Bienvenue dans la 18e édition du rapport Cloudflare sur les menaces DDoS. Publiés chaque trimestre, ces rapports proposent une analyse approfondie du panorama des menaces DDoS, tel que nous l'observons sur le réseau de Cloudflare. Cette édition se concentre sur le deuxième trimestre 2024.
Grâce à son réseau d'une capacité de 280 térabits par seconde, présent dans plus de 230 villes à travers le monde et servant 19 % de la totalité des sites web, Cloudflare dispose d'une perspective unique, qui nous permet de présenter des statistiques et des tendances utiles à l'ensemble de la communauté Internet.
Informations essentielles concernant le deuxième trimestre 2024
- Cloudflare a observé une augmentation de 20 % du nombre d'attaques DDoS par rapport à l'année passée.
- Une personne interrogée sur vingt-cinq a déclaré que les attaques DDoS lancées contre son entreprise étaient l'œuvre d'acteurs malveillants mandatés ou soutenus financièrement par un État.
- Les capacités des acteurs malveillants ont atteint un niveau record, et nos défenses automatisées ont généré dix fois plus d'empreintes numériques afin de contrer et d'atténuer les attaques DDoS ultra-sophistiquées.
Consultez la version interactive de ce rapport sur Cloudflare Radar
Un bref récapitulatif : qu'est-ce qu'une attaque DDoS ?
Avant d'examiner les données dans le détail, récapitulons ce qu'est une attaque DDoS. Une attaque DDoS (abréviation de « Distributed Denial of Service », déni de service distribué) est un type de cyberattaque conçu pour mettre hors service ou perturber des services Internet, tels que des sites web ou des applications mobiles, afin de les rendre indisponibles pour les utilisateurs. Pour y parvenir, un acteur malveillant submerge le serveur de la victime sous un volume de trafic plus important qu'il ne peut gérer, provenant généralement d'une multitude de sources sur Internet, ce qui rend le serveur incapable de gérer le trafic des utilisateurs légitimes.
Pour en savoir plus sur les attaques DDoS et les autres types de cybermenaces, consultez notre Centre d'apprentissage, accédez aux précédentes éditions du rapport sur les menaces DDoS publiées sur le blog de Cloudflare ou rendez-vous sur notre portail interactif Cloudflare Radar. Il existe également une API gratuite pour les utilisateurs intéressés par l'exploration de ces tendances et d'autres tendances liées à Internet.
Pour en savoir plus sur la préparation de notre rapport, reportez-vous à notre section Méthodologies.
La sophistication des acteurs malveillants encourage l'augmentation continue du nombre d'attaques DDoS
Au cours de la première moitié de 2024, nous avons atténué 8,5 millions d'attaques DDoS : 4,5 millions au premier trimestre et 4 millions au deuxième trimestre. Au total, le nombre d'attaques DDoS au deuxième trimestre a diminué de 11 % par rapport au trimestre précédent, mais il a augmenté de 20 % par rapport à l'année passée.
À titre de comparaison, sur l'ensemble de l'année 2023, nous avons atténué 14 millions d'attaques DDoS et, à la moitié de l'année 2024, nous avons déjà atténué 60 % du volume d'attaques de l'année dernière.
Cloudflare est parvenue à atténuer 10 200 milliards de requêtes DDoS HTTP et 57 pétaoctets de trafic lié à des attaques DDoS sur la couche réseau, l'empêchant ainsi d'atteindre le serveur d'origine de nos clients.
Lorsque l'on examine ces chiffres dans le détail, ces 4 millions d'attaques DDoS se composaient de 2,2 millions d'attaques DDoS sur la couche réseau et de 1,8 million d'attaques DDoS HTTP. Le nombre de 1,8 million d'attaques DDoS HTTP a été normalisé, afin de compenser l'explosion des attaques DDoS HTTP sophistiquées et aléatoires. Nos systèmes d'atténuation automatisés génèrent des empreintes numériques en temps réel pour les attaques DDoS et, en raison de la nature aléatoire de ces attaques sophistiquées, nous avons observé qu'une multitude d'empreintes numériques étaient générées pour des attaques uniques. Le nombre réel d'empreintes numériques générées était plus proche de 19 millions, soit plus de dix fois plus élevé que le nombre normalisé de 1,8 million. Les millions d'empreintes numériques générées pour faire face à la nature aléatoire des attaques étaient issues d'un petit nombre de règles uniques. Ces règles ont permis d'arrêter efficacement les attaques, mais elles ont donné lieu à une augmentation erronée des chiffres concernant les attaques ; c'est pourquoi nous les avons exclues du calcul.
Cette multiplication par dix met en évidence le changement radical affectant le panorama des menaces. Les outils et les fonctionnalités qui permettaient aux acteurs malveillants de lancer des attaques aléatoires et sophistiquées de ce type étaient auparavant associés à des capacités accessibles uniquement aux acteurs malveillants mandatés ou soutenus financièrement par un État. Toutefois, coïncidant avec l'essor de l'IA générative et des systèmes de pilotage automatique pouvant aider les acteurs malveillants à écrire plus rapidement du code plus performant, ces fonctionnalités ont trouvé leur place dans l'arsenal des cybercriminels ordinaires.
