Selon Netscout, le groupe Keymous+ est responsable de 249 attaques DDoS recensées entre février et septembre 2025. La France figure parmi les pays les plus fréquemment ciblés, aux côtés d’infrastructures critiques opérant dans 21 secteurs industriels. Une montée en puissance rendue possible par des alliances tactiques et une logistique offensive structurée.
La télémétrie Atlas de Netscout révèle que Keymous+ a orchestré 249 attaques DDoS sur une période de sept mois, soit une moyenne d’un peu plus d’une attaque par jour. Les cibles identifiées se répartissent dans 15 pays et couvrent 21 secteurs d’activité, dont l’administration publique, les télécommunications, la finance ou encore les transports.
Chaque attaque a atteint un débit moyen maximal de 11,8 Gb/s, mais ce plafond a été largement dépassé lors d’opérations coordonnées avec d’autres collectifs malveillants. Netscout signale notamment une collaboration effective avec le groupe DDoS54, qui aurait permis d’atteindre jusqu’à 44 Gb/s sur certaines campagnes. Ces données positionnent Keymous+ comme l’un des collectifs les plus actifs et structurés du moment dans l’univers de la perturbation numérique à grande échelle.
Des vecteurs classiques, une logistique sophistiquée
Le mode opératoire de Keymous+ repose sur des techniques bien connues des experts en cybersécurité : attaques par réflexion ou amplification utilisant des protocoles comme CLDAP, DNS, NTP, SNMP ou WS-DD, et floods directs en UDP/TCP. Le collectif s’appuie également sur une infrastructure distribuée complexe, exploitant des proxys résidentiels, des VPN commerciaux, des réseaux TOR ou des accès publics pour dissimuler les origines réelles des attaques.
En moyenne, Netscout a recensé plus de 42 000 adresses IP uniques utilisées simultanément lors de chaque offensive. Cette capacité de mobilisation rapide et massive de ressources indique l’existence d’une logistique semi-professionnelle, qui mêle des accès automatisé à des botnets et l’usage de services DDoS « à louer ». L’alliance avec DDoS54 illustre par ailleurs une dynamique coopérative entre groupes cybercriminels, susceptible de démultiplier la puissance de frappe en quelques heures.
Pourquoi la France figure parmi les cibles
La présence explicite de la France dans la liste des pays les plus visés alerte sur l’attractivité du territoire pour ce type d’acteurs. Plusieurs facteurs expliquent ce positionnement : densité des infrastructures critiques exposées, diversité des secteurs connectés, pression réglementaire et médiatique élevée en cas d’incident, et présence d’acteurs publics ou privés impliqués dans des chaînes de valeur internationales.
Pour un groupe comme Keymous+, cibler la France permet de maximiser les effets de ses actions : retentissement médiatique, risques de déstabilisation logistique, et opportunités d’exploitation de vulnérabilités locales ou sectorielles. Même si ces attaques relèvent principalement de la perturbation (et non du rançongiciel), elles s’inscrivent dans une stratégie plus large visant à tester les seuils de résilience opérationnelle.
Vers une réponse sectorielle plus structurée
Les données publiées par Netscout imposent une prise de conscience urgente pour les organisations françaises opérant dans les secteurs identifiés. Si la menace DDoS n’est pas nouvelle, sa fréquence, son intensité et la capacité des groupes à coopérer pour en augmenter l’impact nécessitent une réévaluation des dispositifs de défense.
Une réponse structurée suppose la mise en œuvre de solutions anti-DDoS actives en amont des points d’accès, une redondance des services critiques, une meilleure coordination avec les fournisseurs d’accès et les opérateurs cloud, ainsi qu’une remontée rapide des signaux faibles au sein des CERT sectoriels. La posture défensive passe aussi par la sensibilisation des partenaires et des sous-traitants techniques, qui peuvent involontairement servir de relais ou de passerelles vers les cibles principales.
Une menace polymorphe et
Keymous+ n’est pas un groupe figé : son évolution rapide, sa capacité à tisser des alliances, et son usage habile des canaux de communication (Telegram, X, forums spécialisés) en font un acteur de la menace à surveiller étroitement. S’il ne mène pas, pour l’heure, d’opérations de chiffrement ou d’extorsion directe, sa capacité de nuisance en fait un indicateur précoce d’hostilité numérique ciblée.
La montée en puissance de ce type de collectifs rappelle aux responsables des systèmes d’information et de la cybersécurité que la surface d’attaque d’une organisation ne se limite pas à ses propres serveurs. Elle inclut l’ensemble des flux, des dépendances, et des points d’exposition indirects. C’est sur cette architecture élargie que doit désormais porter l’effort défensif, au niveau organisationnel comme national.
