Une attaque DDoS (abréviation d’attaque par déni de service distribué) consiste à tenter de saturer un site Web ou un service en ligne avec un volume de trafic tel qu’il ralentit ou cesse complètement de fonctionner. Plutôt que de s’introduire dans un système, l’attaquant le bloque. Pour toute personne qui gère un site Web, cela peut se traduire par une perte de chiffre d’affaires, des clients mécontents et des heures d’interruption de service, ainsi que par une atteinte à sa réputation.
Contenu:
L’ampleur de ces attaques augmente. Dans son rapport sur les menaces du troisième trimestre 2025, Cloudflare a documenté le blocage de 5,9 millions d’attaques DDoS, en hausse de 87 % d’un trimestre à l’autre et de 95 % d’une année sur l’autre. Dans ce combat, l’intelligence artificielle renforce les deux camps. Les attaquants utilisent l’automatisation pour s’adapter rapidement, et les défenseurs utilisent des systèmes pilotés par des machines pour détecter et stopper les attaques en quelques secondes. Pour comprendre pourquoi cela est important, il est utile d’examiner le fonctionnement des attaques DDoS et les raisons pour lesquelles elles restent l’un des moyens les plus courants de mettre un service hors ligne.
Comment fonctionne une attaque DDoS, et en quoi diffère-t-elle d’une attaque DoS ?
Une attaque DDoS consiste à pousser un système au-delà de ses limites opérationnelles. Chaque site Web fonctionne sur des serveurs qui acceptent des requêtes (charger cette page, traiter ce paiement, récupérer ce fichier, etc.) et renvoient une réponse. Chaque requête consomme une petite quantité de bande passante et de puissance de calcul. Dans des conditions normales, cette charge est prévisible. Une attaque DDoS rompt délibérément cet équilibre.
Les pirates commencent par constituer un réseau d’appareils compromis, souvent appelé botnet. Dans un botnet, les malfaiteurs utilisent des logiciels malveillants pour infecter des ordinateurs ordinaires, des serveurs cloud ou des appareils connectés à Internet, afin de pouvoir recevoir des instructions à distance. À un moment donné, il est demandé à ces appareils d’envoyer du trafic vers une même cible. Ce trafic peut consister en de simples demandes de connexion, en des chargements répétés de pages ou en des paquets de données conçus pour épuiser la capacité du réseau.
Au fur et à mesure que les requêtes s’accumulent, les ressources de la cible commencent à être sollicitées de manière excessive. La bande passante est saturée, ce qui signifie que les utilisateurs légitimes ne peuvent pas faire passer leurs données. Les processeurs des serveurs subissent des pics de charge lorsqu’ils tentent de répondre à chaque demande entrante. Les tables de connexion, qui sont en substance des files d’attente pour les sessions ouvertes, atteignent leur capacité maximale. Une fois ces limites atteintes, le système fonctionne au ralenti ou cesse complètement de répondre. De l’extérieur, cela ressemble à un plantage. En réalité, le service fonctionne toujours, mais il est tout simplement trop occupé à traiter du trafic malveillant pour pouvoir servir de véritables utilisateurs.
Attaques DDoS et attaques DoS : quelle est la différence ?
Une attaque par déni de service, ou attaque DoS, provient d’une seule source. Une seule machine génère suffisamment de trafic pour submerger la cible. Cette source peut souvent être identifiée et bloquée.
Comme nous l’avons vu, une attaque DDoS répartit la charge sur de nombreuses sources à la fois. Le trafic peut provenir de milliers d’adresses IP situées dans différents pays. Bloquer une seule adresse IP a peu d’effet, car les autres continuent d’accéder au réseau. La distribution rend le filtrage plus difficile et augmente le risque de bloquer accidentellement des utilisateurs légitimes. C’est pourquoi les attaques DDoS, plutôt que les simples attaques DoS, dominent le paysage actuel des perturbations.
Renforcez votre sécurité en ligne
Stockez et gérez vos biens numériques en toute sécurité
S’abonner à NordPassTrois types d’attaques DDoS courants
Les types d’attaques DDoS diffèrent principalement par l’endroit où ils exercent une pression. Certaines submergent un réseau de trafic ou interfèrent avec la manière dont les systèmes acceptent les connexions. D’autres se concentrent sur des parties spécifiques d’un site Web qui nécessitent davantage de puissance de traitement. Dans de nombreuses attaques DDoS réelles, ces méthodes se chevauchent. Comprendre les différences permet de saisir pourquoi l’atténuation des attaques nécessite bien plus qu’un simple blocage du trafic.
