Définition DDoS : types, prévention et protection en 2025

Définition d'une attaque DDoS

Qu'est-ce qu'une attaque par déni de service distribué (DDoS) ?

Une attaque par déni de service distribué, ou DDoS (Distributed Denial of Service), est une cyberattaque visant à rendre un service en ligne inaccessible pour ses utilisateurs légitimes. Cela peut concerner un site web, un serveur, une application ou toute autre ressource connectée à Internet.

L’attaque fonctionne en saturant les ressources de la cible (bande passante, processeur, mémoire) à l’aide d’un trafic en masse, malveillant et inutile, rendant le service lent, instable ou complètement hors ligne. Ce trafic est généré par de multiples sources, ce qui rend la détection et la mitigation complexes.

Les motivations derrière ces attaques sont variées : extorsion financière, sabotage concurrentiel, revendications politiques ou idéologiques, ou encore distraction pour couvrir d’autres cyberattaques telles que le vol de données sensibles.

Différence entre une attaque DoS et une attaque DDoS

Bien que similaires dans leur objectif, les attaques DoS et DDoS diffèrent considérablement dans leur méthode :

• Attaque DoS : attaque par déni de service (Denial of Service) émise depuis une seule machine, elle surcharge les ressources du service en envoyant un flux en masse de requêtes. Facile à détecter, elle peut généralement être bloquée en identifiant la source unique.
• Attaque DDoS : provient de centaines ou milliers de machines compromises, appelées bots, agissant de manière coordonnée. Cette structure distribuée rend l’attaque beaucoup plus puissante et difficile à contenir. Les adresses IP sont souvent usurpées ou légitimes, ce qui complique la filtration.

Comment fonctionne une attaque DDoS ? Explication simple.

Le mécanisme d’une attaque par déni de service distribué repose sur une orchestration méthodique :

1. Préparation de l’attaque :

   • L’attaquant analyse la cible, identifie ses points faibles, puis forme un botnet, un réseau de machines infectées, souvent à l’insu de leurs propriétaires.
   • Ces bots incluent ordinateurs, smartphones, serveurs cloud et appareils IoT (caméras, routeurs, etc.). Le marché noir permet également la location de botnets ou de stressers, rendant l’attaque accessible à tous.

2. Déclenchement de l’attaque :

   • Le botnet est activé pour inonder la cible de requêtes, la submergeant rapidement.
   • Les attaques peuvent prendre diverses formes : requêtes légitimes en grande quantité, paquets malformés, saturation du TCP avec des SYN Flood, ou encore attaques ciblant la couche application comme HTTP Flood (toutes ces notions seront détaillées dans la suite de l'article).
   • Le service, débordé, devient inaccessible pour les utilisateurs légitimes.

En combinant plusieurs vecteurs simultanés (réseau, application), les attaques DDoS modernes sont plus redoutables que jamais, exigeant des protections spécialisées.

Types d'attaques DDoS

Les attaques par déni de service distribué ne se résument pas à une seule méthode. Elles prennent des formes variées, ciblant différentes couches de l’infrastructure réseau ou applicative, avec pour but final : rendre un service indisponible. Voici les principales catégories à connaître.

Attaques volumétriques : inondation du réseau

Ces attaques visent à saturer la bande passante disponible de la cible. Le trafic légitime ne peut plus passer, et l’ensemble du service devient inaccessible. Elles sont mesurées en Gbps (gigabits par seconde).

UDP Flood

L’attaquant envoie une quantité massive de paquets UDP vers des ports aléatoires. Comme ces ports ne sont associés à aucune application, la cible répond par des messages d’erreur, épuisant ses ressources et rendant le système instable.

ICMP Flood (Ping of Death)

Cette technique abuse du protocole ICMP utilisé pour envoyer des messages de diagnostic. Le système est submergé de requêtes, ce qui le force à répondre en boucle, saturant sa capacité de traitement. Une variante, appelée Smurf Attack, amplifie l’impact en sollicitant des réseaux entiers pour qu’ils renvoient leurs réponses vers la cible.

NTP Amplification

L’attaquant exploite le protocole de synchronisation de l’heure (NTP). En envoyant une petite requête usurpée à un serveur NTP public, celui-ci répond avec un message bien plus volumineux, multipliant l’effet de l’attaque. Cela permet de submerger la cible sans gros moyens techniques.

