D’après ce que je peux voir, ils ont : * Effectué un premier essai à 13h27 avec du HTTPS transitant par des proxys résidentiels (dont un bon nombre sur du MikroTik). * Vers 14h28, lancé une attaque par amplification DNS bête et méchante (~11 minutes). * Ensuite, multiplié les vagues de HTTPS via proxys jusqu’à environ 15h18.
Je suis loin d’avoir une vision complète du trafic, mais je suis tout de même surpris par le nombre relativement faible de sources impliquées… et par le fait que cela ait apparemment fonctionné pour eux. (Je ne suis tout de même pas certain d’oser qualifier cela de « cyberattaque massive », comme l’a fait l’auteur du post initial.) — Jérôme From: frnog-requ...@frnog.org <frnog-requ...@frnog.org> on behalf of Jerome Meyer Nokia via frnog <frnog@frnog.org> Date: Tuesday, 11 March 2025 at 17:02 To: Stephane Bortzmeyer <bortzme...@nic.fr>, frnog-al...@frnog.org <frnog-al...@frnog.org> Subject: Re: [FRnOG] [ALERT] Attaque opFrance ? CAUTION: This is an external email. Please be very careful when clicking links or opening attachments. See the URL nok.it/ext for additional information. Je suis en train de regarder ce type d’attaque, car ce site d’Orange semble être protégé par un répartiteur de charge BigIP. Pour donner un peu de contexte supplémentaire, le groupe pro-russe NoName057(16) a également commencé à attaquer des sites français hier. Voici la liste actuelle des sites visés, parmi lesquels figurent SFR, Iliad et bien d’autres : https://eur03.safelinks.protection.outlook.com/?url=https%3A%2F%2Fsocial.circl.lu%2F%40NoName57Bot%2F114143546790835167&data=05%7C02%7Cjerome.meyer%40nokia.com%7Ce4893658a9a64ddcff7e08dd60b61dc6%7C5d4717519675428d917b70f44f9630b0%7C0%7C0%7C638773057490132460%7CUnknown%7CTWFpbGZsb3d8eyJFbXB0eU1hcGkiOnRydWUsIlYiOiIwLjAuMDAwMCIsIlAiOiJXaW4zMiIsIkFOIjoiTWFpbCIsIldUIjoyfQ%3D%3D%7C0%7C%7C%7C&sdata=J%2FtF884zGmzvDrJ1mCcNBXUqB27vjHL4IzkJ0PO8tCE%3D&reserved=0<https://social.circl.lu/@NoName57Bot/114143546790835167> (SFR et Iliad tiennent bon, Vinci, moins.) — Jérôme From: frnog-requ...@frnog.org <frnog-requ...@frnog.org> on behalf of Stephane Bortzmeyer via frnog <frnog@frnog.org> Date: Tuesday, 11 March 2025 at 16:31 To: frnog-al...@frnog.org <frnog-al...@frnog.org> Subject: [FRnOG] [ALERT] Attaque opFrance ? CAUTION: This is an external email. Please be very careful when clicking links or opening attachments. See the URL nok.it/ext for additional information. Ce type joue à l'expert hacker, donne dans le sensationnalisme et est apprécié des journalistes, mais, ici, c'est peut-être vrai : https://eur03.safelinks.protection.outlook.com/?url=https%3A%2F%2Fx.com%2F_SaxX_%2Fstatus%2F1899461192172621844&data=05%7C02%7Cjerome.meyer%40nokia.com%7Ce4893658a9a64ddcff7e08dd60b61dc6%7C5d4717519675428d917b70f44f9630b0%7C0%7C0%7C638773057490156942%7CUnknown%7CTWFpbGZsb3d8eyJFbXB0eU1hcGkiOnRydWUsIlYiOiIwLjAuMDAwMCIsIlAiOiJXaW4zMiIsIkFOIjoiTWFpbCIsIldUIjoyfQ%3D%3D%7C0%7C%7C%7C&sdata=ILvzH6ioSmrNjVoviZs9OgwOIKxkA1InYtihwxHOSHE%3D&reserved=0<https://eur03.safelinks.protection.outlook.com/?url=https%3A%2F%2Fx.com%2F_SaxX_%2Fstatus%2F1899461192172621844&data=05%7C02%7Cjerome.meyer%40nokia.com%7Ce4893658a9a64ddcff7e08dd60b61dc6%7C5d4717519675428d917b70f44f9630b0%7C0%7C0%7C638773057490171541%7CUnknown%7CTWFpbGZsb3d8eyJFbXB0eU1hcGkiOnRydWUsIlYiOiIwLjAuMDAwMCIsIlAiOiJXaW4zMiIsIkFOIjoiTWFpbCIsIldUIjoyfQ%3D%3D%7C0%7C%7C%7C&sdata=DlunzYdAPpfP7%2Bx%2FYsuGA6x%2FOHJIgd5NwtvLvRn1oS4%3D&reserved=0><https://x.com/_SaxX_/status/1899461192172621844> "CYBERALERT, 🇫🇷FRANCE🔴 | Au tour d'Orange (espace client) d'être inaccessible depuis 2h, en cause l'opération #opFrance de cyberattaques massives qui se poursuit Un autre groupe du nom de Keymous+ s'attaque désormais à l'opérateur de téléphonie Orange. Depuis bientôt 2h, impossible pour les clients d'accéder à l'espace client. L'application mobile Orange et Moi subit de même certains dysfonctionnements. Ce groupe a fait son apparition il y a quelques semaines. Ils ont lancé depuis hier une bonne partie des attaques de type DDOS sur la France. ⚠️ Il faut s'attendre à ce que ces cyberattaques sous le nom de code #opFrance s'intensifient dans les heures à venir. NOTA: Pour ces groupes dits hacktivistes, il est très important de comprendre pour le très grand public que même si le site tombe 5mn c'est déjà une victoire pour eux ! Ils peuvent ainsi se targuer d'avoir mener une cyberattaque fructueuse... D'où l'intérêt de prendre bcp de recul et de savoir analyser tout cela. À suivre..." --------------------------- Liste de diffusion du FRnOG https://eur03.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frnog.org%2F&data=05%7C02%7Cjerome.meyer%40nokia.com%7Ce4893658a9a64ddcff7e08dd60b61dc6%7C5d4717519675428d917b70f44f9630b0%7C0%7C0%7C638773057490183745%7CUnknown%7CTWFpbGZsb3d8eyJFbXB0eU1hcGkiOnRydWUsIlYiOiIwLjAuMDAwMCIsIlAiOiJXaW4zMiIsIkFOIjoiTWFpbCIsIldUIjoyfQ%3D%3D%7C0%7C%7C%7C&sdata=7PVyDMWcoFoMBwgkOoEAQdxSBYoIoUm%2BqpEQLDRNUyI%3D&reserved=0<https://eur03.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frnog.org%2F&data=05%7C02%7Cjerome.meyer%40nokia.com%7Ce4893658a9a64ddcff7e08dd60b61dc6%7C5d4717519675428d917b70f44f9630b0%7C0%7C0%7C638773057490196578%7CUnknown%7CTWFpbGZsb3d8eyJFbXB0eU1hcGkiOnRydWUsIlYiOiIwLjAuMDAwMCIsIlAiOiJXaW4zMiIsIkFOIjoiTWFpbCIsIldUIjoyfQ%3D%3D%7C0%7C%7C%7C&sdata=MYBz2gO9hImjXEaODNoDp4r28Vh3BVR%2FE0Sp2H0OEuo%3D&reserved=0><http://www.frnog.org/> --------------------------- Liste de diffusion du FRnOG https://eur03.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frnog.org%2F&data=05%7C02%7Cjerome.meyer%40nokia.com%7Ce4893658a9a64ddcff7e08dd60b61dc6%7C5d4717519675428d917b70f44f9630b0%7C0%7C0%7C638773057490210274%7CUnknown%7CTWFpbGZsb3d8eyJFbXB0eU1hcGkiOnRydWUsIlYiOiIwLjAuMDAwMCIsIlAiOiJXaW4zMiIsIkFOIjoiTWFpbCIsIldUIjoyfQ%3D%3D%7C0%7C%7C%7C&sdata=iFRJ%2BErLCmC5%2BWM65KETfYCmk2AJ7Ke6FOFSje6kezw%3D&reserved=0<http://www.frnog.org/> --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
