Ils s’étaient attaqués la veille au site France-Visas, bloquant son accès pendant plusieurs heures, comme l’a relevé Numerama. Les hacktivistes pro-russes d’UserSec s’en sont pris jeudi 29 juin à plusieurs sites de l’administration française, également visés par des attaques en déni de service. L’opération s’est soldée par l’impossibilité d’accéder au site du ministère de la justice dans l’après-midi, a constaté ZDNET.fr.
Cette plateforme est pourtant nécessaire pour la bonne information du justiciable. Les sites des ministères de l’économie ou de la gendarmerie, également visés, étaient bien en ligne deux heures après la revendication de l’attaque en déni de service.
Recrudescence du DDoS
Revendiquée sur le Telegram de UserSec, un canal d’hacktivistes appelant à la lutte contre l’Occident et à la défense de la Russie créé en janvier 2023, l’attaque n’est pas isolée. Au printemps, plusieurs dénis de service avaient visé par exemple l’Assemblée nationale, Naval Group ou encore l’Institut national du travail, de l’emploi et de la formation professionnelle. Ces attaques avaient été revendiquées par un autre groupe d’hacktivistes pro-russes, NoName057(16).
De retour depuis l’invasion russe de l’Ukraine, les attaques en déni de service sont l’un des modes d’action privilégié par les hacktivistes. Techniquement assez simples, elles font beaucoup de bruit alors que leur impact reste la plupart du temps très anecdotique. Comme l’avait rappelé Mathieu Feuillet lors d’une conférence récente, ce genre d’attaque peut cependant contribuer au “climat anxiogène” et désorganiser les spécialistes. La vague d’attaques en déni de service de 2015 avait ainsi suscité une “pression médiatique énorme” et une “grosse inquiétude des autorités politiques”, racontait le sous-directeur Opérations de l’Anssi.
Huit ans plus tard, “il y a encore des entités qui n’ont pas de moyens anti-DDoS en place, il y a encore des efforts à faire car cela ne devrait plus vraiment être un sujet”, avait également observé cet expert.
Projet DDoSia
Au-delà des efforts de protection pour contrer ce genre d’attaque, il est également intéressant de comprendre l’organisation des attaquants. Déjà scruté par Avast, NoName057(16) vient ainsi de passer à la moulinette de Sekoia. Les experts de l’entreprise française se sont penchés sur la boîte à outils d’attaques en déni de services, DDoSia, un instrument clé pour mobiliser une communauté. Sur Telegram, sept sous-canaux sont consacrés à ce projet, avec des chaînes dédiées aux échanges, au partage de manuels et de ressources, avec un support des suggestions de ciblage.
Selon les analyses de Sekoia, NoName057(16) a d’abord ciblé entre le 8 mai et le 26 juin la Lituanie, l’Ukraine et la Pologne. Soit un total de 486 sites visés. La France n’apparaît qu’au 8e rang, avec environ 5% des attaques en déni de service dirigées contre elle. Ce groupe d’hacktivistes, note l’entreprise, “est très réactif à la communication politique”, ciblant par exemple la RATP peu après l’annonce présidentielle d’un système de défense aérienne à Kiev.
Preuve de cette réactivité: des attaques contre Wagner ont ainsi été observées lors de la brève tentative de coup d’État des mercenaires de cette sulfureuse société militaire privée russe.