Post-mortem: Attaque DDoS sur Unipage le 9 mai 2025

Le 9 mai 2025, Unipage a dû faire face à une attaque DDoS de grande ampleur ciblant l’un de nos clients. Dans cet article, nous expliquons en toute transparence ce qui s’est exactement passé, comment nous avons réagi, quel a été l’impact, et quelles mesures nous prenons pour renforcer davantage notre infrastructure.

Que s’est-il passé?

Vers 16h28 (heure locale), nous avons observé une hausse soudaine du trafic vers une boutique spécifique hébergée sur notre infrastructure. En l’espace de quelques minutes, plus de 30 millions de requêtes ont été enregistrées, provenant principalement d’adresses IP réparties à travers le monde. L’objectif de l’attaque était clair: saturer notre infrastructure et la mettre hors service.

Qu’est-ce qu’une attaque DDoS?

 Une attaque DDoS (Distributed Denial of Service) vise à perturber des sites web et des serveurs en épuisant les ressources d’un service réseau. Les auteurs de ces attaques inondent une application ou un site de trafic indésirable, ce qui entraîne une dégradation des performances, voire une mise hors ligne complète du site. Ce type d’attaque devient de plus en plus courant : au premier trimestre 2025, il y a eu autant d’attaques DDoS que durant toute l’année 2024 (source).

Comment avons-nous réagi?

Notre infrastructure est solidement protégée par un pare-feu (Cloudflare) qui a fait son travail - jusqu’à 98 % de l’attaque a été automatiquement mitigée. Les 2% restants ont atteint notre infrastructure et ont nécessité une intervention manuelle de la part de nos spécialistes cloud.

Notre première mesure d’urgence a été d’activer le mode "Under Attack" sur l’ensemble de la plateforme. Cela a immédiatement permis de bloquer 100% de l’attaque et de rendre les boutiques en ligne à nouveau accessibles. Cependant, cette mesure a eu pour effet secondaire d’interrompre certaines fonctionnalités de l’application, comme le traitement des paiements ou l’impression de tickets.

Les actions suivantes ont été prises dans le but de rétablir l’intégralité des services de la plateforme:

• Exclusion permanente de certains pays du système
• Présentation d’un défi ("challenge") obligatoire pour les utilisateurs de certains pays
• Blocage de certains comportements suspects
• Renforcement de la sécurité sur certaines pages spécifiques

À 17h03, l’attaque était entièrement contenue et la plateforme a pu reprendre son fonctionnement normal.

Le reste du week-end, plusieurs nouvelles tentatives ont été effectuées par les attaquants pour déstabiliser le système, mais celles-ci ont été immédiatement bloquées grâce aux mesures mises en place.

Que faisons-nous pour éviter cela à l’avenir?

 Nous avons tiré plusieurs leçons de cet incident que nous souhaitons partager.

• Nous pouvons désormais isoler certaines boutiques en ligne sans impacter l’ensemble de la plateforme.
• Nous avons mis en place des règles intelligentes qui détectent et bloquent les comportements de navigation suspects.
• L’impression des tickets via les bornes et l’application ne pourra plus être affectée par ce type d’attaque.
• En collaboration avec CCV et Worldline, nous étudions la possibilité d’accepter les paiements hors ligne dans nos caisses.
• L’attaque a été signalée au Centre pour la cybersécurité de Belgique ainsi qu’au centre européen compétent.

Enfin, nous avons conclu un nouvel accord avec Cloudflare, faisant passer notre SLA de 98% à 100%. Cela signifie que toute attaque future sera entièrement stoppée de manière automatique par notre pare-feu. En complément, nous faisons appel à une équipe d’experts en sécurité pour réaliser un audit proactif complet de notre système, afin de prévenir tout incident futur.

Pour conclure
Nous vous invitons à consulter la page de statut d’Unipage en cas de doute - il s’agit d’un service indépendant qui surveille notre système de manière transparente. En cas d’incident, c’est le premier canal où nous communiquerons.