Noname 057(16): qui sont ces hackers pro-russes qui revendiquent la cyberattaque de La Poste?

Ils n'ont pas de nom, ou plutôt un nom qui dit qu'ils n'en ont pas, mais ils font beaucoup parler d'eux depuis hier 23 décembre. Ils, ce sont les hackers du groupe pro-russe NoName057(16), qui ont revendiqué la cyberattaque de La Poste. Depuis ce lundi, l'attaque malmène lourdement l'accès aux services en ligne de l'entreprise, qui peine à se remettre de cette attaque. Ses services, tout d'abord, totalement indisponibles (Colissimo, La Banque Postale...), redeviennent peu à peu accessibles, tandis que la distribution du courrier et des colis à l'approche de Noël est rendu plus difficile malgré les efforts des postiers.

Si la revendication a été confirmée par le parquet de Paris, il est actuellement impossible de la vérifier. Le mode opératoire de cette cyberattaque rend pourtant "crédible" l'hypothèse de hackers pro-russes, a indiqué une source gouvernementale à BFMTV. Les pirates ont en effet ciblé La Poste avec une attaque par déni de service (DDoS), qui vise à inonder les serveurs de requêtes jusqu'à ce qu'ils deviennent inacessibles.

Un procédé qui a déjà été utilisé par le groupe NoName057(16) par le passé. Voici tout ce que l'on sait sur ces pirates.

Un groupe en guerre contre l'Ukraine et ses alliés

Certains n'ont peut-être jamais entendu parler de ces hackers avant la cyberattaque de La Poste et pourtant, ils sont actifs depuis près de quatre ans. Plus précisément, ce collectif est né juste après l'invasion de l'Ukraine par la Russie, en février 2022. "Le groupe de hackers NoName057(16) part sur le sentier de la guerre contre les sous-hackers ukrainiens et leurs serviteurs corrompus", a-t-il annoncé dans un manifeste publié sur Telegram en mars 2022 et traduit par Le Figaro.

"Nous menons des attaques massives contre les ressources de l'ukropropagande qui mentent ouvertement aux gens sur l'opération spéciale russe en Ukraine. Nous souhaitons rappeler à nos ennemis les paroles du célèbre commandant russe Alexandre Nevski: 'Celui qui vient à nous avec une épée périra par l'épée!'", y avait-il mis en garde.

Officiellement, ce groupe est indépendant. Mais il "travaille de manière absolument très serrée avec les services de renseignement russes qui le protègent", a assuré Didier François, consultant spécialisé dans les questions de défense, auprès de BFMTV.

Plus de 74.000 attaques pour 4.900 victimes

Comme l'indique le manifeste, l'Ukraine est l'une des principales cibles du collectif NoName057(16). Mais les pirates s'en prennent aussi à leurs alliés. Au cours des années qui se sont écoulées, il a ainsi revendiqué de multiples cyberattaques visant le pays en guerre contre la Russie et d'autres ayant affiché leur soutien, s'en prenant aux administrations et institutions en guise de représailles.

Le Canada, l'Allemagne ou encore la Suisse en ont fait les frais. La France n'a également pas été épargnée. Rien que dans l'Hexagone, il a déjà été impliqué dans plus de 2.200 cyberattaques depuis 2023, qui ont touché plus de 200 entreprises et institutions, d'après le parquet de Paris. Parmi elles figurent notamment la RATP et le Sénat.

Le 31 décembre 2024, les hackers pro-russes avaient aussi revendiqué les multiples attaques par DDoS qui ont rendu inacessibles plus de 20 sites de villes et d'administrations françaises.

C'est encore pire à l'échelle du monde: au total, le groupe NoName057(16) est responsable de plus de 74.000 attaques, pour 4.900 victimes, depuis 2023.

Un groupe démantelé

Outre ses cyberattaques, le collectif a également construit son propre botnet (réseau de machines piratées pour mener des activités malveillantes), comme le précise un communiqué de l'agence européenne de coordination policière Europol. Il comprend plusieurs centaines de serveurs pour amplifier la puissance de leurs attaques.

Les pirates ont par ailleurs exploité des canaux, des forums et des groupes de discussion pro-russes sur les réseaux sociaux et les applications de messagerie afin de diffuser des appels à l'action ou encore des tutoriels, mais aussi pour recruter des volontaires. Non seulement, ces derniers formaient des petits cercles de recrutement en invitant souvent des amis ou des contacts provenant de forums de jeux vidéo ou de piratage, ils se servaient aussi de plateformes comme DDoSia (boîte à outils d'attaque DDoS) pour aider les nouvelles recrues à être rapidement opérationnelles.

La revendication de la cyberattaque de La Poste par le collectif NoName057(16) peut cependant surprendre. Car les agences Europol et Eurojust avaient annoncé son démantèlement le 16 juillet dernier. Une opération qui a nécessité l'implication de douze pays, dont la France, l'Italie, la République tchèque et les États-Unis.

"L'infrastructure du serveur central du groupe a été découverte et mise hors ligne. Des mandats d'arrêt ont été décernés notamment par les autorités allemandes et américaines contre 8 ressortissants russes qui sont désormais recherchés à l'échelle internationale", s'était aussi réjoui le parquet de Paris, ajoutant que 24 perquisitions avaient réalisées chez des affiliés du groupe.

Il faut croire que cette intervention n'a pas définitivement enterré NoName057(16), qui est sorti de l'ombre pour offrir un cadeau de Noël à la France dont le pays se serait bien passé.