• Une attaque de 29,7 Tbps, que Cloudflare qualifie de record mondial.
• Une attaque de 14,1 Bpps, autre record historique en termes de paquets par seconde.

Pour l’attaque de 29,7 Tbps, il s’agissait d’un bombardement UDP « carpet-bombing », envoyant simultanément du trafic vers environ 15 000 ports de destination par seconde. La distribution du trafic et l’aléatortie des attributs des paquets cherchaient à contourner les filtres, mais les protections automatisées de Cloudflare ont réussi à détecter et atténuer cette avalanche sans intervention humaine.

Depuis le début de 2025, l’entreprise a neutralisé 2 867 attaques attribuées à Aisuru, dont 1 304 durant ce troisième trimestre.

Les attaques les plus massives… et de plus en plus courtes

La taille n’est pas le seul problème. Le rapport souligne que les attaques sont plus courtes et plus explosives, rendant leur réponse encore plus complexe.

• Les attaques dépassant 100 millions de paquets par seconde (Mpps) ont augmenté de 189 % par rapport au trimestre précédent.
• Celles dépassant 1 Tbps ont connu une croissance de 227 %.
• En couche HTTP, 4 attaques sur 100 ont dépassé le seuil de 1 million de requêtes par seconde.

Cette tendance de « frappes éclair » rend obsolètes les approches classiques — comme faire appel à un centre de nettoyage à la demande ou activer manuellement des règles sur un pare-feu. Lorsqu’une équipe de sécurité parvient à réagir, l’attaque est déjà finie… et le service toujours en panne.

Le poids des couches L3/L4 : la majorité des attaques ciblent le réseau

Au troisième trimestre 2025, 71 % des attaques DDoS enregistrées concernaient la couche réseau (L3/L4), contre 29 % pour les attaques HTTP. En chiffres absolus, cela représente environ 5,9 millions d’attaques réseau et 2,4 millions d’attaques HTTP.

Les tendances divergent également :

• Les attaques de réseau ont augmenté de 87 % trimestriellement et de 95 % en un an.
• Les attaques HTTP, en revanche, ont diminué de 41 % par rapport au trimestre précédent et de 17 % sur un an.

Cette évolution s’explique en grande partie par la contribution d’Aisuru, qui privilégie les vecteurs volumétriques réseau, notamment les floods UDP, qui ont bondi de 231 % trimestre après trimestre, devenant le vecteur le plus courant. Viennent ensuite les attaques DNS, les SYN floods et les ICMP floods, représentant ensemble plus de la moitié de tous les attaques DDoS réseau.

Malgré près de dix ans depuis leur première apparition majeure, le rapport confirme que Mirai reste très présent: environ 2 attaques réseau sur 100 proviennent encore de variantes de ce botnet historique.

L’Indonésie, épicentre du trafic malveillant

Concernant l’origine du trafic DDoS, la carte pointe à nouveau vers l’Asie. Sept des dix principales sources d’attaques se situent sur ce continent, avec l’Indonésie en tête.

L’Indonésie est en tête depuis un an entier parmi les pays d’origine des attaques DDoS. La progression est impressionnante : en seulement cinq ans, depuis le troisième trimestre 2021, le pourcentage de requêtes DDoS HTTP en provenance de ce pays a augmenté de 31 900 %, selon les données de Cloudflare.

La société rappelle que parler d’« origine » ne signifie pas nécessairement attribution : beaucoup de ces requêtes proviennent de dispositifs compromis ou de services mal configurés dans ces pays, et non d’acteurs malveillants locaux.

Des terres rares aux véhicules : industries ciblées

Le rapport de Cloudflare confirme que les attaquants choisissent leurs cibles en suivant de très près l’actualité économique et géopolitique.

