Quelle différence entre DoS et DDoS ?

Un DoS (Denial of Service) est une attaque par déni de service provenant d'une source unique — un attaquant depuis sa machine. Un DDoS (Distributed Denial of Service) utilise des milliers ou millions de sources simultanées, typiquement via un botnet d'appareils compromis. Le DDoS est infiniment plus difficile à bloquer car on ne peut pas simplement filtrer une IP : il faut distinguer le trafic légitime du malveillant dans un flot massif. En 2026, 99% des attaques par déni de service sont distribuées. Le terme DoS est devenu rare dans le langage professionnel.

Quels sont les plus gros DDoS enregistrés ?

Les records s'enchaînent à mesure que les botnets grossissent. En octobre 2024, Cloudflare a bloqué une attaque de 5,6 Tbps (térabits par seconde) — record à cette date. En janvier 2025, Cloudflare a annoncé avoir mitigé une attaque de 5,6 Tbps provenant d'un botnet Mirai. Google et AWS ont également annoncé des records successifs autour de 400 millions de requêtes par seconde en HTTP/2 via la technique "Rapid Reset" en octobre 2023. Les attaques de plus d'un térabit par seconde sont devenues régulières en 2024-2026, principalement portées par des botnets d'objets connectés compromis.

Combien coûte une protection DDoS ?

Très variable selon la taille. Cloudflare propose une protection gratuite (plan Free) qui couvre des attaques modestes avec bonne efficacité — suffisant pour beaucoup de PME. Les plans payants démarrent à 20-25 $/mois (Pro) et montent à 200 $/mois (Business). Les offres Enterprise avec SLA et support dédié : à partir de quelques milliers à dizaines de milliers d'euros par an. Chez AWS Shield Advanced : 3 000 $/mois minimum plus coûts de bande passante. Pour les grands sites et services critiques (banque, e-commerce majeur), les budgets annuels anti-DDoS peuvent dépasser 100 000 € en intégrant protection réseau et applicative. Le ROI se calcule sur le coût d'une heure d'indisponibilité.

Un DDoS peut-il être préparatoire à autre chose ?

Oui, c'est un usage de plus en plus courant. Le DDoS peut servir de distraction pour masquer une autre attaque : pendant que les équipes IT sont mobilisées sur la saturation du site web, une intrusion plus discrète (vol de données, ransomware) se déroule ailleurs dans le SI. Il peut aussi être utilisé comme pression lors d'une extorsion : "payez ou nous continuons à vous bloquer" — technique parfois combinée au ransomware (triple extorsion). Enfin, certains acteurs étatiques utilisent le DDoS comme outil géopolitique : vagues massives contre sites gouvernementaux, médias, banques lors de tensions internationales. Les DDoS pro-russes NoName057(16) contre des sites français depuis 2022 en sont un exemple documenté.

DDoS : définition, types d'attaques et protection

Famille: Attaque par déni de service
Source: Distribuée — milliers à millions d'IP via botnet
Types principaux: Volumétrique · protocole · applicatif
Record public 2024-2025: 5,6 Tbps (Cloudflare, janvier 2025)
Protection de référence: CDN + scrubbing center + rate limiting

01 — DéfinitionQu'est-ce qu'un DDoS ?

Une attaque DDoS (Distributed Denial of Service) est une tentative malveillante de rendre un service en ligne indisponible en le saturant avec un volume massif de trafic provenant de nombreuses sources simultanées. À la différence d'une attaque DoS classique menée depuis une seule machine, le DDoS exploite un botnet — un réseau de milliers voire millions d'appareils compromis (ordinateurs, serveurs, caméras IP, routeurs domestiques, objets connectés) qui envoient simultanément des requêtes vers la cible.

L'objectif : épuiser les ressources du service cible jusqu'à ce qu'il ne puisse plus traiter les requêtes légitimes. Les ressources ciblées varient selon le type d'attaque :

Bande passante du lien Internet — saturée par le volume brut de données.
Capacité de traitement des équipements réseau (pare-feu, load balancer, routeurs).
Capacité applicative — connexions simultanées, requêtes HTTP, transactions base de données.
Ressources système — CPU, mémoire, descripteurs de fichiers.

