DDoS en avril

Le rapport mensuel exclusif de Fastly sur les attaques par déni de service distribué (DDoS) pour avril 2025 indique un taux significatif de trafic d'attaques provenant des États-Unis.

Le réseau mondial instantané de Fastly a stoppé des milliers de milliards de tentatives d’attaques DDoS visant les couches 3 et 4. Cependant, les nouvelles attaques sophistiquées dirigées contre la couche 7 sont plus difficiles à détecter, et potentiellement bien plus dangereuses. Cette menace, qui peut fortement nuire aux performances et à la disponibilité de toute application ou API exposée à Internet, met en péril les utilisateurs et les entreprises. Fastly utilise la télémétrie de notre réseau de périphérie mondial de 427 térabits par seconde¹ qui dessert 1,8 milliard de requêtes par jour² et Fastly DDoS Protection pour fournir un ensemble unique d’informations sur la « météo » mondiale des attaques par déni de service distribué (DDoS) — le seul rapport mensuel de ce type. Exploitez des données anonymisées, des informations et des conseils pratiques sur les dernières tendances en matière d’attaques DDoS sur la couche applicative pour vous aider à renforcer vos initiatives de sécurité.

L’influence des améliorations de produits dans les rapports

Fastly lutte contre les attaques DDoS massives depuis plus de dix ans, en utilisant notre plateforme et d'autres solutions pour atténuer ces menaces. Cependant, nous avons lancé la Protection contre les attaques par déni de service distribué Fastly en octobre 2024 afin d'offrir à nos clients une atténuation adaptative et automatique. Depuis, nous avons continué à travailler dur pour en faire la meilleure solution DDoS applicative du marché. Bien que nous ayons longuement discuté de la puissance du moteur de démasquage d'attributs adaptatif de la solution dans la lutte contre les attaques, nous avons travaillé dur pour renforcer ses fondations et apporter des améliorations à la détection.  

Nos améliorations ont permis de réduire davantage le temps de détection, tout en élargissant la visibilité de la solution sur les attaques DDoS (notamment les attaques plus brèves et de moindre ampleur). Nous continuons d'améliorer nos capacités fondamentales de détection et d'atténuation, et elles jouent probablement un rôle dans la raison pour laquelle nous avons observé une augmentation aussi régulière du volume d'attaques en avril. Nous espérons constater l’influence de telles améliorations dans nos rapports, car nous perfectionnons continuellement notre produit pour l’améliorer encore davantage pour des clients comme vous. Maintenant, passons aux résultats !

Principaux résultats

1. Une seule adresse IP a été associée à des règles d'atténuation pour 456 clients uniques.

2. 71 % des règles générées automatiquement isolent le trafic à destination des États-Unis.

3. Le volume d'attaques en avril était supérieur de 5 % à celui de janvier, février et mars réunis.

Tendances du trafic DDoS

Alors que les mois précédents, nous avions constaté des pics nets dans le volume des attaques certains jours, les attaques en avril n'ont pas suivi cette tendance. Une grande partie du mois se situe près de la ligne du volume moyen d’attaques par jour, ce qui implique qu’il y a eu peu de pics aberrants faussant la moyenne (Image 1).

Bien que les pics aient été moins drastiques, le volume global des requêtes identifiées comme faisant partie d'une attaque DDoS a été bien plus élevé en avril que lors de n'importe quel mois depuis que nous avons commencé la génération de rapports (Image 2).  L’augmentation du volume de mars à avril représente une hausse de 87 % d’un mois sur l’autre, et le volume d’attaques par déni de service distribué en avril a été supérieur de 5 % à celui de l’ensemble du premier trimestre !

Observer les attaques à travers le prisme du secteur d'activité attaqué met en lumière à quel point les données changent radicalement lorsque l'on compare le volume des attaques au nombre total d'attaques (Image 3).

Alors que le commerce a reçu le plus grand nombre d’attaques, le secteur des Médias et divertissement a reçu la grande majorité du volume d’attaques. 

En examinant plus en détail les attaques contre le secteur des Médias et divertissement, on constate que la majorité d'entre elles visaient des organisations M&E de niveau Enterprise. Cela ajoute une validation supplémentaire à une réalité implicite observée dans les rapports précédents : les hackers comprennent qui ils attaquent et lancent des attaques plus importantes contre des organisations plus grandes.

Informations sur les attaques DDoS

Le 8 avril, nous avons publié une mise à jour majeure de la Protection contre les attaques par déni de service distribué Fastly. Il comporte deux fonctionnalités clés : les événements et les détails des événements. Imaginez que chaque événement est une attaque individuelle, et que les détails de l'événement permettent aux clients de plonger plus profondément dans la manière dont elle a été atténuée. Dans le cadre des détails de l'événement, nous pouvons maintenant explorer chaque règle que notre technique adaptative de démasquage d'attributs crée pour combattre les attaques. Ce mois-ci, nous allons nous pencher sur les attributs utilisés dans les règles et sur leur évolution au sein de notre base de clients mondiale.

Les règles de la Protection contre les attaques par déni de service distribué de Fastly sont automatiquement élaborées et peuvent contenir plus de 10 attributs pour séparer avec précision les attaques du trafic légitime avec lequel elles cherchent à se fondre. Un attribut commun utilisé en combinaison avec d'autres est la géolocalisation de l'adresse IP attaquante. En avril, 66 % des règles d'attaque ont pu isoler une partie de l'attaque à un seul pays (Image 4).

