Déni de service distribué en août
Chef de produit principal
Responsable marketing produit senior, sécurité
Le rapport mensuel exclusif de Fastly sur la météo des attaques par déni de service distribué pour août 2025 révèle que les clouds hyperscale sont le réseau source de 70 % des attaques associées.
Le réseau mondial instantané de Fastly a stoppé des milliards de tentatives d’attaques par déni de service distribué (DDoS) visant les couches 3 et 4. Cependant, les nouvelles attaques sophistiquées dirigées contre la couche 7 sont plus difficiles à détecter, et potentiellement bien plus dangereuses. Cette menace, qui peut fortement nuire aux performances et à la disponibilité de toute application ou API exposée à Internet, met en péril les utilisateurs et les entreprises. Fastly a recours à la télémétrie de son réseau de périphérie mondial de 462 térabits par seconde*, qui traite 1,8 milliard de requêtes par jour**, et à sa solution Fastly DDoS Protection pour fournir un ensemble unique d’informations sur la « météo » des attaques DDoS dans le monde. Il s’agit du seul rapport mensuel de ce type. Exploitez des données anonymisées, des informations et des conseils pratiques sur les dernières tendances en matière d’attaques DDoS sur la couche applicative pour vous aider à renforcer vos initiatives de sécurité.
Principales constatations :
Le 1er août a été le troisième jour le plus important en termes de volume d'attaques depuis le début de 2025
Le volume médian d'attaque est le plus élevé dans le secteur des Médias et divertissement (M&E), suivi par le secteur public et l'éducation
Les attaques isolées à un ASN sont le plus souvent associées aux hyperscalers 70 % du temps
Tendances du trafic en août
Alors que l'été (pour ceux d'entre nous dans l'hémisphère nord) touche à sa fin, le mois d'août a commencé par un pic de trafic d'attaques, suivi de jours suivants avec un volume systématiquement beaucoup plus faible (Image 1).
En examinant le volume moyen du mois par rapport au volume quotidien total, il est évident qu'une seule valeur aberrante, comme le1er, peut avoir une influence sur le reste du mois. Dans l’ensemble, le mois d’août a marqué un retour plus proche de la ligne de tendance établie du volume moyen d’attaques par mois (Image 2).
Bien que nous ne soyons pas au-dessus de la tendance observée en avril, mai et juin, nous nous dirigeons vers la période des fêtes, qui connaît historiquement des volumes de trafic plus élevés. Nous continuerons à surveiller l'évolution de ces données dans les mois à venir et vous tiendrons informés des mises à jour dans les prochaines éditions.
En comparant le mois d’août à tous les jours de l’année jusqu’à présent, le 1er août se distingue clairement comme le troisième plus grand pic de trafic d’attaque observé (image 3).
Bien qu'il ne représentait que 42 % du volume de la plus grande attaque de cette année, le 1er août a tout de même enregistré des dizaines de milliards de requêtes sur une période de 24 heures (UTC). Similaire à ce que nous avons observé dans les autres plus grandes attaques de l'année, le pic est principalement attribuable à des attaques sur un seul client. Cependant, alors que le pic de juin ciblait une Enterprise de haute technologie, celui-ci ciblait une Enterprise dans les Médias et divertissement.
Tendances des attaques
Le mois d’août a reçu près de 73 000 attaques, soit environ 1,7 par minute chaque jour. C'est comparable ou légèrement supérieur à ce que nous avons observé les mois précédents, étant donné qu'il y a 31 jours en août, alors que d'autres n'en ont que 30 ou moins. Chaque mois, nous examinons les attaques à travers le prisme de qui a été attaqué, et ce mois-ci, nous commencerons par un aperçu de la taille des entreprises attaquées en août. Pour ceux qui ne connaissent pas encore ces rapports, nous classons la taille des entreprises en fonction de leur chiffre d'affaires annuel :
Sociétés : plus de 1 milliard de dollars
Commercial : entre 100 millions de dollars et 1 milliard de dollars
Petites et moyennes entreprises (PME) : moins de 100 millions de dollars
En règle générale, nous utilisons le volume total pour offrir une vue claire de qui a été attaqué ; cependant, même une seule attaque massive peut considérablement fausser la présentation des données. Pour [REDACTED] et s'amuser, veuillez vérifier à quoi ressemble le volume total par rapport à la taille de l'entreprise en août (Image 4).