Attaques DDoS volumétriques
Les attaques DDoS volumétriques reposent sur le volume brut du trafic. L’attaquant envoie d’énormes quantités de données vers une cible jusqu’à ce que sa bande passante disponible soit saturée. Lorsque cette limite est atteinte, les utilisateurs légitimes ne peuvent pas accéder au site Web, car la connexion elle-même est saturée.
Ces attaques DDoS sont généralement propulsées par des botnets. Le volume cumulé des requêtes peut atteindre des niveaux largement supérieurs aux pics habituels. Le résultat est simple : le site devient inaccessible, car le réseau ne peut plus acheminer de données.
Attaques DDoS par protocole
Les attaques DDoS par protocole visent la manière dont les systèmes établissent et maintiennent les connexions. Chaque fois qu’un utilisateur consulte un site Web, le serveur réserve une petite quantité de mémoire et de capacité de traitement pour gérer cette session. Ce processus part du principe que la connexion sera établie correctement.
Dans le cadre d’une attaque DDoS basée sur un protocole, le pirate envoie un grand nombre de demandes de connexion incomplètes ou manipulées. Le serveur alloue des ressources pour chacune d’entre elles et attend. Au fur et à mesure que ces emplacements réservés se remplissent, il reste moins de ressources pour les utilisateurs légitimes. Au bout d’un certain temps, les nouvelles connexions échouent ou expirent.
Attaques DDoS de la couche d’application
Les attaques DDoS au niveau de la couche application ciblent des fonctionnalités spécifiques du site Web plutôt que le réseau dans son ensemble. Des fonctionnalités telles que les barres de recherche, les formulaires de connexion et les pages de paiement nécessitent souvent plus de traitement que le chargement d’une page statique.
Dans les attaques au niveau de la couche application, le pirate cible à plusieurs reprises ces fonctionnalités gourmandes en ressources. Chaque requête oblige le serveur à exécuter des requêtes de base de données, à vérifier des identifiants de connexion ou à générer du contenu dynamique. Les niveaux de trafic peuvent ne pas sembler extrêmes, mais la charge de travail imposée au système est disproportionnée. Les performances se dégradent et, dans les cas les plus graves, l’application devient indisponible.
Les attaques de la couche d’application sont généralement plus difficiles à détecter, car le trafic peut ressembler à un comportement normal de l’utilisateur. C’est pourquoi elles sont courantes dans les attaques DDoS actuelles, en particulier lorsqu’elles sont combinées à des techniques volumétriques ou protocolaires dans le cadre d’une campagne coordonnée et multivectorielle.
Le rôle de l’IA dans les attaques DDoS
Les attaques DDoS ont toujours été une question d’effet de levier : il s’agit de provoquer un maximum de perturbations avec le minimum d’efforts. L’avènement de l’intelligence artificielle modifie l’ampleur et la rapidité de cet effet de levier. Elle permet aux attaquants de s’adapter en temps réel et oblige les défenseurs à réagir tout aussi rapidement.
IA offensive : plus rapide et plus adaptative
L’IA modifie le fonctionnement des attaques DDoS. Au lieu de se contenter de la force brute, les attaquants peuvent adapter leurs tactiques, imiter des utilisateurs légitimes et cibler des faiblesses spécifiques.
Tactiques adaptatives
Les attaques DDoS traditionnelles reposaient souvent sur des méthodes fixes : inonder le réseau ou submerger un service spécifique. Les systèmes pilotés par l’IA peuvent tester les défenses en temps réel et changer de technique en cas de blocage. Si un vecteur est filtré, le trafic se déplace vers un autre. Ce qui commence par une inondation UDP (User Datagram Protocol) peut se transformer en quelques secondes en une inondation DNS ou en une attaque basée sur HTTP.
Mimétisme humain
De plus en plus souvent, les attaques DDoS de la couche d’application tentent de ressembler à l’activité normale d’un utilisateur. Les outils d’IA peuvent générer des schémas de trafic qui ressemblent à un comportement de navigation réel, en faisant varier le moment des requêtes, en alternant les agents utilisateurs ou même, dans certains cas, en simulant des schémas de mouvement du curseur. Plus le trafic malveillant ressemble à celui d’utilisateurs légitimes, plus il devient difficile pour les filtres traditionnels basés sur des règles de faire la distinction entre les deux.
