Un collectif d’hacktivistes se réclamant de la mouvance cyber pro-russe dit avoir visé, le 10 septembre, de nombreuses cibles françaises, en écho aux mobilisations « BloquonsTout ». Les messages mêlent slogans politiques et autopromotion d’un service DDoS-for-hire.
Le 10 septembre, des messages publiés sur plusieurs espaces du darknet attribués à des groupes pro-russes revendiquent une série d’actions contre des sites et services en France, présentées comme un soutien aux mobilisations du jour. Les publications mêlent un communiqué pro-mobilisation et des « visites » annoncées contre des collectivités, des opérateurs, des enseignes et un établissement financier, avec à l’appui de liens censés attester de perturbations. Les posts affichent aussi la bannière d’un service de location d’attaques DDoS, avec promesses de contournements techniques. Aucune preuve indépendante n’est fournie dans ces messages, mais l’opération cherche clairement à capter l’attention publique en hybridant rhétorique militante et marketing cybercriminel.Bloquons tout 2.0
Motif revendiqué: soutien aux mobilisations en France, "Bloquons Tout".
Principales catégories de cibles citées: collectivités locales, portails thématiques nationaux, opérateur télécom, enseigne de restauration, établissement bancaire, prestataires de logistique fiduciaire.
Indices techniques: liens Check-Host insérés à la suite de cibles, absence de détails d’attaque.
Partenariat commercial affiché: service DDoS-for-hire.
Une journée d’« action » instrumentalisée en vitrine ?
Dès le matin du 10 septembre, les canaux gérés par ces pirates informatiques intensifient leur communication. Un texte en français installe la tonalité: « plein soutien » aux « mobilisations citoyennes » et rappel de « l’engagement » et des « droits fondamentaux ». L’objectif affiché, « une visite, pour l’humanité », épouse les codes d’un activisme de circonstance. Dans le même fil, les auteurs alternent annonces de cibles et accroches promotionnelles pour un service DDoS-for-hire, présenté comme le numéro UN et « fiable ». Le mélange de politique et de commerce n’est pas dissimulé: les revendications servent de rampe de lancement à un argumentaire de vente, où l’on promet des méthodes « puissantes », une « capacité élevée » et des « bypass » pour couches 4 et 7.
L’alignement revendiqué avec le « BloquonsTout » se traduit par un ciblage large d’organisations ayant forte visibilité nationale ou locale. Les messages listent, parfois en rafale, des villes, métropoles, portails thématiques, opérateurs privés et institutions financières. Le tout, sans granularité technique sur les modes opératoires, sinon des indices suggérant des tests de disponibilité. Les posts parlent de « visites », sans détailler la durée des effets ni l’ampleur réelle. L’insistance porte davantage sur le volume de noms cités que sur la qualification des impacts. ZATAZ a pu constater certains blocages. Ils n’ont pas durée plus de 10 minutes pour les plus longs.
La signature des pirates se veut fédératrice, avec des renvois vers un canal principal sur Telegram, des sauvegardes, un compte sur des réseaux sociaux sur le web et des déclinaisons linguistiques [Français, Arabes, Etc.] La trame narrative associe un registre de solidarité sociale à un lexique guerrier minimal, signe d’une communication voulue rapide et répétitive. Entre les revendications, un paragraphe publicitaire au style anglo-marketing occupe une place notable, vantant une « existence » de « 4 ans », et « 5 000 » clients. Nous confirmons les « 4 ans« , mais sous plusieurs différents pseudonymes. Bref, l’ensemble ressemble à une campagne de marque adossée à un événement social, plus qu’à un manifeste idéologique structuré.
Un catalogue de cibles, de l’opérateur télécom aux portails municipauxLa liste se déploie par vagues. Dans les premières heures, les auteurs annoncent des « visites » sur des collectivités: Brest, Lyon, la métropole de Nantes, Angers, Rouen, Tours, Mulhouse, Morlaix, Metz, Besançon. D’autres salves suivent: Orléans, Caen, Le Mans, Amiens, Limoges, Avignon, Poitiers, La Rochelle, Albi, Bayonne. Puis encore: Béziers, Pau, Quimper, Chambéry, Annecy, Chartres, Colmar, Valenciennes, Tarbes, Montauban, Troyes. La répétition des formats de publication, avec emoji et horodatage, installe un rythme, comme pour suggérer une couverture du territoire et entretenir une impression de cascade.
Les cibles s’étendent au-delà des villes. Des portails thématiques ou institutionnels sont mentionnés: Mission France Guichet, un site présenté comme « le portail des communes françaises », le portail des destinations touristiques, celui des parcs nationaux, ainsi que des portails open data d’Île-de-France, Centre-Val de Loire et Occitanie. Le secteur de la logistique et des espèces est cité avec Brink’s France et Loomis France, sous l’angle « outsourcing & ATM services ».
