Depuis quelques années, le terme cyberattaque est devenu courant dans le langage. Les séries « Stalk », « Mr. Robot », « Person of interest » et films « WarGame », « Conversation secrète », « Ennemi d’État », « Westworld » et bien sûr « Snowden » ont démocratisé ces termes. Certaines affaires font la une des journaux lorsqu’un centre hospitalier, une entreprise ou des écoles sont l’objet d’une cyberattaque. Pour autant, savez-vous ce qu’est véritablement une attaque cybernétique ?

Pas un seul jour sans que les titres de la presse informent de cyberattaques, principalement WEB. Quelques affaires documentées démontrent qu’elles ne sont pas l’apanage des seuls cybercriminels. Elles peuvent être aussi l’œuvre d’États. L’affaire des fuites de données de l’entreprise Adecco est d’ailleurs en procès depuis le 17 juin 2025 pour deux semaines. Mais commençons par le commencement, la définition. Une cyberattaque est une atteinte à des systèmes informatiques nommés systèmes d’information réalisée dans un but malveillant. Elle est comme l’hydre, elle a plusieurs visages.

Du défacement au sabotage silencieux : anatomie d’une cybercriminalité polymorphe

Le mythe du hacker solitaire, affublé d’un hoodie et d’une pizza à portée de main, appartient désormais au folklore. La cybercriminalité d’aujourd’hui est polymorphe, professionnelle et profondément ancrée dans les enjeux du monde contemporain. Elle cible aussi bien les individus que les multinationales, les hôpitaux que les États, dans une logique tantôt opportuniste, tantôt géopolitique, tantôt financière et parfois les trois ensemble.

Trois grandes motivations dominent le paysage : atteinte à l’image, espionnage, et sabotage. À travers elles, c’est toute une cartographie des risques numériques qui se dessine, du symbole au système, de l’humiliation publique à l’effondrement fonctionnel. Le défacement est à la cybersécurité ce que le tag est à l’architecture : un geste de visibilité, parfois revendicatif, souvent symbolique. Il s’agit de modifier l’apparence d’un site web pour y afficher un message, une signature, une revendication.

En 2023 encore, le collectif Anonymous a revendiqué des centaines d’actes de ce type, notamment contre des sites russes, en réaction à la guerre en Ukraine. Le message affiché est totalement clair : « vous n’êtes pas intouchables ».
(Crédits : ASSY/Pixabay)

Moins dangereux qu’un ransomware, le défacement est souvent perçu comme bénin. Mais il révèle une faille dans le système, et peut servir de précurseur à des attaques plus graves. En cybersécurité, la symbolique précède parfois l’opérationnel.

Espionnage numérique, le vol silencieux

Si le défacement hurle, car visible au demeurant, l’espionnage numérique murmure. Pas question d’abîmer ou de perturber, mais de voir sans être vu. Une fois infiltré dans le système, l’assaillant collecte des documents stratégiques, des courriels sensibles, des secrets industriels, sans altérer le fonctionnement visible de la cible : pas vu, pas pris.

L’actualité brûlante au proche et Moyen-Orient ravivent des blessures jamais cicatrisées. La volonté d’empêcher l’Iran de posséder la bombe atomique ne date pas d’hier. C’est pour cela que l’un des cas les plus célèbres de cyberattaque est en forme de Matriochka. Un quatuor au service de ses concepteurs.

Elle se compose de Stuxnet, Duqu, Flame et Gauss, connue sous le nom officieux de « Olympic Games ». Cette opération concertée aurait impliqué la NSA et les services israéliens avec l’unité 8200.

D’abord Stuxnet en 2010 avec le sabotage des centrifugeuses de Natanz, via SCADA. En 2011, Duqu, c’est une collecte d’informations pour préparer de futures attaques. Flame en 2012, bien que lancée en 2006-2007 d’après Kaspersky Lab est de l’espionnage de masse, notamment de réseaux diplomatiques et scientifiques.
Gauss partage certaines fonctionnalités de Flame, notamment les sous-programmes d’infection USB. C’est purement le ciblage bancaire et de la logistique financière dans les pays dits arabes. Plus précisément, des ordres d’interception des données provenant d’utilisateurs de banques israélienne, libanaise, palestinienne et syrienne.

Enfin, l’acte chirurgical, voire l’opération au laser, s’effectue par miniFlame. Il est une backdoor ultra-ciblée utilisée comme module complémentaire à Flame, permettant un contrôle granulaire des machines infectées.

(Crédits : Rafael Guajardo/Pexels)

Les différentes composantes ont eu des cibles privilégiées écrit Kaspersky Lab. Flame s’intéressait en particulier à l’Égypte, l’Europe, l’Iran, Israël, le Liban, la Palestine, l’Arabie Saoudite, le Soudan, la Syrie et l’Ukraine ; Duqu visait la France, la Hongrie, l’Iran et le Soudan ; Gauss Israël, le Liban, la Palestine et la Syrie ; StuxNet l’Iran.

Sabotage numérique, bloquer pour faire plier

Parfois, l’objectif n’est ni l’image ni le renseignement, mais tout bonnement la paralysie. Le sabotage numérique vise à rendre un service inopérant, souvent via des attaques DDoS ou l’injection de ransomwares. Les impacts peuvent être directs : arrêt d’activité, pertes financières, mise en danger des utilisateurs. En 2021, l’hébergeur français OVH a subi l’une des attaques DDoS les plus puissantes jamais enregistrées — à l’époque —, culminant à 1 Tbit/s.

En 2024, CloudFlare subit la plus grande attaque DDoS jamais enregistrée : « une attaque qui a atteint 5,6 térabits par seconde (Tb/s) et 666 millions de paquets par seconde à son pic. »

L’attaque DDoS considérée comme le premier acte de cyberguerre ou warfare date de 2007, en Estonie. L’étincelle est issue de la relocalisation du « soldat de la bravoure de Tallinn », un monument de la Seconde Guerre mondiale. Le gouvernement russe était soupçonné d’en être l’instigateur. L’enquête s’est stoppée aux frontières de la Russie. Cet incident conduit à l’élaboration de lois internationales pour la cyberguerre.

L’ampleur de l’attaque a rappelé que, dans le cyberespace, les infrastructures numériques peuvent s’effondrer aussi brutalement qu’un château de cartes, puis suit l’exfiltration de données. La fuite est invisible, mais les dégâts sont bien réels.

Qu’est-ce qu’une attaque DDoS ?

Rendre un dispositif indisponible pour ses utilisateurs en interrompant son fonctionnement normal. Elle est « distribuée », car elle provient de nombreuses sources. Comme une élève ou quinze professeurs lui parlent en même temps, il sature.

Il existe l’attaque dite par débordement de tampon. C’est amener une entité à utiliser toutes les ressources disponibles de l’espace du disque dur, de la mémoire ou encore du CPU. L’attaque par inondation, est comme son nom l’indique saturer un serveur avec une quantité « huge » de paquets. Pour la réussite de cet acte malveillant, l’attaquant doit disposer d’une plus grande bande passante.

Des attaques courantes sont : Smurf attack, Ping flood et Ping of Death. (Crédits : andreas160578/Pixabay)

Les conséquences sont multiples : juridique, réputationnelle, financière, opérationnelle avec une désorganisation et un arrêt de production. Le Centre Hospitalier de Versailles, fin 2022, a vu ses services profondément désorganisés après une attaque mêlant exfiltration et chiffrement de fichiers. À suivre…