Le 22 décembre 2025, La Poste a été touchée par une attaque DDoS au pire moment, relançant une campagne attribuée à NoName057(16), entre nuisance publique, récit de propagande et signaux inquiétants autour de l’industriel.
Depuis le 22 décembre 2025, une série d’attaques par déni de service distribué vise des services français, avec La Poste comme cible la plus visible en pleine période de pointe. Les assaillants, attribués au collectif prorusse NoName057(16), revendiquent une stratégie de pression continue : listes de sites, répétition des coups, communication destinée à amplifier l’effet social et médiatique. La campagne touche des services locaux (Rennes Métropole), des transports (tramway d’Angers), des acteurs énergétiques (sous-domaines ou services associés à EDF), un service lié au Crédit Agricole, l’ARCEP et des plateformes web d’aéroports, jusqu’à l’aéroport de Tahiti cité dans les revendications. En parallèle, le groupe entretient une ambiguïté en évoquant aussi des systèmes industriels liés aux eaux usées, sans preuve publique à ce stade. Ils ont signé leur attaque de décembre par un message simple : « Merry Christmas, French Russophobes!«
La Poste, un choix « pile au pire moment«
Le lundi 22 décembre 2025, l’accès à plusieurs services en ligne de La Poste et de La Banque Postale a été perturbé par une attaque DDoS. Le mécanisme est connu : au lieu d’exfiltrer des données, l’attaquant cherche à rendre un service indisponible en le saturant de requêtes. Le résultat, lui, se voit immédiatement côté usagers : pages inaccessibles, lenteurs, opérations en ligne dégradées, au moment précis où l’activité logistique et les démarches numériques explosent, entre expéditions de fin d’année et besoins bancaires courants. L’une des adresses visée par les pirates : l’identité numérique de La Poste.723498
Dans les heures suivantes, des revendications ont circulé dans l’écosystème des assaillants. NoName057(16) a rapidement revendiqué les attaques. La séquence illustre la grammaire habituelle de ces campagnes : l’effet technique est parfois temporaire, mais l’effet psychologique, lui, est travaillé. Choisir une cible de masse, au plus près de Noël, maximise l’irritation sociale, le relais médiatique et l’impression d’une vulnérabilité collective. Dans ce registre, le « timing » fait partie de l’attaque autant que le trafic malveillant.
Ce type d’action s’inscrit aussi dans une logique de signalement politique. NoName057(16) se présente comme un collectif engagé, prorusse, apparu après le début de la guerre en Ukraine en 2022, et se concentre surtout sur des DDoS visant des organismes publics ou des entreprises situés dans des pays considérés comme favorables à Kiev. La cible n’est donc pas seulement un service numérique : c’est un symbole. La Poste, service du quotidien, incarne à la fois l’État, l’économie et la vie pratique. En la touchant, même brièvement, l’attaquant fabrique une scène de propagande, plus facile à raconter qu’une intrusion silencieuse.
Pourquoi ces cyber attaques : « The infrastructure of France […] has been down because of they are helping to Ukraine with millitary equipment« , écrit NoName. Traduisez que les hacktivites ne sont pas content de l’aide militaire technique apporté par la France à l’Ukraine.
Une campagne en série, des cibles qui dessinent un récit
La séquence ne s’est pas arrêtée à La Poste. À partir du 22 décembre, et selon les informations receuillies par le service de veille ZATAZ, plusieurs entités françaises ont été citées ou affectées. Des services liés à Rennes Métropole apparaissent dans la liste, tout comme la Sécurité Routiére ou encore Eurotunnel via GetLink. Des services associés au tramway d’Angers sont mentionnés. Plusieurs sous-domaines ou services rattachés à EDF figurent aussi parmi les cibles revendiquées. Un outil ou service lié au Crédit Agricole est affiché, tout comme l’ARCEP. Des services web associés à des aéroports, décrits comme des plateformes régionales, sont ajoutés à la liste, les aéroports de Tahiti, Lille, Rennes, Marseille, Lyon, Strasbourg, Caen, Bergerac ou encore Rouen et Toulon sont également mentionnés dans les revendications.
Pris séparément, chaque épisode peut sembler limité : un site ralentit, une page tombe, puis revient trés rapidement. Pris ensemble, cela dessine une stratégie de harcèlement. Le groupe ne cherche pas forcément la sophistication technique, il cherche la continuité. En multipliant les points d’impact, l’attaquant impose une fatigue opérationnelle, oblige les équipes à surveiller en permanence, et crée un bruit de fond médiatique qui entretient l’idée d’une campagne nationale. C’est, en substance, une « cyber-manifestation » : occuper l’espace numérique, gêner l’accès, afficher un rapport de force. NoName a fait exactement pareil quelques heures auparavant en Finlande, en Ukraine et en Suéde.
