En bref

  • Europol coordonne 21 pays : 53 domaines DDoS-for-hire saisis, 4 arrestations, 25 mandats.
  • Plus de 3 millions de comptes criminels exposés, 75 000 utilisateurs contactés par courrier.
  • Action menée lors d'une semaine coordonnée du 13 au 16 avril 2026.

Les faits

Europol a annoncé le 16 avril 2026 la conclusion d'une nouvelle phase d'Operation PowerOFF, action internationale visant l'écosystème DDoS-as-a-service. Vingt-et-un pays ont participé : Australie, Autriche, Belgique, Brésil, Bulgarie, Danemark, Estonie, Finlande, Allemagne, Japon, Lettonie, Lituanie, Luxembourg, Pays-Bas, Pologne, Portugal, Suède, Thaïlande, Royaume-Uni, États-Unis. Bilan : 53 domaines saisis, quatre arrestations, vingt-cinq perquisitions. Source : Europol, The Hacker News, BleepingComputer, Security Affairs.

L'opération a donné accès à des bases de données totalisant plus de 3 millions de comptes criminels. Plus de 75 000 utilisateurs identifiés comme ayant commandité des attaques DDoS via ces plateformes ont reçu un courrier ou un email d'avertissement des forces de l'ordre de leur pays. La démarche mélange dissuasion individuelle et démantèlement d'infrastructure, approche désormais récurrente pour PowerOFF lancée initialement en 2018.

Impact et exposition

Les "booters" et "stressers" restent la porte d'entrée la plus fréquente vers la cybercriminalité : un simple abonnement à moins de 20 € par mois permet à un adolescent de lancer des attaques volumétriques jusqu'à plusieurs centaines de Gbps contre un serveur de jeu, un concurrent commercial ou une infrastructure institutionnelle. Les 3 millions de comptes révèlent l'ampleur réelle du vivier : la majorité sont des acheteurs occasionnels, pas des opérateurs techniques. Pour les entreprises exposées sur Internet, la saisie des 53 domaines offre un répit temporaire, car de nouveaux services apparaissent en quelques semaines.

Recommandations

  • Souscrire un service anti-DDoS volumétrique (scrubbing ou anycast) devant toute application exposée.
  • Mettre en place un rate-limiting applicatif et des captchas progressifs pour contrer les attaques L7.
  • Tester trimestriellement la bascule vers le mode "sous attaque" (challenge JS, IP filtering dynamique).
  • Documenter un runbook DDoS avec contacts opérateurs et seuils de déclenchement automatique.
  • Surveiller les mentions de votre marque sur Telegram et Discord pour détecter les préparatifs d'attaque.

Les utilisateurs occasionnels de booters risquent-ils vraiment des poursuites ?

Oui. En France, commanditer une attaque DDoS relève de l'article 323-2 du Code pénal (entrave au fonctionnement d'un système de traitement automatisé de données) : jusqu'à cinq ans de prison et 150 000 € d'amende. Les courriers d'avertissement envoyés par Europol servent précisément à installer une perception du risque : la prochaine étape après le courrier est l'enquête ciblée.

Faut-il se préparer à un rebond des DDoS après ces saisies ?

Les opérateurs survivants absorberont une partie de la demande, avec des prix potentiellement plus élevés à court terme. Les 4 arrestations ne neutralisent pas l'écosystème : de nouvelles plateformes apparaîtront d'ici trois à six mois. Maintenir les défenses anti-DDoS en permanence reste la seule stratégie viable, la fenêtre de calme post-takedown n'excédant jamais quelques semaines.

Sur les enjeux liés aux botnets IoT utilisés pour ces attaques, consultez notre dossier sur le démantèlement des botnets Aisuru et Kimwolf et notre article sur le record de 31 Tbps atteint en 2025.

Votre infrastructure résiste-t-elle à un DDoS ciblé ?

Ayi NEDJIMI réalise des audits d'exposition et simule des campagnes DDoS applicatives pour valider la robustesse de vos défenses avant qu'un booter ne le fasse pour vous.

Demander un audit DDoS