Depuis lundi, les services en ligne de La Poste sont en carafe, victimes d’une attaque massive par déni de service, ou attaque DDoS. Mardi, les auteurs présumés de l’opération ont fait leur coming out, revendiquant l’attaque sur le réseau social Telegram. Il s’agit d’un groupe prorusse bien connu baptisé NoName057 (16), apparu au début de la guerre en Ukraine.
A ce stade, on ne sait pas encore si ce sont les NoName qui ont effectivement lancé l’attaque DDoS contre La Poste. Certes, ils ont revendiqué cette action alors que personne d’autre ne l’a fait, écrivant sur Telegram : « Nous continuons de « réjouir » la France avec nos petits cadeaux DDoS ». Selon le « gentil hacker » Saxx, en plus de La Poste, NoName s’attribuait aussi des attaques similaires sur une quinzaine d’autres sites. Pour autant, sur X, le patron de Predicta Lab, Baptiste Robert, souligne qu’il peut s’agir d’une « revendication opportuniste ».
« Un réseau criminel idéologique »
Pas besoin de remonter le temps très loin pour chercher l’origine de ce « réseau de cybercriminalité » comme le qualifie Europol, la police européenne qui est sur le dos des NoName depuis ses premières attaques, en 2022. L’enquête internationale menée par Europol permet de bien appréhender qui sont les NoName et quels sont leurs objectifs. Le groupe est clairement défini comme « un réseau criminel idéologique affichant son soutien à la Fédération de Russie ». Outre le « NoName », référence ironique aux Anonymous, le « 057 » est révélateur, correspondant au code régional de la ville ukrainienne de Kharkiv selon Incyber.org.
L’arme favorite du groupe, c’est l’attaque par déni de service. Si à ses débuts, les efforts de NoName se concentraient à attaquer des sites ukrainiens, le groupe a élargi ses cibles aux pays soutenant l’Ukraine, notamment ceux appartenant à l’OTAN. Banques en Suède, entreprises et institutions en Allemagne, Suisse, Pays-Bas ou encore la France. Europol a listé par moins de 6.032 attaques imputables à NoName, une force de frappe possible grâce à un outil spécial, le DDoSia.
Des volontaires rémunérés en cryptos
Habituellement, une attaque DDoS se fait en créant une armée de botnets à partir d’ordinateurs ou d’objets connectés piratés et infectés par un logiciel malveillant. Les NoName, eux, utilisent une sorte de plateforme, le projet DDoSia, sur laquelle des personnes téléchargent volontairement le logiciel faisant de leur ordinateur un botnet. Ils seraient ainsi plus de 4.000 sympathisants à « prêter » leurs ordinateurs pour amplifier la puissance des attaques selon Europol. Et recruter des volontaires est d’autant plus simple que NoName les rémunèrent en cryptomonnaies.
Notre dossier sur la guerre en Ukraine
En juillet dernier, la police européenne a lancé « Eastwood », une large opération visant à démanteler le groupe prorusse. Le bilan affiché évoquait des dizaines de perquisitions, plus d’une centaine de serveurs déconnectés, treize personnes interrogées, un millier de sympathisants mis en garde, l’émission de sept mandats d’arrêt et l’interpellation de deux suspects. L’opération a aussi permis d’identifier cinq personnes, quatre hommes et une femme, considérées comme les têtes de ce réseau criminel. Désormais inscrits sur la liste des « UE most wanted », tous sont de nationalité russe, leurs noms et visages ont été rendus publics et ils font l’objet de mandats d’arrêt.
La source de cet article se trouve sur ce site
