La scène est probablement familière : un site web cesse soudainement de répondre, une page de connexion expire, ou un service en ligne devient inaccessible au pire moment. Souvent, la panne ne vient pas d’un problème interne mais d’une attaque par déni de service distribué, une technique qui submerge un service avec un trafic massif.
Ces attaques, abrégées DDoS, représentent depuis longtemps un moyen simple de paralyser un service en ligne. Elles fonctionnent en saturant son infrastructure avec un flot de données qui l’empêche de fonctionner, sans que l’assaillant ait besoin de pénétrer dans les systèmes. Aujourd’hui, ces attaques sont commercialisées comme un service mature, et leurs conséquences sont bien réelles.
La société Cloudflare a rapporté avoir bloqué une attaque de 7,3 Tbps en 2025, puis une autre de 31,4 Tbps au quatrième trimestre de la même année. Microsoft a aussi indiqué que son service Azure avait contré une attaque de 15,72 Tbps en octobre 2025, qu’il attribue au botnet Aisuru.
Derrière ces incidents, des vendeurs du marché clandestin rivalisent pour séduire les mêmes acheteurs avec des arguments de plus en plus affûtés. Des analyses récentes décrivent des panneaux de contrôle d’attaque, des accès par API, des abonnements mensuels, des options de revente, un support client, et des promesses de contournement des protections de Cloudflare.
Une comparaison entre les données du début d’année 2023 et celles de 2026 révèle l’évolution rapide de cette offre. Ce qui se présentait souvent sous forme de scripts, de tutoriels ou d’outils piratés apparaît désormais comme un produit standardisé, plus simple à acheter et à utiliser.
Une attaque DDoS cherche à submerger un site web, une application, un réseau ou un serveur avec un trafic provenant de nombreuses sources simultanément. Certaines ciblent la capacité du réseau, tandis que d’autres visent les ressources applicatives comme les pages de connexion. L’objectif est simple : rendre le service indisponible, instable, ou trop coûteux à maintenir.
Le modèle « DDoS-as-a-Service » abaisse encore la barrière. Au lieu de construire une infrastructure, un attaquant peut payer pour accéder à un panneau web, choisir une cible, sélectionner une durée, et s’appuyer sur le botnet ou le réseau de proxy d’un tiers.
L’analyse des chercheurs de Flare
Les chercheurs de Flare ont recherché des activités liées au DDoS sur les marchés clandestins pour deux périodes : les cinq premiers mois de 2023 et les cinq premiers mois de 2026. Après nettoyage et curation des données, leur analyse fait ressortir plusieurs points clés.
| Sujet | 2023 | 2026 | Évolution |
|---|---|---|---|
| Volume d’enregistrements | 4 403 | 4 964 | Légère augmentation |
| Annonces de services DDoS à fort signal | 38 | 364 | Multiplication par ~10 |
| Clusters d’annonces uniques | 31 | 123 | Multiplication par ~4 |
| Acteurs uniques | 15 | 41 | Multiplication par ~3 |
| Sources observées | 22 | 43 | Multiplication par ~2 |
Cette recherche se concentre spécifiquement sur les attaques distribuées (DDoS), et non sur les dénis de service plus simples, qui fonctionnent différemment mais visent le même résultat.
Des outils épars aux services packagés
Les sujets des posts de 2023 étaient plus divers. Les offres tournaient souvent autour de scripts, d’outils divulgués, de tutoriels ou d’annonces génériques pour des « services de botnet ».
Un type de post récurrent en 2023 promouvait un « Service de Botnet L7 – L4 » et vantait des capacités de couches réseau 3, 4 et 7, un accès API optionnel, des paiements automatiques et des contournements des protections de Cloudflare. Un texte publicitaire identique apparaissait sur plusieurs sources, ce qui suggère du copier-coller ou de la revente de contenu marketing.
Si les posts de 2023 parlaient surtout des services, ceux de 2026 mettent davantage l’accent sur le prix et l’offre.
Une annonce pour « SatelliteStress » décrivait le service comme un « stresseur » d’IP avec un panneau utilisateur convivial, un accès API, un support pour les serveurs de jeu et des abonnements mensuels à partir de 20 euros. Le même post affirmait que le service était « 100% alimenté par botnet » pour se distinguer des revendeurs qui dépendent de l’infrastructure d’autres fournisseurs.
