Illustration de la news DataDome bloque 19 millions de requêtes malveillantes pendant la coupe du monde 2026

DataDome bloque 19 millions de requêtes malveillantes pendant la coupe du monde 2026

#news Dernière mise à jour : 06/07/2026 à 11:56, publié le : 06/07/2026

Et devinez d'où provient cette attaque ?

Coupe du Monde 2026 : DataDome met hors d’état de nuire une offensive de 19 millions de requêtes malveillantes liée à un hébergeur russe

Les agressions visant les sites de paris sportifs montent d’un cran avec l’arrivée de la Coupe du Monde de la FIFA 2026. L’événement provoque une activité sans précédent sur ces plateformes à l’échelle mondiale, et DataDome constate une nette hausse des attaques de bots contre ce secteur.
Pour l’une des principales plateformes européennes de paris sportifs, le trafic filtré tournait autour de 200 000 requêtes quotidiennes au début du mois de juin, avant d’augmenter progressivement jusqu’à atteindre près de 19 millions de requêtes malveillantes stoppées en seulement trois semaines.

Le 10 juin, juste avant le match inaugural, la plateforme a été visée par une offensive bien plus brutale : un flash DDoS ayant généré 786 000 requêtes en 87 secondes, avec un sommet proche de 18 000 requêtes par seconde. L’attaque était déjà achevée avant que la majorité des outils de détection n’aient pu accumuler assez d’éléments pour comprendre qu’un incident était en cours.
L’assaut provenait de Biterika Group LLC, un hébergeur russe déjà associé à une attaque DDoS contre des médias. Selon la télémétrie DataDome, 91 % du trafic issu de ce fournisseur est malveillant. Certaines campagnes de bots cherchent à passer sous les radars, en espaçant les requêtes sur de longues durées, en gardant chaque IP sous les seuils de vigilance et en se fondant dans le trafic normal. Ici, c’est l’inverse qui s’est produit.
DataDome a identifié et bloqué en direct la vague prolongée comme le flash DDoS. Galileo, l’équipe de recherche en menaces de DataDome, a ensuite étudié l’opération et mis au jour un botnet s’appuyant sur une architecture de proxys déjà connue, avec un modèle de détection IA qui s’est montré déterminant face à l’ensemble de la campagne.

Principaux enseignements

Les attaques de bots contre les sites de paris sportifs ont bondi depuis le début de la Coupe du Monde de la FIFA 2026, avec près de 19 millions de requêtes bloquées en trois semaines pour une grande plateforme européenne.
À la veille du match d’ouverture, la plateforme a subi un flash DDoS de 786 000 requêtes en 87 secondes, majoritairement lancé depuis l’hébergeur russe Biterika Group LLC.
Le trafic visait presque exclusivement le web(99,79 %), avec une exploration très faible des accès de connexion(0,21 %) et de création de compte(0,01 %), ce qui montre que l’objectif principal était bien de perturber le service.

DataDome a neutralisé à lui seul plus de 10 millions de requêtes, en repérant la campagne prolongée grâce à des motifs temporels caractéristiques.

Chronologie de l’attaque

À partir de fin mai, le volume de requêtes bloquées pour cette plateforme a commencé à grimper de façon continue, d’abord doucement, puis plus nettement à partir du 5 juin, au fur et à mesure que la Coupe du Monde approchait. Le 9 juin, le total journalier bloqué avait été multiplié par presque dix par rapport au début du mois. En observant le 10 juin, veille du coup d’envoi, on distingue un pic isolé qui écrase tout le reste : plus d’un million de requêtes dans une seule fenêtre, soit plus de trois fois le point haut des jours précédents.

Le trafic provenant de Russie s’envole jusqu’à environ 18 000 requêtes par seconde, dessinant un mur presque vertical, sans montée progressive, sans phase d’échauffement, sans escalade graduelle. En quelques secondes, la répartition géographique s’étend. Des adresses américaines, allemandes, indonésiennes, singapouriennes et venues d’une douzaine d’autres pays rejoignent le flux, chacune apportant quelques centaines à quelques milliers de requêtes par seconde. L’ensemble se tasse ensuite en une traîne soutenue d’environ 1 000 req/s, toujours très au-dessus d’un niveau normal, mais moins violent que le sommet initial.

