Les systèmes d’information et de réservation de la Deutsche Bahn ont été la cible d’une vaste attaque par déni de service distribué (DDoS) les 17 et 18 février 2026, perturbant temporairement l’accès aux services en ligne tels que bahn.de et l’application DB Navigator. Cet incident souligne la vulnérabilité croissante des infrastructures critiques face aux cyberattaques, même sans compromission des données.
Selon des experts, une attaque DDoS consiste à submerger un service en ligne de requêtes massives, provenant de nombreux systèmes compromis (botnets) ou orchestrées par des cybercriminels. L’objectif principal n’est pas l’espionnage, mais la rendre un service inaccessible : sites web lents, applications hors service, impossibilité d’établir des connexions.
Le cas de la Deutsche Bahn illustre comment l’accès numérique au transport ferroviaire – informations, achat de billets, itinéraires – peut rapidement devenir un point de blocage, affectant le fonctionnement même d’une infrastructure essentielle. La compagnie ferroviaire a affirmé que ses mécanismes de défense avaient fonctionné et qu’elle collaborait étroitement avec les autorités fédérales, en mettant l’accent sur la protection des données des clients et la disponibilité des systèmes.
Un scénario plausible pour ce type d’attaque implique des groupes tolérés ou contrôlés par des États, comme NoName057(16), qui ont déjà revendiqué des attaques DDoS contre des infrastructures critiques en Europe, notamment des fournisseurs d’énergie et des transports publics. Ces groupes recrutent des participants via des services de messagerie et mobilisent des botnets composés de centaines de serveurs et de milliers d’individus.
Opérationnellement, ces attaques se manifestent par des vagues concentrées sur des services très visibles, souvent en lien avec des événements politiques, dans le but de provoquer une perte de disponibilité et d’attirer l’attention du public. Elles peuvent se prolonger pendant plusieurs jours, jusqu’à ce que des contre-mesures soient mises en place, comme ce fut le cas pour la Deutsche Bahn.
Pour se protéger, des entreprises comme la Deutsche Bahn utilisent une combinaison de contrôle du trafic et de procédures rigoureuses. Le trafic malveillant est intercepté dès son entrée dans le réseau, grâce à des filtres fournis par les fournisseurs d’accès ou des services spécialisés. Simultanément, le trafic légitime est réparti sur plusieurs serveurs pour éviter la surcharge.
Au niveau des applications, des pare-feu web et des systèmes de vérification comme les captchas peuvent bloquer le trafic automatisé malveillant. Une surveillance constante du trafic permet également de détecter rapidement les anomalies et de réagir en bloquant les adresses IP suspectes.
La cyberdéfense au sein de grandes entreprises est généralement structurée autour d’un centre d’opérations de sécurité (SOC) qui assure une surveillance continue et détecte les anomalies. En cas d’incident, une équipe de réponse aux incidents (CSIRT) coordonne les mesures de confinement, l’investigation et la communication, selon des procédures établies. La Deutsche Bahn dispose même d’une unité de cybersécurité dédiée aux attaques DDoS.
À ce stade, il est prématuré de déterminer l’origine de l’attaque. Cependant, les autorités européennes ont observé une augmentation des campagnes DDoS à motivation pro-russe depuis le début de la guerre en Ukraine, ciblant les services et infrastructures publics. Une attribution précise nécessite une analyse technique approfondie, une cartographie des infrastructures et des informations réglementaires.