Déni de service distribué en juin

Le rapport mensuel exclusif de Fastly sur les attaques par déni de service distribué pour juin 2025 révèle une attaque de 250 milliards de requêtes ciblant un important fournisseur de haute technologie

Le réseau mondial instantané de Fastly a stoppé des milliards de tentatives d’attaques par déni de service distribué (DDoS) visant les couches 3 et 4. Cependant, les nouvelles attaques sophistiquées dirigées contre la couche 7 sont plus difficiles à détecter, et potentiellement bien plus dangereuses. Cette menace, qui peut fortement nuire aux performances et à la disponibilité de toute application ou API exposée à Internet, met en péril les utilisateurs et les entreprises. Fastly a recours la télémétrie de son réseau de périphérie mondial de 427 térabits par seconde*, qui traite 1,8 milliard de requêtes par jour**, et à sa solution Fastly DDoS Protection pour fournir un ensemble unique d’informations sur la « météo » des attaques DDoS dans le monde. Il s’agit du seul rapport mensuel de ce type. Exploitez des données anonymisées, des informations et des conseils pratiques sur les dernières tendances en matière d’attaques DDoS sur la couche applicative pour vous aider à renforcer vos initiatives de sécurité.

Principaux résultats

1. Une attaque par déni de service distribué de plus de 250 milliards de requêtes a été la plus grande attaque d’application que nous ayons observée jusqu’à présent cette année.

2. La protection contre les attaques par déni de service distribué de Fastly a détecté en moyenne près de deux attaques par minute en juin.

3. Une seule signature JA4 a été détectée dans 17 % des règles associées

Tendances du trafic

Chaque jour en juin, elle a observé des milliards d’attaques par déni de service distribué (DDoS) contre des services clients. Les attaques par DDoS cumulées du mois de juin ont été principalement concentrées sur deux jours au début du mois. Les 6 et 7 juin, le nombre d’attaques était si important qu’il a faussé considérablement la représentation du volume du reste du mois dans le graphique. En fait, le pic de trafic du 6 juin est 20 fois plus important que n'importe quel autre jour en dehors de ces deux jours.

Le pic est si important qu'il a fait passer le volume moyen du mois au-dessus de la majeure partie du volume cumulé quotidien du mois ! Si l'on compare le volume quotidien des attaques à l'ensemble de l'année 2025, on se rend compte de l'ampleur réelle de ces attaques. Aucun autre jour en 2025 ne s’en approche. La différence d'échelle est si importante que des journées entières du mois de janvier n'apparaissent même pas sur le graphique !

^{Compte tenu de l'énorme différence de volume entre les 6} et ^{7 juin, nous avons cherché à comprendre ce qui s'était passé : s'agissait-il d'une attaque coordonnée contre plusieurs clients, un secteur en particulier, ou des deux ?} Nous avons fini par découvrir que la vérité était bien plus inquiétante.

Le GROS pic

La protection contre les attaques par déni de service distribué de Fastly a observé des attaques massives cette année, la plus récente étant mentionnée dans notre rapport de mai, une attaque qui a duré plus d'une heure, avec plus d'un million de requêtes par seconde (RPS). Cependant, les 6 et 7 juin, la majorité du volume d’attaques a été attribuée à deux attaques coordonnées contre un seul gros client (une entreprise) opérant dans le secteur des hautes technologies. En seulement deux jours, des acteurs malveillants ont lancé deux attaques distinctes, qui ont atteint un total de plus de 250 milliards de requêtes. Nous vous présentons ci-dessous les détails de l'attaque et ses caractéristiques, vous donnant ainsi un aperçu de la puissance et de l'ampleur dont disposent les malfaiteurs.

À 22h, heure locale (selon l’emplacement du siège social du client), un important fournisseur de haute technologie a observé le début d’un barrage de plus de 4 heures contre l’un de ses services les plus connus. La première des deux attaques prolongées a été lancée depuis plusieurs pays, dont l'Allemagne, la Chine, les États-Unis, l'Inde et surtout les Pays-Bas. Avec un pic de 1,6 million de RPS, l'attaque a été détectée en quelques secondes par la protection contre les attaques par déni de service distribué de Fastly, qui a exploité plusieurs attributs, notamment le nom d’hôte et les détails TLS, pour séparer l'attaque distribuée du trafic légitime avec lequel elle visait à se fondre. À 2h15, heure locale, la première attaque a finalement pris fin. Malheureusement, l’histoire ne s’arrête pas là.

Une demi-heure plus tard, l'attaque a repris pendant encore 19 heures. Probablement perpétrée par le même acteur malveillant, étant donné que les empreintes digitales de l'attaque et les pays sources sont presque identiques, cette attaque a atteint un pic de 1,7 million de RPS.

En regroupant les données des deux attaques, on constate que si la majorité du trafic provenait des Pays-Bas, des États-Unis, d'Allemagne et d'Indonésie, chacune des règles créées automatiquement pour atténuer l'attaque mentionnait un autre pays (France, Chine ou Royaume-Uni). Il semble s'agir d'une tentative concertée de la part du hacker pour dissimuler ses traces.

