Rapport sur les menaces DDoS au quatrième trimestre 2025 : une attaque record mesurée à 31,4 Tb/s clôture une année d'attaques DDoS massives

Bienvenue dans la 24e édition du rapport trimestriel Cloudflare consacré aux menaces DDoS. Dans ce rapport, Cloudforce One vous propose une analyse complète du panorama évolutif des menaces liées aux attaques par déni de service distribué (Distributed Denial of Service, DDoS), sur la base des données issues du réseau Cloudflare. Cette édition se concentrera sur le quatrième trimestre 2025 et vous présentera les données globales de l'année 2025.

Le quatrième trimestre 2025 s'est caractérisé par un bombardement sans précédent lancé par le botnet Aisuru-Kimwolf. Cette campagne d'attaques DDoS a été surnommée « The Night Before Christmas » (la veille de Noël). Les clients de Cloudflare (de même que le tableau de bord et l'infrastructure de notre plateforme) se sont ainsi retrouvés la cible d'attaques DDoS HTTP hypervolumétriques dépassant les 200 millions de requêtes par seconde (Mr/s), quelques semaines seulement après une attaque record mesurée à 31,4 térabits par seconde (Tb/s).

1. Le nombre d'attaques DDoS s'est accru de 121 % en 2025 pour atteindre une moyenne de 5 376 attaques atténuées automatiquement par heure.

2. Hong Kong a gagné 12 places au classement lors du dernier trimestre 2025 pour devenir la deuxième cible la plus touchée par les attaques DDoS à travers le monde. Le Royaume-Uni a également vu sa position bondir de 36 places pour devenir la sixième cible la plus attaquée.

3. Les Android TV infectées (un composant du botnet Aisuru-Kim Wolf) ont bombardé le réseau Cloudflare d'attaques DDoS HTTP hypervolumétriques, tandis que le secteur des télécommunications s'est imposé comme le secteur le plus attaqué.

Le nombre total d'attaques DDoS a plus que doublé en 2025, avec un total incroyable de 47,1 millions. Ces chiffres ont explosé ces dernières années : le nombre d'attaques DDoS a ainsi bondi de 236 % entre 2023 et 2025.

Cloudflare a atténué en moyenne 5 376 attaques DDoS par heure en 2025, dont 3 925 attaques DDoS sur la couche réseau et 1 451 attaques DDoS HTTP. 

C'est au niveau des attaques DDoS sur la couche réseau que nous avons observé la croissance la plus importante. Le nombre de ces dernières a plus que triplé par rapport à l'année précédente. Cloudflare a ainsi atténué 34,4 millions d'attaques DDoS sur la couche réseau en 2025, contre 11,4 millions en 2024.

Une part considérable des attaques sur la couche réseau (environ 13,5 millions) s'en sont directement prises à l'infrastructure de Cloudflare, ainsi qu'à l'infrastructure Internet mondiale protégée par notre service Cloudflare Magic Transit, dans le cadre d'une campagne d'attaques DDoS de 18 jours qui a débuté au premier trimestre 2025. Parmi ces attaques, 6,9 millions visaient les clients de Magic Transit, tandis que les 6,6 millions restants visaient directement Cloudflare. 

Ces attaques faisaient partie d'une campagne DDoS multivectorielle regroupant des attaques SYN flood, des attaques DDoS générées par Mirai et des attaques par amplification SSDP, pour n'en citer que quelques exemples. Nos systèmes ont détecté et atténué ces attaques automatiquement. Nous n'avons en réalité découvert la campagne qu'au cours de la phase de préparation de notre rapport sur les menaces DDoS au premier trimestre 2025. Un véritable exemple de l'efficacité des mesures d'atténuation DDoS de Cloudflare !

Lors du dernier trimestre 2025, le nombre d'attaques DDoS a augmenté de 31 % par rapport au trimestre précédent et de 58 % par rapport à 2024. Les attaques DDoS sur la couche réseau ont alimenté cette croissance. Au quatrième trimestre 2025, les attaques DDoS sur la couche réseau représentaient ainsi 78 % de l'ensemble des attaques DDoS. Le nombre d'attaques DDoS HTTP est resté le même, mais leur ampleur a atteint des débits que nous n'avions pas observés depuis la campagne d'attaques DDoS HTTP/2 Rapid Reset de 2023. Ces récentes flambées d'attaques ont été lancées par le botnet Aisuru-Kimwolf, que nous aborderons dans la section suivante. 

Le vendredi 19 décembre 2025, le botnet Aisuru-Kimwolf a commencé à bombarder l'infrastructure et les clients de Cloudflare sous un flot d'attaques DDoS hypervolumétriques. L'élément novateur de cette campagne résidait dans sa taille. En effet, les attaques DDoS HTTP hypervolumétriques lancées par le botnet affichaient des débits supérieurs à 20 millions de requêtes par seconde (Mr/s).