Attaques au niveau des protocoles : épuisement des ressources serveur

Ces attaques ciblent les couches réseau (3) et transport (4) du modèle OSI. Elles visent directement les protocoles utilisés pour établir les connexions, comme TCP.

SYN Flood

Elle consiste à envoyer un grand nombre de demandes de connexion incomplètes. Le serveur, croyant qu’il s’agit de véritables utilisateurs, réserve des ressources pour chaque demande, mais ne reçoit jamais la confirmation finale. Résultat : ses files d’attente sont saturées, l’empêchant de répondre aux vraies connexions.

TCP Flood

Ce type d’attaque envoie des demandes de connexion massives pour saturer la bande passante ou les files d’attente du serveur. En 2022, ce type d'attaque représentait à lui seul plus de 60 % des attaques DDoS recensées.

Attaques sur la couche application (couche 7) : ciblage des applications

Les attaques de couche 7 sont les plus sophistiquées. Elles ciblent directement les applications en imitant le comportement normal d’un utilisateur, ce qui les rend très difficiles à détecter.

HTTP Flood

L’attaquant envoie un grand nombre de requêtes Internet HTTP. Chaque requête mobilise des ressources serveur importantes, rendant le site lent voire indisponible.

Slowloris

Cette attaque maintient artificiellement ouvertes de nombreuses connexions Internet HTTP. L’attaquant envoie les requêtes lentement et partiellement, empêchant le serveur de les clôturer. À terme, le serveur ne peut plus accepter de nouvelles connexions, paralysant tout le site.

Attaques des applications spécifiques (ex: jeux en ligne)

Elles ciblent des fonctions précises, comme les serveurs de jeux ou les services VoIP :

• DNS Query Flood : submerge les serveurs DNS avec des requêtes multiples, souvent pour des domaines inexistants. Cela empêche la résolution des adresses IP, rendant les sites inaccessibles.
• SIP Flood : attaque les serveurs de téléphonie IP (VoIP), bloquant les appels et perturbant les communications d’entreprise.
• Jeux en ligne : les serveurs de jeux, comme ceux de Minecraft, sont des cibles privilégiées. Une attaque par déni de service distribué peut provoquer des lags, déconnexions et pertes de revenus. En août 2024, le serveur Minemen Club a subi une attaque record à 3,15 milliards de paquets par seconde, démontrant la puissance des botnets modernes comme Mirai.

Conséquences d'une attaque DDoS

Une attaque DDoS ne se limite pas à un simple désagrément technique. Elle peut avoir des répercussions majeures sur l’activité, la réputation et la conformité réglementaire d’une organisation. Ces conséquences sont d’autant plus graves que les attaques par déni de service distribué sont de plus en plus fréquentes, puissantes et sophistiquées.

Impact sur la disponibilité du service

L’objectif premier d’une attaque DDoS est de rendre un service numérique indisponible. En submergeant un site web, un serveur ou une application de requêtes malveillantes, l’attaquant sature les ressources (bande passante, mémoire, processeur), empêchant les utilisateurs légitimes d’accéder au service.

Cette indisponibilité peut durer quelques minutes à plusieurs jours, voire des semaines. En 2024, par exemple, une attaque contre le Réseau interministériel de l’État a paralysé plusieurs ministères pendant plusieurs jours. De tels incidents montrent qu’un système même robuste peut être mis à genoux par une attaque bien orchestrée.

Perte financière

Les conséquences économiques sont souvent immédiates : interruption de l’activité en ligne, perte de chiffre d’affaires, mobilisation de renforts techniques, frais liés aux solutions de protection.

Une étude estime le coût moyen d’une attaque DDoS à 270 000 dollars par incident, soit près de 6 000 dollars par minute d’indisponibilité. Pour les grandes entreprises, cela peut représenter plusieurs millions d’euros. En 2021, une attaque DDoS a coûté 12 millions de dollars à un fournisseur VoIP. Même les PME ne sont pas épargnées : chaque minute compte quand les clients ne peuvent plus accéder aux services.

