Sur Telegram, les URL de sites français s’enchaînent. Entre deux paragraphes écrits en russe, les liens vers les sites de la cour de cassation, du tribunal administratif de Paris ou encore de la confédération paysanne sont partagés sur différents canaux de la messagerie. «Aujourd’hui […], nous frappons des cibles suspectes», écrit un utilisateur, appelant «tous ceux qui souhaitent participer à l’attaque» à envoyer un message à un autre internaute. Le tout auréolé d’emojis explosion, de têtes de mort et du hashtag #FreeDurov.

Samedi 24 août, le patron de l’application Telegram, Pavel Dourov, a été arrêté par les autorités françaises. La justice française reproche au milliardaire de 39 ans de ne pas agir contre les utilisations délictuelles de sa messagerie par ses abonnés. Avec ses groupes de discussion pouvant accueillir jusqu’à 200 000 personnes, Telegram est régulièrement accusé d’augmenter le potentiel viral des fausses informations et la prolifération de contenus haineux, néonazis, pédophiles, complotistes ou terroristes.

Dénonçant une arrestation abusive, plusieurs utilisateurs de la messagerie appellent depuis à riposter en attaquant des sites français. Une opération baptisée #opDourov, selon Clément Domingo, alias SaxX, un vulgarisateur de la cybersécurité. Ce lundi 26 août, celui qui se définit comme un «gentil hacker» assure auprès de Libération avoir répertorié «au moins une trentaine» de sites nommés et ciblés – ou en cours de ciblage – depuis dimanche.

Parmi eux : des sites institutionnels comme celui de l’administration française, de la ville de Marseille ou encore de la représentation permanente de la France auprès des Nations unies. Mais aussi la Confédération paysanne, La Voix du Nord ou encore Doctolib. Si certains affirment ne pas avoir noté d’activité inhabituelle, d’autres confirment avoir été ciblés. «On a remarqué qu’il y avait eu autour de 18 heures samedi un pic avec 80 000 tentatives de connexion», acquiesce l’équipe de la Confédération paysanne, ce qui «corroborerait le fait que le site a été attaqué». Selon le syndicat, qui assure n’avoir jamais vu une telle attaque, «ça n’a pas duré plus de deux heures».

Une fois visés, plusieurs sites ont tourné au ralenti, voire ont été rendus temporairement indisponibles. Ce lundi toutefois, la plupart semblent de nouveau fonctionner normalement. «On est hébergés par un gros serveur, qui gère assez facilement ce type de problème, pointe la Confédération paysanne. En revanche, on n’a pas d’information sur les origines de l’action. Pourquoi est-ce qu’on nous cible nous ? Aucune idée.» Cette question, le syndicat n’est pas le seul à se le poser. D’autant plus qu’une myriade de sites qui n’ont a priori rien à voir avec Pavel Dourov ont été touchés, à l’image de la Syane, le syndicat des énergies et du numérique de Haute-Savoie. «Nous avons relevé les symptômes d’une attaque. Les investigations sont en cours», s’est contenté d’affirmer l’établissement.

Les bugs en question proviennent d’attaques en déni de service (DDOS), qui visent à multiplier les requêtes sur un site jusqu’à la saturer. Des attaques faciles à lancer et qui «ne coûtent pas très cher», explique Clément Domingo. Sur X, le vulgarisateur rappelle que, bien que catégorisée comme une cyberattaque, une attaque de type DDOS «n’est en rien comparable à un rançongiciel ou encore une exfiltration de données» et que, bien qu’il y ait une gêne, «elle n’est que passagère». Faciles à lancer, ces attaques se gèrent aussi relativement facilement, grâce à des solutions techniques connues depuis longtemps.

Car en réalité, ces attaques DDOS n’ont rien de nouveau, ni d’inédit. «C’est une réaction classique après un évènement comme l’arrestation de Pavel Dourov. On en voit souvent dans l’actualité, comme après le 7 octobre ou l’invasion de l’Ukraine», pointe Baptiste Robert, chercheur en cybersécurité et président de Predicta Lab. «On en arrête très régulièrement tout au long de l’année», acquiesce le porte-parole d’un des sites institutionnels visés. Alors dès l’annonce de l’arrestation, «on est devenus encore plus vigilants».

Bien que peu sophistiquées, ces attaques ne viennent pas de nulle part. Sur des canaux Telegram, plusieurs collectifs de hackeurs – comme UserSec, RipperSec ou encore Russia Cyber Army – les revendiquent, et nomment expressément les sites français à viser. Selon Clément Domingo, la plupart de ces groupuscules seraient «soient prorusses, soient affiliés à la Russie». «Ce qu’il faut comprendre, c’est que n’est pas une opération structurée où il n’y aurait qu’une seule entité, souligne Baptiste Robert. Il s’agit de petits groupes dans leurs coins, qui ont des accointances côté russe et qui décident d’attaquer des sites français».

Sur X, Clément Domingo évoque des «hacktivistes». «C’est différent des groupes cybercriminels, dont le but est de faire de l’argent. Là, ils apportent leurs “compétences” pour défendre une idéologie», explique le vulgarisateur. Mais si dans les canaux, les #FreeParov se multiplient, «il faut prendre le mot hacktiviste avec prudence», avertit Baptiste Robert. «Aujourd’hui, tout le monde peut se dire hacktiviste. L’objectif de ces groupes reste aussi de faire parler d’eux, d’acquérir une légitimité en visant des sites.»

Pour le chercheur, leur manque d’expertise se reflète d’ailleurs à travers les sites visés. «D’après ce qu’on observe, ils ne comprennent pas le français, manquent d’expérience et ne savent pas exactement qui ils attaquent.» Résultat : la liste des URL est hétérogène et peu cohérente. «Ça peut partir du site de l’association à celui du petit commerçant en passant par celui de la multinationale ou de la collectivité territoriale, concède Clément Domingo. L’objectif, c’est surtout de dire qu’ils ont réussi à faire tomber le site pendant quelques minutes ou plus.»

Ces dernières heures, de nouvelles cibles ont été désignées à l’échelle européenne. Parmi elles, la Cour européenne des droits de l’homme, ou encore le Conseil de l’Europe. «Il faut s’attendre dans les heures et jours à venir à une probable intensification de ces attaques informatiques», écrivait samedi soir Clément Domingo sur X. Ce lundi, le vulgarisateur craignait surtout de voir apparaître des attaques plus virulentes, «soit des vols d’informations, soit des modifications des messages de la page d’accueil par un texte de propagande».

«C’est le risque lorsqu’un évènement médiatique perdure : que ça s’empire», poursuit-il. Plus prudent, Baptiste Robert, lui, appelle à «faire la distinction entre la crainte et le factuel». D’autant plus que les acteurs qui ont les capacités de faire de l’exfiltration de données «le font toute l’année, ils n’attendent pas l’arrestation de Pavel Dourov», souligne le chercheur. En attendant, le président de Predicta Lab appelle à rester vigilant. «En cybersécurité, il faut toujours considérer la menace.»