodes fréquemment observées lors des attaques DDoS et leur présence dans le trafic légitime est clairement perceptible. Les administrateurs de sécurité peuvent utiliser ces informations pour optimiser leur stratégie de sécurité en fonction de ces en-têtes.

^{Répartition des méthodes HTTP dans les attaques DDoS et le trafic légitime : quatrième trimestre 2024}

Un chemin HTTP décrit une ressource serveur spécifique. Associé à la méthode HTTP, il permet au serveur d'exécuter l'action demandée sur la ressource.

Par exemple, GET https://developers.cloudflare.com/ddos-protection/ ordonne au serveur de récupérer le contenu de la ressource /ddos-protection/.

Les attaques DDoS ciblent souvent la racine du site web (« / »), mais dans d'autres cas, elles peuvent cibler des chemins d'accès spécifiques. Au quatrième trimestre 2024, 98 % des requêtes HTTP adressées au chemin /wp-admin/ étaient associées à des attaques DDoS. Le chemin /wp-admin/ est celui du tableau de bord de l'administrateur par défaut pour les sites web WordPress.

De nombreux chemins sont évidemment uniques au site web spécifique ; dans le graphique ci-dessous, toutefois, nous avons indiqué les principaux chemins génériques les plus attaqués. Les administrateurs de la sécurité peuvent utiliser ces données pour renforcer leur protection sur ces points de terminaison, le cas échéant. 

 ^{Principaux chemins HTTP ciblés par des attaques DDoS HTTP : quatrième trimestre 2024}

Au quatrième trimestre, près de 94 % du trafic légitime était HTTPS. 6 % seulement de ce trafic étaient du langage HTTP en texte clair (non chiffré). Si l'on examine le trafic lié aux attaques DDoS, près de 92 % des requêtes liées à des attaques DDoS HTTP étaient transmises via HTTPS et près de 8 % étaient des requêtes HTTP en texte clair.

^{HTTP et HTTPS dans le trafic légitime et le trafic lié aux attaques DDoS : quatrième trimestre 2024}

Les trois vecteurs d'attaque les plus courants sur la couche 3/couche 4 (couche réseau) étaient les attaques SYN flood (38 %), les attaques DNS flood (16 %) et les attaques UDP flood (14 %).

^{Principaux vecteurs d'attaque DDoS sur les couches 3/4 : quatrième trimestre 2024}

Mirai est un autre vecteur d'attaque (ou plutôt, un type de botnet) courant. Les attaques Mirai représentaient 6 % de l'ensemble des attaques DDoS sur la couche réseau, traduisant une augmentation de 131 % par rapport au trimestre précédent. Au quatrième trimestre 2024, un variant du botnet Mirai a été responsable de la plus vaste attaque DDoS jamais observée ; nous reviendrons plus en détail sur ce point dans la section suivante.

Avant de passer à la section suivante, il convient de discuter de la croissance des vecteurs d'attaque supplémentaires observés durant ce trimestre. 

^{Principales menaces émergentes au quatrième trimestre 2024}

Les attaques DDoS Memcached ont connu la plus forte croissance, avec une augmentation de 314 % par rapport au trimestre précédent. Memcached est un système de mise en cache de base de données utilisé pour accélérer les sites web et les réseaux. Les serveurs Memcached prenant en charge le protocole UDP peuvent être utilisés de manière abusive, afin de lancer des attaques DDoS par amplification ou par réflexion. Dans ce cas précis, l'acteur malveillant demande du contenu au système de mise en cache en usurpant l'adresse IP de la victime, qu'il utilise comme adresse IP source de la victime dans les paquets UDP. La victime est alors submergée sous les réponses Memcache, qui peuvent être jusqu'à 51 200 fois plus volumineuses que la requête initiale.

