Disponible uniquement en anglais

Cette page n'est actuellement disponible qu'en anglais. Nous nous excusons pour la gêne occasionnée, merci de revenir sur cette page ultérieurement.

Les attaques DDoS en février

Arun Kumar

Chercheur principal en sécurité, Fastly

David King

Responsable marketing produit senior, sécurité

Équipe de recherche en sécurité Fastly

Équipe de recherche en sécurité Fastly, Fastly

Le rapport mensuel exclusif de Fastly sur les attaques par déni de service distribué en février 2025 montre un volume des attaques 2,85 fois plus élevé que le mois précédent.

Le réseau mondial instantané unique de Fastly a stoppé des milliards de tentatives d’attaques par déni de service distribué (DDoS) visant les couches 3 et 4. Cependant, les nouvelles attaques sophistiquées dirigées contre la couche 7 sont plus difficiles à détecter, et potentiellement bien plus dangereuses. Cette menace, qui peut fortement nuire aux performances et à la disponibilité de toute application ou API exposée à Internet, met en péril les utilisateurs et les entreprises. Fastly a eu recours à la télémétrie de son réseau de 410 térabits par seconde1 desservant 1,8 milliard de requêtes par jour2 et à sa solution DDoS Protection pour fournir un ensemble unique d’informations sur la « météo » des attaques DDoS dans le monde. C’est le seul rapport mensuel de ce type. Exploitez des données anonymisées, des informations et des conseils pratiques sur les dernières tendances en matière d’attaques DDoS sur la couche applicative pour vous aider à renforcer vos initiatives de sécurité.

L’influence des améliorations de produits dans les rapports

La solution Fastly DDoS Protection a été lancée en octobre 2024, et nous avons tout mis en œuvre pour en faire la meilleure solution de protection contre les attaques DDoS visant la couche applicative disponible sur le marché. Bien que nous ayons longuement discuté de la puissance du moteur de démasquage d’attributs adaptable de la solution dans la lutte contre les attaques, nous avons redoublé d’efforts pour renforcer ses fondations et avons apporté des améliorations majeures à la fonction de détection en février. 

Les améliorations apportées ont permis de réduire le délai entre la détection et l’atténuation, tout en élargissant la visibilité de la solution sur les attaques DDoS (notamment les attaques plus brèves et de moindre ampleur). Nous continuons d’améliorer les capacités fondamentales de détection et d’atténuation. Elles semblent d’ailleurs expliquer la forte hausse du volume d’attaques observé en février. Nous espérons constater l’influence de telles améliorations dans nos rapports, car nous perfectionnons continuellement notre produit pour l’améliorer encore davantage pour des clients comme vous. Maintenant, passons aux résultats !

Principaux résultats

  1. Fastly a observé une hausse de 285 % d’un mois à l’autre des attaques par déni de service distribué sur la couche applicative, reflétant l’augmentation continue du volume d’attaques chaque mois.

  2. Le Royaume-Uni est entré dans le top 5 des pays ayant observé des requêtes d'attaques depuis que nous avons commencé à analyser les schémas d'attaques par région

  3. L’allocation des ressources des hackers pour les attaques semble s’aligner sur la taille de l’entreprise ciblée, ainsi que sur sa capacité et sa résilience perçues.

Tendances du trafic

Chaque mois, Fastly observe des dizaines de milliards d’attaques par déni de service distribué (DDoS) visant nos clients, mais en février, nous avons observé un volume de requêtes DDoS 2,85 fois supérieur à celui de janvier.

La tendance à l’augmentation du volume est constante depuis décembre 2024, période à laquelle nous avons lancé notre premier rapport sur les attaques DDoS. De décembre à janvier, le volume a augmenté de 14,5 %, contre 285 % de janvier à février (Image 1).

Le réseau mondial instantané unique de Fastly se compose de serveurs physiques, connectés à Internet au niveau d’Internet Exchange Point à haute densité dans des points of presence (PoP) situés dans 97 endroits stratégiques à travers le monde3. En février, le trafic d’attaques DDoS a été détecté sur plusieurs PoP dans le monde (Image 2). Les volumes les plus élevés ont été observés sur nos PoP aux endroits suivants :

  1. États-Unis

  2. Allemagne

  3. Singapour

  4. Royaume-Uni

  5. France

Le Royaume-Uni, classé quatrième, présente un intérêt particulier dans cette liste. Alors que le pays se classe deuxième en Europe en termes d’utilisation d’Internet, juste derrière l’Allemagne, son entrée dans le top 5 implique qu’un ensemble d’attaques beaucoup plus important a été observé dans le pays ce mois-ci. Alors, qui les hackers ont-ils ciblé ?