Les auteurs interpellent aussi de grandes marques. SFR est présenté en tant que « second opérateur » et « second plus grand » du marché télécom français, rappels contextuels insérés dans la revendication. Burger King France est déclaré « visité ». Un établissement financier, La Banque Postale, est ciblé sous la formule « Disturbed », accompagné d’un paragraphe rappelant son statut d’« institution significative » sous supervision bancaire européenne. Ces éléments, fournis par les auteurs, visent à asseoir la crédibilité de la cible en soulignant son importance systémique ou sa notoriété.
Afin de donner corps aux annonces, le message attache des liens vers la plateforme Check-Host, décrite par l’usage implicite qui en est fait: afficher des résultats de sondes réseau. Chaque entrée renvoie à un « check-report » distinct, suggérant que les auteurs collectent des captures d’état accessibles publiquement. Le choix de Check-Host sert ici de substitut d’attestation, à la place d’éléments techniques détaillés. L’audience visée, non spécialiste, est invitée à inférer une indisponibilité ou une dégradation de service à partir de ces rapports.
Un marketing DDoS-for-hire plaqué sur un récit militantL’autre pan des publications assume une posture commerciale. Le site de vente de DDoS y est célébré comme « le numéro UN du DDoS-for-Hire Service ». La prose promet des « Layer 7 bypasses » pour CAPTCHA, UAM, protections gérées, défis JavaScript et mécanismes interactifs, et des « Layer 4 bypasses » pour une série d’hébergeurs et fournisseurs d’atténuation: OVH, Voxility, OVH GAME, Corero, Path, Aeza, Aurologic, StormWall, CDN77, Microsoft, Google Cloud. La partie « JEU » revendique une méthode « universelle » contre des environnements populaires comme FiveM, Minecraft, Fortnite ou Rainbow Six. La promesse centrale, pour un public non technique, se résume: « reliable & stable », « haute capacité ».
Bref, le cadrage militant de départ sert d’amorce d’attention, tandis que l’inventaire des cibles joue le rôle d’étalage de « preuves sociales ». En pratique, la mécano-communication consiste à tirer parti d’une journée de mobilisation pour augmenter la portée du message et générer des leads.Layer 7 bypasses, c'est quoi ?
Faire croire qu’un robot est en fait un vrai navigateur comme Chrome ou Firefox. Changer l’adresse de la page, les petits fichiers (cookies) ou les réglages envoyés pour passer sous le radar des protections. Utiliser sans cesse de nouvelles adresses internet (IP) pour ne pas être bloqué après trop de demandes. Envoyer les demandes très doucement ou par vagues rapides, pour rester en dessous des limites fixées. Utiliser un logiciel qui agit comme un vrai internaute : il clique, charge les pages et lance les scripts comme si c’était un humain.
Cette intégration d’un argumentaire DDoS-as-a-service dans une séquence d’actualité s’inscrit dans une logique d’opportunisme. Les termes employés traduisent un positionnement produit, pas un manifeste. La description de contournements, alliée à la variété des cibles revendiquées, suggère une approche d’attrition et de visibilité plutôt qu’un sabotage visant un point unique. Le lexique, partiellement en anglais, vise probablement une audience internationale de clients potentiels, au-delà du contexte français.
Du point de vue renseignement, cette scénographie réalise deux effets. D’abord, elle agrège sous une seule bannière des actions hétérogènes, réelles ou prétendues, et neutralise la nécessité de livrer des détails techniques. Ensuite, elle rend coûteuse, pour les cibles, la production de démentis au fil de l’eau, puisqu’un flux continu de noms maintient l’attention captée. L’usage de Check-Host, un outil en ligne gratuit qui permet de vérifier si un site ou un serveur est accessible depuis différents endroits dans le monde, bien que sommaire, fournit une matérialité minimale à chaque annonce. Le ressort central n’est pas la sophistication, mais la multiplication.
La séquence du 10 septembre met en lumière une tactique éprouvée: arrimer une opération de communication cyber à une journée d’agenda social, pour maximiser l’écho. L’architecture du message repose sur trois ressorts: un cadrage militant succinct, une avalanche de revendications hétérogènes, et un volet d’autopromotion DDoS-for-hire. Les liens Check-Host attachés servent de vernis technique, suffisants pour l’audience visée, mais dépourvus de contexte sur la nature et l’intensité des éventuelles perturbations. L’enjeu, pour les organisations mentionnées, tient moins à la sophistication des attaques qu’à la capacité à gérer la perception, à documenter factuellement l’état de leurs services et à éviter l’effet boule de neige que ces campagnes cherchent à provoquer. Question ouverte: comment structurer, côté défense, une réponse publique standardisée qui neutralise l’effet vitrine des revendications tout en informant correctement les usagers lors de journées sous tension ?
merci à ZATAZ