Cette logique est renforcée par la mise en scène des revendications. Publier des listes de cibles, annoncer des « succès », signaler les prochaines attaques, tout cela vise à installer un sentiment de rythme. Le DDoS est particulièrement adapté à ce théâtre : il est relativement simple à industrialiser, ses effets sont immédiatement visibles, et il se prête bien à une communication « scoreboard » (sites indisponibles, minutes de coupure, captures d’écran). Pour des organisations, le défi n’est pas seulement de filtrer du trafic, c’est aussi de gérer la narration : expliquer l’incident, rassurer sur l’intégrité des données quand c’est le cas, et maintenir la confiance, sans offrir une tribune aux assaillants.
NoName057(16) et DDoSia, l’industrialisation par la foule
NoName057(16) est décrit comme un collectif prorusse, actif depuis 2022, qui communique largement via des canaux de messagerie et encadre ses opérations dans un discours militant. Son fonctionnement repose sur une mécanique centrale : DDoSia, présenté comme un « programme » de participation. Le principe, comme zataz vous l’a montré dés 2022, consiste à recruter des sympathisants, à leur fournir un outil, puis à distribuer des consignes de ciblage. L’attaque devient alors un effort collectif, où la quantité remplace la complexité.
Ce modèle a deux avantages majeurs pour les assaillants. D’abord, il abaisse la barrière d’entrée : des volontaires peuvent participer sans maîtriser l’ensemble de la chaîne offensive. Ensuite, il dilue la responsabilité : au lieu d’un petit groupe unique, on obtient une foule d’exécutants, plus difficile à cartographier entièrement. La mention d’incitations et de « gamification » renforce cette idée d’une mobilisation durable, alimentée par des récompenses symboliques ou matérielles, et par la gratification de « participer » à une action. En matière de renseignement, cela crée un bruit de recrutement : plus la base s’élargit, plus les traces se multiplient, mais plus l’identification des organisateurs clés exige une enquête structurée et internationale.
Dans cette campagne française de décembre 2025, la cohérence stratégique tient précisément à cette capacité à frapper souvent. Une « pression continue » suppose des ressources, mais le DDoS les rend accessibles : il suffit d’orchestrer, de coordonner, et de maintenir une discipline de communication. C’est aussi la raison pour laquelle ces actions reviennent par vagues : elles suivent l’agenda politique et médiatique, et se calent sur des moments de forte visibilité.
Chronologie des revendications de NoName
23/12/2025
11:59 : DDoS sur Rennes Metro, Angers Tramway, Faaa Airport, et plusieurs éléments liés à EDF.
12:28 : La Poste, un « système automatisé de paiement des amendes », Getlink/Eurotunnel, Sécurité Routiére.
12:56 : Accès au système d’une station de traitement des eaux usées.
24/12/2025
13:45 : mise hors ligne du site de l’Autorité des Communications Électroniques (ARCEP).
14:16 : accès à une seconde entité de gesion des eaux usées.
16:00 : liste d’aéroports visés : Lyon, Marseille, Rennes, Lille, Strasbourg, Caen, Bergerac, Toulon-Hyères, Rouen.
Et quand le discours glisse vers l’industriel, le risque change d’échelle
Dans la même séquence de communication de cette fin décembre, le Service de Veille de ZATAZ a repéré des messages attribués à l’écosystème NoName/DDoSia qui revendiquent aussi un accès à des systèmes de supervision liés à des stations ou traitements d’eaux usées, en évoquant une capacité à surveiller et piloter des paramètres, comme des pompes ou des niveaux. Cette affirmation, à elle seule, modifie le registre. Une attaque DDoS vise l’indisponibilité. Une intrusion dans des environnements OT/ICS vise potentiellement des processus physiques, donc une autre catégorie de risques.
Ici, la prudence s’impose. Les éléments fournis présentent ces messages comme des revendications, et insistent sur la nécessité de les traiter comme telles tant qu’aucune corroboration technique ou judiciaire n’est publique. Cette distinction est essentielle : l’écart entre l’annonce et la réalité peut être important, et la communication fait partie de la stratégie, c’est d’ailleurs pour cela que ZATAZ ne donnera ni le nom des stations citées par les pirates, ni ne montrera les vidéos diffusées. Mais l’intérêt, pour l’attaquant, est évident : suggérer une capacité OT/ICS suffit parfois à accroître la peur et à détourner l’attention, même sans preuve. « Nous contrôlons les processus clés : démarrage et arrêt des pompes et des mélangeurs, régulation des niveaux des réservoirs, surveillance de la filtration et du dosage des réactifs, ainsi que surveillance du pH, de la température et d’autres paramètres. » a pu lire zataz.
