Rapport Cloudflare du troisième trimestre 2025 consacré aux menaces DDoS (incluant notamment Aisuru, le nec plus ultra en matière de botnets à l'heure actuelle)

Bienvenue dans la 23e édition du rapport trimestriel Cloudflare consacré aux menaces DDoS. Ce rapport vous propose une analyse complète du panorama évolutif des menaces liées aux attaques par déni de service distribué (Distributed Denial of Service, DDoS), sur la base des données issues du réseau Cloudflare. Cette édition se concentrera sur le troisième trimestre 2025.

Le troisième trimestre 2025 a été assombri par les méfaits du botnet Aisuru et de sa gigantesque armée d'environ 1 à 4 millions d'hôtes infectés à travers le monde. Les attaques DDoS hyper-volumétriques lancées par Aisuru ont régulièrement dépassé le térabit par seconde (Tb/s) et le milliard de paquets par seconde (p/s). Le nombre de ces attaques a bondi de 54 % par rapport au trimestre précédent, avec une moyenne de 14 attaques volumétriques par jour. L'ampleur de cette campagne était jusqu'ici inédite, certaines attaques ayant culminé à 29,7 Tb/s et 14,1 milliards de p/s.

Outre Aisuru, les autres enseignements majeurs de ce rapport sont les suivants :

1. Le trafic des attaques DDoS à l'encontre des entreprises de développement d'IA a augmenté de 347 % en septembre 2025 par rapport au mois précédent, dans un contexte d'intensification des inquiétudes du public et de l'intérêt des autorités réglementaires quant à cette technologie. 

2. L'escalade des tensions commerciales entre l'UE et la Chine concernant les terres rares et les tarifs des véhicules électriques coïncide avec une augmentation considérable des attaques DDoS contre le secteur de l'exploitation minière, des minerais et des métaux (ainsi que le secteur automobile) au troisième trimestre 2025.

3. Les mesures de défense autonomes de Cloudflare ont bloqué un total de 8,3 millions d'attaques DDoS au cours du troisième trimestre 2025. Ce total représente en moyenne près de 3 780 attaques DDoS par heure. Le nombre d'attaques DDoS a augmenté de 15 % par rapport au trimestre précédent et de 40 % par rapport à l'année précédente. 

Cloudflare a déjà atténué 36,2 millions d'attaques DDoS en 2025 et il reste encore un trimestre complet avant la fin de l'année. Ce chiffre correspond à 170 % du nombre total d'attaques DDoS atténuées par Cloudflare sur le courant de l'année 2024.

Cloudflare a automatiquement détecté et atténué 8,3 millions d'attaques DDoS au cours du troisième trimestre 2025, soit une augmentation de 15 % par rapport au trimestre précédent et de 40 % par rapport à l'année précédente.

Les attaques DDoS sur la couche réseau (qui totalisaient 71 % des attaques DDoS alors du troisième trimestre 2025, soit 5,9 millions d'attaques DDoS) ont augmenté de 87 % par rapport au trimestre précédent et de 95 % par rapport à l'année précédente. Toutefois, les attaques DDoS HTTP, qui ne représentaient que 29 % des attaques DDoS au troisième trimestre 2025 (soit 2,4 millions d'attaques DDoS), ont respectivement diminué de 41 % et de 17 % sur les mêmes périodes.

Cloudflare a atténué en moyenne 3 780 attaques DDoS par heure au troisième trimestre 2025.

Une force de subversion

Aisuru s'est attaqué à des fournisseurs de télécommunications, des entreprises de jeux vidéo, des fournisseurs d'hébergement et des services financiers, pour ne citer que quelques-unes de ses cibles. Comme signalé sur Krebs on Security, ce phénomène a également entraîné des « épisodes majeurs d'interruption collatérale du trafic Internet » [aux États-Unis] du simple fait de la quantité de trafic lié au botnet acheminé par les fournisseurs d'accès Internet (FAI). 