Un autre exemple, nommé « Areshun », proposait un « Service DDoS Premium » avec des attaques de couches 4 et 7, un système de monitoring, une intégration API, des plans sur mesure, un support permanent et des codes promotionnels.
Un service similaire, « RebirthStress », se commercialisait aussi comme un dispositif de stress d’IP et web alimenté par botnet, avec un hub gratuit pour la couche 7, plus de 400 « slots » et des tarifs à partir de 15 dollars par mois.
L’examen de ces posts révèle une tendance nette. En 2026, l’annonce se focalise sur un produit. Les vendeurs rivalisent pour les clients, ils emballent tout proprement et vantent des fonctionnalités attractives : facilité d’usage, automatisation complète, support intégral, promesse de confidentialité, capacité de revente et fiabilité.
Les détails techniques n’ont pas disparu, ils font partie de l’argumentaire commercial. En 2026, les annonces associent plus souvent les revendications sur les couches 4 et 7, ce qui signifie que le service prend en charge à la fois les attaques au niveau réseau et au niveau application. Les mots « panel », « API », « slots », « bypass », « monitoring », « uptime » et « support » sont récurrents.
Une annonce liée à THORCC prétendait disposer de plus de 7 000 bots actifs pour la couche 4 et mettait en avant des analyses de bande passante. Un autre post en russe et en anglais présentait un « test de stress professionnel » avec des promesses de contournement de Cloudflare et de DDoS-Guard.
Les vendeurs exagèrent peut-être leurs capacités. Cependant, la régularité de leur langage marketing reste un renseignement important. Elle montre ce que les acheteurs sont incités à valoriser au-delà du simple volume de trafic : les panneaux web, l’automatisation, les promesses de contournement et la capacité à lancer ou revendre des attaques avec un effort minimal.
Une démocratisation des prix
Le prix d’une attaque DDoS en 2026 est très bas. Voici quelques offres observées :
- Tests à 5 dollars.
- Attaques à 10 dollars par jour.
- Forfaits mensuels à partir de 15 dollars.
- Forfaits hebdomadaires autour de 30 dollars.
Il existe aussi des offres plus coûteuses. Un acteur nommé « SamuraiDD » proposait des attaques à partir de 100 dollars par jour.
Un autre acteur, « POWERDDOS », utilisait un modèle à paliers : 5 dollars pour un test, 100 dollars par jour pour une cible « faible », 200 dollars pour une cible « moyenne » et 500 dollars pour une cible « forte » ou protégée.
Enfin, quelques offres « premium » incluaient le ciblage de type infrastructure, comme un réseau de botnets DDoS annoncé à 2 000 dollars.
Ce schéma montre un marché segmenté selon le type d’acheteur. Des tests bon marché et des attaques courtes pour les utilisateurs peu expérimentés, des tarifs journaliers pour des perturbations ponctuelles, des négociations privées pour des campagnes plus longues, et des offres à plus forte valeur pour des clients plus sérieux ou des revendeurs.
Des rapports publics sur l’économie des « booters », ces services loués de DDoS, corroborent ce modèle d’accès à bas coût. Akamai note que certains de ces services peuvent coûter moins de 25 dollars par mois et proposent parfois des essais limités.
Conclusions
Le « DDoS-as-a-Service » ne se résume plus seulement au volume de trafic. Le marché abaisse constamment la barrière à l’entrée, ce qui facilite l’achat, l’utilisation et la revente. Ce qui compte désormais, ce n’est pas seulement la puissance d’une attaque, mais aussi la facilité avec laquelle on peut la lancer via un panneau, les différents forfaits, le support complet, l’accès API et l’infrastructure louée.
Cela réduit le seuil d’accès pour plusieurs types d’acteurs. Les utilisateurs peu compétents peuvent acheter des attaques courtes et bon marché. Des clients plus sérieux peuvent négocier des campagnes plus longues ou plus volumineuses. Les revendeurs peuvent étendre la portée du service initial. Par conséquent, les défenseurs ne doivent pas présumer qu’une activité DDoS disruptive nécessite un attaquant sophistiqué derrière l’écran.
À court terme, ce marché devrait continuer à évoluer vers des modèles de service encore plus aboutis, avec des grilles tarifaires plus claires, une automatisation renforcée, des programmes de revente plus solides et un branding plus marqué autour des capacités de « contournement » et de la fiabilité des attaques.