Le 24 septembre 2025, Cloudflare déclare avoir neutralisé une attaque DDoS d’une ampleur inédite, culminant à 22,2 térabits par seconde, un nouveau sommet dans l’arsenal des assaillants. Cette annonce marque une nouvelle escalade dans la guerre silencieuse entre opérateurs et cybercriminels.
Un nouveau record, doublant le précédent pic
Cloudflare affirme avoir stoppé une attaque DDoS atteignant 22,2 Tbps et 10,6 milliards de paquets par seconde, détectée et atténuée automatiquement, peut-on lire sur Clubic. L’assaut n’a duré que 40 secondes, mais cela lui a suffi pour dépasser largement le record antérieur de 11,5 Tbps intervenu quelques semaines plus tôt. Cette attaque double le niveau maximal jusqu’alors observé, un bond spectaculaire dans l’intensité des campagnes de DDoS.
La dimension de cette attaque est si exceptionnelle qu’elle questionne directement les capacités de défense actuelles : face à des débits aussi massifs, les équipements classiques saturent bien avant, sauf à disposer d’infrastructures distribuées de très grande ampleur.
Comment Cloudflare y est parvenu, ou du moins ce que l’on sait
Selon les déclarations publiques, les systèmes de Cloudflare ont détecté l’attaque et l’ont atténuée sans intervention humaine, en mode autonome. L’attaque visait un seul point d’adresse IP d’un opérateur d’infrastructure européen non dévoilé. Les sources du trafic ont été attribuées à plus de 404 000 adresses IP uniques réparties sur 14 systèmes autonomes (AS), sans usage de spoofing selon l’analyse interne déclarée. Cloudflare indique que le schéma d’attaque a été un « UDP carpet bomb », visant à saturer simultanément des milliers de ports (avec un pic avoisinant 47 000 ports).
Le botnet AISURU est cité comme suspect potentiel, déjà mis en cause dans des attaques précédentes (dont celle à 11,5 Tbps). Pour autant, Cloudflare n’a pas confirmé officiellement une attribution définitive à ce botnet pour l’attaque à 22,2 Tbps. La technique « hit-and-run » (attaque très intense mais ultra-courte) semble avoir été utilisée ici : l’attaque est déclenchée brièvement, avant que les défenses manuelles ou humaines ne puissent réagir. Ce mode opératoire augmente la pression sur les systèmes de détection et exigence d’automatisation complète, car chaque seconde perdue est un avantage pour l’attaquant.
De l’exception au nouveau standard ?
Ce saut de capacité (22,2 Tbps vs 11,5 Tbps quelques semaines plus tôt) reflète une progression fulgurante dans les capacités d’attaque. En 2025 déjà, Cloudflare indique avoir bloqué plus de 700 attaques dépassant le térabit par seconde ou le milliard de paquets par seconde, soit une moyenne d’environ huit par jour. Ces chiffres montrent que les assauts hyper-volumétriques deviennent fréquents, ce qui transforme peu à peu l’exception en norme pour les grandes infrastructures.
Pour donner un contexte, le trafic sortant cumulé des quatre principaux fournisseurs d’accès français fin 2024 s’élevait à 5,1 Tbps, soit moins d’un quart de ce que subit un tel assaut. Cela confronte directement les opérateurs plus modestes aux limites de leur résilience : seuls des architectures globales, massivement supportées par l’automatisation peuvent contenir ce type de vague.
Ainsi, l’annonce de Cloudflare ne célèbre pas seulement une victoire technque : elle indique aussi que la menace DDoS poursuit une trajectoire exponentielle, et que seuls les défenseurs les plus ambitieux tiendront la cadence.
Vous avez aimé cet article ? Abonnez-vous à notre Newsletter gratuite pour des articles captivants, du contenu exclusif et les dernières actualités.