Dans le secteur des Mines, Minéraux et Métaux, les attaques DDoS ont fortement augmenté durant le troisième trimestre, en parallèle avec l’intensification des tensions entre l’Union européenne et la Chine concernant les tarifs sur les véhicules électriques, l’exportation de terres rares et les exigences en matière de cybersécurité. Ce secteur a gagné 24 positions dans le classement mondial, se plaçant au 49e rang parmi les industries les plus ciblées.

Le secteur automobile a connu la croissance la plus spectaculaire : il a progressé de 62 places en un seul trimestre, pour devenir le sixième secteur mondial le plus attaqué. Les entreprises de cybersécurité ont également connu une hausse significative d’attaques, gagnant 17 places, pour se classer au 13e rang.

Au global, durant ce trimestre, les secteurs les plus ciblés étaient :

1. Technologies de l’information et services
2. Télécommunications
3. Jeux en ligne et casinos

Viennent ensuite banca et services financiers, retail, électronique grand public et les secteurs mentionnés automobile et médias / édition, qui ont eux aussi connu des pics notables.

L’IA, cible prioritaire : pics jusqu’à 347 % en septembre

Une des données particulièrement sensibles du rapport concerne l’écosystème de l’intelligence artificielle générative. En septembre 2025, à l’occasion d’un mois marqué par des débats sur la réglementation, l’éthique et l’utilisation de l’IA dans les gouvernements, Cloudflare a détecté des augmentations mensuelles allant jusqu’à 347 % du trafic d’attaques HTTP DDoS contre des entreprises d’IA générative, en prenant pour référence plusieurs services leaders du secteur.

Ce même mois, une étude du Tony Blair Institute révélait que la majorité de la population britannique perçoit l’IA davantage comme une menace économique que comme une opportunité, tandis que la Commission de droit du Royaume-Uni annonçait une révision de l’utilisation de l’IA dans l’administration publique. En parallèle, les systèmes hébergeant des modèles d’IA en cloud sont devenus des cibles évidentes.

Pour les jeunes startups et fournisseurs de modèles, cette tendance représente un double défi : protéger les API et les consoles de gestion contre les attaques applicatives, tout en blindant l’infrastructure réseau contre des campagnes massives visant à saturer bande passante et ressources informatiques.

Quand la contestation devient aussi numérique : Maldives, France, Belgique

Cloudflare observe à nouveau une corrélation directe entre protestations dans la rue et attaques DDoS en ligne.

• Aux Maldives, les manifestations sous le slogan “Lootuvaifi” (« Stop au pillage ! ») contre la corruption perçue et une loi controversée sur les médias ont coïncidé avec une vague d’attaques DDoS. Le pays a gagné 125 places dans le classement mondial, se plaçant au 38e rang.
• En France, le mouvement “Block Everything” (« Bloquons tout »), lancé par des syndicats contre l’austérité, la réforme des retraites et l’augmentation du coût de la vie, a été accompagné d’attaques contre des sites et services français. La France a gagné 65 places, passant au 18e rang.
• En Belgique, les mobilisations repeignant la frontière rouge pour Gaza à Bruxelles ont également coïncidé avec une hausse des attaques, faisant grimper le pays de 63 places jusqu’au 74e rang.

Dans le Top 10 des pays les plus ciblés, la Chine reste en tête, suivie de Turquie et d’Allemagne. Les États-Unis ont connu la plus forte progression, gagnant 11 places pour se positionner au cinquième rang, tandis que les Philippines ont progressé de 20 places pour aussi intégrer le top dix.

HTTP DDoS : botnets connus, faux navigateurs et attaques de connexion

En couche HTTP, Cloudflare indique que près de 70 % des attaques DDoS proviennent de botnets déjà identifiés sur ses systèmes. Cela illustre l’un des bénéfices d’opérer sur un réseau mondial : lorsque qu’un botnet attaque un client, les signatures et motifs sont partagés automatiquement pour protéger les autres.