La structure de l’offensive est parlante. On n’observe qu’un seul vrai pic, une impulsion coordonnée unique plutôt qu’une succession de vagues ou une pression croissante. Cela laisse penser que l’opérateur n’a pas réagi en temps réel : il a lancé toute sa capacité d’un seul coup et n’a pas tenté de relancer l’attaque de manière notable après le blocage. L’élargissement géographique qui suit le pic russe peut répondre à une autre logique : en dispersant rapidement les origines sur plusieurs pays, l’attaque neutralise en grande partie tout filtrage géographique. Cela peut aussi relever d’une volonté de brouiller l’attribution et de résister à une défense fondée sur la localisation.

Infrastructure : proxys connus et hébergeur russe

L’opération reposait entièrement sur une base de proxys identifiés, incluant des proxys de datacenters et des opérateurs déjà mal notés dans les bases de threat intelligence. Il ne s’agit pas d’un usage improvisé, mais d’une campagne préparée en amont, construite volontairement à partir de fournisseurs ayant déjà un historique de trafic hostile. Aucune des géolocalisations observées ne correspond à la clientèle légitime de la plateforme. Une plateforme de paris sportifs régulée en Europe ne voit pas arriver son trafic depuis la Russie, l’Indonésie ou la Corée du Sud. Chaque pays affiché dans ces données renvoie à une infrastructure relayée par proxy ou hébergée en datacenter, sans rapport avec la vraie localisation de l’attaquant.

Tous les systèmes autonomes n’ont pas joué le même rôle. L’attaque s’est étendue sur 625 systèmes autonomes, mais un d’entre eux a largement dominé la répartition des sources : Biterika Group LLC(AS35048), basé en Russie, qui représente 76,4 % de tout le trafic offensif. Les autres ASN(dont des noms connus comme Alibaba, Tencent, QuickPacket et Oracle) sont chacun restés sous les 7 %, jouant plutôt un rôle d’appoint que de colonne vertébrale.

Biterika est un acteur russe de l’hébergement internet et des proxys, installé à Zelenograd, à Moscou. Il fournit surtout des serveurs, des proxys publics et des services d’anonymisation. D’après son site commercial proxy[.]house, Biterika se présente comme le plus grand fournisseur russe de serveurs proxy.

Même s’il se présente comme une société d’hébergement Web classique, Biterika est surtout connu dans la sphère cybersécurité pour son infrastructure permissive, ses liens avec des entités russes sous sanctions et son implication présumée dans des cyberattaques alignées sur les intérêts de l’État. En juin 2025, une attaque DDoS visant deux médias a été remontée jusqu’à l’infrastructure Biterika. Ces médias avaient publié une enquête sur un réseau d’exploitation sexuelle de mineurs, révélant comment des clients influents, dont des oligarques russes, avaient échappé à la justice. La télémétrie DataDome dessine un constat similaire. Sur sept jours, plus de 91 % du trafic provenant de cet ASN s’est révélé frauduleux, ce qui en fait l’un des systèmes autonomes les plus régulièrement malveillants observés chez nos clients.

Profil de l’attaquant

L’essentiel de l’effort a été consacré à l’usage de proxys connus et à la falsification des en-têtes HTTP ainsi que des cookies, des procédés assez élémentaires qui laissent côté serveur des incohérences d’empreinte faciles à repérer. Les signatures de navigateur étaient anciennes et ne collaient pas aux usages observés chez les internautes actuels. L’instabilité de l’environnement de session(22 % des indicateurs de menace) et les incohérences de géolocalisation(7 %) révèlent l’emploi d’outils de rotation au niveau de la session. Mais cette rotation reste superficielle : l’environnement de session et l’identité du navigateur changent, tandis que les empreintes matérielles et celles de l’appareil restent identiques, un schéma typique des solutions d’automatisation qui modifient les user-agents sans conserver une cohérence plus poussée.

