Comment DataDome a contré une attaque DDoS de 2,45 milliards de requêtes visant une plateforme de contenu à fort trafic

À la mi-avril 2026, une attaque DDoS ciblant une plateforme de contenu généré par les utilisateurs à grande échelle a effectué plus de 2,45 milliards de requêtes en seulement cinq heures, sans jamais déclencher les limites de débit traditionnelles.

Au lieu de submerger les systèmes par la force brute, l’attaque a distribué le trafic sur plus de 1,2 million d’IP uniques, exposant une faiblesse structurelle dans la conception de la plupart des défenses.

Les systèmes comme ceux-ci sont une cible de choix pour les attaques DDoS : leur échelle signifie que la disponibilité est essentielle pour l’entreprise, leur richesse en données les rend attrayants pour les scrapers et les agrégateurs, et leur dépendance au contenu généré par les utilisateurs crée de multiples surfaces exploitables qu’une attaque distribuée peut frapper simultanément. La perturbation d’un seul système peut se répercuter sur l’ensemble, ce qui donnerait aux attaquants l’occasion d’extorquer de l’argent, de perturber les opérations à grande échelle ou d’utiliser la panne comme couverture pour d’autres activités malveillantes.

DataDome a bloqué l’attaque en temps réel. L’équipe de recherche sur les menaces Galileo a ensuite analysé ce qui s’est avéré être l’une des opérations DDoS les plus techniquement sophistiquées et diversifiées en termes d’infrastructure jamais observées.

Indicateurs clés de l’attaque DDoS

Principales conclusions

• À la mi-avril, une campagne DDoS de plus de 2,45 milliards de requêtes malveillantes a été lancée contre une plateforme de contenu généré par les utilisateurs à grande échelle sur une période de 5 heures, atteignant un pic de 205 344 RPS avec une moyenne soutenue d’environ 136 000 RPS.
• Le botnet s’étendait sur 1,2 million d’IP uniques à travers 16 402 systèmes autonomes, l’une des infrastructures DDoS les plus sophistiquées observées par DataDome. 
• Chaque source envoyait en moyenne une requête toutes les neuf secondes, restant bien en dessous de toute limite de taux raisonnable par IP, ce qui signifie qu’aucune IP unique n’a déclenché de détection. 
• La cadence adaptative de l’attaque reflète une opération gérée, où un opérateur humain ou une couche d’orchestration ajuste activement la campagne en réponse aux signaux de détection.
• La détection multi-couches de DataDome, qui combine l’empreinte digitale côté serveur, l’analyse comportementale et le renseignement sur les menaces, a identifié et aidé à atténuer la campagne sur tous les segments d’attaque.

Chronologie et ampleur de l’attaque

Les chiffres bruts sont frappants : plus de 2,4 milliards de requêtes en cinq heures, provenant de plus de 1,2 million d’adresses IP uniques, avec un pic de 205 344 requêtes par seconde. Il ne s’agissait pas d’une série de pics isolés au-dessus d’une base calme, mais d’un déluge continu de haute intensité, surmonté d’une modulation en vagues. Même les accalmies relatives de l’attaque atteignaient des dizaines de milliers de requêtes par seconde.

L’analyse du trafic a révélé un DDoS en forme de vague, dans lequel l’opérateur fait varier l’intensité plutôt que de s’engager à un taux constant. La phase initiale montre une première rafale de sondage suivie d’une ligne de base ascendante et bruyante, l’opérateur testant quels modèles de requêtes survivent à l’atténuation tandis que des sous-pics maintiennent la pression sur la cible.

Les pauses entre les vagues ont un objectif tactique. Elles permettent aux compteurs de limite de taux agrégés de se réinitialiser pendant que l’opérateur fait tourner les IP, échange les agents utilisateurs et ajuste les charges utiles. Ce rythme pulsé et adaptatif est une caractéristique des opérations de bot gérées, où un opérateur humain ou une couche d’orchestration automatisée ajuste activement la campagne en réponse aux signaux de détection plutôt que de la faire fonctionner en boucle ouverte. En effet, l’attaque a été conçue pour rester en dessous des seuils de détection tout en maintenant une pression soutenue à grande échelle. 

