20,5 millions d'attaques DDoS identifiées, soit une augmentation de 358 % par rapport à l'année précédente : rapport Cloudflare sur les menaces DDoS au premier trimestre 2025

Bienvenue dans la 21e édition du rapport Cloudflare sur les menaces DDoS. Publié chaque trimestre, ce rapport propose une analyse complète du panorama changeant des menaces liées aux attaques par déni de service distribué (Distributed Denial of Service, DDoS), sur la base des données issues du réseau Cloudflare. Dans cette édition, nous nous concentrerons sur le premier trimestre 2025. Pour consulter les rapports précédents, rendez-vous sur le site www.ddosreport.com.

Bien que ce rapport se concentre principalement sur le premier trimestre 2025, il inclut également des données récentes issues d'une campagne d'attaques DDoS hyper-volumétriques observée au mois d'avril 2025, marquée par des attaques parmi les plus vastes jamais divulguées publiquement. Au plus fort d'une augmentation historique de l'activité, nous avons arrêté une attaque présentant un débit de paquets d'une intensité jamais encore observée, avec un pic de 4,8 milliards de paquets par seconde (Gp/s), supérieure de 52 % au précédent record. Nous avons également repoussé une attaque massive de 6,5 térabits par seconde (Tb/s), d'une ampleur équivalente aux plus vastes attaques à large bande passante jamais observées.

• Au cours du premier trimestre 2025, Cloudflare a bloqué 20,5 millions d'attaques DDoS. Ce chiffre représente une augmentation de 358 % par rapport à l'année précédente et de 198 % par rapport au trimestre précédent. 

• Près d'un tiers de ces menaces, soit 6,6 millions, ciblaient directement l'infrastructure du réseau Cloudflare lors d'une campagne d'attaques multi-vectorielles qui aura duré 18 jours.

• Par ailleurs, au cours du premier trimestre 2025, Cloudflare a bloqué environ 700 attaques DDoS hyper-volumétriques supérieures à 1 Tb/s ou 1 Gp/s, soit une moyenne d'environ 8 attaques par jour.

Toutes les attaques ont été bloquées par nos défenses autonomes.

Pour en savoir plus sur les attaques DDoS et les autres types de cybermenaces, consultez notre centre d'apprentissage. Rendez-vous sur Cloudflare Radar pour consulter une version interactive de ce rapport, qui vous permettra d'approfondir l'exploration de ces données. Une API gratuite est disponible pour les utilisateurs intéressés par l'étude des tendances liées à Internet. Vous pouvez également en apprendre davantage sur les méthodologies employées pour préparer ces rapports.

Au cours du premier trimestre 2025, nous avons arrêté 20,5 millions d'attaques DDoS. À titre de comparaison, au cours de l'année civile 2024, nous avons arrêté 21,3 millions d'attaques DDoS. Au cours du dernier trimestre seulement, nous avons arrêté l'équivalent de 96 % du nombre d'attaques que nous avons bloquées en 2024.

Ce sont les attaques DDoS sur la couche réseau qui ont connu l'augmentation la plus importante. Au cours du premier trimestre 2025, nous avons arrêté 16,8 millions d'attaques DDoS sur la couche réseau. Cela représente une augmentation de 397 % par rapport au trimestre précédent et de 509 % par rapport à l'année précédente. Les attaques DDoS HTTP ont également augmenté, avec une hausse de 7 % par rapport au trimestre précédent et de 118 % par rapport à l'année précédente.

Nous comptons les attaques DDoS sur la base des empreintes numériques uniques en temps réel générées par nos systèmes. Dans certains cas, une attaque ou une campagne unique peut générer une multitude d'empreintes numériques, notamment lorsque différentes stratégies d'atténuation sont mises en œuvre. Bien que cette méthode puisse parfois entraîner un comptage plus élevé, elle constitue un indicateur global fort de l'activité liée aux attaques au cours d'une période donnée.

