L'entreprise française DataDome a neutralisé une attaque DDoS de 2,45 milliards de requêtes envoyées en cinq heures, qui visait une plateforme de contenus en ligne. L'offensive était pilotée par un botnet de 1,2 million d'adresses IP.
C'est l'une des attaques DDoS les plus sophistiquées jamais documentées. Mi-avril 2026, une grande plateforme de contenus générés par les utilisateurs (son identité n'a pas filtré) a été frappée par une attaque gigantesque à 1,2 million d'adresses UP, avec autant de points d'origine distincts, chacun si discret qu'aucun système de protection classique ne l'a repéré. DataDome et son équipe Galileo ont bloqué l'offensive en temps réel, avant d'en livrer une analyse qui nous en apprend plus sur ce type d'attaque.
2,45 milliards de requêtes, et des bots qui misent sur la discrétion plutôt que la force brute
Que s'est-il passé, jusqu'à l'intervention de DataDome ? Mi-avril 2026, une grande plateforme de contenus générés par les utilisateurs se retrouve dans la ligne de mire d'une attaque DDoS (par déni de service) d'ampleur. Des milliers de machines envoient simultanément des demandes d'accès aux serveurs pour les saturer et les faire tomber. En cinq heures à peine, ce sont 2,45 milliards de ces demandes malveillantes qui s'abattent sur la plateforme, avec des pointes à plus de 205 000 par seconde, et une pression moyenne maintenue autour de 136 000 par seconde.
Pourtant, aucune alarme n'a sonné. Plutôt que de concentrer le feu depuis quelques sources massives, ce que les systèmes de défense savent repérer, elle s'est répartie sur plus de 1,2 million d'adresses IP différentes, chacune n'envoyant qu'une seule demande toutes les neuf secondes. Un rythme si bas, si banal, que chaque source semblait parfaitement légitime. Les outils de protection classiques, conçus pour bloquer les adresses qui bombardent à haute fréquence, n'avaient tout simplement rien à intercepter.
Le type de plateforme attaqué est une cible de choix pour les attaquants, et pour plusieurs raisons. La masse de données qu'elle héberge attire les robots aspirateurs de contenus (les fameux scrapers) qui les collectent pour les revendre ou les exploiter. Sa dépendance aux contenus publiés par ses utilisateurs crée de multiples points d'entrée vulnérables. Et surtout, la mettre à genoux provoque une réaction en chaîne sur l'ensemble du système, avec une panne partielle qui peut tout paralyser et offrir aux attaquants un levier idéal pour exiger une rançon, ou simplement pour mener d'autres opérations malveillantes à l'abri du chaos.
Un botnet de 16 000 systèmes autonomes qui avance masqué
Derrière ces 1,2 million d'adresses IP, l'infrastructure était impressionnante. Le botnet s'appuyait sur 16 402 systèmes autonomes, chacun géré par un opérateur différent, disséminés aux quatre coins du globe. Pour vous donner une idée de l'ampleur, il faut savoir qu'une campagne de collecte de données à grande échelle mobilise habituellement quelques centaines de ces réseaux seulement. Ici, c'est cinquante fois plus. Et la répartition était si équilibrée qu'aucun réseau ne concentrait plus de 3 % du trafic total, rendant ainsi tout blocage ciblé parfaitement inutile.
Le choix des réseaux mobilisés était bien pensé. Certains, comme 1337 Services GmbH ou Church of Cyberology, sont des hébergeurs favorables à l'anonymisation. D'autres, comme Cloudflare, Amazon ou Google, sont des géants dont les infrastructures brassent chaque jour des milliards de connexions légitimes. Autant vous dire que le trafic malveillant s'y fondait comme une goutte d'eau dans l'océan. Tenter de bloquer l'attaque réseau par réseau aurait été aussi efficace que vider la mer à la petite cuillère.
L'attaquant ne manque pas de culot, mais il a ses limites. Pour passer pour un visiteur légitime, il falsifie les informations d'identification que chaque navigateur envoie automatiquement à un site (les en-têtes, les cookies, les paramètres d'URL) et change constamment d'adresse IP pour brouiller les pistes. Mais il ne maîtrise pas les techniques les plus sophistiquées qui permettent d'imiter parfaitement le comportement d'un vrai navigateur humain. Ses tentatives de camouflage ont donc laissé des traces contradictoires que les systèmes d'analyse avancés savent détecter.
Comment DataDome a lu dans les schémas ce que les compteurs n'ont pas vu
C'est en fait la sophistication même de l'attaque qui a permis de la trahir. Elle ne frappait pas de manière continue et linéaire mais progressait par vagues, l'opérateur dosant l'intensité en temps réel en fonction des réactions des systèmes de défense, s'accordant des pauses calculées pour laisser les compteurs de détection se réinitialiser, avant de reprendre. Ce comportement adaptatif, un peu celui d'une campagne pilotée par un humain ou une orchestration automatisée, et non d'un simple script qui tourne en boucle, a lui-même constitué une signature reconnaissable pour les analystes de DataDome.
Pour identifier l'attaque, DataDome a croisé plusieurs niveaux d'analyse simultanément. D'abord, l'examen des « empreintes » techniques laissées par chaque connexion, c'est-à-dire la façon dont un navigateur se présente et négocie la communication avec un serveur, a révélé des incohérences impossibles chez un utilisateur réel. Ensuite, l'analyse des comportements de navigation a détecté des séquences anormales, trop mécaniques pour être humaines. Enfin, le recoupement avec les historiques de menaces connus a permis d'identifier les adresses IP déjà signalées comme malveillantes. La clé n'était pas dans l'intensité des pics de trafic, mais dans les schémas qui se dessinaient sur la durée.
Dans cette affaire, on comprend que bloquer une adresse IP suspecte, qui est la réponse classique face à une attaque, ne sert plus à rien quand l'offensive est répartie sur plus d'un million de sources. La seule parade efficace est désormais d'analyser les comportements dans le temps, à savoir repérer ce qui cloche dans la façon dont le trafic se construit, évolue et se répète. Avec, au bout, le paradoxe que plus un attaquant cherche à se camoufler en multipliant les couches de falsification, plus il génère de contradictions internes, et plus il devient, finalement, détectable.