Les attaques DDoS BitTorrent ont également augmenté de 304 % au cours de ce trimestre. Le protocole BitTorrent est un protocole de communication utilisé pour le partage de fichiers de pair-à-pair (« peer to peer »). Pour rechercher et télécharger efficacement les fichiers, les clients BitTorrent peuvent utiliser des trackers BitTorrent ou des tables de hachage distribuées (Distributed Hash Tables, DHT) afin d'identifier les pairs qui « seedent » (c'est-à-dire partagent) le fichier désiré. Ce concept peut être exploité afin de lancer des attaques DDoS. Un acteur malveillant peut ainsi usurper l'adresse IP de la victime afin de la faire apparaître en tant que « seeder » (c'est-à-dire un utilisateur détenant une copie complète d'un fichier) dans les trackers et les systèmes DHT. Les clients peuvent alors demander le fichier recherché à ces adresses IP. Si le nombre de clients demandant le fichier atteint un seuil suffisant, l'adresse IP ciblée par l'attaque peut être submergée sous un volume de trafic plus élevé qu'elle ne peut traiter.

Le 29 octobre, une attaque DDoS UDP de 5,6 Tb/s lancée par un botnet utilisant une variante de Mirai a ciblé un client de Cloudflare Magic Transit, un fournisseur d'accès Internet (FAI) situé en Asie de l'Est. L'attaque n'a duré que 80 secondes et a été lancée depuis plus de 13 000 appareils IoT . La détection et l'atténuation ont été assurées de manière pleinement autonome par les systèmes de défense distribués de Cloudflare. Cette opération n'a nécessité aucune intervention humaine, n'a pas déclenché d'alerte et n'a pas entraîné de dégradation des performances. Les systèmes ont fonctionné comme prévu.

^{Les systèmes anti-DDoS autonomes de Cloudflare atténuent une attaque DDoS Mirai de 5,6 Tb/s sans intervention humaine}

Si le nombre total d'adresses IP source uniques était d'environ 13 000, le nombre moyen d'adresses IP source uniques par seconde s'élevait à 5 500. Nous avons également constaté un nombre similaire de ports sources uniques par seconde. Dans le graphique ci-dessous, chaque ligne représente l'une des 13 000 adresses IP source différentes et, selon cette représentation, chacune a généré moins de 8 Go/s par seconde. La contribution moyenne de chaque adresse IP était d'environ 1 Gb/s par seconde (environ 0,012 % de 5,6 Tb/s).

^{Les 13 000 adresses IP source qui ont lancé l'attaque DDoS de 5,6 Tb/s}

Au troisième trimestre 2024, nous avons commencé à constater une hausse du nombre d'attaques DDoS hyper-volumétriques lancées contre la couche réseau. Au quatrième trimestre 2024, le nombre d'attaques dépassant 1 Tb/s a augmenté de 1 885 % par rapport au trimestre précédent, tandis que le nombre d'attaques dépassant 100 millions de p/s (paquets par seconde) a augmenté de 175 % sur la même période. 16 % des attaques dépassant 100 millions de p/s ont également dépassé 1 milliard de p/s.

^{Répartition des attaques DDoS hyper-volumétriques contre les couches 3/4 : quatrième trimestre 2024}

La majeure partie des attaques DDoS HTTP (63 %) n'excédaient pas 50 000 requêtes par seconde. De l'autre côté du spectre, 3 % des attaques DDoS HTTP dépassaient 100 millions de requêtes par seconde.

De même, la majorité des attaques DDoS lancées contre la couche réseau étaient également de faible ampleur. 93 % ne dépassaient pas 500 b/s et 87 % n'excédaient pas 50 000 paquets par seconde. 

^{Évolution de la taille des attaques en fonction du débit de paquets par rapport au trimestre précédent : quatrième trimestre 2024}

^{Évolution de la taille des attaques en fonction du débit binaire par rapport au trimestre précédent : quatrième trimestre 2024}

La majeure partie des attaques DDoS HTTP (72 %) cessent en moins de 10 minutes. Près de 22 % des attaques DDoS HTTP durent plus d'une heure, et 11 % durent plus de 24 heures.

De même, 91 % des attaques DDoS lancées contre la couche réseau cessent également après dix minutes. 2 % seulement des attaques durent plus d'une heure.

De manière globale, on constate une diminution importante de la durée des attaques DDoS par rapport au trimestre précédent. La durée de la plupart des attaques étant très courte, il n'est pas possible, dans la plupart des cas, pour un humain de répondre à une alerte, d'analyser le trafic et d'appliquer des mesures d'atténuation. La brévité des attaques souligne la nécessité de disposer d'un service de protection contre les attaques DDoS in-line (interne), toujours actif et automatisé.