Analyses chirurgicales
L’IA peut également être utilisée pour identifier des points faibles spécifiques avant de lancer une attaque par déni de service. Plutôt que de submerger un site Web tout entier, les pirates analysent quels terminaux consomment beaucoup de ressources ou ne sont pas à jour en matière de correctifs. Une attaque ciblée et intense contre une fonction de connexion ou de recherche vulnérable peut provoquer les mêmes perturbations qu’une inondation beaucoup plus importante. Cela permet de réduire la quantité de trafic nécessaire et de diminuer le risque de détection immédiate.
IA défensive : détection à la vitesse des machines
L’IA transforme également la manière dont les attaques DDoS sont détectées et contenues. Les défenses modernes s’appuient sur une analyse automatisée et une atténuation rapide pour identifier le trafic anormal et réagir avant que la perturbation ne se propage.
Analyse comportementale
Les systèmes avancés d’atténuation des attaques DDoS s’appuient moins sur des règles statiques que sur la reconnaissance de formes. Plutôt que de bloquer le trafic uniquement en fonction de l’adresse IP ou d’un seuil de volume, les modèles d’IA établissent une base de référence du comportement normal : comment les utilisateurs accèdent généralement à un site, à quelle fréquence les requêtes se produisent et quels sont les schémas attendus. Lorsque le trafic présente des écarts subtils mais constants, le système le signale et le filtre. Ces anomalies peuvent être trop faibles ou trop rapides pour qu’un analyste humain puisse les détecter en temps réel.
Atténuation en moins d’une minute
Désormais, la vitesse détermine l’impact. De nombreuses attaques DDoS ne durent que quelques minutes, parfois même quelques secondes, mais les perturbations qu’elles entraînent peuvent se prolonger bien plus longtemps. En moins d’une minute, les systèmes d’atténuation automatisés peuvent réacheminer le trafic suspect vers des centres de nettoyage, appliquer une limitation de débit ou répartir la charge sur des réseaux mondiaux. À elle seule, l’intervention humaine ne peut pas réagir à cette vitesse. La réponse doit être continue et autonome.
Comment savoir si votre site Web ou votre service en ligne fait l’objet d’une attaque ?
La plupart des attaques DDoS ne se manifestent pas de manière évidente. Au début, elles ressemblent à une panne ordinaire ou à un ralentissement temporaire. La différence réside dans le schéma et dans la persistance. Si vous gérez un site Web ou si votre activité repose sur un site web, certains signes avant-coureurs devraient éveiller vos soupçons.
Temps de chargement anormalement lents. Si votre site Web commence soudainement à ralentir sans augmentation correspondante du trafic naturel, il s’agit souvent du premier indice. Des pages qui se chargent normalement en quelques secondes commencent à se bloquer. Les tableaux de bord Admin peuvent sembler ne pas répondre. Lorsque les performances chutent de manière généralisée, les attaques DDoS doivent figurer sur votre liste de contrôle des causes possibles.
Impossibilité d’accéder au site. Un signe plus visible est l’impossibilité totale de charger la page. Les utilisateurs peuvent voir s’afficher des erreurs telles que « 503 service unavailable » ou des messages génériques d’expiration du délai d’attente. Si votre hébergeur vous indique que le serveur lui-même est toujours en ligne, mais que le trafic ne peut pas être traité, une attaque par déni de service devient une explication probable.
Un pic de trafic soudain provenant d’une région. Si vous avez accès à des données d’analyse ou à des journaux d’hébergement, vérifiez d’où proviennent les requêtes. Une forte augmentation du trafic provenant d’une seule zone géographique, en particulier si celle-ci ne correspond pas à votre public habituel, peut être le signe d’une activité coordonnée. Dans de nombreuses attaques DDoS, le trafic semble concentré ou d’origine inhabituelle.
Performances médiocres sur l’ensemble de votre réseau. Les attaques DDoS ne visent pas toujours les grandes entreprises. Si votre réseau domestique ou celui de votre petite entreprise ralentit soudainement sur plusieurs services à la fois, et que votre fournisseur d’accès à Internet confirme l’absence de panne plus générale, un trafic entrant excessif peut en être la cause. Les routeurs et le matériel grand public peuvent rencontrer des difficultés en cas de charge soutenue.
