S3 1 Tio
S3 1 Tio
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

La Poste revient sur sa cyberattaque, « inédite par sa sophistication » et son intensité

2,14 milliards de colis par seconde !

La Poste revient sur sa cyberattaque, « inédite par sa sophistication » et son intensité

Illustration : Flock

Trois semaines après une cyberattaque d’envergure, La Poste revient sur le sujet. À défaut d’un post-mortem technique, l’entreprise distille quelques chiffres et affirme aussi qu’« aucune entreprise française n’a subi, à ce jour, une cyberattaque en déni de services d’une telle intensité ». Dans le monde, il y a déjà eu bien pire.

Le 22 décembre, La Poste était la cible d’une cyberattaque d’ampleur qui a rendu indisponibles ses services en ligne pendant plusieurs jours. Le 24 décembre, le groupe annonçait un retour partiel à la normale, puis les choses allaient de mieux en mieux après Noël. Le 1ᵉʳ janvier, rebelote avec de nouveau des services indisponibles à cause d’une cyberattaque DDoS.

Dans tous les cas, aucune fuite de données n’a eu lieu, affirme l’entreprise. Le but de ce genre d’attaques par déni de service n’est pas de pénétrer les systèmes pour récupérer des données, mais de les rendre indisponibles en les bombardant de requêtes pour complètement les submerger. Sur ce point, c’était gagné.

« Inédite par sa sophistication technique »

Trois semaines plus tard, Philippe Bertrand, directeur de la sécurité globale du groupe, revient sur cette période compliquée dans un jeu de questions et réponses réalisé en interne. Une manière de mener une « interview » mais de pouvoir choisir aussi bien les questions que les réponses et donc de parfaitement maitriser la communication.

Il affirme que cette cyberattaque est « inédite par sa sophistication technique », sans entrer dans les détails. Il assure qu’elle « s’est révélée d’une grande complexité car nos assaillants s’adaptaient en permanence aux réponses défensives que nous mettions en place ».

Cette cyberattaque serait aussi « inédite aussi par son intensité […] Pour vous donner une idée du volume massif de requêtes dirigés vers nos services en ligne, nous avons enregistré jusqu’à 2,5 milliards de paquets de données par seconde ».

Pour rappel, en octobre 2024, Cloudflare annonçait une attaque DDoS record avec 2,14 milliards de paquets par seconde, et un pic de trafic à 3,8 Tb/s. Ces « records » sont toujours éphémères et rapidement de nouvelles attaques encore plus puissantes sont lancées. Un an plus tard, en septembre 2025, le géant américain explosait les compteurs avec 22,2 Tb/s en pointe et jusqu’à 10,6 milliards de paquets par seconde.

Il n’en reste pas moins que 2,5 milliards de paquets par seconde est une attaque extrêmement massive. D’ailleurs, le groupe français affirme qu’« aucune autre entreprise en France n’a subi, à ce jour, une cyberattaque en DDoS d’une telle intensité ».

La puissance des pirates augmente de jour en jour

Il ajoute que cette cyberattaque est aussi « inédite par sa durée car elle a commencé le 22 décembre et a perduré jusqu’à début janvier ». Selon le patron de la cybersécurité, « il y a deux ans, une attaque de cette ampleur n’était techniquement pas envisageable. À mesure que la puissance informatique progresse, les acteurs malveillants deviennent aussi plus dangereux ».

En France, cela fait maintenant plus d’un an que les cyberattaques et fuites de données s’enchainent à vitesse grand V. De très nombreuses enseignes et associations sont touchées, mais aussi des institutions officielles.

Sur la question de l’augmentation de la puissance des attaquants, nous parlions récemment du cas des pirates qui se lancent dans la pêche au chalut quand une nouvelle faille est identifiée : ils scannent tout Internet. Ce n’était pas aussi facile et abordable il y a quelques années.

