Post-mortem: Attaque DDoS sur Unipage le 9 mai 2025

Dans cet article, nous expliquons en toute transparence ce qui s’est exactement passé, comment nous avons réagi, quel a été l’impact, et quelles mesures nous prenons pour renforcer davantage notre infrastructure.

Le 9 mai 2025, Unipage a dû faire face à une attaque DDoS de grande ampleur ciblant l’un de nos clients. Dans cet article, nous expliquons en toute transparence ce qui s’est exactement passé, comment nous avons réagi, quel a été l’impact, et quelles mesures nous prenons pour renforcer davantage notre infrastructure.

Que s’est-il passé?

Vers 16h28 (heure locale), nous avons observé une hausse soudaine du trafic vers une boutique spécifique hébergée sur notre infrastructure. En l’espace de quelques minutes, plus de 30 millions de requêtes ont été enregistrées, provenant principalement d’adresses IP réparties à travers le monde. L’objectif de l’attaque était clair: saturer notre infrastructure et la mettre hors service.

Attaque DDoS détectée depuis notre pare-feu
Attaque DDoS détectée depuis notre pare-feu

Qu’est-ce qu’une attaque DDoS?

 Une attaque DDoS (Distributed Denial of Service) vise à perturber des sites web et des serveurs en épuisant les ressources d’un service réseau. Les auteurs de ces attaques inondent une application ou un site de trafic indésirable, ce qui entraîne une dégradation des performances, voire une mise hors ligne complète du site. Ce type d’attaque devient de plus en plus courant : au premier trimestre 2025, il y a eu autant d’attaques DDoS que durant toute l’année 2024 (source).

Comment avons-nous réagi?

Notre infrastructure est solidement protégée par un pare-feu (Cloudflare) qui a fait son travail - jusqu’à 98 % de l’attaque a été automatiquement mitigée. Les 2% restants ont atteint notre infrastructure et ont nécessité une intervention manuelle de la part de nos spécialistes cloud.

Notre première mesure d’urgence a été d’activer le mode "Under Attack" sur l’ensemble de la plateforme. Cela a immédiatement permis de bloquer 100% de l’attaque et de rendre les boutiques en ligne à nouveau accessibles. Cependant, cette mesure a eu pour effet secondaire d’interrompre certaines fonctionnalités de l’application, comme le traitement des paiements ou l’impression de tickets.

Les actions suivantes ont été prises dans le but de rétablir l’intégralité des services de la plateforme:

  • Exclusion permanente de certains pays du système

  • Présentation d’un défi ("challenge") obligatoire pour les utilisateurs de certains pays

  • Blocage de certains comportements suspects

  • Renforcement de la sécurité sur certaines pages spécifiques

À 17h03, l’attaque était entièrement contenue et la plateforme a pu reprendre son fonctionnement normal.

Le reste du week-end, plusieurs nouvelles tentatives ont été effectuées par les attaquants pour déstabiliser le système, mais celles-ci ont été immédiatement bloquées grâce aux mesures mises en place.

Exemple de page de challenge
Exemple de page de challenge

Que faisons-nous pour éviter cela à l’avenir?

 Nous avons tiré plusieurs leçons de cet incident que nous souhaitons partager.

  • Nous pouvons désormais isoler certaines boutiques en ligne sans impacter l’ensemble de la plateforme.

  • Nous avons mis en place des règles intelligentes qui détectent et bloquent les comportements de navigation suspects.

  • L’impression des tickets via les bornes et l’application ne pourra plus être affectée par ce type d’attaque.

  • En collaboration avec CCV et Worldline, nous étudions la possibilité d’accepter les paiements hors ligne dans nos caisses.

  • L’attaque a été signalée au Centre pour la cybersécurité de Belgique ainsi qu’au centre européen compétent.

Enfin, nous avons conclu un nouvel accord avec Cloudflare, faisant passer notre SLA de 98% à 100%. Cela signifie que toute attaque future sera entièrement stoppée de manière automatique par notre pare-feu. En complément, nous faisons appel à une équipe d’experts en sécurité pour réaliser un audit proactif complet de notre système, afin de prévenir tout incident futur.

Pour conclure Nous vous invitons à consulter la page de statut d’Unipage en cas de doute - il s’agit d’un service indépendant qui surveille notre système de manière transparente. En cas d’incident, c’est le premier canal où nous communiquerons.

Questions fréquentes

Consultez ici quelques questions fréquemment posées.

Y a-t-il eu une fuite de données?

Non, aucune donnée client, donnée de commande ou autre information n’a été divulguée. L’attaque visait uniquement à saturer l’infrastructure.

Ma boutique était-elle visée?

Si votre boutique a été ciblée, nous vous avons contacté personnellement.

Pourquoi la caisse a-t-elle été impactée?

La caisse a été impactée lors du traitement des paiements, ceux-ci passant par notre infrastructure. Nous collaborons étroitement avec Worldline et CCV pour permettre les paiements hors ligne. Les terminaux de paiement Mollie nécessitent actuellement une infrastructure cloud, et aucun changement n’est prévu à court terme à ce niveau.

Lorsque je visite la page d’administration, on me demande si je suis un robot - pourquoi?

C’est normal. La page d’administration est placée sous protection renforcée afin de garantir qu’aucune perturbation ne puisse à nouveau se produire.

Lorsque je visite la boutique, je suis complètement bloqué - pourquoi?

Cela peut se produire, par exemple, si vous êtes en voyage dans un pays que nous bloquons actuellement. Veuillez envoyer un e-mail à [email protected] en mentionnant le nom de votre boutique ainsi que le pays où vous vous trouvez. Nous examinerons alors la possibilité d’accorder une exception.

Où puis-je suivre le statut du système?

Vous pouvez le faire en cliquant sur « statut » dans la barre de navigation en haut de la page, ou en vous rendant sur status.unipage.be.

Interesse in een demo?

Wij contacteren u binnen de 24u voor een demo