Sur les 20,5 millions d'attaques DDoS arrêtées au cours du premier trimestre, 16,8 millions étaient des attaques DDoS sur la couche réseau et, parmi ces dernières, 6,6 millions ciblaient directement l'infrastructure réseau de Cloudflare. Par ailleurs, 6,9 millions d'autres attaques ciblaient des fournisseurs d'hébergement et des fournisseurs d'accès Internet protégés par Cloudflare.

Ces attaques faisaient partie d'une campagne d'attaques DDoS multi-vectorielles, qui aura duré 18 jours et comprenait des attaques SYN flood, des attaques DDoS générées par Mirai et des attaques par amplification SSDP, pour ne citer que quelques exemples. Ces attaques, comme l'ensemble des 20,5 millions d'attaques, ont été détectées et bloquées de manière autonome par nos défenses anti-DDoS.

Dans le graphique ci-dessous, les cumuls quotidiens d'attaques lancées contre Cloudflare sont représentés par la ligne bleue. Les autres couleurs représentent les différents fournisseurs d'hébergement et fournisseurs d'accès Internet utilisant le service Magic Transit de Cloudflare, et qui ont été attaqués simultanément.

Les attaques DDoS hyper-volumétriques sont des attaques qui dépassent 1 à 2 Tb/s ou 1 Gp/s. Au cours du premier trimestre 2025, nous avons arrêté plus de 700 de ces attaques. Près de quatre attaques DDoS sur 100 000 sur la couche réseau étaient des attaques hyper-volumétriques. Les attaques DDoS hyper-volumétriques ont tendance à se dérouler sur UDP.

Bien que ce rapport se concentre principalement sur le premier trimestre 2025, nous pensons qu'il est également important d'évoquer les attaques DDoS hyper-volumétriques d'une ampleur record qui se sont poursuivies au deuxième trimestre. Nous avons donc inclus les informations initiales provenant de cette campagne d'attaques.

Pendant la seconde moitié du mois d'avril 2025, les systèmes de Cloudflare ont automatiquement détecté et bloqué des dizaines d'attaques DDoS hyper-volumétriques qui se sont déroulées dans le cadre d'une campagne intense. Les attaques les plus volumineuses ont atteint des pics de 4,8 Gp/s et 6,5 Tb/s, ces augmentations massives du trafic ayant habituellement duré entre 35 et 45 secondes. Avec un débit de données de 6,5 Tb/s, cette attaque est équivalente à la plus importante attaque DDoS divulguée publiquement à ce jour. L'attaque de 4,8 Gp/s par seconde est la plus importante jamais divulguée au regard du volume de paquets, supérieure d'environ 52 % à la précédente attaque record de 3,15 Gp/s.

Les attaques provenaient de 147 pays et ciblaient plusieurs adresses IP et ports d'un fournisseur d'hébergement protégé par Cloudflare Magic Transit. Toutes les attaques ont été bloquées avec succès par le réseau de Cloudflare.

Lorsque nous avons interrogé des clients Cloudflare ciblés par des attaques DDoS, la majorité a déclaré ne pas savoir qui les avait attaqués. Ceux qui connaissaient l'identité de l'auteur des attaques ont déclaré que leurs concurrents étaient le principal acteur malveillant à l'origine des attaques (39 %), une valeur similaire au trimestre dernier. Il s'agit d'une situation assez courante dans le secteur des jeux vidéo et des jeux de hasard.

Par ailleurs, 17 % des personnes interrogées ont déclaré que l'attaque était l'œuvre d'un acteur malveillant mandaté ou soutenu par un État, tandis qu'un pourcentage similaire a indiqué qu'un utilisateur ou un client mécontent était à l'origine de l'attaque. 

De plus, 11 % des personnes interrogées ont déclaré être elles-mêmes responsables de l'attaque DDoS, lancée par inadvertance, et un pourcentage similaire a déclaré que l'attaque avait pour objectif de leur extorquer des fonds. 6 % des personnes interrogées ont déclaré que les attaques avaient été lancées par des collaborateurs mécontents ou d'anciens collaborateurs.

