Le dernier rapport mensuel sur les attaques DDoS de Fastly détaille l’attaque DDoS qui a failli gâcher Noël, la plus importante de Fastly en 2025
Le réseau mondial instantané de Fastly a stoppé des milliards de tentatives d’attaques DDoS visant les couches 3 et 4. Cependant, les nouvelles attaques sophistiquées dirigées contre la couche 7 sont plus difficiles à détecter et potentiellement bien plus dangereuses. Cette menace, qui peut fortement nuire aux performances et à la disponibilité de toute application ou API exposée à Internet, met en péril les utilisateurs et les entreprises. Fastly a recours à la télémétrie de son edge network mondial de 497 térabits par seconde*, qui traite 1,8 milliard de requêtes par jour**, et à sa solution Fastly DDoS Protection pour fournir un ensemble unique d’informations sur les tendances des attaques DDoS dans le monde. Il s’agit du seul rapport mensuel de ce type. Tirez parti de données anonymisées, d’informations et de conseils pratiques sur les dernières tendances en matière d’attaques DDoS visant la couche applicative pour vous aider à renforcer vos initiatives de sécurité.
Principales constatations :
Le volume d’attaque le plus important de 2025 : le 25 décembre a été le jour où le volume d’attaques a été le plus élevé pour toute l’année 2025. Ce volume est principalement dû à une seule attaque.
Des attaques de plus grande envergure que les mois précédents : bien que le nombre d’attaques ait été similaire à celui de novembre, le volume était beaucoup plus élevé, indiquant des attaques de plus grande envergure en moyenne
Les attaques sophistiquées combinent plusieurs vecteurs DDoS : l’attaque massive du 25 décembre a utilisé plusieurs types de DDoS (niveau du réseau et au niveau des applications) dans une tentative infructueuse d’affecter les performances.
Tendances des attaques en décembre
Compte tenu de la baisse du volume des attaques DDoS sur quatre mois consécutifs, nous avons abordé le mois de décembre sans savoir si la tendance se poursuivrait… nous avons constaté tout le contraire. Le mois de décembre a connu le plus grand volume d’attaques en une seule journée, et de loin.
En comparant décembre aux autres mois de 2025, nous constatons que ce mois ne s’écarte pas uniquement de la tendance : c’est de loin le mois où nous avons enregistré le plus important volume d’attaques, 37 % plus élevé que le deuxième mois le plus élevé, celui de juin.
Alors que le volume d’attaques était nettement plus élevé en décembre, le nombre d’attaques individuelles est resté relativement stable d’un mois sur l’autre.
Étant donné que l’un des plus faibles volumes d’attaques en 2025 a été observé en novembre et que le plus élevé a été attribué au mois de décembre, la similitude des nombres d’attaques suggère un volume d’attaques globalement plus élevé. L’analyse des données a révélé que la taille moyenne plus élevée des attaques est fortement biaisée par une seule attaque survenue le 25 décembre, le jour où le volume d’attaques le plus élevé de l’année a été enregistré. Voici comment s’est manifestée cette attaque.
L’attaque Grinch : l’attaque DDoS la plus importante de 2025
La cybersécurité ne prend pas de vacances.
Alors que de nombreuses personnes ont passé du temps avec leurs proches pendant les fêtes de fin d’année, les équipes de cybersécurité (souvent en manque de personnel) du monde entier se sont tenues prêtes à atténuer les attaques, et pour cause : le soir de Noël aux États-Unis, un client professionnel spécialisé dans la high-tech s’est attiré les foudres d’un imposant botnet exécutant la plus grande attaque DDoS observée par Fastly en 2025.
Alors que de nombreuses personnes sur la côte ouest des États-Unis se mettaient à table pour déguster leur dîner de Noël, un botnet de très grande échelle a lancé une attaque DDoS sophistiquée, combinant le flood de réseaux et d’applications depuis les quatre coins du monde dans le but de submerger un client à un moment où les hackers estimaient que leur cible pourrait être prise au dépourvu.
