Cloudflare bloque la plus vaste cyberattaque jamais enregistrée : 37,4 Térabits en 45 secondes déversés sur une IP unique,

L'équivalent de près de 10 000 films HD projetés simultanément

Cloudflare bloque la plus vaste cyberattaque jamais enregistrée : 37,4 Térabits en 45 secondes déversés sur une IP Unique,
l'équivalent de près de 10 000 films HD projetés simultanément

Une déferlante numérique sans précédent a secoué l'infrastructure mondiale du Net. En juin 2025, Cloudflare, acteur majeur de la cybersécurité, a annoncé avoir bloqué une attaque par déni de service distribué (DDoS) d’une intensité inédite : 37,4 térabits de données déversées en l’espace de seulement 45 secondes. À titre de comparaison, cela représente l’équivalent de 10 000 films en haute définition projetés simultanément… sur une seule adresse IP. Ce record ne marque pas seulement un exploit technique de défense, mais aussi un tournant dans l’escalade de la guerre numérique menée par des groupes de cyberattaquants toujours plus équipés et redoutables.

Contexte

Une attaque DDoS (Distributed Denial of Service) consiste à inonder un serveur, un service ou un réseau de trafic provenant de multiples sources, dans le but de le rendre indisponible pour ses utilisateurs légitimes. Dans le cas présent, l’assaut a vraisemblablement été exécuté par un botnet hautement optimisé, composé de centaines de milliers, voire de millions de dispositifs compromis — allant de serveurs mal protégés à des objets connectés vulnérables (caméras IP, routeurs domestiques, etc.).

L'assaut a ciblé un seul point d'accès réseau, saturant l'infrastructure en quelques secondes. L’intensité de 37,4 Tbps sur une fenêtre si courte est la plus élevée jamais observée dans l’histoire du Web, surpassant les attaques précédentes de plus de 20 %. Cloudflare n’a pas révélé l’identité de la cible précise pour des raisons de confidentialité, mais confirme que l’infrastructure a tenu grâce à ses systèmes d’atténuation DDoS automatisés, conçus pour absorber des pics de trafic extrêmes sans intervention humaine directe.

Une ampleur d'attaque inédite

Cloudflare a récemment annoncé avoir bloqué la plus grande attaque par déni de service distribué (DDoS) jamais enregistrée, qui a atteint un pic stupéfiant de 7,3 térabits par seconde (Tbps). Plus impressionnant encore, cette attaque a déversé 37,4 térabits de données en seulement 45 secondes sur l'adresse IP d'une victime, l'équivalent de près de 10 000 films HD. Cet événement met en lumière la sophistication croissante des cyberattaques et l'importance cruciale des solutions de protection robustes.

L'attaque, détectée à la mi-mai 2025, a ciblé un fournisseur d'hébergement non identifié, soulignant la vulnérabilité des infrastructures internet critiques. Si 37,4 Tb de données peuvent sembler gérables à l'échelle actuelle du stockage, la vitesse à laquelle cette quantité massive a été délivrée est ce qui la rend véritablement alarmante. En moins d'une minute, un volume de données équivalent à près de 9 350 films haute définition, plus de 9 millions de chansons ou 12,5 millions de photos a été propulsé vers la cible.

Cette attaque a dépassé de 12% le précédent record de Cloudflare, qui était de 6,5 Tbps en avril 2025, et a largement éclipsé l'attaque de 5,6 Tbps enregistrée en octobre 2024. Le volume et l'intensité de cette offensive démontrent une escalade inquiétante dans la capacité des acteurs malveillants à mobiliser des ressources d'attaque massives.


Si le chiffre de 37,4 térabits ne s'avère pas particulièrement impressionnant en termes de volume pur à l'échelle actuelle, une décharge de 37,4 Tb en seulement 45 secondes l'est assurément. L'opération revient à saturer votre réseau en lui envoyant un trafic équivalent à plus de 9 350 films complets en HD ou à la diffusion sans interruption de 7 480 h de vidéo haute définition (soit près d'un an de visionnage non-stop) en seulement 45 secondes. S'il s'agissait de musique, l'ordre de grandeur serait le téléchargement d'environ 9,35 millions de titres en moins d'une minute, soit de quoi occuper un auditeur pendant 57 ans s'il devait écouter chaque titre à la suite pendant cette période. Vous pouvez également imaginer l'équivalent comme le fait de prendre 12,5 millions de photos haute résolution sur votre smartphone (en imaginant que vous ne manquiez jamais de stockage, si vous deviez ne prendre qu'une photo par jour, vous seriez encore en train d'appuyer sur le déclencheur de l'appareil 4 000 ans plus tard). Or, le processus s'est effectué ici en seulement 45 secondes.