Attaques DDoS avec demande de rançon
Au mois de mai 2024, le pourcentage de clients de Cloudflare ayant déclaré avoir été menacés par un acteur malveillant à l'origine d'une attaque DDoS ou avoir été la cible d'une attaque DDoS avec demande de rançon a atteint 16 %, un niveau inégalé au cours des 12 derniers mois. Le trimestre a connu un début relativement modeste, puisque 7 % des clients ont signalé une menace ou une attaque avec demande de rançon. Toutefois, ce chiffre a rapidement bondi à 16 % en mai, puis a légèrement reculé en juin, atteignant 14 %.
Dans l'ensemble, tout au long de l'année passée, le nombre d'attaques DDoS avec demande de rançon a augmenté par rapport au trimestre précédent. Au deuxième trimestre 2024, le pourcentage de clients ayant déclaré avoir été la cible de menaces ou de tentatives d'extorsion était de 12,3 %. Ce chiffre est légèrement supérieur à celui du trimestre précédent (10,2 %), mais similaire au pourcentage de l'année précédente (également 12,0 %).
Acteurs malveillants
75 % des personnes interrogées ont déclaré qu'elles ne savaient pas par qui leur entreprise avait été attaquée, ni pourquoi. Ces personnes interrogées sont des clients de Cloudflare ciblés par des attaques DDoS HTTP.
Parmi les personnes interrogées qui affirment connaître l'auteur de la menace, 59 % ont déclaré que l'attaque était à l'initiative d'un concurrent. Par ailleurs, 21 % des personnes interrogées ont déclaré que l'attaque DDoS était l'œuvre d'un client ou d'un utilisateur mécontent, et 17 % ont déclaré que les attaques étaient exécutées par des acteurs malveillants mandatés ou soutenus financièrement par un État. Les 3 % d'utilisateurs restants ont déclaré être eux-mêmes responsables de l'attaque DDoS.
Pays et régions les plus fréquemment attaqués
Au deuxième trimestre 2024, la Chine s'est imposée comme le pays le plus fréquemment attaqué du monde. Ce classement prend en compte les attaques DDoS HTTP, les attaques DDoS au niveau de la couche réseau, le volume total et le pourcentage de trafic lié aux attaques DDoS par rapport au trafic total. Les graphiques représentent, quant à eux, l'activité globale liée aux attaques DDoS par pays ou par région, et une barre plus longue dans le graphique indique une activité plus importante liée aux attaques.
La Turquie arrive en deuxième place après la Chine, suivie par Singapour, Hong Kong, la Russie, le Brésil et la Thaïlande. Les autres pays et régions constituant les 15 pays les plus fréquemment ciblés sont représentés sur le graphique ci-dessous.
Les secteurs les plus visés
Le secteur des technologies et services de l'information s'est classé comme le secteur le plus fréquemment ciblé au deuxième trimestre 2024. Les méthodologies de classement que nous avons utilisées ici reposent sur les mêmes principes que celles décrites précédemment pour synthétiser le volume de trafic total et le volume de trafic relatif lié aux attaques, à la fois pour les attaques DDoS HTTP et les attaques DDoS sur la couche réseau, sous la forme d'un classement unique de l'activité liée aux attaques DDoS.
Le secteur des télécommunications, des fournisseurs de services et des opérateurs se classe en deuxième position, tandis que le secteur des biens de consommation occupe la troisième place.
Lorsque l'on analyse uniquement les attaques DDoS HTTP, on voit apparaître une image différente : c'est le secteur des jeux vidéo et jeux de hasard qui a subi le plus grand nombre d'attaques en termes de volume de requêtes liées à des attaques DDoS HTTP. La répartition par région est fournie ci-dessous.
Principales sources d'attaques DDoS
L'Argentine s'est imposée comme la plus importante source d'attaques DDoS au deuxième trimestre 2024. Les méthodologies de classement que nous avons utilisées ici reposent sur les mêmes principes que celles décrites précédemment pour synthétiser le volume de trafic total et le volume de trafic relatif lié aux attaques, à la fois pour les attaques DDoS HTTP et les attaques DDoS sur la couche réseau, sous la forme d'un classement unique de l'activité liée aux attaques DDoS.
L'Argentine est suivie de près par l'Indonésie, à la deuxième place, puis par les Pays-Bas, à la troisième place.
Caractéristiques des attaques DDoS
Vecteurs des attaques DDoS sur la couche réseau
Malgré une baisse de 49 % par rapport au trimestre précédent, les attaques DDoS basées sur DNS demeurent le vecteur d'attaque le plus courant, avec une part combinée de 37 % pour les attaques DNS flood et par amplification DNS. Les attaques SYN flood se classent en deuxième position, avec une part de 23 %, suivies par les attaques RST flood, qui représentaient un peu plus de 10 % du volume total d'attaques. Les attaques SYN flood et RST flood sont deux types d'attaques DDoS basées sur le protocole TCP. Ensemble, tous les types d'attaques DDoS basées sur ce protocole représentaient 38 % de l'ensemble des attaques DDoS sur la couche réseau.
