Les attaques par déni de service distribué (DDoS), désormais dopées à l’intelligence artificielle, franchissent un nouveau seuil d’alerte. Le rapport semestriel rendu public jeudi par Netscout Systems, éditeur américain spécialisé dans la cybersécurité, chiffre à plus de huit millions le nombre d’assauts ayant paralysé des infrastructures numériques entre janvier et juin 2025. Un tiers d’entre eux s’est abattu sur l’Europe, le Moyen-Orient et l’Afrique, région déjà mise à rude épreuve par une instabilité géopolitique persistante.
Issus de collectifs hacktivistes, de groupes affiliés à des États ou d’un mercenariat numérique, les flux malveillants saturent désormais les canaux de communication, les transports, l’énergie et la défense. L’automatisation guidée par des algorithmes d’apprentissage automatique, l’emploi d’attaques multivectorielles ou encore le « carpet bombing » – déluge de paquets distribué sur l’ensemble d’un réseau – débordent les protections classiques fondées sur la signature et la mise en liste noire. Les Botnets et les objets connectés compromis servent d’armée de réserve : des dizaines de milliers d’objets domestiques, de serveurs et de routeurs participent, souvent à l’insu de leurs propriétaires, à la stratégie disruptive des assaillants.
La puissance de tir mesurée par Netscout ne laisse guère place au doute. Durant la période étudiée, plus de cinquante offensives ont dépassé le térabit par seconde ; l’attaque la plus volumineuse, 3,12 Tbit/s, a frappé les Pays-Bas, tandis qu’un pic de 1,5 gigapaquet par seconde a été détecté aux États-Unis. Autre phénomène marquant, l’intensification du facteur géopolitique : en mai, l’escalade entre l’Inde et le Pakistan a entraîné de multiples interruptions de services au sein de l’administration de New Delhi et des établissements financiers. Un mois plus tard, l’affrontement Iran-Israël a déclenché plus de 15 000 offensives contre Téhéran et 279 contre l’État hébreu.
Les cybermilitants prorusses de NoName057(16) occupent toujours le devant de la scène. Leurs équipes revendiquent 475 attaques pour le mois de mars uniquement, soit 337% de plus que leur premier poursuivant. Les cibles vont des portails institutionnels espagnols et taïwanais aux sites administratifs ukrainiens. D’autres acteurs émergent, tels DieNet — plus de soixante offensives depuis mars — ou Keymous+, qui enregistre soixante-treize attaques réparties sur vingt-huit branches industrielles et vingt-trois pays. L’effet d’industrialisation se traduit par un pic journalier de 1 600 agressions en mars, avec une durée moyenne élevée à dix-huit minutes, signe d’une orchestration de plus en plus fine.
La recrudescence s’accompagne d’un changement d’échelle qu’observe Richard Hummel, directeur de la veille sur les menaces chez Netscout : « Au moment où de nombreux groupes hacktivistes ne cessent de faire évoluer leurs tactiques grâce à de nouvelles possibilités d’automatisation et à la multiplication d’infrastructures partagées, les entreprises et organismes publics doivent reconnaître que les défenses traditionnelles ne suffisent plus, observe Richard Hummel, Director, Threat Intelligence chez NETSCOUT. L’intégration d’assistants IA et l’utilisation de grands modèles linguistiques (LLM), tels que WormGPT et FraudGPT, accentuent ce problème. Même si la récente opération d’Europol menée contre NoName057(16) a réussi à réduire temporairement les activités du botnet DDoS du groupe, il n’est pas garanti que celui-ci ne redevienne pas tôt ou tard une menace majeure. Les entreprises et organismes publics ont besoin de défenses DDoS éprouvées et basées sur la Threat Intelligence, capables de faire face aux attaques d’un haut niveau de sophistication que nous observons aujourd’hui. »
Pour étayer son diagnostic, l’éditeur s’appuie sur un réseau mondial de capteurs actifs, passifs et réactifs couvrant environ les deux tiers de l’espace IPv4 routé. Les données agrégées proviennent d’équipements réseau ayant traité un trafic de pointe supérieur à 800 Tbit/s au premier semestre. L’observatoire maison suit de manière continue plusieurs botnets ainsi que des places de marché de location d’attaques, afin d’identifier, presque à la seconde, le lancement d’une campagne et le vecteur utilisé.
Les chiffres publiés nourrissent le constat d’une spirale où innovations offensives et contre-mesures se livrent une course sans ligne d’arrivée visible. D’un côté, la multiplication de services « DDoS-as-a-Service » abaisse le seuil technique requis pour commettre un sabotage numérique. De l’autre, les opérateurs de réseaux misent sur la télémétrie en temps réel, l’isolation de segments sensibles ou l’analyse comportementale pour filtrer le trafic déviant. Les spécialistes interrogés notent pourtant un déphasage : l’exécution d’une attaque assistée par algorithme propre à l’attaquant demeure souvent plus rapide que la reconfiguration de filtres sur l’infrastructure cible.
Source : NetScout
Etude : « DIGITAL AFTERSHOCKS: COLLATERAL DAMAGE FROM DDoS ATTACKS » – https://www.netscout.com/threatreport
