Le géant des services Internet Cloudflare affirme avoir atténué un nombre record d’attaques DDoS en 2024, enregistrant un bond massif de 358% d’une année sur l’autre et une augmentation de 198% d’un trimestre à l’autre.
Ces chiffres proviennent du rapport DDoS du 1er trimestre 2025 de Cloudflare, dans lequel l’entreprise affirme avoir atténué un total de 21,3 millions d’attaques DDoS en 2024.
Cependant, 2025 semble être un problème encore plus important pour les entités et les entreprises en ligne, Cloudflare ayant déjà répondu à 20,5 millions d’attaques DDoS au cours du premier trimestre 2025 seulement.
Ces attaques incluent Cloudflare lui-même, dont l’infrastructure a été directement ciblée par 6,6 millions d’attaques au cours d’une campagne multi-vecteurs de 18 jours.
« Sur les 20,5 millions d’attaques DDoS, 16,8 Millions étaient des attaques DDoS au niveau de la couche réseau, et sur ces 6,6 Millions ciblaient directement l’infrastructure réseau de Cloudflare », explique Cloudflare.
« Ces attaques faisaient partie d’une campagne DDoS multi-vecteurs de 18 jours comprenant des attaques SYN flood, des attaques DDoS générées par Mirai, des attaques d’amplification SSDP pour n’en nommer que quelques-unes. »
Le principal moteur de cette augmentation a été les attaques de la couche réseau, qui ont connu la plus forte croissance ces derniers mois, gagnant 509% en glissement annuel.
Pendant ce temps, la tendance des attaques hyper-volumétriques s’est poursuivie sans relâche, Cloudflare enregistrant plus de 700 attaques dépassant des bandes passantes de 1 Tbit / s (térabit par seconde) ou des débits de paquets de 1 milliard de paquets par seconde.
Les attaques hyper-volumétriques qui entrent dans ces catégories ont été en moyenne de huit par jour au cours du premier trimestre de l’année, et le nombre total a doublé par rapport au trimestre précédent.
Cloudflare affirme avoir identifié deux menaces émergentes au 1er trimestre 2025, à savoir le protocole CLDAP (Lightweight Directory Access Protocol) sans connexion et les attaques par réflexion/amplification Encapsulating Security Payload (ESP).
Les attaques CLDAP ont augmenté de 3 488% d’un trimestre à l’autre, se manifestant par des variantes de LDAP qui utilisent UDP au lieu de TCP, ce qui est plus rapide mais moins fiable.
Cloudflare explique que l’UDP dans CLDAP ne nécessite aucune poignée de main, ce qui permet l’usurpation d’adresse IP, que les attaquants exploitent en falsifiant l’adresse IP source pour refléter des quantités massives de trafic vers leur cible.
Les attaques ESP, qui ont augmenté de 2 301% d’un trimestre à l’autre, sont possibles grâce à des erreurs de configuration ou des vulnérabilités dans les systèmes exposés.
Serveurs de jeu sous le feu
Une attaque mise en évidence dans le rapport de Cloudflare, survenue au cours du 1er trimestre 2025, concerne un fournisseur d’hébergement basé aux États-Unis qui offre des services aux serveurs de jeux multijoueurs pour Counter-Strike GO, Team Fortress 2 et Half-Life 2: Deathmatch.
L’attaque, qui s’est déroulée en plusieurs vagues, a ciblé le port 27015, qui est bien connu pour son utilisation dans les jeux et dicte qu’il soit laissé ouvert à la fois pour UDP et TCP, de sorte que l’objectif était clairement de perturber les services de jeu.
L’attaque était « hyper volumétrique », atteignant 1,5 milliard de paquets par seconde, bien que Cloudflare affirme qu’elle était toujours atténuée.
Les serveurs de jeux sont des cibles populaires pour les attaques DDoS, car la perturbation peut être très dommageable et avoir un impact sur les éditeurs et l’ensemble des communautés de joueurs.
Divulgation DDoS record à venir
Le PDG de la société, Matthew Prince, a annoncé sur X à la fin de la semaine dernière qu’ils avaient atténué une attaque par déni de service distribué (DDoS) record culminant à 5,8 Tbit / s, qui a duré environ 45 secondes.
Le précédent record, également rapporté par Cloudflare, était une attaque DDoS de 5,6 Tbit / s attribuée à un botnet basé sur Mirai comprenant 13 000 appareils.
La dernière attaque en date était un test visant l’infrastructure de l’acteur pour évaluer la puissance de son canon DDoS.
Prince a laissé entendre qu’il y avait eu une attaque DDoS encore plus importante le même jour et a promis de partager plus de détails bientôt.