Vous l'avez probablement déjà vécu : un site web soudainement inaccessible, une page de connexion qui expire, ou un service en ligne qui devient injoignable. Bien que des pannes internes puissent en être la cause, il s'agit souvent d'une attaque par déni de service distribué (DDoS) conçue pour submerger le service de l'extérieur. Les attaques DDoS perturbent les services en ligne en les submergeant de trafic, en épuisant l'infrastructure et en les rendant inaccessibles sans pour autant compromettre les systèmes. Désormais, le DDoS est conditionné, marqué et vendu comme un service en ligne mature, avec un impact réel significatif. **Cloudflare** a rapporté avoir bloqué une attaque de 7,3 Tbps en 2025 et a ensuite atténué une attaque de 31,4 Tbps dans son rapport DDoS du T4 2025. **Microsoft** a également signalé qu'**Azure** avait atténué une attaque de 15,72 Tbps en octobre 2025, l'attribuant à la botnet **Aisuru**. Derrière ces incidents, les vendeurs clandestins rivalisent pour attirer les acheteurs avec des argumentaires de plus en plus soignés. Une analyse récente par les chercheurs de **Flare** met en évidence des panneaux d'administration d'attaques, un accès API, des plans mensuels, des options de revente, un support client, une capacité basée sur des botnets, des méthodes ciblant les serveurs de jeux et des affirmations de contournement de **Cloudflare**. Une comparaison de l'activité clandestine liée au DDoS entre les cinq premiers mois de 2023 et 2026 révèle l'évolution rapide de ces offres. Ce qui apparaissait autrefois comme des scripts, des tutoriels, des outils divulgués et des publications de forum dispersées est maintenant un produit reproductible, plus facile à acheter et à exploiter. ## Qu'est-ce que le DDoS ? Une attaque DDoS submerge une cible (site web, application, réseau ou serveur) avec du trafic provenant de nombreuses sources. Les attaques peuvent cibler la capacité du réseau ou les ressources de la couche application comme les pages de connexion et les API. L'objectif principal est de rendre le service indisponible, instable ou coûteux à maintenir. DDoS-as-a-service réduit encore davantage la barrière à l'entrée. Les attaquants peuvent payer pour accéder à un panneau web, choisir une cible et une durée, et exploiter la botnet ou le réseau de proxies de quelqu'un d'autre.  ## Analyse des chercheurs de Flare Les chercheurs de **Flare** ont analysé l'activité clandestine liée au DDoS entre les cinq premiers mois de 2023 et 2026. Les données sélectionnées ont révélé des tendances significatives : | Sujet | 2023 | 2026 | Changement | |-----------------------------|-------|-------|---------------| | Volume d'enregistrements | 4 403 | 4 964 | Légère augmentation | | Annonces de services DDoS à fort signal | 38 | 364 | ~10x augmentation | | Clusters d'annonces uniques | 31 | 123 | ~4x augmentation | | Acteurs uniques | 15 | 41 | ~3x augmentation | | Sources observées | 22 | 43 | ~2x augmentation | *Note : Cette recherche s'est concentrée sur les dénis de service distribués (DDoS), excluant les offres de déni de service à source unique (DoS).* ## Des outils dispersés aux services packagés Les publications de 2023 étaient plus diverses, tournant autour de scripts, d'outils divulgués, de tutoriels ou d'annonces génériques de "service de botnet". Une publication récurrente de 2023 promouvait un "Botnet Service L7 - L4", revendiquant des capacités de couche 3, couche 4 et couche 7, un accès API optionnel, des paiements automatiques, des slots d'attaque élevés, le ciblage de serveurs de jeux et des contournements de **Cloudflare**. Le même texte apparaissait sur plusieurs sources, suggérant de la revente ou du marketing recyclé.  Les publications plus récentes de 2026 mettent l'accent sur le prix et les offres. Une publicité pour "SatelliteStress" décrivait le service comme un IP stresser avec un panneau convivial, un accès API, un support pour les serveurs de jeux et des plans mensuels à partir de 20 €. La publication revendiquait une infrastructure "100% alimentée par botnet". "Areshun" propose un "Premium DDoS Service" avec des attaques de couche 4 et couche 7, une surveillance, une intégration API, des plans personnalisés, un support 24/7 et des codes de réduction promotionnels.  "RebirthStress" est commercialisé comme un appareil de stress IP et web alimenté par botnet, un hub gratuit de couche 7, plus de 400 slots, une aptitude à la revente et des plans à partir de 15 $/mois. La tendance est claire : les publications de 2026 se concentrent sur un produit, les vendeurs rivalisant pour attirer les clients en proposant des fonctionnalités telles que la facilité d'utilisation, l'automatisation, le support, la confidentialité, la capacité de revente et la fiabilité. ## Le langage technique fait partie du argumentaire de vente Les détails techniques n'ont pas disparu ; ils font désormais partie de l'argumentaire de vente. Les publicités de 2026 regroupent couramment les revendications de couche 4 et couche 7 (support d'attaques au niveau réseau et applicatif) avec des termes tels que "panel", "API", "slots", "bypass", "monitoring", "uptime" et "support". Une publicité liée à THORCC revendiquait plus de 7 000 bots actifs de couche 4 et promouvait l'analyse de bande passante et les statistiques des vecteurs d'attaque. Une autre publication présentait des "tests de stress professionnels" tout en revendiquant des contournements de **Cloudflare** et **DDoS-Guard**, une haute concurrence et de longues durées d'attaque. Les vendeurs peuvent exagérer leurs capacités, mais la cohérence du langage marketing fournit des renseignements précieux. Cela montre que les acheteurs sont encouragés à valoriser les panneaux web, l'automatisation, les revendications de contournement et la capacité de lancer ou de revendre des attaques avec un minimum d'effort, au-delà du simple volume de trafic. ## Le modèle économique Le prix des attaques DDoS en 2026 est remarquablement bas.