Industrialisation des botnets IoT, montée en puissance de l’IA offensive et effacement des barrières techniques redessinent un modèle d’attaque plus accessible, plus rapide et potentiellement plus destructeur. Netscout publie un rapport qui met en lumière cette bascule : plus de 8 millions d’attaques recensées au second semestre 2025, et des pics désormais capables d’atteindre 30 Tbps.
Une stabilité trompeuse, des capacités en explosion
Plus de 8 millions d’attaques DDoS ont été enregistrées dans le monde au second semestre 2025, un niveau globalement stable par rapport au début d’année. Mais cette stabilité masque une transformation structurelle du risque.
Les capacités offensives ont franchi un nouveau cap, avec des attaques atteignant jusqu’à 30 térabits par seconde et 4 gigapaquets par seconde, portées notamment par des botnets IoT de nouvelle génération comme Aisuru ou les variantes TurboMirai.
Dans le même temps, la sophistication devient la norme. Plus de la moitié des attaques sont désormais multivecteurs, combinant plusieurs techniques pour saturer simultanément la bande passante et les états réseau.
Comme le souligne le rapport, « la seconde moitié de 2025 ne représente pas simplement une évolution des menaces DDoS, mais un changement fondamental dans la capacité à lancer des attaques sophistiquées » (citation traduite de l’anglais).
Botnets, hacktivisme et infrastructures sous tension
Cette montée en puissance s’appuie sur une industrialisation des infrastructures d’attaque. Les botnets IoT exploitent des équipements largement répandus – routeurs, caméras, équipements domestiques – pour générer des flux massifs, parfois supérieurs à 1 Tbps depuis des réseaux compromis.
Les dynamiques d’acteurs évoluent également. Malgré des opérations de démantèlement, certains groupes conservent une forte capacité d’action. Le collectif NoName057 a ainsi revendiqué plus de 200 attaques sur le seul mois de juillet 2025, dans un contexte de plus de 20 000 événements DDoS recensés sur cette période.
La collaboration entre groupes amplifie encore l’impact. Le partenariat entre Keymous et DDoS54 a permis de multiplier par près de quatre la puissance des attaques, illustrant une logique d’écosystème où les capacités offensives se mutualisent.
Les infrastructures critiques restent en première ligne. Les serveurs racine DNS ont subi au moins 38 attaques significatives en 2025, tandis que les services NTP ont généré plus de 45 000 alertes liées à des activités DDoS. La résilience tient, mais sous pression constante.
L’IA abaisse définitivement la barrière à l’attaque
Le basculement le plus structurant se joue ailleurs : dans l’intégration de l’intelligence artificielle au cœur des opérations offensives.
Les plateformes de DDoS-as-a-service intègrent désormais des assistants conversationnels capables de piloter des campagnes complètes à partir d’instructions en langage naturel. L’utilisateur n’a plus besoin de maîtriser les protocoles ou les vecteurs : il décrit un objectif, l’IA s’occupe du reste.
Ces systèmes peuvent identifier les cibles, sélectionner les vecteurs, ajuster le timing et même proposer des optimisations en fonction des échecs précédents. Le DDoS devient un processus itératif, guidé, presque assisté.
« Les utilisateurs peuvent demander un résultat – perturber un site pendant les heures de bureau en Europe – plutôt que configurer ports, protocoles ou tailles de paquets » (citation traduite de l’anglais).
Cette évolution s’inscrit dans un mouvement plus large. Les discussions autour des outils d’IA malveillants ont bondi de 219 %, tandis que les usages de contournement progressent de 52 %, accélérant la transformation d’une menace autrefois technique en service accessible.
Le paysage DDoS de 2025 ne se caractérise plus seulement par l’ampleur des attaques, mais par leur accessibilité. Entre botnets massifs, coordination entre acteurs et automatisation par l’IA, la frontière entre compétence et capacité s’efface.
L’attaque devient un service. Et désormais, une conversation.