Aucun symptôme pris isolément ne permet de prouver que des attaques DDoS sont en cours. La lenteur des performances peut avoir de nombreuses causes. Ce qui caractérise une attaque par déni de service, c’est un trafic anormal soutenu associé à une interruption du service.
Comment protéger votre entreprise et vous-même contre les attaques DDoS
Voici quelques conseils pour protéger votre entreprise et vous-même contre une attaque DDoS.
Utiliser un réseau de diffusion de contenu (CDN)
Un réseau de diffusion de contenu fait office de tampon entre votre site Web et l’Internet public. Au lieu d’envoyer l’ensemble du trafic directement vers votre serveur d’origine, les requêtes transitent d’abord par un réseau distribué de serveurs périphériques.
Cette distribution est importante. Lorsque des attaques DDoS tentent de saturer un seul serveur, un CDN répartit le trafic entrant sur de nombreux emplacements. En outre, les grands réseaux disposent d’une capacité de bande passante bien supérieure à celle d’une configuration d’hébergement autonome. En cas de pic de trafic, le réseau peut l’absorber et le distribuer, plutôt que de laisser un point unique faire défaut.
En outre, les CDN mettent en cache le contenu statique, ce qui réduit la fréquence à laquelle votre serveur d’origine doit répondre directement. Lors d’attaques DDoS volumétriques, cette réduction de la charge de travail peut permettre de maintenir les services essentiels en ligne.
Déployez un pare-feu d’application Web (WAF)
Un pare-feu d’application Web se place en amont de votre site et filtre les requêtes entrantes. Considérez-le comme un gardien qui évalue le trafic avant qu’il n’atteigne votre application.
Aujourd’hui, les systèmes WAF inspectent les schémas des requêtes, les en-têtes et le comportement. Ils peuvent appliquer une limitation du débit afin de restreindre le nombre de requêtes qu’une source unique peut effectuer au cours d’une période donnée. Ils peuvent bloquer les signatures malveillantes connues et soumettre les sessions suspectes à des étapes de vérification.
En ce qui concerne notamment les attaques au niveau de la couche application, un pare-feu d’application Web constitue souvent la première ligne de défense. Il permet de faire la distinction entre les utilisateurs légitimes et les abus automatisés, même lorsque le trafic semble normal à première vue.
Consultez votre fournisseur d’accès à Internet (FAI)
Les FAI proposent souvent des services d’atténuation des attaques par déni de service distribué (DDoS), notamment le filtrage du trafic. Dans une configuration de filtrage, le trafic suspect est redirigé vers une infrastructure spécialisée qui filtre les paquets malveillants avant de transmettre le trafic sain à votre réseau.
Dans les cas les plus graves, les fournisseurs peuvent recourir à des techniques telles que le routage vers un trou noir (« blackhole routing »), qui consiste à bloquer temporairement le trafic dirigé vers une cible spécifique afin de protéger l’ensemble du réseau. Cette mesure est brutale, mais elle peut empêcher des perturbations plus importantes.
L’essentiel, c’est la coordination. Si vous exploitez des services critiques, adressez-vous à votre fournisseur avant qu’un incident ne se produise. Sachez quelles solutions d’atténuation existent et dans quel délai elles peuvent être activées.
Pratiquez l’hygiène des appareils
Les attaques DDoS sont propulsées par des appareils compromis. Des équipements connectés à Internet et mal sécurisés, tels que des routeurs et des caméras, sont fréquemment intégrés à des botnets.
Veillez à maintenir le micrologiciel à jour. Modifiez les mots de passe par défaut. Désactivez tout accès à distance inutile. Utilisez des identifiants forts et uniques pour chaque appareil et interface d’administration.
La réutilisation des mots de passe reste l’une des voies les plus faciles vers une compromission, en particulier au niveau des outils internes et des panneaux d’infrastructure. Un gestionnaire de mots de passe tel que NordPass peut vous aider à générer et à stocker des identifiants de connexion complexes de manière centralisée, ce qui permet de réduire la dépendance à l’égard de mots de passe prévisibles ou dupliqués.
Aucune de ces mesures ne garantit à elle seule une immunité contre les attaques DDoS, mais, ensemble, elles réduisent à la fois l’exposition et l’impact.