Malheureusement pour eux, cela n’a pas fonctionné. Le client n’a subi aucun temps d’arrêt ni aucun impact sur la latence, et notre technologie Attribute Unmasking exclusive a continué à cibler les caractéristiques de l’attaque.

Au total, ces attaques ont duré près de 24 heures. L’échelle et la durée rappellent à toutes les entreprises l’importance d’une solution automatisée d’atténuation des attaques par DDoS. Bien que nous ayons observé que près de la moitié des attaques durent moins d'une minute, des exemples comme celui-ci renforcent l'idée qu'il n'est pas pratique de demander à des équipes de rédiger manuellement des règles statiques pour lutter contre les attaques. Même si l'attaque a évolué sur la durée, la protection contre les attaques par déni de service distribué de Fastly a été capable de s'adapter en tandem pour suivre l'attaque sans avoir d'impact sur le trafic légitime.

Tendances des attaques

Les événements ont été inclus dans le cadre d'une mise à jour récente de la protection contre les attaques par déni de service distribué DDoS de Fastly, et avec elle sont arrivées deux fonctionnalités clés : les événements et les détails des événements. Imaginez que chaque événement soit une attaque individuelle et que les détails de l'événement permettent aux clients d'approfondir la façon dont l'attaque a été maîtrisée. En substance, les événements nous offrent une méthode plus précise pour mesurer une attaque individuelle. En juin, la protection contre les attaques par déni de service distribué de Fastly a observé 77 451 attaques par déni de service distribué cumulatives, que nous catégorisons comme des événements. Étonnamment, cela ne représente que huit attaques de moins que ce que nous avions observé dans le rapport de mai. Bien que cela puisse n’être qu’une coïncidence, cela pourrait également refléter le nombre de hackers dans le monde. Peut-être que chaque mois, ils lancent un nombre similaire d’attaques cumulatives, mais contre des organisations différentes. Nous continuerons à surveiller cette tendance dans les prochaines éditions. Il convient de noter que si nous avions réparti les événements de manière uniforme en juin, nous aurions observé presque deux attaques par minute !

Chaque mois, nous enquêtons sur les attaques par déni de service distribué à travers le prisme de la cible attaquée. Compte tenu de l'ampleur des attaques des 6 et 7 juin, vous constaterez leur influence sur chacun des graphiques de volume ci-dessous.

Le volume d'attaques par secteur est clairement biaisé par le cas de l'entreprise de haute technologie décrit dans la section précédente, mais si l'on associe ce chiffre au nombre d'événements par secteur, on constate que le secteur des médias et du divertissement a été la cible principale du plus grand nombre d'attaques. Cela correspond à ce que nous avons constaté dans les rapports précédents, peut-être parce que ce secteur est le plus susceptible d'attirer l'attention indésirable des hackers qui ne sont pas d'accord avec le contenu publié sur leurs sites.

Les entreprises sont de toutes tailles et constituent un autre prisme d'observation des attaques. Pour ceux qui ne connaissent pas encore ces rapports, nous classons la taille des entreprises en fonction de leur chiffre d'affaires annuel :

• Sociétés/entreprises : supérieur à 1 milliard de dollars

• Commercial : entre 100 millions et 1 milliard de dollars

• Petites et moyennes entreprises (PME) : moins de 100 millions de dollars

Alors que l'entreprise ciblée par la grande attaque de juin fausse le graphique du volume, les petites et moyennes entreprises détiennent la majorité du nombre d'événements. Compte tenu de la répartition par secteur d'activité, il est probable que ces entreprises soient également des PME actives dans les domaines des médias et divertissement, des hautes technologies et du commerce. Leur prévalence reflète à la fois la clientèle de Fastly et le fait qu'il existe beaucoup plus de PME dont le chiffre d'affaires annuel est inférieur à 100 millions de dollars que de grandes entreprises générant des revenus plus importants. Il n'y a qu'un nombre limité de dollars (et d'autres devises, bien sûr) à dépenser sur cette Terre.

Tendances en matière d’atténuation

Dans les deux derniers rapports, nous avons examiné le pourcentage de règles incluant le pays et/ou l'adresse IP et nous avons constaté que les résultats étaient incroyablement similaires.