Les flash DDoS contre des plateformes à très fort trafic ne sont pas forcément uniquement destructeurs. Ils peuvent aussi servir de levier de pression, pour pousser la cible à verser une rançon en échange d’une future attaque plus massive ou plus durable. Le choix du moment est ici révélateur : frapper une plateforme de paris sportifs juste avant le match d’ouverture de la Coupe du Monde maximise l’effet de menace. Rien n’indique qu’une demande de rançon accompagnait cet incident précis, mais les plateformes de paris sportifs devraient considérer les flash DDoS survenant pendant les grands rendez-vous sportifs comme de possibles préambules à des tentatives d’extorsion, et non comme de simples incidents techniques isolés.

Comment DataDome a détecté et stoppé l’attaque

Face au flash DDoS, la détection de DataDome a fonctionné simultanément sur quatre niveaux. Au niveau réseau, le renseignement sur la réputation des IP a immédiatement signalé une part importante de l’infrastructure proxy du botnet dès le premier contact : les adresses déjà connues comme hostiles ont été reconnues et bloquées avant même toute analyse comportementale. L’étude des empreintes TLS et des en-têtes a permis de repérer des présentations de navigateur truquées ayant échappé à la fabrication côté application.

Sur le plan comportemental, le profil des requêtes agrégées(volume, répartition des fréquences, anomalies dans l’enchaînement des sessions) était d’emblée incompatible avec un trafic légitime pour cette plateforme. La fenêtre de 87 secondes est l’élément critique. Un système de détection ayant besoin de plusieurs minutes pour atteindre une confiance statistique serait encore en train de démarrer lorsque l’attaque serait déjà finie. Dans ce type de scénario, une détection en temps réel avec une latence inférieure à la seconde n’est pas un luxe : c’est la seule qui serve vraiment. Le temps qu’un analyste humain examine le dossier et transmette l’alerte, l’événement serait déjà passé.

Pour la vague plus large et persistante qui a précédé et suivi le flash DDoS, le défi était différent : une montée progressive du volume, sur de nombreuses sessions, sans la signature nette d’un événement en pic. Grâce à sa capacité à générer automatiquement des règles de détection à partir de signaux observés dans la durée, la startup a, à elle seule, bloqué plus de 10 millions de requêtes malveillantes pour ce client depuis le 1er juin.

Recommandations pour les équipes de sécurité

La hausse des attaques au moment de la Coupe du Monde de la FIFA 2026 n’a rien d’un hasard. Les grands événements drainent à la fois de la valeur et de la pression sur les plateformes : les cotes évoluent rapidement, les utilisateurs se connectent massivement, et toute interruption a un impact financier comme réputationnel immédiat. Les attaquants le comprennent très bien. Les sites de paris sportifs doivent donc envisager les grands tournois comme des calendriers de menace et adapter leur défense en conséquence.

Les attaques en burst sont conçues pour dépasser la vitesse de réaction : 87 secondes ne laissent aucune marge à une intervention humaine en temps utile. Un blocage automatisé en temps réel, avec une latence de l’ordre de la milliseconde, est la seule posture crédible face à ce type d’offensive.

La séquence russe en premier constitue une signature opérationnelle à surveiller : un pic inhabituel de trafic d’origine russe sur une plateforme qui ne vise pas ce marché est un signal précoce fort d’un possible burst mondial imminent. Les défenseurs capables d’agir dès ce premier pic, avant que la vague ne s’étende, disposent d’un avantage net.

L’infrastructure de proxys connus représente une surface de détection très fiable : cette attaque s’est entièrement appuyée sur des plages de proxys déjà signalées. Un flux de threat intelligence bien tenu et mis à jour en continu repérera une part significative du trafic dès le premier contact, avant même d’avoir besoin de s’appuyer sur les signaux comportementaux.

La détection doit fonctionner à deux rythmes : un flash DDoS et une campagne étalée sur plusieurs semaines sont deux problématiques distinctes qui demandent des réponses différentes. Le flash DDoS exige une réaction automatisée en moins d’une seconde. La campagne durable nécessite un modèle capable d’observer les tendances dans le temps, de repérer les anomalies émergentes et de produire de nouvelles règles au fil de l’évolution de l’attaque. Une couche de défense efficace dans un seul de ces cas laissera des zones aveugles. La campagne liée à la Coupe du Monde rappelle que ces deux menaces peuvent arriver en même temps, sur la même cible.