^{Évolution de la durée des attaques par rapport au trimestre précédent : quatrième trimestre 2024}

Lors du dernier trimestre 2024, l'Indonésie est restée la plus importante source d'attaques DDoS dans le monde pour le deuxième trimestre consécutif. Pour déterminer l'origine des attaques, nous associons les adresses IP source depuis lesquelles sont lancées les attaques DDoS HTTP, car elles ne peuvent pas être usurpées. De même, pour les attaques DDoS ciblant les couches 3 et 4, nous prenons en compte l'emplacement de nos datacenters au sein desquels les paquets DDoS ont été ingérés. Ceci nous permet de surmonter les risques d'usurpation possibles au niveau des couches 3 et 4. Nous sommes en mesure d'assurer une précision géographique grâce à notre vaste réseau, présent dans plus de 330 villes à travers le monde.

Hong Kong est arrivée en deuxième place, après avoir progressé de cinq places par rapport au trimestre précédent. Singapour a progressé de trois places, atteignant la troisième position.

^{Les 10 plus importantes sources d'attaques DDoS : quatrième trimestre 2024}

Un système autonome (Autonomous System, AS) est un grand réseau ou groupe de réseaux disposant d'une politique de routage cohérente. Chaque ordinateur ou appareil qui se connecte à Internet est connecté à un système autonome. Pour plus d'informations sur votre système autonome, consultez la page https://radar.cloudflare.com/ip.

Lorsque l'on examine l'origine des attaques DDoS (et plus spécifiquement des attaques DDoS HTTP), quelques systèmes autonomes se démarquent.

Le système autonome à l'origine du plus important volume de trafic lié à des attaques DDoS HTTP au quatrième trimestre 2024 était le système autonome allemand Hetzner (AS24940). Près de 5 % de l'ensemble des requêtes DDoS HTTP provenaient du réseau de Hetzner ; en d'autres termes, 5 requêtes DDoS HTTP sur 100 bloquées par Cloudflare provenaient de Hetzner.

En deuxième position, nous trouvons l'opérateur Digital Ocean (AS14061), suivi par l'opérateur français OVH (AS16276), en troisième position.

^{Les 10 principaux réseaux source d'attaques DDoS : quatrième trimestre 2024}

Pour de nombreux opérateurs de réseaux, tels que ceux mentionnés ci-dessus, il peut être difficile d'identifier les acteurs malveillants qui exploitent leur infrastructure pour lancer des attaques. Pour aider les opérateurs de réseaux et les fournisseurs d'accès à lutter contre l'utilisation abusive de leurs infrastructures, nous proposons un flux gratuit d'informations sur les menaces liées aux botnets DDoS, qui fournit aux propriétaires de systèmes autonomes une liste des adresses IP que nous avons observées lors d'attaques DDoS. 

Lorsque nous avons interrogé des clients Cloudflare ciblés par des attaques DDoS, la majorité ont déclaré ne pas savoir qui les avait attaqués. Ceux qui connaissaient l'identité de l'auteur des attaques ont déclaré que leurs concurrents étaient le principal acteur malveillant à l'origine des attaques (40 %). Par ailleurs, 17 % des personnes interrogées ont déclaré que le responsable des attaques était un acteur malveillant mandaté ou soutenu par un État, et un pourcentage similaire a indiqué que le responsable des attaques était un utilisateur ou un client mécontent.

Par ailleurs, 14 % des personnes interrogées ont signalé que l'objectif de l'auteur des attaques était de leur extorquer des fonds. 7 % des personnes interrogées ont déclaré être elles-mêmes responsables d'une attaque DDoS, 2 % ont déclaré que des hacktivistes étaient à l'origine des attaques et 2 % ont déclaré que les attaques avaient été lancées par d'anciens collaborateurs.