Chez Fastly, nous appellerons cette tentative « Le vol de Noël », faisant de l’équipe de cybersécurité la cible d’une « attaque Grinch ».
(Oui, c’est ma meilleure version. Ignorez-moi.)
Alors que nous plongeons dans les détails de l’attaque pour mieux comprendre la puissance et les capacités dont disposent ces botnets, nous devons clarifier les différents types d’attaques DDoS qu’ils peuvent lancer. La plupart de ces attaques se présentent sous l’une des trois formes suivantes :
Attaques en paquets par seconde (PPS) : elles sont souvent conçues pour saturer les processeurs et les tables d’état en exerçant une pression sur la capacité de traitement des paquets et se produisent souvent au niveau des couches 3/4.
Attaques en térabits par seconde (To/s) : elles se concentrent sur l’épuisement de la bande passante sur les couches 3/4, saturant les canaux indépendamment du nombre de paquets.
Requêtes par seconde (RPS) : elles exercent une pression au niveau de l’application (couche 7) en floodant les applications et les API avec des requêtes complètes.
Souvent, nous constatons qu’une attaque se concentre sur une seule de ces trois méthodes, mais à mesure que l’attaque gagne en sophistication, les hackers combinent plusieurs méthodes pour saturer à la fois les ressources matérielles et le personnel humain qui lutte contre l’attaque. Dans le cas de l’attaque Grinch, des acteurs malveillants ont simultanément combiné une attaque RPS de haut niveau avec une attaque PPS de bas niveau pour causer plus de dégâts.
Attaque DDoS Grinch : phase applicative
Le soir de Noël, des hackers ont ciblé de nombreuses applications et API d’une grande entreprise high-tech à une échelle sans précédent. En une minute, l’attaque Grinch a atteint plus de 10 millions de requêtes par seconde, puis a atteint un maximum soutenu de plus de 100 millions de RPS pendant trois minutes peu après. Dans les rapports des mois précédents, nous décrivions d’énormes attaques de 1 million et de 15 millions de RPS ayant battu des records. L’attaque Grinch, elle, a non seulement atteint une échelle 7 à 8 fois plus grande, mais elle s’est aussi poursuivi pendant environ 48 heures supplémentaires.
Le graphique ci-dessous utilise une échelle logarithmique ; les intervalles verticaux égaux représentent des variations de trafic par ordre de grandeur, pas des nombres de requêtes fixes. Ce format vous permet de visualiser à la fois le trafic normal et les pics extrêmes sur un même graphique. Le graphique montre non seulement l’échelle massive que l’attaque a atteinte dès le début, mais aussi l’attaque soutenue qui s’est poursuivie pendant plusieurs jours par la suite.
Au cours de cette phase, l’attaque Grinch a généré plus de 220 milliards de requêtes, un volume bien plus important, et de loin, que toute autre attaque survenue ce même mois.
Pour aller plus loin, nous nous sommes intéressés aux types de règles que Fastly DDoS Protection a automatiquement générés pour atténuer l’attaque. Atténuer des attaques d’une telle sophistication sans impacter le trafic légitime est complexe, pourtant, le moteur de menace adaptatif de la solution a élaboré plus de mille règles pour séparer les attaques du trafic légitime. En les examinant de manière globale, quelques tendances se dégagent.
75 % des règles ont pu limiter l’attaque à un seul pays. Le trafic de l’attaque Grinch provenait principalement des États-Unis (25 %), du Brésil (22 %) et du Mexique (21 %).
Fait intéressant, un bon nombre des pays principaux exploités dans l’attaque sont ceux mentionnés dans l’analyse de XLab sur le botnet Kimwolf, qui a récemment attiré l’attention. Cela amène notre équipe à penser que, compte tenu de l’échelle massive et des similitudes géographiques, ce botnet pourrait être celui qui a lancé l’attaque Grinch. Si vous n’avez jamais entendu parler de ce botnet, consultez le récent article de Brian Krebs ici.