Quoi qu’il en soit, La Poste rappelle à juste titre que, peu importe « les moyens mis en place, aucune organisation ne peut empêcher les cyberattaques ». La Poste se félicite au passage de n’avoir « jamais été à l’arrêt » : ses sites industriels et bureaux de poste « ont continué leur activité ». Le groupe affirme avoir distribué pas moins de 180 millions de colis pendant les fêtes

Dans son interview maison, La Poste évite soigneusement plusieurs sujets, notamment la provenance de la cyberattaque et d’éventuelles demandes ou rançons qui auraient pu lui être adressées par les pirates. Le groupe se contente en effet de rappeler des généralités : « Nous ne sommes plus face à des hackers isolés à la recherche d’un coup d’éclat mais à des organisations criminelles de plus en plus structurées, parfois diligentées par des États, qui disposent de moyens colossaux ».

L’attaque a été revendiquée par le groupe NoName057(016), mais la prudence est toujours de mise face à ce genre de communication. Les pincettes sont toujours de rigueur dans ce genre de situation, mais encore plus cette fois-ci puisque le groupe pro-russe n’avait revendiqué l’attaque que le lendemain.

Commentaires (34)

votre avatar
La Poste évite soigneusement plusieurs sujets, notamment la provenance de la cyberattaque et d’éventuelles demandes ou rançons qui auraient pu lui être adressées par les pirates.
Ils ont reçu l'avis de passage mais la demande de rançon sera re livrée demain :D
votre avatar
S'ils ont reçu un avis de passage, c'est que les pirates font un meilleur boulot que La Poste
votre avatar
Je serais intéressé des détails techniques : comment peut on tenir une attaque aussi longtemps avec un tel débit ?

  • Si c'est quelques Hosts à trés haut débit ça me semble simple : ban de l'IP publique et on en parle plus ?

  • Si c'est une full-titude de zombies (IoT, PC piratés), il faut identifier et bloquer les IP "une à une" : c'est lourd mais le réseau zombie n'étant pas infini c''est une simple question de temps, avant d'avoir bloqué suffisament pour qu'il n'y ait plus de perturbation.


=> Pourquoi ça durerait plusieurs jours, sachant que la DSI de la poste doit probablement rersté sur le pont et n'avoir pas trop de congés pendant Noël ?


Désolé pour ma vision naïve.
votre avatar
Les attaques ddos se font généralement avec de fausses adresses IP source (IP spoofing). On ne peut donc pas bloquer les IP utilisées. Remarque : l'attaquant n'attend pas de réponse, ce qui permet ce spoofing.
votre avatar
IP spoofing, c'est nécessairement en UDP ? en TCP il ne se passerait rien sans le paquet ACK.
à quoi sert l'UDP pour la poste ? (ou un site web en général ?) le ports TCP 80 et 443 suffisent non ?

TCP et Port on est encore en couche 4 de l'OSI, ça reste "simple" / faisable en pure hardware à très haut débit. (transparent ?)
Pour moi le DDOS c'est plus loin dans l'OSI ; au niveau 6 par ex avec un handshake TLS qui mène vers un drop : ça bouffe des cycles de CPU pour accepter / déchiffrer TLS et même avec des unités dédiés je vois bien le bottleneck idéal...

Après ptête que le firewall hardware n'est pas là et que tout arrive y compris (UDP) sur un firewall logiciel qui forcément ne peut pas suivre.

Bref.
votre avatar
Non tu peux faire l'attaque en TCP, juste en envoyant des SYN.
votre avatar
Si c'est la caméra connectée de Mme Michu qui fait parti du réseau zombie et que tu bloques son IP, Mme Michu n'aura plus accès à La Poste. Cette méthode a quand même ses limites.
votre avatar
Et surtout Mme Michu elle est en IP dynamique, donc tu vas bloquer une IP qui sera changée au prochain redémarrage de la box.
Sans compter que les réseaux de botnet font maintenant plusieurs millions de machine, donc tu vas bloquer plusieurs millions d'IP qui vont régulièrement changer.
votre avatar
ça reste acceptable temporairement dans l'urgence de la semaine de noël : peu de gens vont rebooter leur box / changer d'IP (et même les box qui rebootent ne changent pas systématiquement d'IP)
votre avatar
Bah seule Mme Michu sera impactée, et y'a aucun soucis à lui expliquer que son réseau n'est pas sécurisé :D
votre avatar
Avec du rate limiting, la multiplications d'adresses IP n'est plus un problème puisque chaque IP a un volume limite de requêtes sur une plage de temps (seconde, totale) acceptées avant d'être rejeté.
Ils ont pas tenu puisque les services étaient indispo, les équipements étaient en PLS :D, parce que même avec du reject et du rate limiting, le paquet arrive et est traité par les équipements.
Et dans cette situation, y'a pas trop de solutions autres qu'attendre que l'attaque DDOS se termine
C'est l'intérêt de solution comme Cloudflare qui va gérer en amont le paquet sur des infra colossales (mais pas infaillible pour autant)
votre avatar
Pourquoi un DDOS ne devrait-il provenir que d'une seule adresse physique ? C'est le principe des bots/zombis.