Le botnet Aisuru-Kimwolf se présente sous la forme d'un ensemble massif d'appareils infectés par des logiciels malveillants, principalement des téléviseurs connectés Android TV. Composé d'environ 1 à 4 millions d'hôtes infectés, il est capable de lancer des attaques DDoS susceptibles de paralyser les infrastructures essentielles, d'entraîner l'arrêt de la plupart des solutions existantes de protection contre les attaques DDoS dans le cloud, voire de perturber la connectivité de pays entiers.

Les systèmes autonomes de défense contre les attaques DDoS de Cloudflare ont détecté et atténué l'ensemble des attaques tout au long de la campagne : 384 attaques intensives du point de vue des paquets, 329 attaques intensives du point de vue des bits et 189 attaques intensives du point de vue des requêtes, pour un total de 902 attaques DDoS hypervolumétriques, soit une moyenne de 53 attaques par jour.

Les tailles moyennes des attaques DDoS hypervolumétriques observées pendant la campagne étaient de 3 Gp/s, 4 Tb/s et 54 Mr/s (respectivement, pour chacun des indicateurs précédents). Les débits maximaux enregistrés pendant la campagne étaient de 9 Gp/s, 24 Tb/s et 205 Mr/s.

Pour vous donner un ordre d'idée, l'ampleur d'une attaque DDoS mesurée à 205 Mr/s est comparable à ce qui se produirait si l'ensemble des habitants du Royaume-Uni, de l'Allemagne et de l'Espagne saisissaient tous simultanément une adresse de site web avant d'appuyer sur « Entrée » lors de la même seconde.

Malgré son caractère spectaculaire, la campagne « The Night Before Christmas » ne représentait qu'une petite partie des attaques DDoS hypervolumétriques que nous avons observées tout au long de l'année.

Cloudflare a constaté un accroissement continu du nombre d'attaques DDoS hypervolumétriques tout au long de l'année 2025. Au quatrième trimestre 2025, ce type d'attaques a ainsi augmenté de 40 % par rapport au trimestre précédent.

Si le nombre d'attaques a augmenté au cours de l'année 2025, la taille de ces attaques s'est également accrue de plus de 700 %, l'une d'elles ayant même culminé à 31,4 Tb/s lors d'une attaque DDoS qui n'a toutefois duré que 35 secondes. Le graphique ci-dessous présente la croissance rapide en taille des attaques DDoS observées et bloquées par Cloudflare. Chacune d'elles constitue d'ailleurs un record mondial, c'est-à-dire l'attaque la plus volumineuse jamais révélée publiquement par une entreprise à l'époque.

Comme toutes les autres attaques, l'attaque DDoS mesurée à 31,4 Tb/s a été détectée et atténuée automatiquement par le système autonome de défense contre les attaques DDoS proposé par Cloudflare, qui s'est révélé capable de s'adapter et de concentrer rapidement ses efforts sur les botnets du type d'Aisuru-Kimwolf.

La plupart des attaques DDoS hypervolumétriques visaient des clients Cloudflare du secteur des télécommunications, des fournisseurs d'accès Internet et des opérateurs. Les clients Cloudflare du secteur des jeux vidéo et les clients fournisseurs de services d'IA générative ont également été fortement touchés. Enfin, l'infrastructure de Cloudflare s'est elle-même retrouvée la cible de plusieurs vecteurs d'attaque, comme les floods HTTP, les attaques DNS et les floods UDP.

Lorsque l'on analyse les attaques DDoS de toutes les tailles, on s'aperçoit que le secteur des télécommunications, des fournisseurs d'accès Internet et des opérateurs s'est également révélé le plus touché. C'est le secteur des technologies et des services de l'information qui détenait ce titre regrettable par le passé.

Les secteurs des jeux de hasard/casinos, ainsi que celui des jeux vidéo, se sont classés respectivement en troisième et quatrième position. Les changements les plus importants survenus dans le top 10 concernaient le secteur des logiciels et celui des services aux entreprises, qui ont tous deux progressé de plusieurs places dans le classement. 

Les secteurs les plus visés sont définis par leur rôle d'infrastructure essentielle, d'épine dorsale pour les autres entreprises, ou par leur sensibilité financière immédiate et substantielle aux épisodes d'interruption de service et à la latence.

En ce qui concerne les pays les plus attaqués à travers le monde, le panorama des attaques DDoS a connu à la fois une stabilité prévisible et des fluctuations spectaculaires. En conservant une place dans le classement des cinq premiers pays visés, la Chine, l'Allemagne, le Brésil et les États-Unis ont démontré un attrait persistant pour les acteurs malveillants. 

