NoName057(16) : attaques DDoS pro-russes contre les aéroports et La Poste en France
Depuis 2022, le groupe hacktiviste NoName057(16), actif et pro-russe, s’est fait connaître pour ses attaques par déni de service (DDoS) visant des institutions publiques et des organisations soutenant l’Ukraine ou contre les intérêts russes. Utilisant l’outil DDoSia, le groupe cible principalement les gouvernements, les organisations et les infrastructures critiques, en sélectionnant ses victimes en fonction de leur valeur symbolique au regard de l’actualité géopolitique.
Par Sophie-C
Analyste de la menace
Une réaction directe à la vente d’armes
Fin novembre 2025, l’Ukraine a signé une déclaration d’intention pour l’achat d’une centaine d’avions Rafale. NoName057(16) a alors lancé l’opération #OpeFrance, visant le secteur aérien français. Selon le groupe, cette campagne constituait une réponse directe à cette déclaration.
Plusieurs campagnes de DDoS ont alors été menées en décembre 2025, dont une contre plusieurs aéroports français, perturbant temporairement certains services en ligne et provoquant des instabilités sur leurs sites web.
NoName057(16) a également multiplié les attaques DDoS contre La Poste, perturbant ses services en ligne, le suivi de colis et la Banque Postale, avec un rétablissement complet à la fin du mois. Une nouvelle campagne a touché les mêmes services le 1er janvier 2026.
Ce ciblage s’inscrit également dans une logique de représailles. En effet, en juillet 2025, l’opération Eastwood d’Europol, visant NoName057(16), a affecté significativement l’infrastructure du groupe. En réponse, le collectif, soutenu par d’autres groupes pro-russes, a renforcé ses campagnes de DDoS contre des cibles européennes.
Kill chain et Tactiques, Techniques et Procédures (TTPs)
NoName057(16) sélectionne des cibles à forte valeur symbolique selon l’actualité géopolitique, mobilise ses volontaires via Telegram et distribue l’outil DDoSia. Les attaques DDoS sont ensuite lancées de manière coordonnée, les résultats sont valorisés, puis le groupe se prépare à lancer un nouveau cycle d’attaque.
Le groupe teste l’accessibilité de ses futures victimes via des scans réseau, puis exploite les services exposés pour lancer les attaques. Ils utilisent ensuite DDoSia, un outil de DDoS clé en main permettant à tout affilié de se joindre à la campagne pour en renforcer l’impact. Ces attaques massives saturent le réseau, rendant temporairement les services des victimes inaccessibles.
Le groupe NoName057(16) illustre la manière dont les tensions géopolitiques se reflètent aujourd’hui dans le cyberespace. Ses attaques contre des infrastructures françaises, en réponse à des décisions politiques ou militaires, rappellent que le numérique est devenu un terrain de confrontation stratégique. La surveillance des menaces et l’analyse de la Cyber Threat Intelligence (CTI) restent essentielles pour anticiper ce type d’attaques et renforcer la protection des infrastructures critiques.