Autant que logique d'ailleurs. Si on peut fabriquer des paquets en mode spoofing. On peut utiliser une tonne de d'IP qui permettront de contourner une telle protection. non ?
votre avatar
j'ai pas écris ça, je comprends pas du coup :keskidit:
Quand tu commences à te faire éclater par DDOS comme eux, tu baisses le rate limiting à un nombre faible. tu peux aussi agir sur les path etc...
En gros, y'a des tas de mécanismes de rejet, mais pour la poste c'est la capacité à encaisser qui a créé l'indispo, ce qui est "normal" ils ont pas des équipements prévu pour encaisser autant de paquets par seconde
votre avatar
C'est un sujet complexe, mais en gros, des équipements de bordure capables de tenir 2.5 Milliards de paquets par seconde c'est pas du tout hors de portée de la Poste.
Sur la somme de nos bordures, nous avons chez moji une capa de routage d'environ 12 Milliards de pps avec nos petits bras (and counting).

Quand le paquet arrive sur ta bordure, il faut pouvoir le nettoyer, et c'est là où ça se gâte.
Ces équipements ont un nombre de règles assez limitées, mais qui sont full line rate (comprendre que ce sont des ASIC, et qu'on peut traiter autant de paquets qu'on veut sans impact sur les perfs dans la limite de 2 Milliards par point de sortie, étant admis que l'attaque arrive par des chemins différents et que la capacité de traitement est plus ou moins linéaire en fonction du nombre d'équipements).
Du coup, si le pattern des paquets est simple (numéros de ports, ou type de protocole), tu peux assez simplement bloquer l'attaque, et c'est génial.
Si c'est une attaque avec du spoofing, tu peux bloquer tout l'UDP entrant, c'est bourrin mais ça fait le job instantanément, et l'UDP n'est probablement pas vital en entrant sur un fournisseur de services Web & API (et même nous on peut le faire si ça permet de protéger 95% des flux, c'est un tradeoff acceptable plutôt que de tout perdre).

Si c'est un réseau zombie qui t'envoie des requêtes en TCP provenant de vrais IP, c'est là où ça se corse, en gros il faut renvoyer tout vers de serveurs de nettoyage, qui coutent un bras en propriétaire, pas très cher si tu t'emmerdes à t'intéresser au problème en bas niveau mais skillzz ++, mais il en faut pas mal, et proches de la bordure (tu n'as pas envie de transporter tout ça sur ton backbone).
Compter un serveur pour 100Gbps de capa pour du matos un peu ancien, tu dois pouvoir monter à 200-400G avec des machines de guerre mais c'est rarement financièrement intéressant.
votre avatar
il faut renvoyer tout vers de serveurs de nettoyage, qui coutent un bras en propriétaire, pas très cher si tu t'emmerdes à t'intéresser au problème en bas niveau mais skillzz ++
C'est ta vision de Network Provider qui parle :)

Pour LaPoste, qui n'est pas un transitaire, alors c'est encore plus simple je pense... t'utilises le scubbing center de ton transitaire.

Bon, encore faut-il que c'eut été testé.
linkedin.com LinkedIn

D'ailleurs, j'ai l'impression que LaPoste ne peer qu'avec OpenTransit... si c'est le cas, en terme de résilience, ils sont fort chez LaPoste...
votre avatar
Super lien, merci !

Ce qui me trouble un peu dans cette histoire c'est le discours faussement fataliste de La Poste, à mettre en opposition avec les quelques messages un peu documentés de ton post Linkedin qui relativisent la complexité de l'attaque (d'après Jérôme Meyer notamment).
Leur communication ne me semble pas très honnête - ou informée a minima.
Rappelons qu'il s'agit tout de même d'un opérateur stratégique national.