Trafic d’attaque observé par la protection contre les bots de DataDome sur une fenêtre de 5 heures

Les défenses basées sur des seuils statiques peinent à contrer ce type de profil, non pas parce que les pics individuels sont subtils (ils sont clairement anormaux), mais parce que le véritable avantage de l’attaquant est d’ordre structurel. Une distribution tournante de 1,2 million de sources signifie qu’aucune adresse IP ne dépasse jamais la limite par source, et les pauses entre les vagues laissent le temps aux compteurs au niveau de l’infrastructure de se réinitialiser.

Pour capter une campagne de ce type, il faut un système de détection qui s’appuie sur des références comportementales et qui considère la source, et non l’agrégat, comme l’unité d’analyse. La signature réside dans le schéma observé au fil du temps et entre les sources, et non dans le pic lui-même.

Infrastructure : conçue pour défier le blocage

Avec plus de 16 000 systèmes autonomes uniques en jeu, ce botnet représente l’un des profils d’infrastructure les plus fragmentés dans les recherches récentes de DataDome. Pour le contexte, une campagne typique de scraping à grande échelle pourrait fonctionner à travers quelques centaines d’ASN. Pour atteindre cinq chiffres, il faudrait soit une coordination extraordinaire, soit un accès à une infrastructure conçue dès le départ à cet effet.

Les principaux ASN contributeurs racontent leur propre histoire : 

Notez à quel point la distribution est plate : même le contributeur le plus important ne représente que 3% du trafic. Cette planéité est en soi une signature d’infrastructure, puisqu’aucun bloc ASN ne peut à lui seul entraver significativement l’attaque.

Le mélange est également délibéré. Des noms comme 1337 Services GmbH et Church of Cyberology ne sont pas des fournisseurs d’hébergement grand public ; ce sont des ASN orientés vers la confidentialité et favorables à l’anonymisation, connus des chercheurs comme l’infrastructure de choix pour les acteurs cherchant à minimiser leur empreinte traçable. Stiftung Erneuerbare Freiheit (“Fondation pour la liberté renouvelable”) suit le même schéma. 

À côté de ceux-ci se trouvent des noms connus comme Cloudflare, AWS, Google et DigitalOcean, présents comme couverture délibérée, car le trafic provenant de ces ASN se fond dans d’énormes volumes de sorties cloud légitimes.

Profil de l’attaquant

La campagne révèle un profil d’attaquant très dispersé mais moyennement sophistiqué.

Cet acteur exploite un botnet gigantesque, réparti à l’échelle mondiale, comptant plus de 1,2 million d’adresses IP distinctes réparties sur plus de 16 000 systèmes autonomes, générant près de 2,5 milliards de requêtes en seulement cinq heures.

Le niveau de furtivité est faible : chaque adresse IP a généré en moyenne environ une requête toutes les 9 secondes, un schéma bruyant et à haute fréquence qui privilégie le débit brut au détriment de l’invisibilité des nœuds individuels.

En matière d’évasion, l’acteur a déployé des efforts modérés pour paraître légitime, en falsifiant les en-têtes, les cookies et les paramètres d’URL en plus d’une obfuscation de base du TLS et des empreintes de serveur, mais n’a montré aucun signe d’automatisation avancée du navigateur, d’incohérence des empreintes ou de falsification JS, ce qui limite sa sophistication bien en deçà des outils de niveau expert.

L’adaptabilité s’étend à une rotation poussée de la géolocalisation des sessions, ainsi qu’au renouvellement des navigateurs et des environnements de session, sans oublier la variation de la fréquence des adresses IP, ce qui suggère un moteur de rotation correct, mais dépourvu de techniques de proxy réactif ou mobile/résidentiel.

Réseau : les adresses IP sources affichent des scores de réputation négatifs, accumulés à la suite d’activités malveillantes antérieures sur l’ensemble du réseau mondial de DataDome. Le trafic est acheminé via une infrastructure connue pour ses capacités d’anonymisation, avec des signaux de géolocalisation (origine IP, fuseau horaire, langue) qui se contredisent fréquemment, un schéma compatible avec une rotation intensive des proxys.