Méthodologie de l'attaque

Les attaquants ont utilisé plusieurs vecteurs d'attaque, exploitant principalement le protocole UDP (User Datagram Protocol). Le choix de l'UDP n'est pas anodin : il est privilégié dans les applications nécessitant une réponse en temps réel, comme le streaming vidéo, les jeux en ligne et les réunions virtuelles, car il ne nécessite pas de « poignée de main » préalable entre les appareils. Cela permet aux assaillants d'envoyer un flux constant de paquets de données indésirables, submergeant rapidement les ressources de la cible.

L'attaque a inondé en moyenne 21 925 ports de destination par seconde sur l'adresse IP de la victime, atteignant un pic de 34 517 ports par seconde. Bien que la quasi-totalité du volume de l'attaque provienne des inondations UDP (99,996%), d'autres vecteurs ont été impliqués, tels que la réflexion QOTD, la réflexion Echo, l'amplification NTP, l'inondation UDP par botnet Mirai, l'inondation Portmap et l'amplification RIPv1. Ces techniques complémentaires visent souvent à sonder les faiblesses et les mauvaises configurations des systèmes ciblés.

L'attaque provenait d'un vaste réseau de plus de 122 145 adresses IP sources, réparties sur 5 433 systèmes autonomes (AS) et 161 pays. Près de la moitié du trafic malveillant était originaire du Brésil et du Vietnam, avec une part significative également provenant de Taïwan, de Chine, d'Indonésie, d'Ukraine, d'Équateur, de Thaïlande, des États-Unis et de l'Arabie Saoudite. Cette distribution mondiale suggère l'exploitation de botnets massifs composés de dispositifs IdO compromis.


Comment les entreprises peuvent éviter de participer aux attaques par réflexion et par amplification

Cloudflare a donné des détails concernant les différents vecteurs observés lors de cette attaque, indiqué comment les entreprises peuvent éviter de participer aux attaques par réflexion et par amplification, et fourni des recommandations pour se protéger contre ces attaques tout en évitant d'affecter le trafic légitime.

Attaque DDoS UDP

• Type : flood (inondation)
• Fonctionnement : un volume élevé de paquets UDP est envoyé vers des ports aléatoires ou spécifiques de la ou des adresses IP cibles. Cette attaque peut tenter de saturer la liaison Internet ou de surcharger les appareils internes (in-line) sous un flot de paquets plus élevé que ces éléments ne peuvent en gérer.
• Comment se protéger contre cette attaque : déployez une protection contre les attaques DDoS basée sur le cloud, mettez en place un contrôle du volume des requêtes intelligent sur le trafic UDP et abandonnez totalement le trafic UDP indésirable.
• Comment éviter les conséquences imprévues : un filtrage agressif peut venir perturber les services UDP légitimes, comme la VoIP, la vidéoconférence ou les jeux en ligne. Appliquez vos seuils avec la plus grande prudence.

Attaque DDoS QOTD

• Type : réflexion + amplification
• Fonctionnement : cette attaque exploite le protocole Quote of the Day (QOTD, citation du jour) qui écoute le port UDP 17 et répond par une courte citation ou un bref message. Les acteurs malveillants adressent des requêtes QOTD aux serveurs exposés depuis une adresse IP usurpée afin de provoquer une amplification des réponses amplifiées et de submerger la victime sous le trafic.
• Comment éviter de devenir un élément de la réflexion ou de l'amplification : désactivez le service QOTD et bloquez le port UDP/17 sur l'ensemble des serveurs et des pare-feu.
• Comment se protéger contre l'attaque : bloquez le trafic UDP/17 entrant. Abandonnez le trafic présentant des pics anormaux de requêtes UDP à petits paquets.
• Comment éviter les conséquences imprévues : le protocole QOTD est un protocole de diagnostic/débogage obsolète. Les applications modernes n'y font pas appel. Sa désactivation ne devrait pas avoir d'effet négatif sur les services légitimes.