Rendons-nous bien compte de la situation ici. Si le trafic hostile d'Aisuru peut perturber des pans entiers de l'infrastructure Internet américaine alors même que les FAI n'étaient pas la cible de ces attaques, imaginez les dégâts que ce botnet pourrait causer s'il s'en prenait directement à des FAI, des infrastructures essentielles, des services de santé, des services d'urgence et des systèmes militaires sans protection ou dotés d'une protection insuffisante. 

Statistiques concernant les « botnets à louer » et les attaques DDoS

Certains acteurs malveillants proposent des « pans » d'Aisuru sous forme de « botnets à louer » afin de permettre à n'importe qui de semer le chaos au sein de pays entiers en paralysant les infrastructures réseau et en saturant les liaisons Internet. Ces attaques perturberaient l'accès de millions d'utilisateurs et entraveraient l'accès aux services essentiels, le tout pour un coût s'élevant à quelques centaines ou quelques milliers de dollars américains. 

Cloudflare a déjà atténué 2 867 attaques liées à Aisuru depuis le début de l'année 2025. Nous avons d'ailleurs atténué 1 304 attaques volumétriques lancées par Aisuru sur le seul troisième trimestre. Ce chiffre représente une augmentation de 54 % par rapport au trimestre précédent. Il comprend également les attaques DDoS de tous les records culminant respectivement à 29,7 Tb/s et 14,1 milliards de p/s. 

L'événement chiffré à 29,7 Tb/s était une attaque de type carpet-bombing (tapis de bombes) UDP, qui a bombardé en moyenne 15 000 ports de destination par seconde. Cette attaque distribuée a randomisé divers attributs de paquet pour échapper aux mesures de défense, mais les systèmes d'atténuation de Cloudflare ont détecté et atténué l'ensemble des attaques de manière entièrement autonome (y compris celle-ci). Cliquez sur le lien pour en apprendre davantage sur la manière dont Cloudflare atténue les attaques DDoS hyper-volumétriques.

Si la majeure partie des attaques DDoS s'avèrent relativement modestes du point de vue de la taille, le nombre d'attaques DDoS dépassant les 100 millions de paquets par seconde (p/s) au troisième trimestre a augmenté de 189 % par rapport au trimestre précédent. De manière similaire, les attaques dépassant 1 Tb/s ont augmenté de 227 % par rapport à la même période. De même, sur la couche HTTP, 4 attaques sur 100 ont dépassé le million de requêtes par seconde. 

La plupart de ces attaques (71 % des attaques DDoS HTTP et 89 % des attaques sur la couche réseau) ne durent en outre que moins de 10 minutes. Ce délai est trop court pour qu'un service à intervention humaine ou à la demande puisse réagir. Quand bien même elle ne durerait que quelques secondes, les perturbations engendrées par une attaque de courte durée peuvent s'avérer graves et la récupération post-incident demander beaucoup plus de temps. Les équipes techniques et opérationnelles doivent alors composer avec un processus complexe et multi-étapes pour remettre en ligne leurs systèmes essentiels et vérifier la cohérence des données présentes sur leurs systèmes distribués, avant de rétablir un service sécurisé et fiable pour leurs clients. 

Même de courte durée, les attaques DDoS (hyper-volumétriques ou non) ont des effets qui peuvent s'étendre bien au-delà de l'événement proprement dit.

Sept des dix principales sources sont situées en Asie, l'Indonésie en tête. L'Indonésie s'est imposée comme la source n° 1 d'attaques DDoS dans le monde depuis maintenant un an (depuis le troisième trimestre 2024). Le pays figurait néanmoins toujours parmi les principales sources d'attaques avant l'année dernière. L'Indonésie était ainsi la deuxième source la plus importante d'attaques lors du deuxième trimestre 2024, après avoir lentement gravi les échelons du classement année après année.

Pour illustrer l'avènement de l'Indonésie au statut de véritable plateforme d'attaques DDoS, il faut savoir que le pourcentage de requêtes liées à des attaques DDoS HTTP en provenance du pays a explosé de manière spectaculaire en seulement cinq ans (soit depuis le troisième trimestre 2021), avec une augmentation de 31 900 %. 