Au niveau de la couche réseau, les attaques SYN flood demeurent le vecteur d'attaque DDoS le plus courant sur les couches 3 et 4, suivies des attaques DNS flood. Les attaques DDoS lancées parMirai occupent la troisième place, remplaçant les attaques UDP flood.

Dans le domaine du protocole HTTP, plus de 60 % des attaques arrêtées ont été identifiées comme provenant de botnets connus. 21 % étaient des attaques comportant des attributs HTTP suspects, 10 % étaient des attaques lancées depuis des botnets usurpant l'identité de navigateurs et les 8 % restants étaient des attaques par saturation génériques, des attaques caractérisées par des modèles de requêtes inhabituels et des attaques de type cache busting (infiltration de cache).

Au premier trimestre 2025, nous avons observé une augmentation de 3 488 % du nombre d'attaques par réflexion/amplification CLDAP par rapport au trimestre précédent. Le protocole CLDAP (Connectionless Lightweight Directory Access Protocol est une variante du protocole LDAP (Lightweight Directory Access Protocol, utilisé pour interroger et modifier les services d'annuaire qui s'exécutent sur des réseaux IP. Le protocole CLDAP étant un protocole sans connexion utilisant UDP plutôt que TCP, il est plus rapide, mais moins fiable. Puisqu'il s'appuie sur UDP, il ne comporte aucune exigence de négociation préalable, ce qui permet aux acteurs malveillants d'usurper l'adresse IP source, puis de l'exploiter comme vecteur de réflexion. Ces attaques transmettent des requêtes de petite taille, accompagnées d'une adresse IP source usurpée (l'adresse IP de la victime). Leur objectif est d'amener les serveurs à transmettre des réponses volumineuses à la victime, afin de la submerger. Les stratégies d'atténuation reposent notamment sur le filtrage et la surveillance du trafic CLDAP inhabituel.

Nous avons également constaté une augmentation de 2 301 % du nombre d'attaques par réflexion/amplification par rapport au trimestre précédent. Le protocole ESP (Encapsulating Security Payload) fait partie du cadre IPsec et assure la confidentialité, l'authentification et l'intégrité des communications réseau. Toutefois, il peut être utilisé de manière abusive lors d'attaques DDoS si des acteurs malveillants exploitent des systèmes incorrectement configurés ou vulnérables avec l'objectif de réfléchir ou d'amplifier le trafic vers une cible, afin d'entraîner une interruption de service. À l'instar de tous les autres protocoles, la sécurisation et la configuration adéquate des systèmes utilisant ESP sont essentielles pour prévenir les risques d'attaques DDoS.

Malgré l'augmentation du nombre d'attaques volumétriques, la plupart des attaques DDoS sont de faible ampleur. Au cours du premier trimestre 2025, 99 % des attaques DDoS visant les couches 3 et 4 étaient inférieures à 1 Gb/s et 1 Mp/s. De même, 94 % des attaques DDoS HTTP atteignaient 1 million de requêtes par seconde (r/s). Cependant, l'expression « de faible ampleur » est tout à fait relative, et la plupart des propriétés Internet ne seraient pas en mesure de résister à ces attaques plus modestes. Ces attaques peuvent facilement saturer les liaisons Internet non protégées et provoquer une défaillance des serveurs non protégés.

En outre, la plupart des attaques sont très brèves. 89 % des attaques DDoS sur les couches 3/4 et 75 % des attaques DDoS HTTP prennent fin en moins de 10 minutes. Même les attaques DDoS hyper-volumétriques record les plus vastes peuvent être très brèves, comme l'attaque de 35 secondes observée dans les exemples ci-dessus. 35 secondes, ou même 10 minutes ne suffisent pas à mettre en œuvre une atténuation manuelle ou à activer une solution à la demande ; le temps pour un analyste de sécurité de recevoir l'alerte et d'analyser l'attaque, celle-ci est déjà terminée. Et bien que les attaques puissent être très brèves, elles entraînent, par ruissellement, des défaillances du réseau et des applications. Le rétablissement peut alors demander des jours entiers, tandis que les services sont interrompus ou dégradés. Le panorama actuel des menaces ne laisse guère de temps à l'intervention humaine. Les processus de détection et d'atténuation doivent être continuellement actifs, internes (in-line) et automatisés. Ils doivent être associés à une capacité suffisante et une couverture mondiale, permettant de traiter à la fois le trafic hostile et le trafic légitime lors des pics d'affluence sur un site.