En revanche, le volume médian des attaques raconte une histoire complètement différente (Image 5).
Dans cette perspective, les attaques massives sont complètement annulées, ce qui montre que les organisations commerciales reçoivent en réalité le plus grand volume médian d'attaques. Cette dynamique nous rappelle qu'il faut prendre les gros titres avec un grain de sel ; même s'il est facile de dire que 91 % du volume des attaques a touché des Enterprises en août, et ce serait exact, la réalité est nuancée (et souvent omise).
Dans la plupart des éditions, nous indiquons également le volume total par rapport aux secteurs qu'ils ciblent, mais pour ce mois-ci, nous explorons une nouvelle perspective du volume médian par secteur. Ce faisant, nous éliminons une grande partie des biais naturels de notre client et constatons que de nombreux secteurs que nous voyons souvent dominer le classement, comme le commerce et la haute technologie, ont en réalité une taille d’attaque médiane plus petite que des secteurs comme le secteur public et l’éducation, qui occupent les deuxième et troisième places pour le volume médian le plus élevé (Image 6).
Nous continuerons de surveiller ces données pour déterminer s’il s’agit d’une tendance constante ou simplement d’une anomalie pour le mois. Une tendance constante ici pourrait suggérer soit des campagnes sophistiquées et ciblées, soit le travail d'acteurs persistants et moins qualifiés. Quoi qu’il en soit, nous vous tiendrons informé. Les Médias et divertissement, en tête du volume médian, n'est pas surprenant, car il représente généralement la plus grande part du volume total dans ces rapports, probablement en raison du contenu controversé ou opportun que les hackers souhaitent décourager ou dont ils veulent influencer la couverture.
Tendances d’atténuation
En passant aux types d'attributs trouvés dans les règles que Fastly DDoS Protection génère automatiquement pour protéger nos clients, ce mois-ci, nous avons examiné les IP et les ASN. Pour ceux qui ne sont pas familiers, une adresse IP (Internet Protocol Address) est un identifiant unique pour un dispositif tel que votre routeur domestique, et un ASN (Autonomous System Number) est un identifiant unique pour un réseau entier. Vous pouvez les imaginer comme un seul numéro de téléphone par rapport à votre fournisseur de télécommunications, qui possède et gère tout un bloc de numéros de téléphone. Ces deux éléments peuvent être utilisés pour séparer une attaque du trafic légitime, et ce mois-ci, nous avons examiné ce qui se passe lorsqu'ils sont inclus dans une règle.
Adresses IP utilisées dans les règles d'août
Une seule adresse IP a été trouvée dans 42 % des règles en août. En abordant cette section, il est important de noter qu'une seule attaque nécessite souvent plusieurs règles pour être entièrement atténuée. Alors qu'une règle peut s'appuyer sur une seule adresse IP, il existe de nombreux cas où d'autres règles introduisent des adresses IP supplémentaires ou doivent séparer le trafic d'attaque d'une autre manière. Essentiellement, cela ne signifie pas que 42 % du temps une attaque provient entièrement d'une seule adresse IP, mais simplement qu'une partie suffisante de celle-ci l'était pour réduire l'attaque.
En examinant de plus près les adresses IP, nous constatons que beaucoup d'entre elles ne sont impliquées que dans une ou quelques attaques et n'ont jamais été revues (Image 7).
