Quatorze sites du gouvernement ont été mis hors ligne ce week-end à la suite d’une attaque par déni de service distribuée (DDoS) lancé le 15 juin, d’après le chercheur en sécurité Mr SaxX. Parmi la liste des sites touchés, celui du ministère de la Culture ou celui dédié à la fonction publique sont revenus à la normale.

En revanche, certaines adresses renvoyant sur des sites de la délégation française à l’OCDE, du ministère du Travail et du ministère de l’Europe et des Affaires Étrangères restaient inaccessibles ce 18 juin à 15h30.

Attaque DDoS sur étagère

Pour rappel, si elle vise à mettre hors ligne pendant un temps précis un site web, une attaque DDoS a peu d’effet au long terme. Elle consiste en effet à envoyer des requêtes en masse au site web visé, de sorte à en perturber l’accès. Une fois l’envoi stoppé, le site web peut recommencer à fonctionner. 



D’après Mr SaxX, l’attaque aurait été perpétrée par un groupe nationaliste d’hacktivistes pro-russe nommé « NoName057(16) », en opération depuis mars 2022. Ce collectif gère la « boîte à outils » DDoSia, qui facilite l’orchestration d’attaques DDoS.

Organisé via Telegram, le canal principal de NoName057(16) comptait 45 000 abonnés en juin 2023 et son canal dédié à DDoSia 10 000 utilisateurs à la même époque, selon le suivi de l’entreprise de cybersécurité Sekoia. À l’époque, selon les travaux d’Avast, DDoSia avait déjà été utilisée pour attaquer des sites gouvernementaux en Pologne, en Lettonie, en Lituanie et en Ukraine.

Le groupe motive les attaquants en les rémunérant pour leurs actes et leur utilisation de DDoSia, détaille Zataz, en fonction du nombre d’attaques « réussies », c’est-à-dire de suspensions effectives de sites web.

Successions d’attaques

On l’aura compris, NoName057(16) est très actif depuis deux ans, un peu partout sur le sol européen. Il cherche aussi à augmenter sa notoriété, se faisant passer pour partie prenante de cyberattaques imaginaires, comme celle qui aurait supposément attaqué des milliers de brosses à dents connectées suisses, débunkée depuis.

• Autopsie de la vraie fausse attaque de trois millions de brosses à dents connectées

Il y a un peu plus d’un an, le groupe s’en était aussi pris au site web de l’Assemblée nationale.

Outre ce groupe spécifique, les sites de plusieurs ministères se sont retrouvés temporairement hors d’atteinte en mars à la suite d’une attaque du groupe Anonymous Sudan, lui aussi pro-russe.

Que l’on pense à la période d’instabilité politique provoquée par la dissolution de l’Assemblée Nationale ou à la tenue prochaine des Jeux Olympiques, le contexte laisse présager de nouvelles attaques contre les institutions françaises. Cyberattaques qui se doublent d’opérations de désinformation variées.

• L’ANSSI anticipe les cyberattaques qui affecteront les Jeux olympiques et paralympiques