Vecteurs d'attaque DDoS HTTP
L'un des avantages que procure l'exploitation d'un vaste réseau est que nous observons un important volume de trafic et d'attaques, ce qui nous aide à améliorer nos systèmes de détection et d'atténuation, et ainsi, à protéger nos clients. Au cours du dernier trimestre, la moitié des attaques DDoS HTTP ont été atténuées à l'aide d'instruments heuristiques propriétaires ciblant les botnets connus de Cloudflare. Ces données heuristiques orientent nos systèmes lors de la génération d'empreintes en temps réel, qui sont ensuite recherchées dans les attaques.
Par ailleurs, 29 % des attaques DDoS HTTP recouraient à de faux agents utilisateurs ou à des navigateurs usurpés, ou étaient lancées depuis des navigateurs headless. Par ailleurs, 13 % des attaques présentaient des attributs HTTP suspects qui ont déclenché l'activation de notre système automatisé, et 7 % d'entre elles ont été identifiées comme des attaques flood génériques. Il convient de noter que ces vecteurs d'attaque (ou groupes d'attaques) ne sont pas nécessairement exclusifs. Par exemple, les botnets connus imitent également des navigateurs et présentent des attributs HTTP suspects ; toutefois, cette répartition constitue notre tentative initiale de catégoriser les attaques DDoS HTTP.
Versions HTTP utilisées dans les attaques DDoS
Au deuxième trimestre, près de la moitié de l'ensemble du trafic web utilisait HTTP/2, 29 % utilisaient HTTP/1.1, un cinquième supplémentaire utilisait HTTP/3, près de 0,62 % utilisaient HTTP/1.0 et 0,01 % utilisaient HTTP/1.2.
Les attaques DDoS HTTP suivent une tendance similaire en termes d'adoption de version, toutefois, avec un biais plus important en faveur de HTTP/2. 76 % du trafic des attaques DDoS HTTP était acheminé sur la version HTTP/2 et près de 22 % sur HTTP/1.1. Le protocole HTTP/3, en revanche, a été beaucoup moins fréquemment utilisé. Seul 0,86 % du trafic des attaques DDoS HTTP transitait par HTTP/3, malgré l'adoption beaucoup plus vaste de ce protocole (20 %) par l'ensemble du trafic web.
Durée des attaques DDoS
La grande majorité des attaques DDoS sont de courte durée. Plus de 57 % des attaques DDoS HTTP et 88 % des attaques DDoS sur la couche réseau cessent après 10 minutes ou moins. Ce constat confirme la nécessité de disposer de systèmes de détection et d'atténuation automatisés et intégrés. Dix minutes peuvent difficilement suffire à un humain pour réagir à une alerte, analyser le trafic et appliquer des mesures d'atténuation manuelles.
De l'autre côté des graphiques, nous observons qu'environ un quart des attaques DDoS HTTP dure plus d'une heure, et près d'un cinquième dure plus d'une journée. Au niveau de la couche réseau, les attaques plus longues sont beaucoup moins courantes ; en effet, 1 % seulement des attaques DDoS sur la couche réseau durent plus de 3 heures.
Ampleur des attaques DDoS
La plupart des attaques DDoS sont d'ampleur relativement faible. Plus de 95 % des attaques DDoS sur la couche réseau restent sous la barre des 500 mégabits par seconde, et 86 % d'entre elles ne dépassent pas 50 000 paquets par seconde.
De même, 81 % des attaques DDoS HTTP ne dépassent pas 50 000 requêtes par seconde. Bien que ces taux soient peu élevés à l'échelle de Cloudflare , ils peuvent tout de même s'avérer dévastateurs pour les sites web non protégés et non habitués à de tels niveaux de trafic.
Bien que la majorité des attaques soient de faible ampleur, le nombre d'attaques volumétriques de plus grande ampleur a augmenté. Une attaque DDoS sur cent sur la couche réseau dépassait un million de paquets par seconde (p/s), et deux attaques sur cent dépassaient 500 gigabits par seconde. Sur la couche application (couche 7), quatre attaques DDoS HTTP sur 1 000 dépassaient un million de requêtes par seconde.
Points clés
La majorité des attaques DDoS sont rapides et de faible ampleur. Toutefois, même ces attaques peuvent perturber les services en ligne qui n'observent pas les bonnes pratiques en matière de défense contre les attaques DDoS.
Par ailleurs, la sophistication des menaces augmente, peut-être en raison de la disponibilité de l'IA générative et d'outils copilotes pour développeurs, permettant tous deux d'écrire du code d'attaque facilitant le lancement d'attaques DDoS difficiles à arrêter. Avant même que la sophistication des attaques n'augmente, de nombreuses entreprises peinaient à se défendre par elles-mêmes contre ces menaces. Toutefois, elles n'ont plus besoin de compter uniquement sur elles-mêmes. Cloudflare est là pour les aider. Nous investissons des ressources considérables, et vous évitons ainsi de devoir le faire vous-même, pour nous assurer que nos défenses automatisées, ainsi que l'ensemble du catalogue de produits de sécurité de Cloudflare, vous protègent contre les menaces existantes et émergentes.