Attaque DDoS Echo

• Type : réflexion + amplification
• Fonctionnement : cette attaque exploite le protocole Echo (port UDP/TCP 7), qui répond avec les données qu'il reçoit. Les acteurs malveillants usurpent l'adresse IP de la victime afin d'amener les appareils à renvoyer les données et, par conséquent, d'amplifier l'attaque.
• Comment éviter de devenir un élément de la réflexion ou de l'amplification : désactivez le service Echo sur l'ensemble des appareils. Bloquez le port UDP/TCP 7 à la périphérie du réseau.
• Comment se protéger contre l'attaque : désactivez le service Echo et bloquez le port TCP/UDP 7 au niveau du périmètre réseau.
• Comment éviter les conséquences imprévues : Echo est un outil de diagnostic obsolète. Sa désactivation ou son blocage n'a aucun effet négatif sur les systèmes modernes.

Attaque DDoS NTP

• Type : réflexion + amplification
• Fonctionnement : cette attaque utilise abusivement le protocole NTP (Network Time Protocol, protocole de temps réseau) utilisé pour synchroniser les horloges sur Internet. Les acteurs malveillants exploitent la commande « monlist » sur les anciens serveurs NTP (UDP/123). Or, cette commande renvoie une longue liste des connexions récentes. Les requêtes usurpées entraînent une amplification des réflexions.
• Comment éviter de devenir un élément de la réflexion ou de l'amplification : mettez à niveau ou configurez vos serveurs NTP afin de désactiver la commande « monlist ». Limitez les requêtes NTP aux adresses IP de confiance uniquement.
• Comment se protéger contre l'attaque : désactivez la commande « monlist », mettez à jour le logiciel NTP et filtrez ou limitez le trafic UDP/123.
• Comment éviter les conséquences imprévues : la désactivation de la commande « monlist » n'a aucun effet sur la synchronisation temporelle. Toutefois, le filtrage ou le blocage du port UDP/123 pourrait affecter la synchronisation de l'heure si le filtre/le blocage est trop large. Assurez-vous que seules les sources non fiables ou externes soient bloquées

Attaque Mirai UDP

• Type : flood (inondation)
• Fonctionnement : le botnet Mirai est composé d'appareils IdO compromis. Il noie les victimes sous un flot de paquets UDP aléatoires ou spécifiques à un service (p. ex., DNS, services de jeu).
• Comment éviter de participer à un botnet : sécurisez vos appareils IdO, changez vos mots de passe par défaut, mettez à jour vos appareils vers la dernière version du firmware et suivez les bonnes pratiques en matière de sécurité IdO. Dans la mesure du possible, surveillez le trafic sortant afin de détecter les irrégularités.
• Comment se protéger contre l'attaque : déployez une protection contre les attaques DDoS volumétriques basée dans le cloud et mettez en place un contrôle du volume de requêtes sur le trafic UDP.
• Comment éviter les conséquences imprévues : veillez tout d'abord à comprendre votre réseau et le type de trafic que vous recevez, notamment les protocoles, leurs sources et leurs destinations. Identifiez les services exécutés sur UDP que vous souhaitez éviter d'affecter. Une fois ces derniers identifiés, vous pouvez mettre en place le contrôle du volume des requêtes d'une manière qui exclut ces points de terminaison ou qui prend vos niveaux de trafic habituels en compte. Dans le cas contraire, un contrôle agressif du volume des requêtes liées au trafic UDP peut affecter votre trafic légitime et impacter les services fonctionnant sur UDP, comme les appels VoIP et le trafic VPN.