Le DDoS est devenu l'une des menaces les plus courantes d'Internet. Les observateurs majeurs (Cloudflare, Akamai, NETSCOUT, Imperva) rapportent plusieurs millions d'attaques par an dans le monde, dont des dizaines de milliers significatives. La barre technique est basse : des services de « DDoS-as-a-service » permettent de louer une capacité d'attaque pour quelques dollars à quelques centaines de dollars.

Un DDoS ne pirate pas un système — il le noie. L'attaquant n'a aucun accès aux données, mais il rend le service invisible à ses utilisateurs légitimes. Pour beaucoup d'entreprises dont le business est 100% en ligne, une heure d'indisponibilité se chiffre en dizaines voire centaines de milliers d'euros.

02 — TypesLes trois grandes familles d'attaques

1. Attaques volumétriques (saturation de bande passante)

Les plus spectaculaires. L'objectif est de saturer la bande passante du lien Internet de la cible en envoyant un volume massif de paquets. Les attaques modernes dépassent couramment le térabit par seconde — au-delà de ce que les liens Internet standard peuvent absorber.

Techniques classiques :

UDP flood : envoi massif de paquets UDP vers des ports aléatoires, qui forcent le serveur à rechercher une application inexistante puis répondre ICMP.
ICMP flood : saturation par paquets ping.
Amplification DNS, NTP, Memcached : envoi de petites requêtes avec adresse source falsifiée vers des serveurs qui répondent avec de gros volumes. Un attaquant peut amplifier son trafic par un facteur 50 à 50 000. L'attaque Memcached de GitHub en 2018 (1,35 Tbps) a popularisé cette technique.
DNS water torture : requêtes DNS pour des sous-domaines aléatoires, saturant les résolveurs.

2. Attaques de protocole (épuisement d'état)

Ciblent les équipements intermédiaires (pare-feu, load balancers, serveurs web) en exploitant des faiblesses dans leur gestion des connexions. Le volume en gigabits peut être modéré mais l'impact énorme car chaque connexion consomme des ressources.

SYN flood : envoi massif de paquets SYN TCP sans jamais compléter la connexion. Chaque SYN reçu réserve une entrée dans la table de connexions, qui finit par saturer.
ACK flood : envoi de paquets ACK qui forcent le serveur à vérifier s'ils correspondent à des connexions actives.
Slowloris : ouvre de nombreuses connexions HTTP et les maintient actives avec des requêtes incomplètes, épuisant les pools de connexions.
HTTP/2 Rapid Reset (CVE-2023-44487) : vulnérabilité HTTP/2 exploitée massivement en août-octobre 2023, permettant d'envoyer des millions de requêtes par seconde en ouvrant puis annulant immédiatement les streams. Google a annoncé avoir bloqué 398 millions rps avec cette technique.

3. Attaques applicatives (couche 7)

Les plus subtiles et difficiles à détecter. Ciblent l'application elle-même avec des requêtes qui ressemblent à du trafic légitime mais consomment disproportionnellement de ressources côté serveur : requêtes de recherche complexes, calculs lourds, appels d'API coûteux en base de données.

HTTP flood : requêtes HTTP massives sur des pages réelles du site.
Recursive GET : téléchargement répété de gros fichiers.
Attaques sur les fonctions de recherche : requêtes qui déclenchent des calculs backend coûteux.
Low and slow : trafic modéré mais ciblé sur les points faibles de l'application.
Attaques contre les APIs : requêtes vers des endpoints non protégés par rate limiting adéquat.

Ces attaques se distinguent mal du trafic normal et passent souvent sous le radar des protections volumétriques classiques. Elles demandent une analyse comportementale avancée.

Attaques hybrides et multi-vecteurs

Les attaquants sophistiqués combinent plusieurs vecteurs simultanément : un flood UDP massif pour saturer la bande passante, tout en lançant un HTTP flood ciblé sur l'application, plus un SYN flood sur le load balancer. Cette approche multi-vecteurs maximise l'efficacité et complique la défense.