Bien que nous visions à approfondir ce qui se passe ici, qu'il s'agisse pour la grande majorité d'attaques provenant d'un réseau local (ce qui peut indiquer une activité de botnet) ou provenant du cloud ou d'hyperscalers (ce qui peut indiquer la facilité de déploiement d'environnements Serverless partout dans le monde), ces données soulignent la nature distribuée de nombreuses attaques de déni de service distribué en août. Cela ajoute également du crédit au jeu de la taupe auquel sont confrontées de nombreuses équipes de sécurité, qui empêchent une IP d'attaquer pour qu'une autre vienne juste après.
En inversant l’ensemble de données distribuées et en examinant l’adresse IP associée à la plupart des attaques par déni de service distribué (DDoS), nous constatons que l’adresse IP la plus offensante en août a été impliquée dans 184 attaques uniques contre 59 clients, principalement dans les secteurs des Médias et divertissement et de la haute technologie. En dehors des frontières de Fastly, cette même adresse IP est associée à 17 rapports d'abus (sur des sites comme AbuseIPDB), qui couvrent non seulement les attaques par déni de service distribué (DDoS) mais aussi les attaques de type OWASP. Il est intéressant de noter que les rapports d'abus par des tiers n'ont commencé qu'en août, et nous n'avons pas non plus trouvé de règles associées en juillet, ce qui pourrait indiquer la nature éphémère des adresses IP utilisées dans les attaques de grande ampleur.
Les ASN utilisés dans les règles
Parfois, une attaque ne peut pas être attribuée à une seule adresse IP, mais plutôt à un ensemble d'adresses provenant d'un même réseau. En août, 66 % des règles incluent un seul ASN parmi leurs nombreux attributs. De même que ce que nous avons constaté pour les adresses IP, un seul ASN n'est généralement pas trouvé dans plus de 10 règles, la grande majorité des règles ayant un ASN unique en août. Cependant, en examinant les 10 principaux ASN utilisés dans les règles, nous découvrons une tendance : les fournisseurs de cloud hyperscale représentent 71 % des ASN dans les attaques associées.
"À l'instar de ce que nous avons observé avec les IP à courte durée de vie, cette découverte peut offrir un point de corrélation supplémentaire, car les clouds hyperscale ont souvent une barrière à l'entrée plus basse pour déployer un environnement Serverless que les plateformes d'hébergement/VPS ou même de contenu plus traditionnelles."
Conseils pratiques
Alors, que devriez-vous retenir de toutes ces informations ?
Les organisations opérant dans le secteur des médias et du divertissement continuent de recevoir la plus grande proportion du volume total et médian des attaques. Si votre organisation opère dans ce secteur, nous vous exhortons à envisager l'adoption d'une protection DDoS pour les applications, si ce n'est pas déjà le cas.
Si vos critères d'atténuation manuels intègrent fortement les adresses IP, envisagez de remplacer cet effort par des solutions automatisées ou des règles intégrant l'ASN avec des attributs supplémentaires pour accroître la précision. Étant donné le nombre d'adresses IP uniques utilisées dans les attaques, cela ne devrait être utilisé dans les règles que pour les contrevenants les plus flagrants.
Les Enterprise doivent s’assurer que leur infrastructure ou leurs outils peuvent absorber (idéalement atténuer) des attaque de l’ordre de dizaines de milliards de requête sur de courtes périodes. Chacune des plus grandes attaques de cette année a pu atteindre une échelle de millions de requêtes par seconde, bien au-delà de ce que certains peuvent gérer sans impact sur les performances.
Atténuer automatiquement les attaques perturbatrices et distribuées
Comme l'a montré le mois d'août, une seule attaque massive peut cibler n'importe quel secteur, qu'il s'agisse des Médias et divertissement ou de la haute technologie, tandis que des attaques de moindre envergure et persistantes affectent quotidiennement les entreprises commerciales. Fastly DDoS Protection est conçu pour cette réalité, atténuant automatiquement les attaques distribuées et multi-vectorielles détaillées dans ce rapport. Laissez notre technologie adaptative absorber le prochain pic afin que vous n'ayez pas à le faire. Contactez notre équipe ou commencez votre essai gratuit dès aujourd'hui.
* Au 31 mars 2025
** Au 31 juillet 2023
