Une attaque fulgurante, des milliards de paquets par seconde, et des botnets à la manœuvre. Si les défenses ont tenu bon, l’épisode illustre à quel point les attaques DDoS les plus violentes sont devenues banales.
- Cloudflare a bloqué une attaque DDoS record de 11,5 Tbps en seulement 35 secondes.
- Les attaques DDoS sont en forte hausse, avec 20,5 millions d'attaques bloquées au premier trimestre 2025.
- Les techniques d'attaques incluent les SYN floods et l'amplification SSDP, souvent via des botnets d'objets connectés.
Un pic de 11,5 Tbps. Même pour Cloudflare, qui en voit passer des millions chaque mois, c’est une première. Le spécialiste de l’infrastructure web dit avoir bloqué en quelques secondes ce qui constitue, à ce jour, la plus puissante attaque DDoS jamais enregistrée. Et si l’incident est clos, il s’inscrit dans une tendance autrement plus préoccupante : celle d’une intensification continue des attaques réseau depuis 2024.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Un pic à 11,5 Tbps stoppé en 35 secondes chrono
L’attaque a duré une trentaine de secondes, mais a suffi à battre tous les précédents records. Selon Cloudflare, cette offensive hyper-volumétrique a atteint un pic de 11,5 Tbps, avec un débit maximal évalué à plus de 5 milliards de paquets par seconde. Un vrai blitz, en somme, alors qu'il s'agissait de frapper vite, fort, et espérer échapper aux systèmes de détection le plus longtemps possible. En l’occurrence, la tentative a échoué. Les défenses de Cloudflare ont bloqué l’assaut automatiquement, avant qu’il ne puisse perturber les services ciblés.
D’après les quelques détails communiqués sur son compte X.com, l’attaque s’est traduite par un déluge de requêtes UDP, un schéma classique pour ce type d’offensive. Dans un premier temps, Cloudflare a désigné Google Cloud comme principale source du trafic malveillant, avant de corriger ses déclarations. L’entreprise explique désormais que l’origine est plus diffuse, issue d’un mélange de fournisseurs cloud et d’objets connectés compromis, probablement rattachés à un ou plusieurs botnets. De son côté, Google a confirmé auprès de Bleeping Computer que son infrastructure ne figurait pas parmi les principaux vecteurs de l’assaut.
Une escalade continue depuis 2024
Ce n’est pas la première fois que Cloudflare encaisse un choc de cette ampleur. En juin 2025, un précédent pic avait déjà atteint 7,3 Tbps. En octobre 2024, une attaque culminant à 3,8 Tbps et deux milliards de paquets par seconde avait marqué les esprits. Microsoft, de son côté, avait dû faire face à une attaque à 3,47 Tbps dès janvier 2022, avant de subir de nouveaux assauts contre Microsoft 365 et Azure à l'été 2024.
Mais au-delà des records ponctuels, c’est la fréquence des attaques et l’accélération de leur intensité qui retiennent l’attention. Dans son rapport sur le premier trimestre 2025, Cloudflare indiquait ainsi avoir bloqué 20,5 millions d’attaques DDoS en trois mois seulement, soit presque autant que sur l’ensemble de l’année 2024, qui comptabilisait 21,3 millions d’attaques. Parmi celles du début d’année, 16,8 millions ciblaient la couche réseau, avec une hausse spectaculaire de 509 % sur un an.
Certaines campagnes se sont étalées sur plusieurs jours, combinant différents vecteurs comme les SYN flood, les amplifications SSDP, ou encore des réseaux d’objets connectés compromis, à l’image des variantes du botnet Mirai.
Les attaques les plus violentes durent rarement plus d’une minute, mais en 35 à 45 secondes, elles peuvent saturer totalement des liaisons non protégées. En 2025, Cloudflare en a déjà bloqué plus de 700 dépassant les seuils de 1 Tbps ou 1 milliard de paquets par seconde – soit une moyenne de huit par jour. Autant dire que l’escalade se poursuit à un rythme difficile à contenir.
Comprendre les attaques DDoS volumétriques
Les attaques DDoS volumétriques cherchent à saturer la bande passante ou les ressources réseau d’un service jusqu’à provoquer son indisponibilité. Plusieurs techniques sont couramment utilisées pour y parvenir.
La plus classique reste le SYN flood, qui consiste à envoyer un grand nombre de requêtes de connexion TCP sans jamais les finaliser. Le serveur visé maintient ces connexions incomplètes en attente, jusqu’à ce que ses ressources soient épuisées, bloquant les connexions légitimes.
Autre technique fréquente, l’amplification SSDP repose sur l’exploitation de services réseau mal configurés. Une simple requête, envoyée à un serveur tiers, peut générer une réponse bien plus volumineuse redirigée vers la victime. Ce type d’amplification peut multiplier le trafic initial par 10, voire 100.
Enfin, les botnets issus de variantes de Mirai continuent de jouer un rôle clé dans les campagnes les plus massives. Composés d’objets connectés compromis – caméras IP, routeurs domestiques ou parfois NAS – ces réseaux de machines infectées permettent de générer un trafic important depuis des milliers de points répartis dans le monde.
Souvent, ces méthodes sont combinées dans des attaques dites multi-vectorielles, conçues pour submerger les défenses et compliquer les tentatives de mitigation en temps réel.
Sources : Cloudflare via X.com, Bleeping Computer