Lorsque nous examinons quel pays apparaît le plus dans les règles, les États-Unis surpassent de loin tous les autres (71 %), suivis de l'Allemagne (11 %), de la Chine (8 %), de la France (5 %) et de l'Indonésie (5 %) pour compléter le top 5 (Image 5).

Bien qu'il soit probable qu'une partie des attaques soient lancées par des cyberattaquants américains, il convient de noter que la création d'instances serverless est incroyablement accessible et simple. Avec peu d'efforts, les hackers peuvent exploiter le système autonome (AS) de leur choix et faire en sorte que leurs attaques proviennent de presque n'importe où dans le monde, indépendamment de leur emplacement réel.

Un autre attribut courant utilisé dans une règle est une adresse IP unique. Environ 31 % des règles d'avril ont permis d'isoler l'attaque sur une seule IP dans le cadre d'une règle plus large (Image 6). C'est particulièrement intéressant étant donné que les attaques volumétriques sont souvent décrites comme des attaques par déni de service distribué (DDoS), où ces données impliquent qu'une partie significative des attaques ne sont pas si distribuées.

En approfondissant un peu, nous constatons que lorsqu'une IP est utilisée dans le cadre d'une règle, cette IP cible un seul client Fastly dans 52 % des cas (Image 7). Alors que la partie restante des adresses IP associées aux attaques se dissipe rapidement avec le nombre de clients uniques, nous avons examiné de plus près les adresses IP qui ont attaqué le plus de clients pour voir quelle était l'étendue de leurs attaques.

Ce mois-ci, nous avons découvert qu’une même adresse IP était associée à des attaques par déni de service distribué (DDoS) contre plus de 400 services clients. Après recherche, il s’avère que cette adresse IP appartient à une grande entreprise mondiale de logiciels en tant que service (SaaS). Sachant cela, nous nous attendions à ce que cette adresse IP soit liée à du scraping malveillant et volumineux sur tous ces comptes clients, mais une analyse plus approfondie des métriques provenant de notre WAF de nouvelle génération suggère quelque chose de bien pire. Cette adresse IP était associée à plusieurs attaques CMDEXE, ainsi qu’à des tentatives de traversée de répertoire et de backdoor. Moins importantes en volume, ces attaques n’en restaient pas moins malveillantes. Ces données suggèrent que les attaques par déni de service distribué (DDoS) contre des centaines de clients n’étaient probablement pas le résultat d’une stratégie d’entreprise visant à récupérer les données aussi rapidement que possible, mais plutôt qu’une machine ou une adresse IP de l’entreprise a été compromise. Avec ces éléments en main, nous avons informé l’entreprise des détails de l’attaque et nous nous sommes proposés de les accompagner dans leur enquête.

Ce n’est que le début du type d’explorations de données que la mise à jour Attack Insights débloque pour ces rapports. Restez à l'écoute des prochaines éditions pour des analyses approfondies sur d'autres attributs et des informations uniques que seul Fastly peut fournir.

Conseils exploitables

Alors, que devriez-vous retenir de toutes ces informations ?

Il est important de noter que ce rapport ne représente qu’un mois de données et doit être utilisé avec des informations de première main provenant de vos outils d’observabilité et des recherches à plus long terme pour créer une vue d’ensemble complète. Cependant, il est possible de tirer quelques enseignements de ces données, que vous pourrez intégrer dans vos mesures de sécurité existantes :

1. Envisagez de mettre en œuvre des solutions de déni de service distribué qui peuvent s'adapter aux différents modèles de trafic légitime et d’attaque. Le volume des attaques a augmenté chaque mois en 2025, avec une hausse massive en avril, et bien que la mise en cache du contenu puisse alléger la charge sur les serveurs d'origine, une solution dédiée est probablement la meilleure option.

2. Soyez attentif à la manière dont vous exploitez la prise de décision basée sur la géographie si vous créez toujours manuellement des règles ou des rate limits (limitation du débit) ou si vous passez à la création automatique de règles. La majorité des règles de déni de service distribué qui ont utilisé la géolocalisation en avril proviennent d'IP basées aux États-Unis, ce qui signifie que les listes de blocage ou d'autorisation générales peuvent avoir des conséquences inattendues.

3. Assurez-vous d’avoir une vue d’ensemble de vos outils et de votre posture AppSec – aucun silo de données n'est autorisé. C’est uniquement parce que nous avions accès aux métriques de déni de service distribué, Gestion de bot et WAF de nouvelle génération que nous avons pu identifier qu’il ne s’agissait pas d’un cas de scraper devenu malveillant, mais d’une campagne plus vaste via une machine/IP compromise.

Atténuez automatiquement les attaques distribuées et perturbatrices

Comme toujours, nous tenons à vous rappeler que des solutions telles que Fastly DDoS Protection arrêtent automatiquement les attaques détaillées dans ce rapport avec les informations dont vous avez besoin pour valider rapidement l’efficacité. Fastly DDoS Protection exploite la bande passante massive de notre réseau et des techniques réactives pour garantir que vos sites web conservent rapidité et disponibilité, sans aucune configuration requise. Commencez à tirer parti de notre technologie adaptative dès aujourd'hui et obtenez jusqu'à 500 000 requêtes gratuitement, ou contactez notre équipe pour en savoir plus.