03 — MécanismesComment une attaque se construit

Le rôle central du botnet

Presque toutes les attaques DDoS modernes s'appuient sur un botnet : un réseau d'appareils compromis contrôlés à distance. Les botnets DDoS sont composés principalement de :

Objets connectés (IoT) — caméras IP, enregistreurs vidéo (DVR), routeurs domestiques, imprimantes, téléviseurs connectés. Souvent peu ou pas sécurisés, avec mots de passe par défaut jamais changés.
Serveurs cloud compromis — VPS mal configurés, hébergements partagés piratés.
Ordinateurs infectés par des malwares.
Appareils Android rootés — moins courant mais en croissance.

Les familles de malwares DDoS

Quelques familles historiques et actives :

Mirai (2016+) : référence absolue, code publié en septembre 2016, nombreuses variantes depuis. Cible principalement les objets connectés. Responsable de l'attaque contre Dyn (octobre 2016) qui a paralysé une partie d'Internet US.
Mozi : variante basée sur Mirai, active jusqu'à ce qu'une saisie de l'auteur présumé par les autorités chinoises ne neutralise l'infrastructure fin 2021.
Gafgyt (ou Bashlite) : autre famille active visant IoT.
dark.IoT, RapperBot, Muhstik : botnets plus récents en activité 2023-2026.

L'amplification : le multiplicateur de force

L'amplification est une technique qui permet de multiplier l'impact d'une attaque par un facteur important. L'attaquant envoie de petites requêtes avec une adresse source falsifiée (celle de la victime) vers des serveurs tiers vulnérables qui répondent avec de gros volumes dirigés vers la victime.

Facteurs d'amplification historiques :

DNS : x28 à x54.
NTP : x556.
Memcached : jusqu'à x51 000 (records GitHub 2018, Arbor 2018).
CLDAP, SSDP, SNMP : facteurs d'amplification variés exploités régulièrement.

DDoS-as-a-service (booter/stresser)

Depuis plus de 10 ans, des services commerciaux criminels vendent des capacités DDoS. Les « booters » ou « stressers » permettent de lancer des attaques contre n'importe quelle cible pour quelques dollars à quelques centaines de dollars :

5-20 $ pour quelques minutes d'attaque basique.
50-500 $ pour des campagnes prolongées.
Offres premium avec techniques avancées à plusieurs milliers de dollars.

Plusieurs opérations policières internationales (Operation PowerOFF en 2018, 2022 et 2024) ont démantelé des dizaines de ces services et procédé à des arrestations. De nouveaux services réapparaissent régulièrement.

04 — MotivationsQui attaque et pourquoi

Hacktivisme politique

Très répandu depuis 2022 avec les tensions géopolitiques internationales :

NoName057(16) : collectif pro-russe très actif contre des sites occidentaux depuis le début de la guerre en Ukraine. Cible régulièrement des institutions françaises, des banques, des médias. Utilise DDoSia, un botnet volontaire où des sympathisants installent un outil sur leur machine.
Anonymous Sudan : actif 2023-2025, responsable d'attaques majeures contre Microsoft, X (Twitter), OpenAI. Démantelé début 2025 par le FBI et Europol.
Killnet : autre collectif russophone actif 2022-2024.
Cyber Av3ngers : acteurs iraniens, actions contre Israël et infrastructures occidentales.

Extorsion (ransom DDoS)

Modèle criminel : l'attaquant envoie un email exigeant un paiement en cryptomonnaie sous menace d'attaque DDoS prolongée. Souvent accompagné d'une « démonstration » de quelques minutes d'attaque. Cible : entreprises dont le chiffre d'affaires dépend fortement de leur présence en ligne — e-commerce, casinos en ligne, services financiers, bookmakers. Les rançons demandées vont de 0,5 à plusieurs dizaines de bitcoins.

Attaques de diversion

Un DDoS massif monopolise l'attention des équipes sécurité pendant que l'attaquant mène une action plus discrète : intrusion, vol de données, déploiement de ransomware. Technique de plus en plus documentée — le DDoS visible devient le rideau de fumée d'une attaque plus grave.

