Branle-bas de combat dans les rédactions de France et de Navarre, ce lundi 11 mars 2024, en fin d’après-midi. Les plus rapides sortent l’information vers 17h : « plusieurs services de l’État font, depuis dimanche, l’objet d’attaques informatiques d’une “intensité inédite”, mais leur impact à ce stade “a été réduit” et l’accès aux sites de l’État “rétabli” », rapportent ainsi nos confrères du Parisien, citant les services du Premier ministre.
À 18h, les auteurs du coup se délectent déjà, pointant, sur leur chaîne Telegram, les multiples articles faisant état de leur fait d’armes, dans la presse Hexagonale. Il s’agit du groupuscule Anonymous Sudan, qui annonçait l’offensive vers 1h du matin, le 11 mars : « nous avons conduit une cyberattaque massive contre l’infrastructure de la Direction interministérielle du numérique », la Dinum.
Qui est Anonymous Sudan ?
Le Français Sekoia.io compte parmi ceux qui parlent le mieux de ce groupuscule : ses analystes estiment « avec certitude qu’en janvier 2023, lorsqu’un activiste suédois de droite a commis un acte antimusulman médiatisé, des groupes hacktivistes nationalistes russes tels que Killnet ont identifié une opportunité de saper les négociations entre la Suède et la Turquie sous un prétexte islamophobe, comme le président turc Erdogan réagit souvent à ce sujet ».
C’est alors que « Killnet a soit créé Anonymous Sudan, soit aidé un groupe préexistant non qualifié à mener et à médiatiser des opérations en DDoS par procuration contre la Suède et, plus tard, contre d’autres pays de l’OTAN, afin d’avoir un impact sur les États qui soutiennent l’Ukraine ».
Flashpoint, également spécialiste du renseignement sur les menaces, s’inscrit sur la même ligne : l’alignement du groupuscule sur les intérêts de Moscou ne fait pas de doute, sans que cela ne permette de conclure à d’éventuels liens hiérarchiques.
Comment procède ce groupuscule ?
« Lors d’une autre campagne de plusieurs jours en mars 2023, le groupe a ciblé des établissements médicaux, des universités et des aéroports en France », rappelle Radware. Il s’en est également pris à Microsoft, X (anciennement Twitter) et OpenAI, pour ne citer que quelques cibles. Il s’est fait une spécialité du déni de service distribué.
Début 2023, « la principale tactique d’Anonymous Sudan consistait à lancer des attaques DDoS sur le Web à partir de serveurs publics en nuage, en dissimulant les sources d’attaque derrière et à travers des milliers de proxys HTTPS/SOCKS », explique le spécialiste de la sécurité applicative Web.
Et de mentionner des « attaques DDoS sur le Web, combinées à des vagues alternées d’inondations UDP et SYN. Les attaques proviennent de dizaines de milliers d’adresses IP uniques et le trafic UDP atteint jusqu’à 600 gigabits par seconde (Gb/s), tandis que les flux de requêtes HTTPS atteignent plusieurs millions de requêtes par seconde ». Une analyse que l’on retrouve chez Netscout.