Les auteurs d'attaques DDoS s'en prennent aux ressources minières rares de la Terre

Le nombre d'attaques DDoS à l'encontre du secteur de l'exploitation minière, des minerais et des métaux a considérablement augmenté au troisième trimestre 2025 qui, d'après de nombreux médias, a également vu une hausse des tensions autour des droits de douane appliqués aux véhicules électriques (VE), des exportations de terres rares et des problèmes de cybersécurité lors du 25e sommet commercial Union européenne-Chine. La BBC a signalé que « la Chine a également renforcé ses mesures de contrôle des exportations de terres rares et de ressources minières essentielles ». Au total, le secteur de l'exploitation minière, des minerais et des métaux a gagné 24 places au classement mondial, pour devenir le 49e secteur le plus visé au monde.

Avec une progression de 62 places en un trimestre seulement, le secteur automobile a connu la plus forte hausse du nombre d'attaques DDoS et s'inscrit désormais à la sixième place des secteurs les plus visés à travers le monde. Les entreprises de cybersécurité ont également constaté une augmentation considérable du nombre d'attaques DDoS à leur encontre. Le secteur de la cybersécurité a ainsi gagné 17 places au classement, pour devenir le 13e secteur mondial le plus fréquemment visé par les attaques.

Le nombre d'attaques DDoS contre l'IA augmente de 347 %

En septembre 2025, une enquête de l'Institut Tony Blair a révélé que les Britanniques considèrent davantage l'IA comme un risque économique que comme une opportunité, un chiffre qui a depuis fait couler beaucoup d'encre sur l'automatisation et la confiance. Les questions d'éthique, de réglementation et d'adoption de l'IA générative se sont ainsi accaparées les gros titres pendant un mois suite au lancement d'une évaluation de l'utilisation faite de l'IA au sein de l'administration publique par la UK Law Commission. Au mois de septembre 2025, Cloudflare a également observé des pics mensuels d'activité atteignant les 347 % au niveau du trafic des attaques DDoS HTTP contre les entreprises de développement d'IA générative (le chiffre se base sur un échantillon des principaux services d'IA générative).

Le top 10

Le secteur des services et technologies de l'information a été le plus attaqué au troisième trimestre 2025, suivi par le secteur des télécommunications, puis celui des jeux de hasard et des casinos. Fait remarquable également, le secteur automobile a fortement progressé, avec une augmentation considérable de 62 places par rapport au trimestre précédent. Le secteur de la production et de l'édition multimédias a également connu une forte hausse, précédé par le secteur des services bancaires et financiers, le secteur du commerce de détail et le secteur de l'électronique grand public.

Il existe une corrélation directe entre les événements géopolitiques et l'activité des attaques DDoS.

Arrêtez le pillage !

Le terme maldivien « Lootuvaifi » (Arrêtez le pillage !) est devenu le slogan de ralliement des manifestations maldiviennes de 2025. Les manifestants sont ainsi descendus dans la rue pour s'opposer à « l'impression perçue de corruption et de recul démocratique au sein du gouvernement », notamment suite au projet de loi « sur la fin de la liberté d'expression » des médias, qui « portera gravement atteinte à la liberté de la presse et au droit à la liberté d'expression du peuple maldivien si elle n'est pas retirée » (d'après le haut-commissaire aux droits humains des Nations unies). Les manifestations maldiviennes de 2025 se sont accompagnées d'un barrage d'attaques DDoS. En conséquence, le pays a ainsi connu la plus forte augmentation du nombre d'attaques DDoS. Les Maldives ont gagné 125 places dans le classement au troisième trimestre 2025, pour s'établir comme le 38e pays le plus touché par les attaques DDoS au monde.