Concurrence déloyale

Des DDoS sont lancés contre des concurrents pendant des périodes critiques : lancement produit, soldes, événements sportifs, campagnes marketing. L'objectif est de capter les clients pendant la période d'indisponibilité du concurrent. Difficile à documenter juridiquement mais phénomène reconnu dans plusieurs secteurs (jeux en ligne, e-commerce).

Sabotage étatique

Utilisation des DDoS comme arme géopolitique par des États contre l'infrastructure critique d'adversaires — sites gouvernementaux, médias, banques, hôpitaux. Les incidents contre les sites estoniens en 2007 (contexte tensions avec la Russie) sont un cas d'école. Depuis 2022, les vagues d'attaques contre les sites ukrainiens, puis par ricochet contre les pays soutenant l'Ukraine, illustrent cette pratique.

Jeux en ligne et streaming

Secteur historiquement ciblé. Joueurs mécontents attaquant des serveurs de jeux, compétiteurs visant d'autres streamers, enfants et adolescents lançant des attaques via des services booter. La majorité des arrestations liées au DDoS concernent ce contexte.

05 — CasAttaques emblématiques récentes

Cloudflare 5,6 Tbps (janvier 2025)

Record public à cette date. Attaque de 5,6 térabits par seconde lancée par un botnet Mirai variant composé d'environ 13 000 appareils. Cloudflare a mitigé l'attaque sans impact sur les services de ses clients. L'incident illustre la capacité des botnets modernes à dépasser des volumes jugés inatteignables quelques années plus tôt.

Google / Cloudflare / AWS — Rapid Reset (octobre 2023)

Divulgation coordonnée de la vulnérabilité HTTP/2 Rapid Reset (CVE-2023-44487). Les trois acteurs ont annoncé avoir chacun mitigé des attaques d'ampleur record — Google revendique 398 millions de requêtes par seconde, Cloudflare 201 M rps, AWS 155 M rps. La vulnérabilité a été corrigée dans tous les grands serveurs HTTP/2. Preuve que de nouvelles techniques peuvent émerger et demander des corrections coordonnées d'urgence.

Microsoft Outlook, Teams, Azure (juin 2023)

Anonymous Sudan a mené des attaques prolongées contre les services cloud Microsoft, provoquant des indisponibilités partielles d'Outlook, Teams, OneDrive et Azure Portal sur plusieurs semaines. Microsoft a confirmé par la suite avoir été la cible d'attaques de couche 7 sophistiquées, révélant que même les plus grands opérateurs cloud peuvent être impactés.

Sites gouvernementaux français (2022-2026)

Vagues répétées attribuées à NoName057(16) contre sites du gouvernement, ministères, collectivités, banques et grandes entreprises françaises. Les attaques restent généralement de courte durée mais sont très médiatisées. Le CERT-FR publie régulièrement des bulletins sur ces campagnes.

Hôpitaux et secteur santé

Les hôpitaux sont devenus des cibles récurrentes. Plusieurs établissements français (Corbeil-Essonnes, Versailles, Armentières) ont subi des attaques combinant DDoS et ransomware. Le DDoS visible masquait souvent une compromission plus grave en parallèle.

GitHub Memcached (février 2018)

Historique. Attaque de 1,35 Tbps contre GitHub, alors record absolu, exploitant l'amplification Memcached (facteur d'amplification de 51 000). L'attaque a été mitigée en quelques minutes par Akamai Prolexic. L'incident a mené à une campagne mondiale de désactivation de Memcached exposé publiquement sur Internet.

Dyn DNS (octobre 2016)

Attaque du botnet Mirai contre Dyn, fournisseur DNS majeur. Indirectement a rendu inaccessibles pendant plusieurs heures Twitter, GitHub, Netflix, Reddit, Airbnb, PayPal et des dizaines d'autres services. Cas emblématique montrant comment une attaque contre un prestataire critique peut impacter une part substantielle d'Internet.

