Dans la journée du lundi 10 mars 2025, le réseau social X a connu une série de pannes d’envergure. Pendant plusieurs heures, la plateforme était inaccessible. Elon Musk a rapidement dénoncé une « cyberattaque massive contre 𝕏 » ayant fait appel à des ressources considérables. Le milliardaire a ensuite pointé du doigt « des adresses IP situées en Ukraine », estimant qu’« un grand groupe coordonné » ou « alors un pays » est impliqué dans l’attaque DDoS.
« Nous ne sommes pas sûrs exactement de ce qui s’est passé, mais il y a eu une cyberattaque massive pour tenter de faire tomber le système X avec des adresses IP provenant de la région ukrainienne », annonçait Elon Musk le soir de l’attaque.
Un botnet à l’origine de la cyberattaque
Tandis que la poussière retombe, plusieurs chercheurs en sécurité sont venus nuancer les assertions d’Elon Musk. Interrogé par Wired, Shawn Edwards, directeur de la sécurité de Zayo, rappelle que les attaques DDoS, comme celles qui ont paralysé X pendant des heures, sont généralement émises par un botnet, un réseau d’appareils infectés par des logiciels malveillants et contrôlés à distance par un cybercriminel. Ce réseau se sert « des appareils compromis, des VPN ou des réseaux proxy pour obscurcir leur véritable origine ».
De facto, on ne peut pas vraiment déterminer que les offensives ont été émises par l’Ukraine. Comme le souligne Shawn Edwards, « ce que nous pouvons conclure à partir des données IP, c’est la répartition géographique des sources de trafic, qui peut fournir un aperçu de la composition du botnet ou de l’infrastructure utilisée », mais « ce que nous ne pouvons pas conclure avec certitude, c’est l’identité ou l’intention réelle de l’auteur ». Par ailleurs, un chercheur resté anonyme assure à Wired que l’Ukraine ne faisait pas partie des 20 principales sources d’adresses IP impliquées dans les attaques X.
Dans le cas de l’offensive contre X, c’est un botnet « de caméras et de DVR » qui est à l’origine des assauts, indique le chercheur Kevin Beaumont. Pour propager les attaques, le botnet a surtout compromis des appareils comme des caméras numériques et des Digital Video Recorder, des enregistreurs conçus pour enregistrer des séquences vidéo.
« Ces attaques requièrent tout de même une certaine organisation et des moyens. Pour sa réussite, l’attaque doit comporter un grand nombre de machines zombies, des ordinateurs ou matériels sous le contrôle de l’attaquant, et dans l’idéal, celles-ci doivent se situer dans les pays ciblés, rendant leur détection plus complexe », explique Benoît Grunemwald, expert en cybersécurité chez Eset France, dans une réaction adressée à 01Net.
À lire aussi : 1 million d’appareils Android ont été piratés par Badbox 2.0, un gigantesque botnet
Des serveurs mal sécurisés
Par ailleurs, le chercheur Kevin Beaumont affirme que certains des serveurs de X n’étaient pas correctement sécurisés. En fait, la protection Cloudflare DDoS n’avait pas été activée par le réseau social. Comme son nom l’indique, cette mesure est pourtant conçue pour détecter et atténuer les attaques par déni de service.
De plus, les serveurs étaient visibles publiquement. Les pirates à l’origine de la cyberattaque ont donc pu cibler directement les serveurs. L’expert ajoute que « le botnet attaquait directement l’IP et beaucoup d’autres sur ce sous-réseau X ». Depuis la cyberattaque, X a pris les mesures nécessaires pour sécuriser tous ses serveurs.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Wired
