Comment DataDome a protégé une marketplace de 90 millions d’utilisateurs contre les attaques DDoS Flash

Au cours du dernier mois, une marketplace de e-commerce de premier plan qui compte plus de 90 millions d’utilisateurs, a été la cible de deux attaques DDoS Flash. Ces attaques ont duré en moyenne 2 minutes et ont généré un total de plus de 60 millions de requêtes de bots.

Une attaque DDoS Flash est une attaque par déni de service distribué (DDoS) ultra-courte et à haute intensité, conçue pour submerger les services en ligne en quelques instants. Contrairement aux attaques DDoS traditionnelles, qui maintiennent un trafic élevé sur une longue période, les attaques DDoS Flash frappent soudainement, atteignant un pic en quelques secondes avant de disparaître presque aussitôt. Seuls des systèmes de défense DDoS, comme DataDome, capables d’opérer en quelques millisecondes, sont en mesure de détecter et de contrer ces attaques DDoS Flash en raison de la vitesse extrême à laquelle les requêtes affluent.

En raison du volume de requêtes de bots et de leur faible qualité—atteignant 640 000 requêtes par seconde au pic—DDoS Protect a été déclenché. DataDome DDoS Protect protège les sites web, applications mobiles et API des entreprises contre les pics soudains de trafic générés par des bots. Notre moteur d‘apprentissage automatique multi-couche analyse un large éventail de signaux – empreintes, modèles comportementaux et réputation du réseau – pour détecter et bloquer en temps réel même les attaques les plus sophistiquées. Contrairement aux outils d’atténuation basiques, nos systèmes s’adaptent instantanément pour suivre l’évolution des menaces.

DDoS Protect a réagi en moins de 2 millisecondes face à l’augmentation du trafic. L’attaque a été bloquée à la périphérie avant de pouvoir causer le moindre dommage ou la moindre perturbation à notre client et à ses millions d’utilisateurs.

Principaux chiffres des attaques DDoS Flash

Pendant un total de 2 minutes, le 13 janvier 2025, de 2H04 à 2H06 UTC, ce géant du e-commerce a été ciblé par une première attaque comprenant 32 543 807 requêtes de bots. L’ampleur de l’attaque aurait pu entraîner la chute de ses serveurs (et de son site web) sans la protection fournie par DataDome.

Pendant 2 minutes, le 9 février, de 11H09 à 11H11 UTC, ce géant du e-commerce a de nouveau été ciblé par 33 628 148 requêtes de bots.

Vue d’ensemble des attaques DDoS Flash

Le graphique ci-dessous (Image 1) représente le trafic de bots géré tout au long de la première attaque de 2 minutes par notre moteur de détection, par intervalles de 30 secondes, atteignant un pic de 620 000 requêtes par seconde au milieu de l’attaque.

Image 1 : nombre de requêtes par seconde bloquées par DDoS Protect lors de la 1ère attaque flash

Le graphique ci-dessous (Image 2) représente le trafic de bots géré tout au long de la seconde attaque de 2 minutes par notre moteur de détection, par intervalles de 30 secondes, atteignant un pic de 640 000 requêtes par seconde au milieu de l’attaque.

Image 2 : nombre de requêtes par seconde bloquées par DDoS Protect lors de la 2ᵉ attaque flash

Distribution des attaques

On peut voir qu’à tout moment, l’attaquant a utilisé des milliers d’adresses IP ainsi que des centaines de user-agents et de systèmes autonomes pour orchestrer ces attaques. Il s’agissait d’attaques hautement distribuées, avec des requêtes provenant de 107 pays différents (Image 3). On observe également que les pays d’origine de la majorité des requêtes étaient l’Indonésie, les États-Unis, l’Allemagne, la Russie et la Turquie.

Image 3 : pays d’origine des requêtes les plus nombreuses selon l’analyse des empreintes

Comment les attaques ont-elles été détectées et bloquées ?

Les requêtes provenant d’une plage spécifique d’adresses IP ont été immédiatement identifiées en quelques millisecondes comme du trafic de bots malveillants. Cependant, dès que le volume de ces requêtes a commencé à augmenter brusquement, il est devenu évident qu’il s’agissait d’une attaque DDoS Flash.

Grâce à notre approche de détection multi-couche, l’attaque a été identifiée via l’analyse d’un large éventail de signaux. Même si l’attaquant avait modifié une partie de son attaque (par exemple, l’empreinte ou le comportement), elle aurait probablement été détectée grâce à d’autres signaux et méthodes d’analyse.

DDoS Protect a neutralisé l’attaque en quelques millisecondes, détectant et atténuant automatiquement la montée en charge du trafic à la périphérie du réseau—avant même qu’elle n’atteigne la couche applicative. Alors que d’autres fournisseurs sont confrontés à des retards, des faux positifs ou des temps d’arrêt, notre plateforme a assuré un service ininterrompu, maintenant les utilisateurs légitimes en ligne sans limitation de débit ni dégradation. Aucun temps d’arrêt. Aucune perturbation. Tout se passe comme d’habitude.

Protégez votre entreprise contre les interruptions avec DataDome

Les attaques DDoS ne sont plus seulement une nuisance, elles représentent une menace croissante pouvant paralyser les entreprises en ligne en quelques secondes, coûtant jusqu’à 6 000 $ par minute d’interruption. Les attaques modernes sont plus sophistiquées, exploitant des botnets, des réseaux proxy et des tactiques d’évasion basées sur l’IA pour contourner les défenses traditionnelles. Les conséquences peuvent être désastreuses : perturbation des opérations, perte de revenus et atteinte à la confiance et à la réputation de la marque, et cela en quelques minutes seulement.

Lorsqu’une attaque est détectée, DDoS Protect la bloque automatiquement, quel que soit le nombre de requêtes qui submergent vos serveurs. Votre entreprise reste en ligne, vos clients ne sont pas impactés et votre équipe de sécurité gagne en sérénité.

Planifiez une démo dès aujourd’hui pour découvrir comment DataDome protège votre entreprise.