La Poste subit depuis trois jours une cyberattaque d’une ampleur inhabituelle qui perturbe ses services en ligne. Un groupe de hackeurs pro-russes revendique l’opération, mais plusieurs éléments techniques contredisent leur version des faits.
Deux jours après le début de la cyberattaque, La Poste indique ce 24 décembre sur son site que « le fonctionnement des services est actuellement perturbé ». Elle précise toutefois que certains services numériques, comme Digiposte ou L’Identité numérique, « restent disponibles ».
Une communication qui contredit la revendication d’un groupe de hackeurs pro-russes, NoName057(16). Sur leur chaîne Telegram, ces hacktivistes (des pirates militants) ont en effet diffusé une capture d’écran montrant une supposée panne du site de La Poste. Ils affirment avoir mis hors ligne la page de « L’Identité numérique », un service du groupe permettant de s’identifier auprès de différentes administrations. Or, à l’heure actuelle, cette fonctionnalité ne semble pas avoir été affectée et demeure toujours accessible.
Une revendication décalée par rapport à cyberattaque
Contacté par La Tribune, Baptiste Robert, hacker éthique, à la tête de la société Predicta Lab, rappelle que « non seulement ce service [identité numérique] est encore ligne mais en plus le DDoS (la méthode de l’attaque) qui touche La Poste affecte en priorité Colissimo, La Banque postale et plusieurs autres services de la poste ».
Autre détail important, « leur revendication est tardive par rapport au début de l’attaque. Les DDoS ayant des effets souvent temporaires les groupes de cybercriminel qui utilisent ce mode opératoire ne traînent jamais pour revendiquer. Cela permet de montrer les dégâts en direct », ajoute l’expert en cybersécurité.
Cette stratégie est en réalité bien rodée dans les milieux hacktivistes. Le même groupe avait par exemple mis hors ligne le site de la mairie de Nice le 31 décembre 2024, avant de publier dès 10 heures du matin, le jour même, un message de revendication afin de profiter immédiatement de la médiatisation.
Newsletter
Tech & IA
Chaque jour à 13h, l’essentiel de l’actualité tech.
Pierre Delcher, à la tête des recherches sur les menaces chez Harfang Lab note que « que la méthode usuelle des NoName057(16), déjà largement étudiée et documentée, implique la mobilisation de machines tierces (utilisées pour mener les attaques). Ces dernières recoivent des listes de cibles... il est donc possible de savoir quelles sont les cibles, et personne n'avait identifié les sites concernés du groupe La Poste ».
Une cyberattaque d’envergure, mobilisant des ressources importantes
NoName057(16) est un collectif de hackeurs apparu au moment de l’invasion de l’Ukraine par la Russie, spécialisé dans les attaques par déni de service, comme le rapport l’entreprise de cybersécurité Sekoia.io, spécialisée dans le renseignement sur les menaces. Concrètement, ce type d’attaque repose sur un réseau d’ordinateurs ou d’objets connectés mobilisés pour submerger la page d’accueil d’un site sous une vague de trafic malveillant. Ces perturbations ne durent généralement que quelques heures. Les hacktivistes NoName057(16) aiment particulièrement s’attaquer aux services publics français, souvent plus fragiles dans leur infrastructure.
Or, celle qui touche La Poste depuis près de trois jours semble s’appuyer sur une infrastructure bien plus puissante, capable de fragiliser durablement le système et d’entraîner des dommages significatifs. Tout porte à croire que les hackeurs derrière cette cyberattaque disposent de moyens et de ressources considérables.
La Russie figure naturellement parmi les premiers suspects, le ministère des Affaires étrangères ayant déjà dénoncé à plusieurs reprises des cyberattaques en provenance de Moscou visant la France. Toutefois, seule l’enquête permettra de déterminer avec certitude qui se cache derrière cette opération, qu’il s’agisse de cybercriminels ou d’acteurs liés aux services de renseignement.