^{Principaux auteurs de menaces : quatrième trimestre 2024}

Comme nous l'avions prévu, au trimestre 2024, nous avons observé une forte hausse des attaques DDoS avec demande de rançon. Ce pic était prévisible, car le quatrième trimestre constitue une période de prédilection pour les cybercriminels, en raison de l'augmentation des achats en ligne, des préparatifs de voyage et des activités liées aux fêtes de fin d'année. L'interruption de ces services pendant les périodes d'affluence peut avoir un impact considérable sur les revenus des entreprises et entraîner des perturbations dans la réalité, notamment des retards ou des annulations de vols.

Au quatrième trimestre, 12 % des clients Cloudflare ayant été la cible d'attaques DDoS ont déclaré avoir fait l'objet de menaces ou de tentatives d'extorsion associées à une demande de versement d'une rançon. Ce chiffre représente une augmentation de 78 % par rapport au trimestre précédent et une croissance de 25 % par rapport à l'année précédente.

^{Répartition trimestrielle des attaques DDoS avec demande de rançon déclarées : 2024}

Sur l'ensemble de l'année 2024, c'est au mois de mai que Cloudflare a reçu le plus grand nombre de signalements d'attaques DDoS avec demande de rançon. Au quatrième trimestre, nous observons une augmentation progressive à partir d'octobre (10 %), de novembre (13 %) et de décembre (14 %) – un niveau record sur sept mois.

^{Répartition mensuelle des attaques DDoS avec demande de rançon déclarées : 2024}

Au quatrième trimestre 2024, la Chine a maintenu sa position, s'imposant comme le pays le plus fréquemment ciblé par des attaques. Pour mieux comprendre quels pays subissent le plus grand nombre d'attaques, nous regroupons les attaques DDoS en fonction du pays de facturation de nos clients. 

Les Philippines font leur première apparition, devenant le deuxième pays le plus fréquemment attaqué dans le classement. Taïwan a bondi à la troisième place, progressant de sept places par rapport au trimestre précédent.

La carte ci-dessous présente les 10 pays les plus fréquemment attaqués, ainsi que leur évolution par rapport au trimestre précédent.

^{Les 10 pays les plus fréquemment ciblés par des attaques DDoS : quatrième trimestre 2024}

Au quatrième trimestre 2024, le secteur des télécommunications, des fournisseurs d'accès Internet et des opérateurs a bondi de la troisième place (au dernier trimestre) à la première place, devenant le secteur le plus fréquemment ciblé par des attaques. Pour mieux comprendre quels secteurs subissent le plus grand nombre d'attaques, nous regroupons les attaques DDoS en fonction du secteur de nos clients. Le secteur d'Internet arrivait en deuxième place, suivi par les secteurs du marketing et de la publicité, en troisième position.

Le secteur des services bancaires et financiers a reculé de sept places, passant de la première place au troisième trimestre 2024 à la huitième place au quatrième trimestre.

^{Les 10 secteurs les plus fréquemment ciblés par des attaques DDoS : quatrième trimestre 2024}

Au quatrième trimestre 2024, nous avons observé une hausse du nombre d'attaques DDoS hyper-volumétriques visant les couches 3 et 4, la plus volumineuse ayant battu notre précédent record, avec un pic de 5,6 Tb/s. Cette augmentation de la taille des attaques rend obsolètes les services cloud de protection contre les attaques DDoS dotés d'une capacité limitée ou les équipements anti-DDoS sur site.

L'utilisation croissante de botnets puissants, motivée par des facteurs géopolitiques, a élargi la gamme de cibles vulnérables. L'augmentation du nombre d'attaques DDoS avec demande de rançon constitue également une préoccupation grandissante.

Trop d'entreprises ne mettent en place une protection contre les attaques DDoS qu'après avoir subi une attaque. Nos observations montrent que les entreprises qui disposent de stratégies de sécurité proactives sont plus résilientes. Chez Cloudflare, nous investissons dans des défenses automatisées et un portefeuille complet de solutions de sécurité afin d'assurer une protection proactive contre les menaces actuelles et émergentes.

Avec notre réseau d'une capacité de 321 Tb/s, présent dans 330 villes à travers le monde, nous nous engageons à offrir une protection illimitée et sans surcoût contre les attaques DDoS, quels que soient l'ampleur, la durée et le nombre des attaques.