06 — ProtectionStratégies de défense

1. Utiliser un CDN et une protection cloud

Les CDN modernes (Cloudflare, Akamai, AWS CloudFront, Fastly, Google Cloud CDN) absorbent naturellement les attaques volumétriques grâce à leur capacité mondiale.
Mettre tous les services web exposés derrière un CDN avec protection DDoS intégrée.
Cacher l'adresse IP d'origine des serveurs — ne jamais la publier, bloquer tout trafic non-CDN au niveau pare-feu.
Coût abordable : Cloudflare Free couvre déjà beaucoup d'usages, les offres Pro démarrent à 20-25 $/mois.

2. Scrubbing center pour attaques massives

Pour les services critiques, contrat avec un centre de nettoyage (« scrubbing ») qui filtre le trafic avant qu'il n'atteigne votre infrastructure.
Acteurs : Arbor Networks/NETSCOUT, Radware, Akamai Prolexic, Cloudflare Magic Transit, Neustar.
Modes always-on (trafic transite en permanence) ou on-demand (activation en cas d'attaque).
Indispensable pour les ISP, opérateurs télécoms, grands sites financiers.

3. Rate limiting et filtrage applicatif

WAF moderne avec détection comportementale (Cloudflare, Akamai, Imperva, F5, AWS WAF, Azure Front Door).
Rate limiting par IP, par session, par endpoint sensible (login, recherche, API).
CAPTCHA adaptatif déclenché sur critères de suspicion.
Empreintes navigateur pour distinguer bots et humains.
Validation JavaScript pour filtrer les bots basiques.

4. Architecture résiliente

Surdimensionnement raisonnable des capacités (absorbe les attaques modérées sans dégradation).
Multi-région pour éviter qu'une seule région saturée bloque tout le service.
Anycast réseau pour diluer la charge géographiquement.
Séparation des services critiques (API, paiement) sur des infrastructures distinctes.
Plan de dégradation gracieuse : désactiver des fonctionnalités non critiques pour préserver le cœur de service.

5. Durcissement réseau et applicatif

Désactiver les services inutiles (amplification risk : éviter les serveurs NTP/DNS ouverts aux requêtes récursives, Memcached exposé à Internet).
Configurer correctement les timeouts TCP pour résister aux attaques slowloris.
Optimiser les pools de connexions HTTP.
Protéger les APIs par des quotas et authentification.
Limiter la taille et complexité des requêtes acceptées.

6. Préparation et réponse

Plan de réponse DDoS documenté et testé, incluant contacts d'urgence CDN, ISP, hébergeur.
Runbook avec actions automatisées (activation mode sous attaque, blocage pays, dégradation des fonctions).
Relation préétablie avec un fournisseur de protection DDoS (négocier un contrat avant l'incident).
Exercices réguliers : test de la capacité de charge, simulation d'attaque avec un partenaire.
Communication de crise prête : message utilisateur en cas d'indisponibilité, canaux alternatifs.
Monitoring fin des métriques réseau et applicatives pour détecter les attaques tôt.

7. Payer la rançon ?

Principe général : non. Payer finance les attaquants et signale que la victime est payeuse, invitant de futures attaques.
Les demandes de ransom DDoS sont souvent bluffs — beaucoup d'attaquants menacent sans capacité réelle d'attaque prolongée.
Mettre en place une protection DDoS robuste coûte généralement moins cher qu'une rançon et protège durablement.
Si l'attaque est réelle et persistante, contacter CERT-FR et ISP pour coordination avant tout.

07 — ActeursPaysage des solutions

Leaders protection cloud

Cloudflare : offre mondiale la plus large, plan Free utilisable, rapport qualité/prix imbattable. Magic Transit pour protection réseau de niveau opérateur.
Akamai (Prolexic, App & API Protector) : historique, forte présence grandes entreprises et secteur financier.
AWS Shield : Shield Standard gratuit, Shield Advanced à partir de 3 000 $/mois.
Azure DDoS Protection : intégré aux services Azure.
Google Cloud Armor : protection intégrée à GCP.
Fastly : CDN et sécurité, fort sur les médias et e-commerce.

Acteurs spécialisés scrubbing

NETSCOUT Arbor : leader historique, technologie utilisée par de nombreux ISP.
Radware DefensePro : solutions matérielles et cloud.
Neustar UltraDDoS Protect (devenu partie de Vercara en 2023).
Imperva : protection WAF + DDoS intégrée.
F5 Silverline (maintenant F5 Distributed Cloud DDoS) : protection cloud F5.

