Il y a trois semaines, Cloudflare a stoppé la plus puissante attaque par déni de service distribué (DDoS) jamais observée. Mais cet exploit vient d’être pulvérisé par un nouveau record. Cette situation confirme une tendance dans le paysage des menaces sur le web : les attaques sont plus brèves, mais nettement plus violentes et communes.

Une attaque DDoS vise à rendre un service indisponible pour ses utilisateurs (que ce soit un site web, un serveur, un réseau ou une application), en surchargeant la cible avec un volume massif de requêtes ou de trafic, au point qu’elle ne puisse plus répondre normalement – un peu à la manière d’un embouteillage.

L’assaillant commande un grand nombre d’appareils compromis par un logiciel malveillant, qui forment un botnet. Une fois en place, le pirate envoie ses instructions et peut mener sa cyberattaque. Certaines attaques saturent la bande passante, elles sont dites volumétriques. Force est de constater que nous assistons à une banalisation de ce type d’assauts, qui sont de plus en plus massifs.

Lire aussi : ChatGPT devient l’agent double des hackers pour dérober vos données sensibles depuis Gmail

Les cyberattaques DDoS sont de plus en plus communes et violentes

Il y a encore un an, Cloudflare se félicitait d’avoir bloqué une cyberattaque massive de 5,6 térabits par seconde (Tb/s). Cet assaut d’une intensité sans précédent n’avait duré que 80 secondes. Nouveau record en mai 2025 : l’entreprise annonce avoir atténué une attaque DDoS de 45 secondes environ avec un pic de 7,3 Tb/s. Puis, il y a près de trois semaines, nouvel exploit : Cloudflare confirme avoir bloqué une attaque de 11,5 Tb/s.

S’ajoute désormais un énième record : le 22 septembre, l’entreprise a annoncé sur X (ex-Twitter) avoir bloqué de manière autonome l’attaque DDoS hypervolumétrique la plus puissante jamais observée. L’attaque n’a duré que 40 secondes, mais a atteint 22,2 Tb/s – soit deux fois plus que le record précédent. Nos confrères de Clubic ont comparé ces chiffres avec les données de l’ARCEP fin 2024 : le pic de cette attaque DDoS représente quatre fois le trafic Internet sortant cumulé des quatre principaux fournisseurs d’accès à Internet français, qui est estimé à 5,1 Tb/s.

Cloudflare just autonomously blocked hyper-volumetric DDoS attacks twice as large as anything seen on the Internet before — peaking at 22.2 Tbps & 10.6 Bpps. Can your mitigation provider’s scrubbing capacity handle that scale? pic.twitter.com/cSYiPZ8WA8

— Cloudflare (@Cloudflare) September 22, 2025

Ajoutons à ce constat que Cloudflare affirme bloquer 190 milliards de cybermenaces par jour (c’est-à-dire des tentatives malveillantes), mais qu’il déclare aussi avoir déjà neutralisé plus de 700 attaques dépassant le Tb/s ou le milliard de paquets par seconde en 2025 – ce qui revient à une moyenne de huit par jour. Ces données confirment une tendance : des attaques plus brèves, mais nettement plus violentes et communes – alors qu’autrefois, elles étaient plutôt rares.