Ils n'ont pas besoin d'être transitaires pour assurer sur la partie DDoS, ils ont clairement fait défaut dans un contexte d'attaque de force faible à modérée, qui semble avoir été de type UDP, donc franchement pas si complexe à traiter.
Nous sommes transitaires à la petite semaine d'ailleurs, la grosse majorité de notre trafic est à destination de nos clients directs, nous avons un bon réseau car nous l'avons choisi.
votre avatar
On parle de la Poste pas d'un hyperscaler, ni d'un FAI; ils maîtrisent ce qu'ils servent, donc pour moi la logique s'inverse la bordure "n'a qu'à" white-lister que ce qui est utile et simplement ignorer tout le reste :
TCP 80 (et encore pas sûr les navigateurs essaient d'abord https ?) et TCP 443 suffisent ? Le reste il reste quoi ? (imap / smtp / telnet :-p )
votre avatar
Si laPoste utilise le rate limit sur ces services (chez un hébergeur prestataire probablement) cela ne change pas la chose. Droper les requêtes en bout de chaine n'empêche pas qu'elles arrivent. Si ce ne sont pas les machines qui flanchent c'est coté réseau que c'est trop plein.

Pour laPoste en plus, cela suppose qu'ils aient cette possibilité. Car il me semble qu'ils sont hébergé chez un tiers au moins pour partie. C'est aussi fonction du contrat.

Les routeurs en amont (d'un opérateur X ou Y) se contenteront de toutes les façons de 'forwarder la shit'. D’où qu'elle vienne. Donc le rate limit... voila.

Et pour le coup ça vient de partout (sur le plan logique). Comment un serveur fait trier le bon grain de l’ivraie dans ce contexte ?

Il est la le gros problème. Rien qu'en IPv4 on peut lancer 2Mds de requêtes spoofées avec chacune une IP unique. Je dis 2Mds pour enlever le bon tas de trucs réservés et institutionnel. Mais on sait que plus est possible.

Bien sur dans les réseaux et hébergeurs, il y a des mécanismes, des garde-fous, etc. Mais par défaut quand c'est le cas, c'est des limites larges. Et après c'est réactif (et si on peut réagir) plutôt que par défaut suivant évènement X ou Y.

Le seul vrai moyen de juguler un DDOS c'est par l'action des opérateurs qui gèrent leur liens. C'est un peu long du fait qu'ils faut qu'ils se coordonnent et modifient leur plan de routage temporairement (donc enlever la conf après). Et il faut pouvoir trouver la source. quand il en y a peu. Pas si évident quand ce sont des organisations qui on des serveurs partout...

Les DDOS c'est comme les orages. On sait pas d’où ça vient et on s'en fout un peu. On a un orage là, maintenant. On peut se mettre dans un coin un peu plus sec, ne pas trop bouger en attendant que cela passe. On survit en étant plus ou moins au ralenti. Mais on enlève pas l'orage et ses dégâts quoi qu'on fasse.
votre avatar
Il est la le gros problème. Rien qu'en IPv4 on peut lancer 2Mds de requêtes spoofées avec chacune une IP unique.

=> Pour moi ça veux dire qu'il y a encore plein d'opérateurs qui n'ont pas de BCP 38 sur leur réseau (j'aimerais bien l'avis de Ferd sur le sujet, notamment sur ce que ça peux casser). Je parle pas des transitaires évidemment.

Ou alors c'est qu'une bonne partie des machines sur internet sont zombifiés et si c'est effectivement le cas, ça me parait être une priorité et pas seulement pour les DDOS.
votre avatar
Les opérateurs s'ils ont bien quelque chose; c'est des IPs. Et aussi des IPs v6. On peut programmer les zombie pour que ça passe dans des plages spécifiques. Le garde-fou est contourné.

Avant qu'un garde-fou s'active. Soit auto ou soit manuel. Y'aura bien une 100aine ou plus de machines qui aura pu lancer quelque chose depuis un réseau d'un opérateur. La fibre c'est 300Mb mini... Ça ne va pas faire suer les opérateurs tant c'est le trafic promis par contrat au client.