Environ 20 % des attaques HTTP proviennent de navigateurs falsifiés ou headless, ou de requêtes aux attributs suspects. Les 10 % restants incluent des floods génériques, des requêtes conçues pour briser le cache (cache busting) et des attaques ciblant les pages de connexion, où un volume massif de requêtes peut bloquer l’accès légitime des utilisateurs.

Pourquoi les défenses DDoS héritées deviennent obsolètes

La conclusion de Cloudflare est claire : la montée en puissance des attaques plus grandes, plus rapides et plus liées à des événements politiques ou économiques rend obsolètes de nombreuses stratégies de défense traditionnelles.

Les organisations qui dépendaient de :

• Dispositifs locaux (appliances on-premise) pouvant absorber un certain volume de trafic,
• Services de scrubbing à la demande, nécessitant une activation manuelle ou un processus d’escalade,

se retrouvent désavantagées face à des attaques qui durent quelques secondes mais saturent des lignes de plusieurs Tbps. Lorsqu’une attaque génère même des « dommages collatéraux » sur des infrastructures d’ISP, qui n’étaient pas la cible principale — comme cela a été le cas avec Aisuru —, la fenêtre d’action humaine est inexistere.

Dans ce contexte, le rapport recommande un modèle de mitigation toujours active et autonome, intégré à un réseau global en tant que service. Cloudflare rappelle proposer une protection DDoS sans limite de volume et sans coûts additionnels pour les attaques à tous ses clients, dans le cadre de sa solution “connectivity cloud”, combinant protection des réseaux d’entreprise, accélération d’applications et contrôles Zero Trust.

Questions fréquentes sur le rapport DDoS de Cloudflare et le botnet Aisuru

Qu’est-ce exactement qu’Aisuru et pourquoi inquiète-t-il autant les experts en cybersécurité ?
Aisuru est un botnet massif, avec entre 1 et 4 millions d’appareils compris, répartis mondialement. Capable de lancer des attaques DDoS hyper-volumiques dépassant 29,7 Tbps et 14,1 Bpps. Sa taille, ses options de location en tant que « service » et sa capacité à provoquer des dommages collatéraux, même sur des infrastructures non ciblées, en font une menace de premier plan dans le contexte actuel.

Pourquoi beaucoup d’attaques DDoS sont-elles si courtes, alors que leur impact peut durer des heures ?
Les attaquants privilégient des campagnes brèves — souvent moins de 10 minutes — pour maximiser l’effet de surprise et réduire la risque de réponse manuelle. Or, même si l’attaque ne dure que quelques secondes, elle peut provoquer des décalages en base de données, des sessions utilisateurs compromises et des systèmes critiques instables, nécessitant de longs processus de récupération et validation.

Quels secteurs et quels pays doivent être les plus inquiets face à l’augmentation des attaques DDoS en 2025 ?
Selon le rapport, les secteurs les plus ciblés sont la technologie, les télécommunications, le jeu en ligne, la banque, la distribution, l’automobile, la cybersécurité et les médias. Quant aux pays, la Chine, la Turquie, l’Allemagne, les États-Unis et les Philippines figurent parmi les plus touchés, avec des hausses brusques, notamment aux Maldives, en France et en Belgique, liées à des mobilisations et tensions politiques.

Que peuvent faire les entreprises pour se protéger de Aisuru et des nouvelles attaques hyper-volumiques ?
Les spécialistes recommandent de revoir toute stratégie basée uniquement sur des appliances locales ou des services à la demande, et d’opter pour des défenses DDoS en mode always-on, capables d’atténuer automatiquement des attaques hyper-volumiques en quelques secondes, près de la source du trafic. L’intégration de telles protections dans une architecture connectée sécurisée — avec CDN, WAF et Zero Trust — permet de réduire le risque à la fois au niveau réseau et applicatif.

Sources :
Cloudflare – Rapport de menace DDoS T3 2025 de Cloudflare – incluant Aisuru, l’apogée des botnets
Cloudflare – Historique des rapports DDoS et tendances en 2025