Attaque DDoS Portmap

• Type : réflexion + amplification
• Fonctionnement : cette attaque vise le service Portmapper (UDP/111) utilisé par les applications basées sur le protocole RPC (Remote Procedure Call, appel de procédure à distance) afin d'identifier les services disponibles. Les requêtes usurpées entraînent une réflexion des réponses.
• Comment éviter de devenir un élément de la réflexion ou de l'amplification : désactivez le service Portmapper s'il n'est pas nécessaire. Si le service s'avère nécessaire en interne, limitez-le aux adresses IP de confiance uniquement.
• Comment se protéger contre l'attaque : désactivez le service Portmapper s'il n'est pas nécessaire et bloquez le trafic entrant UDP/111. Mettez en place des listes de contrôle des accès (Access Control Lists, ACL) ou des pare-feu pour limiter l'accès aux services RPC connus.
• Comment éviter les conséquences imprévues : la désactivation du service Portmapper peut venir perturber les applications reposant sur RPC (p. ex. le protocole Network File System). Validez les dépendances des services avant leur suppression.

Attaque DDoS RIPv1

• Type : réflexion + (faible) amplification
• Fonctionnement : cette attaque exploite la version 1 du protocole RIP (Routing Information Protocol, protocole d'information de routage), un ancien protocole de routage à vecteur de distances non authentifié qui fait appel au port UDP/520. Les acteurs malveillants envoient des mises à jour de routage usurpées afin de submerger ou de perturber les réseaux.
• Comment éviter de devenir un élément de la réflexion ou de l'amplification : désactivez le protocole RIPv1 sur les routeurs. Utilisez le RIPv2 avec authentification là où le routage est nécessaire.
• Comment se protéger contre l'attaque : bloquez le trafic UDP/520 entrant en provenance de réseaux non fiables. Surveillez les mises à jour de routage inattendues.
• Comment éviter les conséquences imprévues : le protocole RIPv1 est quasiment obsolète. Sa désactivation s'avère généralement sûre. Si d'anciens systèmes y font néanmoins appel, validez le comportement de routage avant d'effectuer des modifications.
• Afin d'éviter les effets indésirables sur le trafic légitime, toutes les recommandations présentées ici doivent être prises en considération en tenant compte du contexte et du comportement de chaque réseau ou de chaque application.

Implications et perspectives

Cette attaque record est un rappel brutal de la menace persistante et évolutive que représentent les attaques DDoS. Elles ne sont plus de simples « attaques de volume », mais sont devenues des menaces intelligentes à courte rafale qui peuvent paralyser des infrastructures en quelques secondes. L'utilisation de botnets massifs, l'exploitation de protocoles et de services mal configurés, et la nature distribuée de ces attaques rendent leur mitigation de plus en plus complexe pour les organisations sans protection adéquate.

Alors que les cybercriminels adoptent l'IA, le cloud et les outils d'automatisation pour leurs offensives, les défenseurs doivent également faire évoluer leurs stratégies. Cela inclut l'adoption de protections basées sur le cloud, le filtrage intelligent du trafic, la mise en œuvre de principes de "Zero Trust Network Access", l'utilisation de flux de renseignement sur les menaces en temps réel et l'analyse du trafic basée sur l'IA.

L'incident récent met en évidence la nécessité d'une protection de pointe, d'une analyse du trafic basée sur l'apprentissage automatique et d'une collaboration en temps réel entre les fournisseurs d'hébergement et les fournisseurs d'accès Internet pour contrer ces menaces de plus en plus sophistiquées.

Source : Cloudflare

Et vous ?

Faut-il imposer des normes de cybersécurité plus strictes aux fournisseurs d’accès Internet et aux hébergeurs ?

La responsabilité des attaques DDoS pourrait-elle être attribuée aux fabricants d’objets connectés non sécurisés ?

Pensez-vous que l'utilisation croissante de l'IA et de l'automatisation par les cybercriminels va rendre les attaques DDoS encore plus fréquentes et dévastatrices à l'avenir ?

Comment les petites et moyennes entreprises (PME), qui n'ont pas les mêmes ressources que les grandes corporations, peuvent-elles se protéger efficacement contre des attaques de cette ampleur ?

Quel est l'impact économique réel de ces attaques massives sur les entreprises victimes, au-delà des pertes financières directes (par exemple, perte de réputation, impact sur la confiance des clients) ?

Dans quelle mesure les attaques DDoS peuvent-elles menacer la stabilité d'infrastructures critiques (santé, énergie, télécommunications) et quelles mesures préventives devraient être renforcées ?