- X a subi des pannes le lundi 10 mars en raison d'une « cyberattaque massive ».
- Le PDG Elon Musk a attribué cette attaque à des « adresses IP provenant de la région ukrainienne ».
- Les experts en sécurité suggèrent que l'origine réelle de l'attaque ne peut être identifiée.
Les analystes pensent qu'une attaque par déni de service distribué a surchargé les serveurs de X avec du trafic frauduleux, interrompant ainsi l'accès des utilisateurs légitimes. En raison de la nature de l'attaque, il n'est pas vraiment possible d'identifier avec certitude son origine. Les pirates ont utilisé des appareils dans plusieurs régions, acheminant le trafic via un certain nombre d'adresses IP piratées.
La plateforme de réseau social X, anciennement connue sous le nom de Twitter, a subi plusieurs pannes lundi 10 mars. Des milliers d'utilisateurs de X à travers le monde ont signalé ne pas pouvoir accéder au site web tout au long de la journée.
S'adressant à Fox Business, le propriétaire Elon Musk a attribué ces pannes à une « cyberattaque massive » et a affirmé que « des adresses IP provenant de la région ukrainienne » en étaient à l'origine.
Avec un pic de 40 000 problèmes signalés sur Downdetector, l'ampleur de la panne ne fait aucun doute. Il s'agit de la plus importante interruption de service que la plateforme ait connue depuis des années, les effets de la panne ayant duré plusieurs heures.
Mais maintenant que la poussière est retombée, quelle est la cause exacte de cette panne ? Voici les premières hypothèses, suivies des réflexions d'experts en cybersécurité...
L'affirmation : des pirates informatiques basés en Ukraine seraient à l'origine de la cyberattaque X.
Au lendemain de la panne, Elon Musk s'est exprimé sur X pour faire part de sa conviction que l'attaque avait été menée « avec beaucoup de moyens ». Il a ensuite affirmé qu'« un groupe important et coordonné et/ou un pays était impliqué », avant de déclarer plus tard sur Fox Business qu'elle provenait « d'adresses IP situées dans la région ukrainienne ».
There was (still is) a massive cyberattack against 𝕏. We get attacked every day, but this was done with a lot of resources. Either a large, coordinated group and/or a country is involved. Tracing … https://t.co/aZSO1a92noMarch 10, 2025
Le groupe de hackers Dark Storm Team a brièvement revendiqué la responsabilité de l'attaque contre Telegram, mais le message a ensuite été supprimé.
Au milieu de l'incertitude et des accusations, nous avons reconstitué un tableau plus clair de ce qui s'est passé et déchiffré les déclarations de Musk dans le contexte de la dispute géopolitique en cours avec le président Volodymyr Zelensky.
La réalité : il est impossible de déterminer avec précision la source réelle de l'attaque X.
Les analystes sur le web s'accordent largement à dire que X a subi lundi une attaque par déni de service distribué (DDoS). Il s'agit traditionnellement d'une forme assez rudimentaire de cyberattaque. Elle consiste à inonder les serveurs d'une cible avec un trafic illégitime, saturant ainsi leur capacité et empêchant les utilisateurs réels d'accéder au site web en question.
S'exprimant dans l'émission Today de BBC Radio 4, Ciaran Martin, professeur à la Blavatnik School of Government de l'université d'Oxford et ancien directeur du Centre national de cybersécurité du Royaume-Uni, a qualifié cette technique de « peu sophistiquée ».
Certains experts ne sont pas du même avis. David Mound, testeur d'intrusion senior chez Security Scorecard, une plateforme tierce de gestion des risques, a déclaré dans un communiqué que « les tactiques d'attaque DDoS ont considérablement évolué ». Il a souligné que « les attaquants répartissent désormais le trafic sur l'ensemble des sous-réseaux ».
Cela fait écho aux commentaires d'autres experts du secteur. Plusieurs experts ont souligné que les attaques DDoS sont généralement orchestrées à l'aide d'un bataillon d'appareils répartis dans le monde entier. Le trafic a tendance à être généré à partir d'adresses IP réparties dans différentes régions, ce qui rend difficile de déterminer avec précision l'origine de l'attaque.
S'adressant à Wired, Shawn Edwards, directeur de la sécurité chez Zayo, une entreprise de connectivité réseau, a déclaré que « les attaquants utilisent fréquemment des appareils compromis, des VPN ou des réseaux proxy pour dissimuler leur véritable origine ».
Il est donc difficile de déterminer la source réelle d'une attaque. Même si le trafic provenait bien d'adresses IP situées dans un pays particulier, comme l'a suggéré M. Musk, cela ne signifie pas pour autant que les cyberattaquants se trouvaient dans ce pays. Selon les termes du professeur Martin, cela « ne nous apprend absolument rien ».
Par ailleurs, Wired a également cité un chercheur anonyme qui a déclaré qu'aucune des 20 principales sources de trafic impliquées dans l'attaque n'était située en Ukraine. Si cela s'avère exact, cela contredirait la déclaration de Musk concernant les hackers ukrainiens. Il ne semble y avoir aucune preuve à l'appui de son affirmation selon laquelle les adresses IP impliquées dans l'attaque provenaient d'Ukraine. Même si c'était le cas, cela ne prouverait pas qu'un groupe dans ce pays ait effectivement participé à l'attaque.
Cela ne veut pas dire qu'un acteur étatique ne pourrait pas être impliqué. Mound a clairement indiqué que « les acteurs étatiques utilisent également les attaques DDoS dans le cadre de campagnes plus larges d'influence et de perturbation cybernétique, en particulier dans les conflits géopolitiques ».
Une autre question se pose : comment l'attaque a-t-elle pu avoir un impact aussi important sur X ? Les attaques DDoS sont relativement courantes, Musk lui-même ayant déclaré que X était « attaqué tous les jours ». Alors pourquoi celle-ci a-t-elle mis X à genoux ? Musk tient à suggérer qu'un groupe disposant de ressources importantes est à l'origine de cette attaque.
Cependant, plusieurs analystes indépendants ont constaté que les serveurs de X n'étaient pas correctement sécurisés, ce qui les exposait publiquement à l'attaque.
Les cyber-spécialistes mettent en garde contre une augmentation de la fréquence et de la complexité des attaques DDoS. Dans certains cas, les attaquants « font chanter les entreprises en les menaçant de longues périodes d'indisponibilité », explique M. Mound. D'autres menacent de « perturber, pour des raisons politiques, le fonctionnement des gouvernements, des institutions financières et des fournisseurs d'infrastructures ».
M. Mound conclut : « Les attaquants affinant sans cesse leurs techniques, il est essentiel d'adopter une posture de sécurité proactive et adaptative pour résister aux menaces DDoS modernes ».