En revanche, la part des attaques DDoS HTTP hyper-volumétriques supérieures à 1 Mr/s a doublé. Au cours du premier trimestre 2025, 6 attaques DDoS HTTP sur 100 dépassaient 1 Mr/s. Au niveau de la couche réseau, une attaque sur 100 000 dépassait 1 Tb/s ou 1 Gp/s.

Un exemple de ce type d'attaque ciblait un client utilisateur de Cloudflare Magic Transit. Le client lui-même est un fournisseur d'hébergement basé aux États-Unis, qui propose des solutions telles que des serveurs web, des serveurs de voix sur IP (VoIP) et des serveurs de jeu, entre autres. Cette attaque spécifique visait le port 27015. Ce port est fréquemment associé aux serveurs de jeux vidéo multijoueurs, notamment les jeux utilisant le moteur Source de Valve, tels que Counter-Strike: Global Offensive (CS:GO), Team Fortress 2, Garry's Mod, Left 4 Dead et Half-Life 2: Deathmatch.

Il est utilisé pour établir la connexion au serveur de jeu, permettant aux clients de se connecter au serveur afin de jouer en ligne. Dans de nombreux cas, ce port est ouvert à la fois aux protocoles UDP et TCP, en fonction du jeu et du type de communication qu'il assure. Ce client a été la cible d'une multitude d'attaques hyper-volumétriques, qui ont été bloquées de manière autonome par Cloudflare.

Au premier trimestre 2025, nous avons observé une évolution importante au sein du classement des dix pays les plus fréquemment ciblés par des attaques dans le monde. L'Allemagne a fait un bond remarquable, gagnant quatre places pour devenir le pays le plus fréquemment ciblé par des attaques. La Turquie a également bondi de 11 places, atteignant la deuxième place. À la troisième place, la Chine a reculé de deux places par rapport au trimestre précédent, tandis que le classement de Hong Kong est resté inchangé. L'Inde a progressé de quatre places, tandis que le classement du Brésil est resté le même. Taïwan a reculé de quatre places. Les Philippines ont connu le recul le plus important, avec une baisse de six places. La Corée du Sud et l'Indonésie, en revanche, ont toutes deux progressé de deux places.

Le classement des dix secteurs les plus fréquemment ciblés par des attaques au premier trimestre 2025 a connu des changements notables. Le secteur des jeux de hasard et des casinos a bondi de quatre places, devenant le secteur le plus fréquemment ciblé par des attaques, tandis que le secteur des télécommunications, des fournisseurs d'accès Internet et des opérateurs a reculé d'une place. Les secteurs des technologies et services de l'information et de l'Internet ont tous deux connu des fluctuations mineures, avec une hausse et une baisse de deux places, respectivement. Les secteurs des jeux vidéo et des services bancaires et financiers ont tous deux progressé d'une place, tandis que le secteur de la cybersécurité a fait un bond colossal de 37 places par rapport au trimestre précédent. Le secteur du commerce de détail a reculé d'une place, tandis que le secteur de la fabrication, des machines, de la technologie et de l'ingénierie a bondi de 28 places. Le secteur des compagnies aériennes, de l'aéronautique et de l'aérospatiale a enregistré le bond le plus important, progressant de 40 places et devenant ainsi le dixième secteur le plus fréquemment ciblé par des attaques.