Côté serveur : les bots se présentent comme des navigateurs standard, mais leurs empreintes réelles révèlent une toute autre réalité. Les caractéristiques de la poignée de main TLS ne correspondent pas à l’environnement de navigateur déclaré, et les en-têtes HTTP ainsi que les paramètres de requête présentent des signes de fabrication délibérée plutôt que de génération organique. L’empreinte globale côté serveur s’écarte considérablement de ce que produit le trafic humain légitime.

Côté client : les signaux d’identification du navigateur varient au cours d’une même session d’une manière qu’aucun utilisateur réel ne produirait. Cette instabilité est la marque distinctive d’outils automatisés passant d’un profil de navigateur usurpé à l’autre, incapables de maintenir une identité cohérente pendant toute la durée d’une session.

Comportemental : le trafic présente des séquences de requêtes qui ressemblent peu aux schémas de navigation naturels. Les volumes de requêtes au niveau IP atteignent des extrêmes incompatibles avec la navigation humaine, et le contexte au niveau de la session contient des contradictions internes : des artefacts synthétiques d’une couche d’automatisation générant l’état de la session plutôt que de le vivre.

Comment DataDome a détecté et arrêté l’attaque DDoS

La détection de DataDome ne s’est pas appuyée sur un seul signal. L’empreinte digitale côté serveur a détecté des incohérences au niveau de la couche TLS et de la couche réseau qui avaient survécu à l’usurpation de la couche application. L’analyse comportementale a identifié des anomalies dans la séquence des sessions, des valeurs aberrantes dans la fréquence des adresses IP et des contradictions internes au sein d’environnements de session fabriqués de toutes pièces. Les renseignements sur les menaces (la mauvaise réputation des adresses IP occupait la troisième place parmi les signaux) ont signalé les adresses IP accumulant des anomalies comportementales sur le réseau mondial de DataDome, y compris celles opérant à partir d’ASN propices à l’anonymisation.

La structure en vagues de l’attaque, conçue pour épuiser les compteurs de limite de débit agrégés entre les impulsions, constituait en soi un signal comportemental. Le trafic légitime à cette échelle ne se présente pas sous forme d’impulsions.

Points clés à retenir pour les défenseurs

C’est la distribution, et pas seulement l’échelle, qui a rendu cette attaque significative : 16 402 ASN et 1,2 million d’adresses IP signifient que le blocage d’IP est insuffisant par nature. Lorsque les sources individuelles respectent les limites de débit par IP, la détection doit opérer au niveau du comportement et des empreintes, en analysant les modèles agrégés plutôt que le volume d’une source unique.

La sophistication des techniques d’évasion crée ses propres signatures : plus un attaquant ajoute de couches à sa pile d’usurpation d’identité, plus les risques d’incohérence interne sont élevés. Un en-tête falsifié qui ne correspond pas à une empreinte TLS qui ne correspond pas à la géolocalisation de la session est plus facile à détecter, et non l’inverse, qu’une attaque plus simple.

Les campagnes à structure ondulatoire nécessitent des références temporelles : la limitation de débit statique échoue face aux attaquants qui ajustent leur volume de manière dynamique. Les systèmes de détection ont besoin de mémoire : la capacité à identifier des modèles sur des fenêtres temporelles, et pas seulement à l’intérieur de celles-ci.

Conclusion : à mesure que les tactiques DDoS évoluent, cette attaque met en évidence un passage de la force brute à l’évasion par conception, utilisant la distribution et le timing pour contourner les défenses traditionnelles à grande échelle. Les attaques utilisant ce modèle ne se limitent pas à un seul type de plateforme et peuvent être reproduites dans des environnements à fort trafic. Une détection efficace nécessite d’identifier des modèles coordonnés entre les sources et dans le temps, plutôt que d’évaluer les requêtes de manière isolée.

Si votre plateforme fait face à des attaques DDoS similaires, réservez une démo pour voir comment DataDome peut protéger vos sites web, applications et API sans ajouter de friction pour les utilisateurs légitimes.

L’équipe de recherche sur les menaces Galileo de DataDome analyse en continu les campagnes d’attaques à travers notre base de clients mondiale. Cet article est basé sur les données d’attaque observées et l’analyse des marqueurs de menace de l’infrastructure de détection de DataDome.