Acteurs français et européens

OVHcloud : anti-DDoS gratuit inclus sur l'ensemble de son offre depuis 2013, capacité totale dépassant 17 Tbps. A historiquement servi de cas d'école pour mitiger les plus grandes attaques Mirai.
Orange Cyberdefense : services managés incluant protection DDoS.
Advens, Thales : intégration de solutions pour grands comptes.
Scaleway : protection DDoS incluse pour les clients cloud français.

Critères de sélection

Capacité réseau totale (plusieurs Tbps pour absorber les attaques actuelles).
Présence géographique (POP proches de vos utilisateurs).
Couverture L3/L4/L7 — protection volumétrique et applicative.
Intégration à votre stack existant (DNS, CDN, cloud provider).
Temps de mitigation (SLA sur la détection et la mitigation).
Support 24/7 et procédures d'escalade.
Reporting et visibilité post-incident.
Conformité (RGPD, souveraineté si pertinent).

08 — FAQQuestions fréquentes

Mon site subit un DDoS, que faire immédiatement ?

Actions par ordre : (1) confirmer que c'est bien un DDoS et non une panne (via logs, métriques trafic, supervision), (2) activer le mode « sous attaque » si vous avez un CDN (Cloudflare I'm under attack, équivalents Akamai/AWS), (3) contacter votre hébergeur ou ISP qui peut mettre en place un filtrage amont, (4) si pas de protection : inscrire en urgence sur une offre Cloudflare Pro ou équivalent, changer les DNS pour faire transiter le trafic par le CDN (effet en 5 à 30 minutes), (5) notifier CERT-FR si l'attaque est significative, (6) préparer une communication utilisateur. Documenter tout pour retour d'expérience.

Un pare-feu classique protège-t-il du DDoS ?

Très partiellement. Les pare-feu d'entreprise classiques sont conçus pour filtrer au niveau applications et connexions identifiées. Face à un DDoS de plusieurs dizaines ou centaines de gigabits, le pare-feu lui-même devient le goulot d'étranglement et sature avant de pouvoir filtrer. La protection DDoS moderne s'effectue en amont du pare-feu, chez un fournisseur cloud qui dispose de plusieurs térabits de capacité, et qui élimine le trafic malveillant avant qu'il n'atteigne votre infrastructure.

Les DDoS ciblent-ils les PME ?

De plus en plus. Les services booter rendent l'attaque abordable. Motivations fréquentes contre les PME : extorsion (demande de rançon modérée), concurrence déloyale, rancœur personnelle (ex-employé, client mécontent), hacktivisme si l'entreprise est visible. Protection recommandée pour PME : mettre le site web derrière Cloudflare (plan Free ou Pro selon sensibilité), garantir que l'IP origine n'est pas publiquement connue, configurer les services tiers (email, extranet) sur infrastructures distinctes.

Comment reconnaître un DDoS d'une panne ?

Plusieurs signaux : pic brutal de trafic entrant sans explication métier (promotion, viralité), distribution géographique anormale (trafic de régions inhabituelles), saturation sur un point précis (CPU, bande passante, pool de connexions), patterns non-humains (vitesse, régularité), messages d'erreur cohérents avec une saturation plutôt qu'un bug. Les outils de supervision (Grafana, Datadog, Azure Monitor) doivent remonter le trafic par source et par type pour faciliter le diagnostic.

Le DDoS peut-il viser les serveurs DNS ou les emails ?

Oui, les services critiques au-delà du web sont des cibles potentielles. Un DDoS contre votre DNS paralyse tous vos services en ligne (personne ne peut résoudre votre domaine). Un DDoS contre vos serveurs mail bloque votre communication. Un DDoS contre vos APIs paralyse vos applications mobiles et intégrations partenaires. La protection doit couvrir l'ensemble des services exposés, pas seulement le site web. Beaucoup d'offres cloud (Cloudflare DNS, Google Cloud DNS, AWS Route 53) intègrent une protection DDoS native sur le DNS.