Et ce dans le monde entier. Et le monde entier, hé bien il fait forcément pareil partout non plus en la matière... Si en France on se porte bien. Autre part ce n'est peut-être pas mieux.


A noter qu'on parle des PCs zombie de Mme michu seulement. J'en vois 4 catégories :

  • PC zombie de maison

  • Machine zombie d'une boite X ou Y hébergé qui a été hackée par manque de sérieux en la matière. "C'est jeannot qui s'en occupe d'habitude mais il est parti".

  • Dispositif volontairement prévu pour. Il doit bien y avoir des services qui le propose en ligne... Chuuut!!

  • Cyber Guerre (via groupe de malfaisant ou en propre)




Oui il y a des moyens de protéger, et c'est bien de le mentionner. Mais ce n'est que du réactif. Y'a pas vraiment de solution préventive. C'est le truc avec le DDOS. C'est un orage...

On pourrait parler aussi du mode de fonctionnement des services (les programmes). Ainsi que les admins qui ne se font pas trop suer. Y'a toujours une ou deux petite choses à redire la dessus.
votre avatar
Je suis aussi très intéressé par les moyens déployé et de protection. Et après le rush, depouillé les logs pour y trouver des pépites, pour connaitre quels equipements a été compromis....
votre avatar
2.5 milliards de paquets par seconde représente une bande passante considérable. On n'a pas la bande passante consommée mais on peut faire un petit calcul.

Imaginons des petits paquets de demande de connexion TCP (les plus facile à générer), chaque paquet va faire un peu plus de 60 octets (je ne compte pas le balisage). Il faut donc être capable de recevoir a minima 150 Gbits/sec. Même si on ajoute des règles à l'entrée du serveur ou du site hébergeant les serveurs pour jeter les paquets de certaines adresses IP, cette bande passante sera consommée jusqu'au point de filtrage.
Si on prends un paquet plus gros de 1500 octets, on est à 3.8 Tb/s. C'est d'ailleurs la valeur donnée en comparaison pour l'attaque de Cloudflare d'octobre 2024.

Les canaux d'accès aux serveurs de la poste étaient probablement saturés.

Ensuite il faut un mécanisme de firewall capable de traiter 2.5 milliards de paquets par secondes, et vu le débit, le "budget" de temps alloué au traitement de chaque paquet est minuscule, difficile de traiter des milliers de règles dans ce cas.
votre avatar
C'est quand même cool tout ses particuliers avec des fibres à 1gbps+, avec la fin de vie de Windows 10 et le parc de PC pas à jour, ça va casser du record :D
votre avatar
2,14 milliards de colis par seconde !
2 147 483 647, par hazard ?

maintenant je vais lire l'article.
votre avatar
Effectivement, un nombre intéressant ^^ Wikipedia
votre avatar
lol, je n'en savais pas tant sur ce nombre (j'avais même pas réalisé qu'il est premier...).
Juste qu'à force de l'utiliser/croiser je le connais par cœur, valeur max d'un int32 :)
votre avatar
En francais, c'est mieux pour un site anglophone :D
fr.wikipedia.org Wikipedia
votre avatar
J'avoue avoir fait le lien d'abord là dessus, mais la double parenthèse a fait planter la création du lien. Tu es plus doué que moi :copain:
votre avatar
) → %29

Mais sinon l'url seule est (parfois) transformée en lien automatiquement…
votre avatar
Une attaque d'ampleur, certes, mais sophistiquée... pas vraiment. Mais tant que ça marche et que cela permet de les emmerder en plein coup de feu des fêtes: A priori, c'était le but et il est probable qu'il y ait eu une demande de rançon qui n'a visiblement pas été honorée, la poste préférant "faire le gros dos" (haha!)?
votre avatar
Toujours pas de MFA sur laposte.net ...
votre avatar
Quel rapport ?
votre avatar
[Les pirates] scannent tout Internet. Ce n’était pas aussi facile et abordable il y a quelques années.
"tout Internet" signifie ici "toutes les adresses IPv4 publiques"

La version du protocole importe, car pas de tel problème en IPv6.
Y aurait-il un tel problème concernant La Poste ?
votre avatar
Tout cela manque d'un RETEX un peu plus technique.