Le Royaume-Uni alerte sur une nouvelle vague d’attaques DDoS menées par des hacktivistes pro-russes

Les autorités britanniques mettent en garde contre une recrudescence d’attaques par déni de service visant des collectivités locales et des infrastructures critiques. Derrière ces opérations, des groupes idéologiques pro-russes, capables de perturber durablement des services pourtant essentiels.

Une menace persistante sur les services publics britanniques

Les autorités britanniques tirent une nouvelle fois la sonnette d’alarme. Depuis plusieurs mois, des groupes de hacktivistes se réclamant de la sphère d’influence russe multiplient les attaques informatiques contre des organisations du pays. Les cibles ne sont pas choisies au hasard : collectivités locales, organismes publics et infrastructures jugées critiques figurent en tête de liste.

L’objectif de ces opérations est rarement subtil. Il s’agit avant tout de rendre des sites web inaccessibles, de bloquer des services en ligne ou de provoquer des interruptions suffisamment visibles pour perturber le fonctionnement normal des institutions visées. Pour les citoyens, cela peut se traduire par l’impossibilité de consulter un portail administratif, de prendre rendez-vous ou d’accéder à une information officielle. Pour les organisations, les conséquences vont bien au-delà de la simple gêne passagère.

Le déni de service, une arme simple mais redoutable

La plupart des attaques observées reposent sur une technique bien connue : le déni de service distribué, plus souvent appelé DDoS. Le principe est relativement facile à comprendre. Imaginez une route à une seule voie soudainement envahie par des milliers de voitures envoyées volontairement au même endroit : même si la route est en bon état, elle finit par être totalement bloquée. Sur Internet, le mécanisme est similaire. Les serveurs d’une organisation sont submergés par un flot artificiel de requêtes jusqu’à ne plus pouvoir répondre aux demandes légitimes.

Sur le plan technique, ce type d’attaque est souvent considéré comme peu sophistiqué. Il ne s’agit pas d’exploiter une faille complexe ou de pénétrer dans un système pour y voler des données. Pourtant, les autorités britanniques rappellent qu’un DDoS réussi peut avoir un impact considérable. Une fois les services hors ligne, il faut mobiliser des équipes pour analyser ce qui se passe, mettre en place des contre-mesures, puis restaurer le fonctionnement normal. Tout cela coûte du temps, de l’argent et entame la capacité de l’organisation à assurer ses missions.

Un acteur bien identifié : NoName057(16)

Parmi les groupes pointés du doigt, un nom revient avec insistance : NoName057(16). Ce collectif de hacktivistes pro-russes est actif depuis mars 2022 et s’est fait connaître par une longue série d’attaques visant différents pays européens. Sa particularité tient autant à son mode opératoire qu’à son discours idéologique.

Le groupe s’appuie sur un projet baptisé « DDoSia ». Il s’agit d’une plateforme qui permet à des sympathisants de mettre volontairement à disposition une partie de la puissance de calcul de leur ordinateur. En d’autres termes, chacun peut participer à l’attaque depuis chez lui, parfois en échange d’une récompense financière modeste ou simplement pour gagner en reconnaissance au sein de la communauté. Cette approche transforme une opération technique en action collective, presque militante, où des milliers de machines peuvent être mobilisées en même temps.

Un coup d’arrêt temporaire grâce aux forces de l’ordre

À l’été 2025, une vaste opération internationale de maintien de l’ordre, baptisée « Operation Eastwood », a porté un coup sérieux à cette organisation. Les autorités sont parvenues à arrêter deux membres du groupe, à émettre huit mandats d’arrêt supplémentaires et à neutraliser une centaine de serveurs utilisés dans le cadre des attaques.

Sur le papier, ces chiffres pouvaient laisser espérer un affaiblissement durable du réseau. Dans les faits, la réalité s’est révélée plus nuancée. Les principaux opérateurs du groupe, qui seraient installés en Russie, sont restés hors de portée des forces de l’ordre. Résultat : après une période de relative accalmie, les attaques ont repris, comme le confirme la dernière alerte des autorités britanniques.

Une motivation avant tout idéologique

Contrairement à de nombreux cybercriminels qui cherchent avant tout un profit financier, NoName057(16) et les groupes similaires s’inscrivent dans une logique différente. Leur moteur principal est idéologique. Ils s’en prennent en priorité aux pays, institutions et entreprises qui affichent une position contraire aux intérêts géopolitiques de la Russie.