Dans les environnements cloud, le coût peut être indirectement amplifié : pour tenter de maintenir la qualité de service, le système peut automatiquement allouer plus de ressources… ce qui augmente la facture.

Dommages à la réputation

Lorsqu’un site devient inaccessible, les utilisateurs s’en rendent compte immédiatement. Si cela se répète, ils peuvent perdre confiance et se tourner vers un concurrent. La fiabilité perçue de l'organisation est mise à mal, surtout dans des secteurs comme la finance, le commerce en ligne ou les services publics.

Les conséquences ne se limitent pas à l’image externe : en interne, les collaborateurs peuvent également être démoralisés, et l’entreprise peut peiner à attirer de nouveaux talents. Les réseaux sociaux et la presse amplifient rapidement ces incidents, transformant un problème technique en crise de communication.

Risques juridiques et réglementaires (RGPD)

Une attaque DDoS est souvent utilisée comme écran de fumée pour masquer des attaques plus graves, comme le vol de données personnelles. Dans ce cas, les implications juridiques sont lourdes.

Le RGPD exige que toute atteinte à la confidentialité, l’intégrité ou la disponibilité des données soit signalée aux autorités administratives compétentes comme la CNIL. Si des informations sensibles sont compromises, l’organisation peut faire l’objet de lourdes sanctions et amendes.

En France, les attaques DDoS sont considérées comme des infractions pénales, réprimées par les articles 323-1 et suivants du Code pénal. Les entreprises victimes doivent préserver les preuves numériques pour porter plainte et permettre l’intervention des autorités compétentes.

Enfin, les opérateurs de communication et certains services essentiels ont l’obligation de déclarer les incidents aux autorités. Une absence de préparation peut donc également engager leur responsabilité légale.

Identifier une attaque DDoS

Une attaque DDoS peut survenir à tout moment et se confondre avec une panne classique ou un pic de trafic légitime. Pourtant, détecter rapidement une telle attaque est essentiel pour minimiser les dommages. La nature distribuée du trafic malveillant, généré par un réseau de machines compromises (botnet), rend cette tâche plus complexe qu’une attaque DoS simple.

Symptômes d'une attaque DDoS

Les signes avant-coureurs peuvent être subtils, mais certains indicateurs permettent de détecter une attaque en cours :

• Lenteur anormale ou interruptions fréquentes : un site ou un service qui devient subitement inaccessible sans raison apparente peut indiquer une saturation des ressources (CPU, mémoire, bande passante).
• Pic de trafic soudain : une augmentation brutale du trafic sans cause identifiée doit alerter.
• Afflux de requêtes depuis les mêmes zones géographiques ou adresses IP : les attaques DDoS sont souvent orchestrées depuis des machines situées dans des régions ciblées ou utilisant des adresses IP usurpées.
• Concentration du trafic sur une page spécifique : un afflux en masse vers une même page peut révéler une attaque ciblée.
• Anomalies dans les journaux et erreurs serveur : explosion de connexions, codes HTTP inhabituels (503) ou erreurs d'accès.

Techniques et outils de détection

La détection efficace d’une attaque DDoS repose sur la combinaison de plusieurs méthodes complémentaires.

Surveillance réseau et performance système

• Monitoring en temps réel : analyse du trafic Internet entrant pour repérer les anomalies. Les outils modernes utilisent l’intelligence artificielle pour identifier les écarts par rapport au trafic habituel.
• Profil de référence et seuils d’alerte : connaître le comportement normal du trafic permet de configurer des alertes précoces.
• Commandes système : netstat, par exemple, peut repérer des connexions anormales depuis une même adresse IP (typiquement SYN Flood).
• Journaux serveur et SIEM : l’analyse des logs (via des outils comme ELK) permet de repérer des motifs d’attaque récurrents.

Solutions de sécurité spécialisées

• Pare-feux bien configurés : première barrière de défense, ils filtrent par port, protocole ou adresse IP, mais restent insuffisants seuls.
• IDS/IPS : détectent les modèles de trafic malveillant et peuvent bloquer automatiquement les attaques.
• Anti-DDoS dédiés : matériels ou services spécialisés filtrant les paquets malveillants via des listes noires/blanches, règles comportementales ou géolocalisation.
• Services cloud (DMaaS) : plateformes capables d’absorber le trafic anormal via une infrastructure distribuée mondiale.
• WAF (Web Application Firewall) : filtre les requêtes HTTP suspectes, particulièrement utile pour les attaques de couche 7.
• Load balancers intelligents : répartissent la charge et peuvent filtrer les anomalies en amont.