Bien que le code pays ait permis d’isoler certaines parties de l’attaque, cet attribut de règle est toujours utilisé en combinaison avec d’autres pour séparer en toute sécurité les attaques du trafic légitime. Dans le cas de l’attaque Grinch, il a fallu en moyenne plus de 4 attributs par règle pour isoler le trafic d’attaque de tout le reste. La combinaison d’attributs tels que des adresses IP spécifiques (28 % des règles), des ASN (57 % des règles) et des empreintes digitales générales du navigateur/de l’en-tête (99 % des règles) a permis à la solution DDoS Protection de Fastly d’isoler automatiquement et en toute sécurité le trafic de l’attaque Grinch pendant environ 48 heures.
Attaque DDoS Grinch : phase réseau
Alors que la phase de l’attaque DDoS Grinch visant les applications commençait à se stabiliser (toujours à un rythme incroyablement élevé d’environ 1 million de requêtes par seconde) et à montrer un lent déclin quelques heures après son lancement (probablement dû au succès limité), les hackers ont rapidement ajouté un nouvel ingrédient à la recette : une attaque DDoS ciblant les réseaux. Cette phase, principalement attribuable à des attaques provenant d’Amérique du Sud, a duré près d’une demi-heure et a tenté de flooder les services avec près de 70 millions de PPS. Il est intéressant de noter qu’en examinant l’attaque sur la couche 7 avec ces informations, très peu de temps après le début de l’attaque DDoS sur les réseaux, l’attaque visant la couche 7 a commencé à ralentir, le nombre de requêtes RPS chutant considérablement.
Bien que nous ne puissions pas en déterminer la cause avec certitude, cela peut indiquer que les hackers ont fait face à des contraintes de capacité et de ressources, car la puissance disponible pour le botnet est limitée dès que les dispositifs infectés ne peuvent pas être utilisés. Il ne s’agit en aucun cas d’une conclusion définitive, car il existe des dizaines d’explications : l’attaque a atteint ses limites en termes de ressources, les hackers ont ciblé d’autres entreprises qui ne sont pas clientes de Fastly… Il existe également d’innombrables réponses, mais la façon dont cette phase d’attaque se présente lorsqu’elle est combinée offre pour le moins des enseignements qui donnent à réfléchir.
Conseils exploitables
Alors, que devriez-vous retenir de toutes ces informations ? Comment pouvez-vous protéger votre entreprise d’une attaque Grinch ?
Les hackers sont rusés et veulent perturber les opérations lorsque les défenses perçues sont faibles. Cibler une entreprise aux États-Unis à Noël était intentionnel et souligne la nécessité de recourir à des solutions automatisées ou à un fournisseur de sécurité gérée pouvant atténuer les attaques malgré une probable réduction des effectifs pendant les vacances.
L’attaque Grinch survenant après plusieurs mois consécutifs de faible volume d’attaques illustre la raison pour laquelle les entreprises ont besoin d’une solution qui fonctionne en continu ou à la demande pour atténuer les attaques lorsqu’elles se produisent inévitablement. L’atout d’une telle solution ? Conférer une flexibilité budgétaire sans compromettre la sécurité.
La taille, l’échelle et la complexité des attaques massives nécessitent une solution automatique capable de séparer en toute sécurité le trafic d’attaque du trafic normal. La solution DDoS Protection de Fastly a créé plus d’un millier de règles au cours de l’attaque Grinch, et ce n’est pas quelque chose que les humains peuvent reproduire à la même échelle, à la même vitesse et avec la même efficacité.
Atténuer automatiquement les attaques perturbatrices et distribuées
Bien que les attaques massives fassent les gros titres, nous avons aussi constaté un volume soutenu d’attaques DDoS ciblant des entreprises dans tous les secteurs. La nature imprévisible de ces attaques souligne pourquoi les entreprises doivent rechercher une solution qui atténue automatiquement les attaques distribuées et multivectorielles présentées dans ce rapport. Laissez notre technologie adaptative absorber le prochain pic à votre place. Contactez notre équipe ou commencez votre essai gratuit dès aujourd’hui.
* Au 31 mars 2025
** Au 31 juillet 2023