Hong Kong a réalisé une avancée significative, en gagnant douze places pour se hisser à la deuxième position. L'événement majeur du trimestre s'est toutefois révélé l'ascension fulgurante du Royaume-Uni, qui a bondi de 36 places au classement pour s'inscrire en 6e position des pays les plus attaqués.  

Le Vietnam a conservé sa place en tant que septième pays le plus fréquemment visé par les attaques, suivi par l'Azerbaïdjan (en huitième position), l'Inde (neuvième) et Singapour (dixième).

Le Bangladesh a détrôné l'Indonésie en tant que plus importante source d'attaques DDoS au quatrième trimestre 2025. L'Indonésie a chuté à la troisième place après avoir passé un an en tête des sources d'attaques DDoS. L'Équateur a également gagné deux places pour devenir la deuxième source la plus importante d'attaques DDoS.

De manière remarquable, l'Argentine a progressé de 20 places pour s'installer à la quatrième position du classement des sources d'attaques DDoS. Hong Kong a progressé de trois rangs, pour atteindre la cinquième place. L'Ukraine arrivait en sixième position, suivie par le Vietnam, Taïwan, Singapour et le Pérou.

Le classement des 10 premiers réseaux à l'origine d'attaques se présente comme une liste des géants de l'Internet. Il révèle ainsi une histoire fascinante quant à l'anatomie des attaques DDoS modernes. Le fil rouge apparaît de manière évidente : les acteurs malveillants tirent parti des infrastructures réseau les plus accessibles et les plus puissantes du monde, qui se composent principalement de grands services accessibles au public. 

Nous remarquons que la plupart des attaques DDoS proviennent d'adresses IP associées à des plateformes d'informatique cloud et à des fournisseurs d'infrastructure cloud, comme DigitalOcean (AS 14061), Microsoft (AS 8075), Tencent (AS 132203), Oracle (AS 31898) et Hetzner (AS 24940). Ce constat démontre le lien fort qui existe entre les machines virtuelles facilement accessibles et les attaques à volume élevé. Fortement concentrées aux États-Unis, ces sources cloud sont suivies de près par une présence significative d'attaques issues d'adresses IP associées à des fournisseurs de télécommunications traditionnels. Ces entreprises de télécommunications principalement situées dans la région Asie-Pacifique (qui inclut le Vietnam, la Chine, la Malaisie et Taïwan) viennent compléter le reste du top 10.

Cette diversité géographique et organisationnelle confirme la réalité bidimensionnelle des attaques. Si l'échelle même des sources d'attaques les plus importantes tire souvent son origine de hubs cloud internationaux, le problème s'avère incontestablement mondial, car les attaques transitent sur les voies les plus essentielles d'Internet, partout dans le monde. Nous observons ainsi la présence de milliers d'ASN sources différents dans de nombreuses attaques DDoS. Ce point met en évidence la répartition véritablement mondiale des nœuds de botnets.

Nous tirons parti de la position avantageuse de Cloudflare pour aider les fournisseurs d'hébergement, les plateformes d'informatique cloud et les fournisseurs d'accès Internet à identifier et à éliminer les adresses IP/comptes malveillants à l'origine des attaques DDoS en leur proposant notre flux d'informations gratuit sur les menaces liées aux botnets (DDoS Botnet Threat Feed for Service Providers).

Plus de 800 réseaux à travers le monde entier se sont inscrits à ce flux et nous avons déjà constaté une excellente collaboration s'établir au sein de la communauté pour éliminer les nœuds de botnets.

Les attaques DDoS connaissent une croissance rapide, tant en termes de sophistication que d'ampleur, et dépassent désormais tout ce qui était imaginable jusqu'ici. L'évolution du panorama des menaces constitue un défi considérable pour les nombreuses entreprises qui cherchent à suivre le rythme. Les entreprises qui font actuellement appel à des équipements d'atténuation sur site ou aux services de centres de nettoyage à la demande pourraient bénéficier d'une réévaluation de leur stratégie de défense.

Peu importe la taille, la durée ou le volume des attaques, Cloudflare s'efforce de proposer une protection DDoS gratuite et illimitée à l'ensemble de ses clients en tirant parti de son vaste réseau mondial et de ses systèmes autonomes d'atténuation des attaques DDoS.

Portée par une mission visant à défendre Internet, l'équipe de Cloudforce One tire parti des données télémétriques du réseau mondial Cloudflare (qui protège près de 20 % du web) afin de soutenir la recherche sur les menaces et d'assurer une réponse opérationnelle, deux axes qui permettront par la suite de protéger les systèmes essentiels de millions d'entreprises à travers le monde.