Outils open source

Des outils comme Fail2Ban, mod_evasive, FastNetMon, HAPROXY ou DDoS Deflate permettent de bloquer automatiquement les IP suspectes, limiter les connexions ou répartir la charge.

Des technologies comme EDR, XDR ou NDR combinent IA et surveillance comportementale pour automatiser la détection et la réponse aux attaques.

Prévention et protection contre les attaques DDoS

La prévention est essentielle pour réduire la surface d’attaque et anticiper les incidents. Cela repose sur des bonnes pratiques organisationnelles et des solutions techniques adaptées.

Mesures préventives : bonnes pratiques de sécurité

• Mise à jour régulière des systèmes et logiciels : corrige les vulnérabilités exploitables.
• Pare-feux configurés rigoureusement : limitation des connexions, blocage de ports inutiles, surveillance par ACL.
• Mots de passe forts et uniques : protègent les accès sensibles aux équipements.
• Sécurisation des accès réseau et réseau privé virtuel : dissimuler l’adresse IP publique, désactiver les services inutiles, restreindre l’accès aux interfaces sensibles.
• Hygiène numérique : sensibilisation du personnel, restriction des privilèges, cloisonnement des réseaux.

Solutions de protection contre les attaques DDoS

• Mitigation via services cloud (DMaaS) : absorbent le trafic malveillant grâce à une architecture mondiale.
• Pare-feu applicatif Web (WAF) : filtrent les requêtes Internet HTTP malveillantes, notamment celles ciblant les applications.
• CDN (Content Delivery Network) : répartissent les contenus sur plusieurs serveurs pour réduire la charge et la vulnérabilité.
• Services de protection spécialisés : combinent filtrage avancé, intelligence comportementale et surveillance continue.

Ces solutions doivent être intégrées dans une stratégie de défense multicouche, ajustée aux besoins spécifiques de chaque organisation.

Exemples d'attaques DDoS notables en 2025

En 2025, les attaques DDoS se sont multipliées avec une fréquence et une intensité sans précédent. Voici quelques exemples marquants.

Attaques record et hyper-volumétriques

• Mai 2025 : Blocage de la plus grande attaque jamais enregistrée, atteignant 7,3 Tb/s et générant 37,4 To de données en 45 secondes. Elle ciblait un fournisseur d’hébergement.
• Avril 2025 : le botnet Eleven11bot lance une attaque de 6,5 Tb/s issue de dizaines de milliers de webcams IoT compromises.
• Début 2025 : Imperva signale plusieurs attaques de plus de 5 millions de requêtes par seconde (RPS).

Attaques ciblées sur des secteurs sensibles

• T1 2025 : Cloudflare repousse 20,5 millions d’attaques, dont 6,6 millions contre son infrastructure réseau.
• 2024-2025 : Le Réseau Interministériel de l’État (France) subit des attaques prolongées, perturbant l’activité des ministères.
• Wax Conférence 2025 : une attaque sur des pages de paiement contourne un WAF mal configuré, saturant les serveurs applicatifs.

Rôle de l’IoT et menaces géopolitiques

• Septembre 2024 : le botnet Raptor Train, lié à un groupe soutenu par la Chine, est démantelé. Il visait des infrastructures sensibles via des appareils IoT compromis.
• JOP 2024 : durant les Jeux Olympiques de Paris, des attaques DDoS ont été détectées, sans causer de dommages majeurs.

Tendances générales et implications

• Hausse des attaques "low & slow" : attaques longues et discrètes, plus difficiles à détecter.
• Usage stratégique des DDoS : utilisées comme écran de fumée pour d'autres cyberattaques (vol de données, ransomwares).
• Explosion du DDoS-as-a-Service : ces services rendent les attaques accessibles aux cybercriminels sans compétence technique.

Le logiciel RGPD du DPO

Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.

Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.

En savoir plus