Le classement des dix principales sources d'attaques DDoS au premier trimestre 2025 a également connu des changements considérables. Hong Kong a grimpé à la première place, gagnant trois places par rapport au trimestre précédent. L'Indonésie a reculé à la deuxième place, tandis que l'Argentine a progressé de deux places, atteignant la troisième place. Singapour a reculé de deux places, à la quatrième place, tandis que l'Ukraine a reculé d'une place, à la cinquième place. Le Brésil a effectué un bond remarquable, progressant de sept places pour atteindre la sixième place. Il est suivi de près par la Thaïlande, qui a également progressé de sept places pour atteindre la septième place. L'Allemagne a également progressé de deux places, atteignant la huitième place. Le Vietnam a connu l'ascension la plus spectaculaire, progressant de 15 places pour atteindre la neuvième place, tandis que la Bulgarie vient compléter la liste, chutant de deux places à la dixième place.

Un ASN (Autonomous System Number, numéro de système autonome) est un identifiant unique attribué à un réseau ou à un groupe de réseaux IP opérant conformément à une politique de routage unique sur Internet. Un ASN permet d'échanger des informations de routage entre systèmes à l'aide de protocoles tels que BGP (Border Gateway Protocol).

Lorsque l'on examine l'origine des attaques DDoS et, plus spécifiquement, l'origine des attaques DDoS HTTP, quelques systèmes autonomes se démarquent. Au premier trimestre 2025, la société allemande Hetzner (AS24940) a conservé sa position de principale source d'attaques DDoS HTTP. Elle était suivie du fournisseur français OVH (AS16276), en deuxième position, de l'opérateur DigitalOcean (AS14061), en troisième position, et d'un autre fournisseur allemand, Contbo (AS51167), en quatrième position. 

Parmi les sources importantes figuraient également ChinaNet Backbone (AS4134) et Tencent (AS132203), l'opérateur autrichien Trei (AS200373) et trois fournisseurs basés aux États-Unis, qui viennent compléter le classement des dix premières sources :Microsoft (AS8075), Oracle (AS31898) et Google Cloud Platform (AS396982). La plupart des réseaux figurant dans ce classement sont des fournisseurs d'hébergement ou d'informatique cloud connus, soulignant la fréquence avec laquelle l'infrastructure cloud est utilisée (intentionnellement, ou par le biais d'exploitations de vulnérabilités) pour lancer des attaques DDoS.

Pour aider les fournisseurs d'hébergement, les fournisseurs de solutions d'informatique cloud et les fournisseurs d'accès Internet à identifier et à éliminer les comptes abusifs ayant lancé ces attaques, nous profitons du point de vue unique de Cloudflare pour proposer le flux d'informations DDoS Botnet Threat Feed for Service Providers. Plus de 600 organisations à travers le monde se sont déjà abonnées à ce flux. Il présente aux fournisseurs d'accès Internet une liste d'adresses IP incriminées sur leur ASN, depuis lesquelles des attaques DDoS HTTP ont été lancées. Le flux d'informations est entièrement gratuit ; il suffit d'ouvrir un compte Cloudflare gratuit, d'authentifier l'ASN via PeeringDB, puis de récupérer les informations sur les menaces via une API.

Cloudflare se donne pour mission de contribuer à bâtir un Internet meilleur. Un aspect essentiel de cet engagement consiste à proposer une protection gratuite contre les attaques DDoS, ainsi qu'à soutenir la communauté Internet dans son ensemble en fournissant des outils gratuits permettant d'aider d'autres réseaux à détecter et démanteler les botnets opérant au sein de leur infrastructure.

Tandis que le panorama des menaces continue d'évoluer, nous constatons que de nombreuses entreprises n'adoptent une solution de protection contre les attaques DDoS qu'après avoir subi une attaque ou sont encore tributaires de solutions obsolètes, activées à la demande. En revanche, nos données indiquent que les entreprises qui disposent de stratégies de sécurité proactives sont beaucoup plus résilientes. C'est pourquoi nous nous concentrons sur l'automatisation et sur une approche de la sécurité exhaustive, toujours active et interne (in-line), afin de garder une longueur d'avance sur les menaces existantes et émergentes.

En nous appuyant sur notre réseau mondial, doté d'une capacité de 348 Tb/s et présent dans 335 villes, nous nous engageons à offrir une protection illimitée contre les attaques DDoS, sans surcoût lié à l'utilisation, indépendamment de l'ampleur, de la durée ou de la fréquence des attaques.