En 2024, les attaques DDoS ont atteint des sommets alarmants, combinant puissance et sophistication. Un tournant qui laisse présager une année 2025 encore plus éprouvante pour les infrastructures numériques du monde entier.
En 2024, les attaques DDoS ont franchi un nouveau cap, atteignant des records en termes de volume, de puissance et de créativité. Partout, les infrastructures numériques ont été mises sous pression, mais c’est en Asie que les tensions se sont cristallisées. Région stratégique, le continent a concentré les offensives les plus massives, à commencer par une attaque sans précédent de 5,6 Tbps, menée par un botnet d'équipements connectés. Cet événement spectaculaire témoigne de la généralisation d’une menace qui se perfectionne, avec des campagnes mieux organisées, plus fréquentes et capables de paralyser des secteurs entiers en quelques secondes à l’échelle mondiale.
2024 : un raz de marée d’attaques DDoS à l’échelle mondiale
Dans son dernier rapport sur les menaces DDoS, Cloudflare dresse un bilan qui donne à réfléchir. En douze mois, ses systèmes ont bloqué plus de 21,3 millions d’attaques par déni de service, soit une augmentation de 53 % par rapport à 2023. Rapporté à une échelle plus concrète, cela représente près de 5 000 offensives neutralisées chaque heure. Costaud.
Ces chiffres impressionnants révèlent aussi une évolution des méthodes utilisées. Les attaques dites hyper-volumétriques, dépassant le milliard de paquets par seconde (pps) et des débits de plus de 1 Tbps, ont explosé. Entre le troisième et le quatrième trimestre, leur fréquence a bondi de 1 885 %, culminant avec une attaque record de 5,6 Tbps en octobre. Orchestrée par un variant du botnet Mirai, cette offensive d’une durée de 80 secondes s’est appuyée sur plus de 13 000 appareils IoT compromis pour frapper un fournisseur d’accès Internet en Asie de l’Est.
Si cette attaque exceptionnelle a particulièrement retenu l’attention, il faut noter que la recrudescence des attaques DDoS concerne toutes les régions du monde. Aux États-Unis et en Europe, les secteurs critiques comme les télécommunications, les services financiers et les infrastructures cloud figurent parmi les cibles privilégiées. Des acteurs comme Hetzner en Allemagne, OVH en France et Digital Ocean aux États-Unis sont régulièrement visés, souvent en raison de serveurs mal configurés ou d’une sécurisation insuffisante.
Toutefois, Mirai n’est pas seul en cause. Les cybercriminels diversifient leurs approches en combinant des tactiques issues de botnets connus avec des techniques émergentes. Les serveurs Memcached, par exemple, ont vu leur exploitation augmenter de 314 % au quatrième trimestre. En abusant de leurs capacités d’amplification, les attaquants peuvent générer des volumes massifs de trafic : une requête de quelques octets seulement peut produire une réponse jusqu’à 51 200 fois plus volumineuse que le message initial, saturant instantanément les infrastructures cibles.
Même constat pour BitTorrent, utilisé pour le partage de fichiers P2P, massivement détourné et donc l’utilisation pour mener des attaques a augmenté de 304 %. Les cybercriminels exploitent ici les trackers et les tables de hachage distribuées (DHT) pour inonder les victimes de requêtes provenant de clients BitTorrent légitimes.
De nouvelles méthodes qui complètent donc activement les approches classiques, et renforcent de fait l’efficacité des campagnes DDoS.
L’Asie, entre cible privilégiée et source des menaces
Si l’ensemble du globe est concerné, l’Asie joue un rôle central dans l’écosystème des attaques DDoS, à la fois comme cible privilégiée et source d’offensives majeures.
Côté cibles, la Chine reste le pays le plus attaqué en 2024, mais des nations comme les Philippines et Taïwan subissent également une progression notable des campagnes malveillantes, que l’on peut attribuer à des infrastructures numériques critiques, des enjeux géopolitiques tendus et des rivalités économiques.
Côté sources, l’Asie figure aussi parmi les principaux émetteurs d’attaques. L’Indonésie reste en tête pour le deuxième trimestre consécutif, suivie de Hong Kong et de Singapour, qui enregistrent des progressions marquées dans le classement. Ces résultats s’expliquent en grande partie la densité élevée d’appareils connectés souvent mal sécurisés, comme les smart TVs, routeurs et boîtiers multimédias, dans la région. Régulièrement compromis, ces dispositifs, sont souvent exploités en masse pour alimenter des botnets, permettant ainsi aux attaquants de générer des volumes massifs de trafic en très peu de temps.
On rappellera cependant que l’attribution géographique des attaques, notamment pour celles de niveau réseau (Layer 3/Layer 4), dépend en partie de la localisation des centres de données où le trafic malveillant est détecté. Une méthode qui peut introduire des biais et ne reflète pas toujours la localisation réelle des acteurs malveillants.
Un avenir marqué par la complexité croissante des attaques
En bref, les tactiques des cybercriminels évoluent à un rythme effréné, compliquant chaque jour un peu plus la tâche des équipes de sécurité. Si les attaques classiques, comme les SYN floods ou DNS floods, continuent de faire des ravages, elles s’associent désormais à des méthodes émergentes, comme l’exploitation des serveurs Memcached ou du protocole BitTorrent. Cette combinaison de techniques, soutenue par l’utilisation massive d’appareils IoT compromis, rend les botnets encore plus puissants, capables de saturer des infrastructures en un éclair.
Face à cette évolution inquiétante, les équipes de sécurité n’ont pas d’autre choix que d’investir dans des solutions capables de répondre instantanément aux attaques, sans intervention humaine. En clair, l’automatisation et la vigilance permanente ne sont plus une option pour qui souhaite résister à des menaces de plus en plus imprévisibles. Une seule certitude : 2025 ne sera pas de tout repos pour les infrastructures numériques.
Source : Cloudflare
30 décembre 2024 à 09h35
