Selon un discussion paper du GFCE (juillet 2025), publié dans le contexte de l’opération de police internationale « Operation Eastwood » (14–17 juillet 2025) contre le collectif pro-russe NoName057, les campagnes DDoS menées via l’outil DDoSIA exigent une évaluation qui dépasse les métriques techniques pour intégrer leurs effets stratégiques et sociétaux.

Le document avance un modèle à « double lentille » qui combine des coûts quantitatifs et des impacts qualitatifs. Côté quantitatif, la formule Total Quantitative Cost = Σ[(Vi × Di) × Mi] + R + S intègre le volume et la durée d’attaque, un coût de mitigation estimé à 0,02–0,15 $/GB (références Cloudflare, AWS Shield, Akamai), ainsi que des coûts de réponse agrégés et sectoriels. Un exemple chiffré donne 3 456 $ de coûts techniques immédiats pour une attaque coordonnée (8 h, 1,5 GB/s, 0,08 $/GB), avant l’application de multiplicateurs R et S que l’analyse situe à +300–500%. Le cadre explicite les effets macroéconomiques (pertes sèches, externalités de réseau, coûts d’opportunité, correction de défaillances de marché).

Côté qualitatif, une matrice d’impact évalue: (Si) la criticité sectorielle (0–4), (Pi) la perturbation publique (0–5), (G) l’impact géopolitique (0–5) et (L) les effets systémiques de long terme (0–5). Des scénarios à fort impact incluent les attaques sur des systèmes électoraux durant le vote (P=5, G=4–5), des campagnes soutenues contre l’infrastructure financière (S=3, L=3–4) et des frappes coordonnées lors de moments de crise internationale (G=4–5, P=3–5). Le GFCE décrit des usages gouvernementaux du modèle pour l’allocation des ressources, la planification de sécurité nationale et la communication publique, avec une intégration aux mécanismes de gouvernance et de coordination inter-agences.

L’annexe présente une analyse de 304 659 attaques (08/02/2023–14/07/2025) ciblant 29 pays et 5 895 cibles uniques. Principaux pays visés: Ukraine (63 749), République tchèque (17 686), Pologne (17 135), Allemagne (16 644), France (14 159), Espagne (11 828), Italie (11 134), Belgique (10 589), Japon (9 320). Les vecteurs DDoS observés: TCP floods (51,9%), HTTP floods (21,8%), HTTP/2 floods (15,8%), « nginx_loris » (8,9%), HTTP/3 (1%). Les données soulignent une coordination temporelle des attaques avec des événements politiques (aide militaire, sommets OTAN, sanctions UE, dates symboliques ukrainiennes) et un ciblage insistant des infrastructures gouvernementales et critiques. Le document note l’arrêt des ciblages via DDoSIA le 15 juillet, une reprise le 23 juillet, et la publication de logs d’attaque (TLP abaissé à Clear) sur le GitHub de Silas Cutler.

Le texte rappelle qu’« Operation Eastwood », coordonnée par Europol et Eurojust, a mené à des perquisitions dans 12 pays, des arrestations (France, Espagne), la saisie/disruption d’une centaine de systèmes, et 7 mandats d’arrêt internationaux (dont 6 visant des résidents en Fédération de Russie). L’étude soutient que ces campagnes, loin d’être de simples « nuisances », exercent une pression asymétrique par la diversion de ressources, des opérations psychologiques et un signalement géopolitique sous déni plausible. Il s’agit d’une publication de recherche destinée à fournir un modèle national d’estimation du coût sociétal des DDoS et à catalyser un dialogue intersectoriel.

TTPs observés 🧭

  • Acteur/collectif: NoName057; infrastructure et coordination via DDoSIA et plateformes chiffrées
  • Vecteurs: TCP floods, HTTP floods, HTTP/2 floods, HTTP/3 floods, slow-connection (nginx_loris)
  • Modes opératoires: coordination temporelle avec événements géopolitiques; ciblage d’administrations, services financiers, transport, médias, électricité; exécution distribuée via réseau de volontaires; dénégation plausible

Objectif 🎯

  • Discussion paper/« publication de recherche » visant à proposer un cadre d’évaluation bi-axial (coûts économiques + impacts stratégiques) des campagnes DDoS pour la décision publique et la résilience nationale.

🔗 Source originale : https://thegfce.org/news/estimating-the-societal-cost-of-ddos-attacks-a-dual-lens-model-for-national-impact-assessment/