1. L'adresse IP était incluse dans 31 % et 35 % des règles en avril et mai, respectivement.

2. La géolocalisation était incluse dans 66 % et 67 % des règles en avril et mai, respectivement.

Étant donné la constance de ces pourcentages d'un mois à l'autre, nous choisirons de les mentionner moins fréquemment dans les prochaines éditions. Dans cette optique, nous avons examiné ce mois-ci comment les signatures telles que les JA4 sont utilisées dans le cadre d'une règle pour aider à identifier un hacker lorsqu'elles sont combinées à d'autres paramètres tels que la géolocalisation, l'IP, le client attaqué, etc. Pour ceux qui ne le savent pas, un JA4 est une empreinte digitale de client TLS qui comprend des informations telles que le protocole, la version TLS, le SNI, le nombre de suites cryptographiques, etc, vues dans un paquet TLS Client Hello. Bien qu'il ne soit pas rare que les JA4 soient partagés entre des demandes tout à fait légitimes, lorsqu'ils sont combinés à d'autres paramètres, ils créent un prisme efficace à travers lequel nous pouvons identifier un hacker. Cela est en partie dû au fait que les signatures comme les JA4 sont beaucoup plus difficiles à falsifier que les attributs comme l’adresse IP ou l’agent utilisateur.

En juin, des signatures telles que des JA4 ont été utilisées pour identifier une grande partie des attaques. Alors que la grande majorité des JA4 n'étaient utilisés que dans le cadre d'une seule règle, nous en avons identifié un qui figurait dans 17 % de toutes les règles.

En examinant cela de plus près, nous constatons que lorsque cette signature est utilisée dans le cadre d'une règle incluant la géolocalisation, elle est généralement associée à du trafic provenant d'Europe (39 %) ou des États-Unis (13 %). Cette signature semble également exploiter un botnet disposant d'une grande variété d'adresses IP, car la grande majorité des règles qui y sont associées ne permettent pas d'identifier l'attaque à partir d'une seule adresse IP. Cela indique une attaque fortement distribuée, probablement menée par une personne ou un groupe disposant d'une grande expertise dans le domaine des attaques par déni de service distribué.

Les clients ciblés par cette signature sont également très révélateurs. 53 clients uniques sont associés à des attaques liées à cette signature, et une grande partie d'entre eux travaillent pour des agences de presse et des plateformes qui les soutiennent. De plus, certains des clients ciblés se concentrent sur l’actualité hyper-régionale en Europe. Étant donné qu'ils ne bénéficient pas d'un trafic mondial important en raison de leur orientation locale, cela pourrait signifier que ce hacker se trouve quelque part dans l'Union européenne.

Compte tenu de la prévalence de ce hacker en Europe, et plus particulièrement dans les agences de presse et les plateformes SaaS qui y sont apparentées, nous avons choisi de l'appeler Byline Banshee. Clin d'œil au folklore irlandais (pays d'où provient une partie du trafic géolocalisé de cet hacker), ses attaques ont été assez « bruyantes », tout comme l'esprit hurlant d'où provient son nom. Nous ne manquerons pas de surveiller si la Byline Banshee fera sa réapparition dans les mois à venir !

Conseils exploitables

Alors, que devriez-vous retenir de toutes ces informations ?

Il est important de noter que ce rapport ne représente qu’un mois de données. Elles doivent donc être utilisées en y associant les informations tirées de vos propres outils d’observabilité et des études à plus long terme pour créer un état des lieux complet. Cependant, il est possible de tirer quelques enseignements de ces données, que vous pourrez intégrer dans vos mesures de sécurité existantes :

1. Assurez-vous que votre défense est suffisamment efficace pour gérer les attaques par déni de service distribué (DDoS) des applications à l’échelle de plus d’un milliard de RPS. Alors que dans le passé, nous avons observé des attaques de cette ampleur visant les plus grandes entreprises clientes de notre plateforme, l'attaque de juin contre une organisation de taille commerciale démontre clairement que ce n'est pas parce que ces organisations génèrent moins de revenus qu'elles sont moins susceptibles de recevoir l'attention non désirée des hackers.

2. Envisagez d’utiliser des signatures telles que des JA4 pour identifier les hackers (ou des produits tels que la protection contre les attaques par déni de service distribué de Fastly qui les intègrent automatiquement dans leurs règles). Bien qu'il ne s'agisse pas d'un concept nouveau, cela offre une nouvelle perspective pour analyser les attaques et séparer le trafic avec précision sans affecter les utilisateurs légitimes.

3. Soyez attentif à la façon dont vous exploitez la prise de décision basée sur la géolocalisation si vous continuez à créer manuellement des règles ou des limites du débit (ou si vous adoptez la création automatique de règles). Comme l'ont révélé les attaques de la Byline Banshee ce mois-ci, la grande majorité du trafic provenait de pays qui ne correspondent pas à la définition d'un État-nation.

Atténuer automatiquement les attaques perturbatrices et distribuées

Comme toujours, nous tenons à vous rappeler que des solutions telles que la protection contre les attaques par déni de service distribué de Fastly stoppent automatiquement les attaques détaillées dans ce rapport, avec les informations dont vous avez besoin pour en valider rapidement l'efficacité. La protection contre les attaques par déni de service distribué de Fastly exploite la bande passante massive de notre réseau et des techniques réactives pour garantir que vos sites web conservent rapidité et disponibilité, sans aucune configuration requise. Commencez dès aujourd'hui à tirer parti de notre technologie adaptative et bénéficiez de 500 000 requêtes gratuites, ou contactez notre équipe pour en savoir plus.