Lundi 22 décembre, les différents services de La Poste sont devenus inaccessibles. Une panne qui tombe mal, en plein rush des livraisons pour Noël. La cause est une cyberattaque de grande ampleur.

« Aucune donnée personnelle n’a été aspirée », indique La Poste. Cette bonne nouvelle ne signifie toutefois pas que l’entreprise bénéficie d’une meilleure cybersécurité que Free, Bouygues, SFR, ou même le ministère de l’Intérieur, qui ont tous vu les données de millions de personnes volées par des hackers. Il s’agit ici d’un autre type d’attaque, appelée attaque par déni de service, ou DDoS en anglais. Des pirates pilotent un très grand nombre d’appareils, souvent des PC infectés avec un malware, mais aussi des smartphones, tablettes, ou télévisions connectées, et peut-être même un de vos propres appareils. Ils les font se connecter simultanément et de manière répétée à un seul site, générant un trafic beaucoup trop important pour celui-ci.

Le résultat est que le site entier devient inaccessible pour tous, créant une panne géante comme celle qui a touché La Poste. À l’heure actuelle, les auteurs de la cyberattaque n’ont pas encore été identifiés.

L’accès à nos services en ligne s’est amélioré dans la matinée mais la situation reste très perturbée avec de nombreux ralentissements.

— La Banque Postale (@LaBanquePostale) December 23, 2025

Cloudflare, le géant dont dépend le Web mondial

Ce genre d’attaque arrive fréquemment, et la plupart des sites ont une protection en place. Dans le cas de La Poste, le nombre de connexions était visiblement trop élevé. Avec le nombre d’appareils connectés qui augmente dans le monde, les essaims d’appareils infectés, ou botnets, sont de plus en plus grands et de plus en plus difficiles à contrer. Pour cela, il faut une infrastructure très importante.

C’est pour cela que de nombreux sites confient leur protection à un tiers, le plus connu étant Cloudflare. Ce service s’appuie sur des serveurs partout dans le monde, et peut le plus souvent absorber le surplus de trafic généré par les attaques DDoS. Toutefois, ce n’est pas sans ses propres inconvénients. Les 18 novembre et 5 décembre dernier, Cloudflare est tombé en panne, entraînant avec lui une grande partie du Web. Il protège les sites en réorientant les visiteurs à travers ses serveurs, mais par conséquent lorsqu’il est en panne, les sites qu’il protège deviennent inaccessibles.

Tout comme Amazon Web Services, qui héberge beaucoup de sites et dont une panne en octobre a eu des conséquences similaires, Cloudflare fait partie d’une poignée de services dont dépend le Web, le rendant de plus en plus fragile.

Une attaque toujours en cours, malgré quelques améliorations

Pour se prémunir des attaques DDoS, il n’y a pas 36 solutions. Soit dépendre d’un service de type Cloudflare, appelé réseau de diffusion de contenu ou CDN, soit investir dans son propre système, ce qui n’est pas envisageable à cette échelle pour La Poste. Il existe plusieurs alternatives européennes, de plus petite taille, notamment OVHCloud, Gcore, Bunny et Myra Security. Cependant, un CDN utilise une copie des pages dans son cache, ce qui signifie qu’il ne peut pas protéger l’ensemble du trafic, notamment tout ce qui concerne les comptes personnels. Les cyberattaques les plus sophistiquées peuvent donc contourner cette protection. Les attaques par déni de service sont particulièrement difficiles à arrêter.

Dans le cas présent, les services de La Poste, Digiposte et La Banque Postale sont affectés. En début d’après-midi ce mardi 23 décembre, la cyberattaque était toujours en cours, mais l’intensité avait baissé. Certains services étaient revenus, notamment La Banque Postale, mais d’autres sont toujours perturbés. Le suivi des colis est toujours hors ligne, mais le ministre de l’Économie Roland Lescure assure que les postiers « mettent les bouchées doubles » pour garantir la livraison.