The decentralized social platform Mastodon said that its flagship instance mastodon.social suffered a large-scale distributed denial of service (DDoS) attack on Monday local time, making the website almost inaccessible for a period of time. Un grand nombre d'utilisateurs ne pouvaient voir que des messages d'erreur ou des avertissements de temps d'arrêt en plein écran lors de l'ouverture de la page.

L'équipe Mastodon a publié une mise à jour de l'état vers 7 h HE lundi matin, affirmant qu'elle avait confirmé qu'elle était victime d'une cyberattaque et qu'elle enquêtait. Vers 9 h 05 HNE, Mastodon a déclaré avoir activé des « contre-mesures » contre cette attaque DDoS et que le site était actuellement accessible. Cependant, les responsables ont également rappelé que l’attaque étant toujours en cours, la plateforme pourrait encore être instable pendant un certain temps.

La cyberattaque contre Mastodon s'est produite peu de temps après qu'un autre service social décentralisé, Bluesky, ait fait face à sa panne de « tir à la corde ». La semaine dernière, Bluesky a connu de fréquentes pannes de service en raison d'attaques DDoS qui ont duré plusieurs jours. La plateforme a ensuite déclaré dans une mise à jour du 17 avril que les attaques étaient toujours en cours, mais que le service était généralement resté stable à 21 heures (heure du Pacifique) le 16 avril, et a reconfirmé la situation actuelle stable dans sa dernière note d'aujourd'hui.

Mastodon n'a pas fourni d'autres explications aux médias sur la cause ou la source spécifique de l'attaque. À en juger par les captures d'écran de la chronologie de l'événement publiées par Mastodon, cette attaque s'est concentrée sur son instance à grande échelle officiellement exploitée mastodon.social, mais n'a pas affecté les nombreuses instances de petite et moyenne taille qui composent le réseau de la fédération Mastodon. Cela signifie que même si le serveur phare rencontre de graves interférences, l'ensemble du réseau social décentralisé ne sera pas complètement paralysé et les utilisateurs des autres instances pourront toujours utiliser le service de manière relativement normale.

L'attaque dite de déni de service distribué signifie que l'attaquant lance des demandes massives de trafic de spam vers l'application cible ou le serveur de site Web via un grand nombre d'appareils en même temps, épuisant ainsi ses ressources et rendant impossible l'accès au service pour les utilisateurs normaux. Ce type d’attaque ne vise généralement pas à voler des données, mais cela causera des dommages importants à la disponibilité des services et interférera grandement avec l’expérience utilisateur. La société de sécurité Cloudflare a déclaré l'année dernière avoir réussi à bloquer la plus grande attaque DDoS à ce jour, avec une bande passante maximale de 29,7 Tbps, ce qui équivaut à inonder la cible de données pouvant remplir des milliers de disques durs chaque minute. Cela montre que la puissance de ces attaques a augmenté de façon exponentielle ces dernières années.

Dans le scénario des réseaux sociaux décentralisés, les attaques DDoS rendent souvent certains nœuds de service instables, voire indisponibles. Toutefois, le réseau étant composé de plusieurs instances interconnectées, tous les utilisateurs ne seront pas concernés. En prenant Bluesky comme exemple, certains utilisateurs n'ont pas été affectés par la série d'attaques précédente après avoir migré leurs comptes vers d'autres fournisseurs de services (tels que Blacksky) fonctionnant sous le même protocole et interopérant avec Bluesky. De même, cette attaque contre Mastodon se concentre actuellement sur mastodon.social, quelques instances plus petites et géographiquement réparties restant en ligne.