Adyen, qui opère des services de paiement à destination des entreprises et des commerçants, a fait l'objet d'une vague d'attaques par déni de service distribué lundi dans la soirée. Sur sa page dédiée aux incidents, l'entreprise néerlandaise décrit une salve de trois attaques successives, lancées à l'encontre de ses infrastructures européennes.

Chaque attaque a entraîné une interruption de service temporaire de l'ordre d'une quinzaine de minutes. Le phénomène a été sensible dans les commerces et restaurants physiques faisant appel aux solutions de paiement d'Adyen, mais aussi sur tous les sites marchands qui utilisent sa brique logicielle dédiée.

Au-delà des clients finaux, les attaques ont aussi temporairement paralysé l'accès à l'espace client, les services d'intégration logicielle et les API dédiées aux transferts de fonds, commente l'entreprise. Adyen compte notamment Uber, eBay, Deezer, Booking, BackMarket, Spotify ou Easyjet parmi ses clients.

D'après les signalements opérés sur le service Status d'Adyen, les attaques se seraient déroulées par vagues, avec une première salve évoquée à partir de 18h51, puis une deuxième vers 20h35 et une troisième aux alentours de 23 heures.

« L'attaque s'est déroulée en trois vagues distinctes, chacune présentant un schéma unique nécessitant des ajustements constants de nos stratégies d'atténuation. À mesure qu'une vague était atténuée, une nouvelle vague, avec une signature différente, émergeait. À son pic, l'attaque générait des millions de requêtes par minute, provenant d'un ensemble d'adresses IP réparties dans le monde entier et en constante évolution. Cela a entraîné la saturation de composants clés de l'infrastructure, entraînant une disponibilité intermittente de certains de nos services », précise Tom Adams, CTO d'Adyen, dans un rapport d'incident.

L'entreprise, qui réalise près de 2 milliards d'euros de chiffre d'affaires annuel, n'avance aucune piste quant à la provenance éventuelle de cette attaque.