« Bloquons tout »

Lancé par les syndicats français en septembre 2025, le mouvement de protestation national « Bloquons tout » avait pour objectif de s'opposer au gouvernement du président Macron concernant les nouvelles mesures d'austérité, les modifications apportées au système de retraite et l'augmentation du coût de la vie. Alors que les syndicats appelaient à des actions de grève coordonnées et à des blocages au niveau des transports afin de paralyser le pays, les acteurs malveillants ont lancé des vagues d'attaques DDoS à l'encontre de sites web et de services Internet français. La France a gagné 65 places au classement par rapport au trimestre précédent, pour devenir le 18e pays le plus visé par les attaques au monde. 

« Fixer des limites sur la situation de Gaza à Bruxelles »

Nous avons observé une hausse du nombre d'attaques DDoS consécutive à l'organisation de manifestations dans un plus grand nombre de pays. La Belgique, par exemple, a gagné 63 places (et est donc devenue le 74e pays le plus attaqué au monde) lorsque « des dizaines de milliers de manifestants ont rejoint l'appel du mouvement Draw the Red Line pour Gaza à Bruxelles ».

Le top 10

La Chine est restée le pays le plus visé par les attaques au troisième trimestre 2025, suivie par la Turquie en deuxième position et l'Allemagne à la troisième place. Le changement le plus notable survenu ce trimestre a été une augmentation des attaques DDoS contre les États-Unis, qui ont gagné 11 places au classement pour devenir le cinquième pays le plus visé. Les Philippines ont enregistré la plus forte progression du top 10, avec un gain de 20 places au classement.

Attaques DDoS sur la couche réseau

Le nombre d'attaques DDoS UDP (en partie alimenté par les attaques lancées par Aisuru) a augmenté de 231 % par rapport au trimestre précédent. Ce vecteur est donc devenu le principal utilisé pour lancer des attaques sur la couche réseau. Les attaques DNS Floods (saturation de DNS) arrivaient en deuxième position, les attaques SYN Floods (saturation SYN) en troisième et les les attaques ICMP Floods (saturation ICMP) à la quatrième place. Au total, ces attaques représentaient un peu plus de la moitié de l'ensemble des événements DDoS visant la couche réseau.

Les attaques DDoS lancées par Mirai demeurent encore assez courantes près de 10 ans après le premier événement majeur lié à ce botnet. Près de 2 attaques DDoS sur 100 à l'encontre de la couche réseau sont ainsi lancées par des variantes du botnet Mirai.

Attaques DDoS HTTP

Près de 70 % des attaques DDoS HTTP provenaient de botnets déjà connus de Cloudflare. Ce chiffre reflète l'un des avantages dont nos clients peuvent bénéficier en utilisant Cloudflare. Ainsi, tous les utilisateurs sont automatiquement protégés contre un botnet donné lorsque ce dernier attaque l'un des millions de clients Cloudflare.

Par ailleurs, près 20 % des attaques DDoS HTTP étaient issues de navigateurs factices ou sans interface graphique (headless). Une même proportion incluait des attributs HTTP suspects. Les 10 % (environ) d'attaques restants se composaient d'une combinaison d'attaques par saturation génériques, de requêtes inhabituelles, d'attaques par infiltration de cache (cache busting) et d'attaques visant les points de terminaison des connexions.

Nous sommes entrés dans une ère au sein de laquelle les attaques DDoS ont rapidement gagné en sophistication et en ampleur. Elles dépassent désormais tout ce que nous pouvions imaginer il y a quelques années. De nombreuses entreprises éprouvent encore des difficultés à suivre les évolutions du panorama des menaces. 

Les entreprises qui s'appuient sur des équipements d'atténuation sur site ou des solutions de centres de nettoyage à la demande peuvent bénéficier d'un examen de leur stratégie de défense face au paysage actuel.

Épaulée dans ses efforts par son vaste réseau mondial et ses systèmes autonomes d'atténuation des attaques DDoS, Cloudflare s'engage à assurer une protection contre les attaques DDoS gratuite et illimitée à tous ses clients contre les attaques DDoS auxquelles ils font face, quels que soient l'ampleur, la durée ou le nombre de ces dernières.