Attaques DDoS : pourquoi tant de haine ?

C’est un principe de guerre bien connu : il faut 3 fois plus d’attaquants que de défenseurs pour réussir une offensive. Lors du débarquement de Normandie, par exemple, environ 150 000 soldats alliés ont fait face à 50 000 Allemands.

Cette logique s’inverse lors d’une attaque DDoS, il est assez simple de saturer un service avec peu de alors qu’un défenseur doit déployer des ressources considérables pour s’en protéger.

Cette asymétrie explique sans doute pourquoi les attaques DDoS sont si fréquentes et continue de gagner en popularité.

En témoigne cette annonce de cloudflare : au premier trimestre 2025 les attaques DDoS ont augmenté de 358 % par rapport à l’année précédente.

Devant cette recrudescence des attaques DDoS, on peut légitimement se poser la question : qu’est-ce qui motive vraiment les auteurs de ces attaques ?

Dans le cadre de nos missions d’infogérance, nous sommes régulièrement confrontés à des attaques DoS et DDoS.

Si du fait de leur impact négligeable beaucoup passent inaperçues, d’autres sont plus complexes à gérer et peuvent nécessiter des ressources importantes pour en limiter les effets. Par ailleurs, comme nos clients ont des profils très variés, les attaques que nous voyons diffèrent. Aussi bien par leur ampleur que par les motivations qui les expliquent.

Dans cet article, nous vous parlons des principales motivations derrière les attaques DDoS.

Motivations (geo)politiques et guerre hybrid

La motivation la plus importante que nous constatons auprès de nos clients est d’ordre politique.

Il est important de préciser que les attaques DDoS pour des raisons politiques ne sont pas nécessairement les plus nombreuses, mais elles sont surreprésentées dans l’échantillons des attaques ayant un impact notable sur la stabilité des services.

Les attaques pour raisons politiques (et très souvent géopolitiques) sont aussi en forte croissance en nombre et en intensité, du fait de la guerre en Ukraine notamment.

Qu’il s’agisse d’hacktiviste, de guerre hybride ou de mouvements idéologiques transnationaux les acteurs prêts à utiliser l’attaque DDoS comme outil d’influence sont nombreux.

Les principales cibles touchées sont les ONG, les administrations publiques et les médias.

Les attaquants motivés par des enjeux politiques sont plus déterminés et mettent en œuvre des moyens importants pour atteindre leurs objectifs.

Contrairement aux malfaiteurs agissant à des fins strictement pécuniaires, ces assaillants sont prêts à mettre en œuvre plus de ressources pour atteindre leur cible.

Les attaques DDoS les plus importantes sont souvent expliquées par des motivations politiques, qu’elles soient clairement revendiquées ou non : elles peuvent évidemment impacter un service, une organisation, ou l’infrastructure informatique d’un pays dans sa globalité.

Quelques exemples récents :

• Le Kazakhstan a subit une attaque qui perturbe gravement ses infrastructures.
• La Roumanie victime d’une attaque de grande ampleur lors des élections présidentielles
• L’accroissement des tensions entre le Pakistan et le l’Inde se joue aussi dans l’espace cyber
• Les hacktivistes pro-russes intensifient les attaques DDoS contre les organisations néerlandaises

Mais l’exemple emblématique des attaques DDoS comme arme politique et de guerre hybride c’est évidemment l’attaque contre l’Estonie en 2007 ayant conduit à la création du centre d’excellence pour la cyberdéfence de l’OTAN.

Motivations pécuniaires

Les attaques aux objectifs pécuniaires gagnent en popularité, d’abord, parce que le coût de ces attaques est très bas. Prenons pour exemple l’organisation criminelle qui vendait des packs DDoS à 10 EUR, démantelée récemment par Europol.

Se pose donc la question … comment gagne-t-on de l’argent avec des attaques DDoS ? Eh bien, en rançonnant : une fois le service inaccessible, l’attaquant peut envoyer sa demande de rançon. Le faible coût des attaques DDoS les rend rapidement rentables : quelques euros dépensés pour une attaque aux impacts financiers potentiellement dévastateurs pour la victime.

Mais il existe d’autres méthodes de monétisation des attaques DDoS …

Elles sont de plus en plus utilisées pour dissimuler des opérations beaucoup plus insidieuses (et potentiellement rentables).

Dans de nombreux cas, les attaques DDoS ont été menées en parallèle d’autres attaques : vol de données, escalade de privilèges, mouvements latéraux dans le système, etc.

l’assaillant mise sur la désorganisation temporaire des équipes pour par exemple tenter des connexions par mot de passe en brute force ou une escalade de privilège sur un service secondaire.

Les logs sont désactivés, personne ne voit la tentative.

Il est important de prendre au sérieux les attaques DDoS de moindre envergure, elles peuvent être des signaux faibles d’autres opérations beaucoup plus dévastatrices.

Les principales cibles de ces attaques sont les sites de e-commerce, les sites de grandes entreprises ou un service critiques d’une PME.

Motivations commerciales

Dans certains secteurs très concurrentiels ou dans les secteurs de l’économie les plus numérisés, les attaques DDoS sont utilisées par les concurrents peu scrupuleux pour paralyser leurs compétiteurs.

L’objectif est très simple : nuire à la disponibilité d’un concurrent pendant une période critique (Blackfriday, Lancement de nouveau service ou produit …).

Selon Kapersky, en 2021, 12% des attaques DDoS étaient organisées par des concurrents

Conclusion

la majorité des attaques DDoS ne sont pas revendiquées et dans la plupart des cas, les victimes ne sont pas en mesure de motiver ces attaques.

Dans ce contexte il est très difficile de savoir précisément ce qui se cache derrière ce phénomène, même si dans bien des cas les objectifs sont faciles à déduire.

Quoi qu’il en soit, comme dans bien des cas la meilleure solution c’est d’être préparé et accompagné.