C'est quoi une attaque DDoS ?
Définition, types (volumétrique, protocolaire, applicative), exemples célèbres (Mirai, GitHub 1,35 Tbps), statistiques 2024 et 5 réflexes de protection. Tout sur le déni de service distribué — l'attaque qui paralyse les services en ligne par saturation.
C'est quoi une attaque DDoS ?
Une attaque DDoS (Distributed Denial of Service, ou déni de service distribué) consiste à saturer un service exposé sur Internet — site web, API, application mobile, infrastructure réseau — par un volume de trafic illégitime massif provenant de sources multiples (souvent un botnet de machines compromises), rendant le service inaccessible aux utilisateurs légitimes.
Le DDoS est l'une des menaces cyber les plus anciennes et les plus accessibles. Service à la location sur le dark web (DDoS-as-a-Service) à partir de 10 € l'heure, il sert à la fois de levier de pression économique (e-commerce paralysé en pleine campagne), de diversion (saturation pendant qu'une autre attaque se déroule), de levier idéologique (hacktivisme militant) ou de levier géopolitique. Pour la dimension organisationnelle complète, voir crise cyber.
Les 3 grandes familles d'attaques DDoS
- DDoS volumétrique. Saturation pure de la bande passante. Mesurée en Gbps ou Tbps. Techniques typiques : amplification UDP (DNS, NTP, memcached), réflexion. Cible : la pipe internet de l'organisation.
- DDoS protocolaire. Exploitation des faiblesses des protocoles réseau. SYN flood, Ping of Death, Smurf attack. Mesurée en paquets/seconde. Cible : les équipements (firewalls, routeurs, serveurs).
- DDoS applicatif (couche 7). Ciblage des couches applicatives. HTTP flood, slowloris, attaques sur API. Beaucoup moins de volume mais beaucoup plus difficile à filtrer car le trafic ressemble à un trafic légitime.
Tendance 2024 : DDoS hybrides
Les attaques modernes combinent les 3 familles simultanément, en multi-vecteurs, avec des phases de variation pour contourner les défenses adaptatives. Une bonne protection doit gérer les 3 couches.
Le DDoS en chiffres
Attaques DDoS marquantes
Mirai botnet
Botnet de 600 000 caméras IP compromises. Saturation de Dyn, paralysant Twitter, Netflix, GitHub, Spotify pendant plusieurs heures.
GitHub — 1,35 Tbps
Premier record historique au-delà du Tbps. Amplification via memcached. Mitigation par Akamai en moins de 10 minutes.
Cloudflare — 5,6 Tbps
Record actuel. 13 000 appareils du botnet Mirai-variant. Ciblait un fournisseur de services internet asiatique. Bloqué automatiquement.
Sites institutionnels FR/UE
Vague d'attaques Killnet et NoName057(16) sur sites gouvernementaux français, ministères, sites de soutien à l'Ukraine.
5 réflexes pour se protéger contre le DDoS
CDN avec anti-DDoS
Cloudflare, Akamai, OVHcloud. La protection est intégrée et active dès le premier paquet illégitime.
Surcapacité bande passante
Hébergeur dimensionné pour absorber des pics 10× le trafic normal. Particulièrement critique pour les sites e-commerce et publics.
Architecture résiliente
Auto-scaling cloud, équilibrage de charge multi-régions, séparation services critiques / non-critiques.
WAF couche 7
Web Application Firewall pour les attaques applicatives qui passent les protections réseau classiques.
Plan de bascule
Procédure documentée de bascule en mode dégradé, page d'attente, communication aux utilisateurs en cas de service indisponible.
L'approche Twist face au DDoS
Twist intervient sur la dimension organisationnelle et communicationnelle du DDoS — la dimension technique étant traitée par les équipes RSSI/DSI et les fournisseurs anti-DDoS.
- Communication de crise « service indisponible » : préparation des messages utilisateurs, procédures de mise à jour de l'état du service, relations partenaires.
- Exercice DDoS simulé en cellule de crise : test de la chaîne détection → notification → bascule → communication.
- Plan de continuité intégrant les scénarios d'indisponibilité prolongée. Voir plan de gestion de crise.
FAQ DDoS
C'est quoi une attaque DDoS ?
Une attaque DDoS (Distributed Denial of Service) sature un service exposé sur Internet par un trafic illégitime massif provenant de sources multiples (botnet), rendant le service inaccessible. Cibles : sites web, API, services bancaires en ligne, services publics numériques.
Quels sont les types de DDoS ?
Trois grandes familles. Volumétrique : saturation de la bande passante. Protocolaire : exploitation des protocoles réseau (SYN flood). Applicative : ciblage des couches applicatives (HTTP flood) — moins de volume mais plus difficile à filtrer.
Comment se protéger d'une attaque DDoS ?
Cinq leviers : CDN avec protection anti-DDoS native (Cloudflare, Akamai, OVHcloud), surcapacité de bande passante, architecture résiliente avec auto-scaling, filtrage applicatif (WAF), plan de continuité avec procédure de bascule et communication aux utilisateurs.
Quels sont les cas célèbres de DDoS ?
Mirai (2016) — 600 000 caméras IP, paralyse Twitter/Netflix/GitHub. GitHub (2018) — 1,35 Tbps, premier record. Cloudflare (2024) — 5,6 Tbps, record actuel. Vagues d'attaques Killnet et NoName057(16) sur sites institutionnels français depuis 2022.
Combien coûte une attaque DDoS ?
Pour la victime : coût d'indisponibilité (perte de CA, perte de service, perte de confiance) + coût de la mitigation d'urgence. Pour les attaquants : dérisoire — DDoS-as-a-Service à 10 € l'heure sur le dark web pour plusieurs Gbps. Asymétrie majeure.
Préparer votre résilience face au DDoS ?
30 minutes pour cadrer vos enjeux et dessiner une trajectoire réaliste. Gratuit, sans engagement.
Discuter avec un consultant