De nombreuses requêtes d’attaques observées par les entreprises ciblées au Royaume-Uni présentaient plusieurs points communs. Les entreprises opéraient dans les secteurs de la haute technologie ou des médias et du divertissement et s’engageaient dans la protection de la vie privée, la lutte contre la censure ou la liberté de la presse. C’est une réalité implicite qui mérite d’être rendue explicite : plus les offres de votre entreprise sont susceptibles de bouleverser ceux qui lancent des attaques, plus vous êtes susceptible d’attirer leur attention. Cette affirmation s’est vérifiée en février.

Bien que nous observions généralement une accalmie pendant le week-end, les attaques de février étaient réparties de manière relativement uniforme sur la semaine (Image 3). Le vendredi et le samedi ont enregistré le plus grand volume de requêtes et surpassaient de 39 % le volume moyen d’attaques.

En général, lors de l’élaboration de ces rapports, nous utilisons le volume de requêtes d’attaque comme mesure commune, mais que se passerait-il si nous examinions plutôt le nombre d’attaques ? Voici la différence. Les tailles d’entreprises suivantes sont classées en trois catégories :

  • Sociétés : plus de 1 milliard de dollars

  • Commercial : entre 100 millions de dollars et 1 milliard de dollars

  • Petites et moyennes entreprises (PME) : moins de 100 millions de dollars

En observant le nombre d’attaques, nous constatons que les PME ont été la cible de près de la moitié de toutes les attaques (43,3 %), contre 36 % pour les entreprises commerciales et 20,9 % pour les sociétés (Image 4).

Lorsqu’on observe le volume des requêtes d’attaque par taille d’entreprise, on constate que si le pourcentage des PME n’augmente que légèrement, la proportion d’entreprises a connu des changements drastiques (Image 5).

Ce que nous pouvons déduire de ces informations, c’est que lorsque les hackers décident de cibler les plus grandes entreprises du monde, ils sont bien préparés. Ils ont probablement compris qu’il leur faudrait lancer une attaque de plus grande envergure pour avoir une chance de réussir : ce qu’ils ont fait en février. Pour faciliter la comparaison, nous avons regroupé les précédents diagrammes ci-dessous (Image 6).

Les entreprises du secteur de la haute technologie ont enregistré le plus grand nombre d’attaques, suivies par celles des secteurs de la vente puis des médias et du divertissement (Image 7). Cela crée un fort contraste avec janvier, lorsque le pourcentage de clients du secteur de la vente victimes d’attaques était inférieur à 11,5 %. La distribution met en évidence la volatilité mensuelle dans le choix des cibles par les hackers.

Ce mois-ci, nous avons également examiné l’évolution des données lorsque nous associons la taille de l’entreprise et le secteur. Il est particulièrement intéressant de voir comment certaines tailles d’entreprises sont soumises à des pressions accrues selon leur secteur d’activité. Les entreprises commerciales sont la cible première dans le secteur de la vente et les PME dans le secteur de la haute technologie. La distribution est relativement équilibrée dans le secteur des médias et du divertissement ainsi que dans les autres secteurs victimes.

Conseils exploitables

Alors, que devriez-vous retenir de toutes ces informations ?

Il est important de noter que ces données ne représentent qu’une période d’un mois. Elles doivent être appuyées par des informations de première main provenant de vos outils d’observabilité et des recherches à plus long terme pour créer une vue d’ensemble complète. Cependant, à partir de ces seules données, vous pouvez intégrer quelques enseignements clés à vos efforts de sécurité existants :

  • Le volume d’attaques a augmenté pendant trois mois consécutifs et a fait un bond considérable de janvier à février. Bien que la mise en cache du contenu puisse alléger la charge des serveurs d’origine, les entreprises devraient envisager de mettre en œuvre des solutions de protection contre les attaques DDoS capables de s’adapter aux différents modèles de trafic légitime et d’attaque.

  • Les spécialistes de la sécurité et les dirigeants doivent comprendre le paysage des menaces, évaluer les risques spécifiques à leur secteur et mettre en œuvre des stratégies défensives en conséquence. Ainsi, une entreprise spécialisée dans l’adoption d’animaux de compagnie est probablement une cible moins attrayante qu’une entreprise de média, qui peut être confrontée à des menaces allant des hacktivistes aux acteurs étatiques.

  • Le volume d’attaques est resté relativement stable tout au long de la semaine, mais a culminé le vendredi et le samedi (UTC), soulignant l’importance d’intégrer un SOC permanent capable de contrer les attaques, même si elles surviennent pendant le week-end.

Atténuer automatiquement les attaques perturbatrices et distribuées

Comme toujours, nous tenons à vous rappeler que des solutions telles que Fastly DDoS Protection arrêtent automatiquement les attaques détaillées dans ce rapport. Fastly DDoS Protection exploite la bande passante massive de notre réseau et des techniques réactives pour garantir que vos sites web conservent rapidité et disponibilité, sans aucune configuration requise. Contactez-nous pour en savoir en plus.

1 au 31 décembre 2024

2 au 31 juillet 2023

3 au 31 décembre 2024