Cette dimension militante explique en partie leur persévérance. Même lorsque certaines infrastructures sont démantelées ou que des membres sont arrêtés, le mouvement peut continuer à vivre grâce à ses soutiens et à ses relais techniques. Les autorités britanniques soulignent d’ailleurs que cette menace est en constante évolution et qu’elle ne se limite plus aux systèmes informatiques classiques.

Des risques qui s’étendent aussi aux systèmes industriels

Un point particulièrement préoccupant concerne l’impact potentiel sur les environnements dits « OT » (Operational Technology). Il s’agit des systèmes qui pilotent des équipements physiques : réseaux électriques, installations industrielles, dispositifs de contrôle dans les transports ou la distribution d’eau, par exemple.

Même si les attaques DDoS visent en priorité des services en ligne, leur extension à ces environnements pourrait avoir des conséquences bien plus graves qu’un simple site web indisponible. Conscientes de cet enjeu, les autorités britanniques ont publié des recommandations spécifiques à destination des responsables de ces infrastructures.

Comment se préparer face à ce type de menace

Pour réduire les risques et limiter l’impact d’une attaque, plusieurs axes de travail sont mis en avant. Le premier consiste à bien connaître ses propres services. Il est essentiel d’identifier les points faibles, notamment les endroits où une saturation de ressources pourrait tout faire basculer, et de clarifier qui est responsable de quoi en cas de crise.

Le deuxième levier repose sur le renforcement des défenses en amont. Cela passe par la coopération avec les fournisseurs d’accès à Internet, l’utilisation de services spécialisés de protection contre les DDoS, le recours à des réseaux de diffusion de contenu (CDN) et, lorsque c’est possible, la mise en place de solutions redondantes auprès de plusieurs prestataires. L’idée est simple : ne pas mettre tous ses œufs dans le même panier.

Concevoir des systèmes capables d’absorber les chocs

La capacité à monter en charge rapidement est un autre élément clé. Les infrastructures modernes, notamment dans le cloud, permettent d’ajouter automatiquement des ressources lorsque la demande explose. Disposer de marges de manœuvre, que ce soit par la virtualisation ou par des capacités de secours, peut faire la différence entre un service qui reste accessible et un autre qui s’effondre sous la pression.

Mais la technique ne suffit pas. Il est tout aussi important de définir à l’avance des plans de réponse aux incidents et de les répéter régulièrement. Ces plans doivent prévoir une dégradation progressive des services plutôt qu’un arrêt brutal, s’adapter aux changements de tactique des attaquants, garantir l’accès des administrateurs aux systèmes et proposer des solutions de repli pour les fonctions essentielles.

Tester, surveiller, améliorer en continu

Enfin, aucune défense n’est efficace sans une phase de test et de surveillance permanente. Détecter une attaque le plus tôt possible permet d’agir avant que la situation ne dégénère. Les exercices réguliers et les audits techniques servent aussi à vérifier que les protections mises en place tiennent réellement leurs promesses.

Une menace installée depuis plusieurs années en Europe

Les autorités rappellent que cette vague de hacktivisme pro-russe ne date pas d’hier. Depuis 2022, de nombreuses organisations, aussi bien publiques que privées, dans les pays membres de l’OTAN et dans d’autres États européens, sont régulièrement prises pour cible. Le point commun entre ces victimes : leur positionnement politique ou institutionnel perçu comme opposé aux ambitions géopolitiques de la Russie.

Dans ce contexte, les attaques DDoS jouent un rôle particulier. Elles ne visent pas forcément à détruire ou à voler, mais à montrer, à perturber et à épuiser. À force de petites coupures et de remises en service coûteuses, c’est toute la résilience numérique des organisations qui est mise à l’épreuve.

Une vigilance appelée à durer

Le message des autorités britanniques est clair : il ne s’agit pas d’une crise passagère, mais d’un phénomène de fond. Tant que les tensions géopolitiques actuelles persisteront, ce type d’attaques restera un outil privilégié pour certains groupes militants.

Pour les organisations concernées, la meilleure réponse reste une préparation sérieuse, une défense en profondeur et une capacité à réagir rapidement. Dans le monde numérique, comme dans le monde physique, ce n’est pas toujours la sophistication de l’attaque qui fait la différence, mais la solidité de ce qui doit y résister.

Source : https://www.ncsc.gov.uk/news/ncsc-issues-warning-over-hacktivist-groups-disrupting-uk-organisations-online-services et https://en.wikipedia.org/wiki/Noname057(16)