Dans une logique de renseignement, ce type de message peut aussi servir à tester les réactions : observe-t-on une réponse publique, un renforcement visible, une confirmation involontaire ? Pour les opérateurs, l’attitude rationnelle se résume à « preuve ou prudence ». Même sans validation publique, un signal OT/ICS justifie des vérifications rapides, du cloisonnement, une surveillance renforcée, et un traitement de l’alerte comme scénario sérieux tant que le doute persiste. Ce n’est pas céder au sensationnalisme, c’est appliquer un principe de gestion du risque : le coût d’une vérification est généralement inférieur au coût d’une surprise. « Notre projet ne se contente pas de parler, il montre qu’il peut influencer des processus qui permettent des opérations vitales dans toute la France. Affiche NoName. Ce niveau d’accès offre une excellente occasion de mettre en avant et de faire connaître la cybersécurité dans l’industrie.«
Deux ans de réponse policière, de l’arrestation au démantèlement
Sur le plan judiciaire et policier, les deux dernières années marquent une montée en puissance des actions contre l’écosystème NoName. En juillet 2024, en Espagne, la Guardia Civil a annoncé l’arrestation de trois suspects présentés comme des participants volontaires à des attaques de type DoS/DDoS liées à NoName057(16). Ce point est important : il ne s’agit pas uniquement de viser des « chefs », mais aussi de frapper la base de participation, ce qui affaiblit mécaniquement le modèle « par la foule » et envoie un message dissuasif aux recrues potentielles.
En juillet/août 2025, l’opération « Eastwood« , décrite comme une action internationale coordonnée, avec Europol et Eurojust, a ciblé NoName057(16) plus directement : neutralisations et saisies d’infrastructures, démantèlement de serveurs, mandats d’arrêt, et actions simultanées dans plusieurs pays. Les communications officielles mentionnées évoquent notamment des mandats visant des personnes situées en Russie, ainsi que des opérations en Europe, avec perquisitions et arrestations. Dans une lecture renseignement, ce type d’opération vise autant la capacité technique que la confiance interne : si l’infrastructure est frappée et si des acteurs sont identifiés, la communauté devient plus paranoïaque, donc moins efficace.
En septembre 2025, la séquence s’est prolongée avec un cas emblématique : un ressortissant espagnol, Enrique Arias Gil, ancien enseignant, présenté par des sources policières et médiatiques comme suspecté d’avoir aidé à identifier des cibles et à soutenir l’activité du réseau. Il est décrit comme étant réfugié en Russie, ce qui complique fortement la coopération judiciaire. Le message implicite est double : d’un côté, les enquêteurs remontent des profils plus structurants que de simples exécutants ; de l’autre, la géographie politique peut offrir des zones de refuge qui bloquent les procédures.
Enfin, en décembre 2025, des autorités américaines ont communiqué sur des poursuites visant des personnes accusées d’avoir soutenu NoName057(16). L’intérêt, ici, est la dimension extraterritoriale : l’écosystème n’est pas cantonné à l’Europe, et la réponse s’étend au-delà du périmètre des attaques visibles. Pour les acteurs français, cela rappelle une réalité : une campagne DDoS peut sembler « locale » quand elle touche des sites nationaux, mais ses ressorts humains, financiers et logistiques sont souvent transnationaux. A noter qu’un français a été arrêté dans l’opération de 2025.
Ce que la France doit retenir pour 2026 : résilience, communication, et discipline OT
L’épisode de décembre 2025 illustre une leçon ancienne, mais toujours valable : le DDoS reste une arme de masse, simple à lancer, surtout lorsqu’un groupe dispose d’un vivier de participants et d’une infrastructure de pilotage. La réponse ne tient pas dans une solution miracle unique. Elle repose sur un plan de résilience, articulé autour de la capacité d’absorption (services anti-DDoS), de la redondance et des bascules, et d’une préparation opérationnelle, avec des tests réguliers en conditions réalistes.
La communication de crise est un volet souvent sous-estimé. Dans ces campagnes, l’attaquant cherche aussi à imposer son récit. Dire ce qui est touché, ce qui ne l’est pas, rappeler quand c’est le cas que le DDoS vise l’accès et non l’intégrité des données, et donner des délais de retour au service quand ils sont connus, contribue à réduire l’effet recherché : l’angoisse et la colère. En parallèle, éviter de relayer les éléments de propagande, sans les passer sous silence, limite la portée de la mise en scène.
Enfin, l’apparition de revendications liées à l’OT/ICS, notamment autour des eaux usées, doit être traitée avec rigueur. Tant que rien n’est confirmé publiquement, il faut parler de revendications. Mais tant que le doute existe, il faut agir comme si le scénario était possible : vérifier, cloisonner, surveiller. L’enjeu n’est pas de dramatiser, il est de maintenir une posture de contrôle face à une stratégie d’ambiguïté.
La campagne attribuée à NoName057(16) montre comment un DDoS, techniquement « simple », peut devenir un levier de pression politique et médiatique, surtout lorsqu’il est coordonné, répété, et scénarisé. La réponse la plus solide combine résilience technique, discipline de communication et vigilance accrue dès que le discours glisse vers l’industriel.
