En novembre 2025, un assaut numérique a été détecté qui a ré-exhibé la capacité de dommages des gros botnets : une attaque DDoS à essaim connue sous le nom d'AISURU ou de Kimwolf a atteint un pic de trafic de plus de 31 Tbps et, bien que sa durée soit courte - seulement 35 secondes - il suffisait de casser des records et d'automatiser l'atténuation de la force pour entrer en action.
Ce n'était pas un pouls isolé mais une série de campagnes de plus en plus volumétriques et sophistiquées.. Selon le rapport public de Cloudflare sur l'activité au quatrième trimestre de 2025, ces types d'incidents font partie d'un schéma : des vagues de requêtes HTTP et de paquets par seconde dont la taille et la fréquence ont rapidement grimpé l'année dernière. L'analyse de Cloudflare documente les attaques avec des taux moyens dans certaines campagnes de l'ordre de plusieurs milliards de paquets par seconde et des pics de dizaines de terabits par seconde, chiffres qui étaient auparavant considérés comme presque inimaginables. Plus d'informations et de données sur le rapport sont disponibles sur le blog Cloudflare: Rapport sur la menace Q4 2025.
Le moteur derrière une grande partie de cette force brute n'est pas des centres serveur sophistiqués, mais des appareils quotidiens qui ont été détournés: AISURU / Kimwolf a été en mesure d'intégrer plus de deux millions d'appareils mobiles et Android à son réseau, avec un impact spécial sur les boîtes de télévision Android de marques économiques. Beaucoup de ces équipes ont agi comme des « nœuds résidentiels » qui ont envoyé du trafic malveillant à partir d'adresses IP nationales, ce qui complique leur détection et facilite les attaques qui semblent provenir d'utilisateurs légitimes.
La menace a été amplifiée par un écosystème commercial opaque. La recherche liée à ce phénomène a mis en évidence les réseaux de proxénétisme résidentiel et les entreprises qui commercialisent les services de sortie (« proxénétisme résidentiel ») en tant qu'animateurs : leurs SDK et leurs applications échouées ont permis de regrouper les appareils à grande échelle sans le consentement des propriétaires. Face à cela, des géants comme Google sont intervenus pour désactiver certaines parties de cette infrastructure et collaborer à des actions techniques et juridiques visant à couper la communication entre les contrôleurs et les appareils infectés.
Pour comprendre l'ampleur du problème, il est nécessaire d'examiner les chiffres globaux: 2025 était une année au cours de laquelle l'activité DDoS a été déclenchée. Cloudflare a représenté des dizaines de millions d'attaques atténuées tout au long de l'année, avec une croissance annuelle qui a plus que doublé le nombre par rapport à l'année précédente, et avec une concentration importante d'incidents au cours du dernier trimestre. Le rapport montre également que la plupart des attaques ont été lancées au niveau du réseau - ce qu'on appelle les attaques par couche de réseau - et que des secteurs comme les télécommunications, les fournisseurs de services et les logiciels ont été parmi les plus touchés. L'analyse des tendances et des chiffres sur le radar et le rapport Cloudflare est disponible: Radar Cloudflare et le rapport complet.
Parallèlement, des médias spécialisés racontent des histoires concrètes sur la façon dont les petits appareils ménagers deviennent des morceaux de gigantesques botnets. Un examen du risque que posent les téléviseurs et les boîtes en streaming Android peut être lu dans un article de recherche publié dans KrebsOnSecurity, qui documente comment les appareils bon marché et mal gérés sont transformés en multiplicateurs de trafic malveillant: Votre boîte de streaming TV Android fait-elle partie d'un botnet ?.
Que peuvent et doivent faire les organisations et les utilisateurs? Pour les entreprises et les opérateurs qui dépendent de la disponibilité continue, la leçon est claire: la défense traditionnelle dans les boîtes locales ou les centres de purification à la demande peut ne pas être suffisante contre les attaques hypervolumétriques mesurées en térabits et des milliards de paquets par seconde. Les solutions basées sur le cloud et les réseaux de distribution mondiaux dotés d'une capacité d'absorption et d'atténuation automatiques sont devenus un élément critique du puzzle défensif. Dans le même temps, au niveau de l'utilisateur final, l'hygiène numérique de base - éviter les installations d'application non vérifiées, mettre à jour le firmware, et opter pour le matériel avec un support réputé - réduit la surface d'attaque et la probabilité qu'un appareil se retrouve dans un botnet.
De plus, les opérateurs et les fabricants doivent prendre des mesures proactives : appliquer des mécanismes de vérification dans les chaînes d'approvisionnement logicielles, restreindre les privilèges de l'application, fournir des mises à jour simples et forcer les correctifs de sécurité sur les équipements dotés de fonctions réseau. Les fournisseurs de services qui gèrent le trafic de masse devraient revoir leurs accords, leurs capacités de mise à niveau et leur coordination avec les partenaires de sécurité pour réagir aux pics de trafic soudains.
L'image de 2025 montre que les attaques DDoS ne sont plus de simples épisodes d'inconfort et deviennent des instruments qui peuvent affecter l'économie numérique à grande échelle. La combinaison d'appareils dangereux, de marchés qui monétisent les procurations résidentielles et d'outils automatisés pour générer du trafic malveillant a augmenté le seuil de ce que les organisations devraient prévoir.. La réponse est de moderniser les défenses, la collaboration public-privé et d'améliorer la robustesse des équipements connectés dans nos maisons.
Si vous souhaitez approfondir les chiffres, les techniques d'atténuation et les recommandations spécifiques pour différents types d'organisations, le rapport Cloudflare est un bon point de départ et l'article KrebsOnSecurity vous aide à comprendre comment les appareils domestiques alimentent ces menaces: Rapport Cloudflare T4 2025 DDoS et KrebsOnSecurity sur Android TV et botnets.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...