Internet : pourquoi le Liberia a-t-il été attaqué par le malware Mirai ?

Le Liberia a subi une attaque sur ses infrastructures internet. Les accès au net ont été coupés par intermittence toute la semaine dernière dans le pays. Questions à Kavé Salamatian, chercheur en sécurité réseaux et spécialiste de la détection d'attaque informatique.

dans
Un pays entier peut-il voir ses accès Internet partiellement ou totalement bloqués par des DDoS (Déni de service distribué) ? Le Liberia a-t-il été la victime d'une attaque de ce type ces derniers jours, comme le prétendent plusieurs experts et médias spécialisés ? Le botnet Mirai, le même qui a bloqué les serveurs DNS de l'entreprise DYN aux Etats-Unis — empêchant l'accès à de nombreux sites comme Twitter, Netflix ou Paypal — a visiblement été utilisé pour piloter une attaque contre des infrastructures réseaux du Liberia. Pourquoi un pays africain serait-il la cible d'attaques de ce type ? Qui est derrière ces attaques, et quelles sont les parades ? Nous avons posé ces question à un spécialiste de la sécurité réseaux, le chercheur Kavé Salamatian.


Que pouvez-vous nous dire sur cette attaque informatique au Libéria ?

Kavé Salamatian est enseignant et chercheur en informatique réseaux, spécialisé dans la mesure de l’Internet ainsi que la théorie de l’information dans les réseaux. Il a mené des recherches actives dans  la détection d’attaque informatique et sur la reconnaissance applicative, où son expertise est reconnue au niveau international.
Kavé Salamatian est enseignant et chercheur en informatique réseaux, spécialisé dans la mesure de l’Internet ainsi que la théorie de l’information dans les réseaux. Il a mené des recherches actives dans  la détection d’attaque informatique et sur la reconnaissance applicative, où son expertise est reconnue au niveau international.

Les informations que l’on a sur le Liberia sont assez parcellaires et fragmentaires, mais on sait depuis quelque temps que le bonnet Mirai a été utilisé pour installer un malware qui provoque des attaques de type DDoS. Dans le cas du Liberia, nous avons pu observer — par les appareils de monitoring — des messages qui indiquaient qu’une attaque ciblait ce pays. Suite à ces messages il y a eu des sources plus ou moins anonymes qui ont indiqué que des infrastructures du Liberia avaient été effectivement ciblées. En regardant depuis l’extérieur ce qu’il se passait, nous, les chercheurs, n’avons pas observé une augmentation très notable du trafic vers le Liberia le jour où ces attaques ont eu lieu. On ne pense donc pas que ce soit une coupure complète du pays qui était en cours, bien que ça a été une attaque de grande ampleur. Ou alors, elle n'a pas réussi.

Pourquoi s'attaquer à un pays comme le Liberia ?

L'hypothèse la plus pausible c'est celle du "proof of concept", c'est-à-dire la possibilité pour des gens de faire "la preuve du concept", de démontrer que c'était possible de faire ça, et qui se sont attaqués au Liberia. Mais comme je vous le disais, je ne suis pas sûr qu'il y ait eu une attaque ayant pour objectif de couper le Liberia du monde. Depuis le mois de juillet, on observe qu'un acteur étatique essaye de tester un outils de déconnexion de la totalité d'un pays, ou d'un opérateur réseau de l'Internet. Plusieurs éléments vont dans le sens que la source de ces tests serait en Russie ou en Chine, mais avec plus d'éléments qui désignent la Russie.

Que pensez-vous des théories qui laissent entendre que ces attaques seraient une préparation pour une attaque massive contre les Etats-Unis lors du scrutin présidentiel du 8 novembre ?

Je vais prendre de pincettes sur ce sujet… Je pense que les acteurs étatiques capables de lancer ce type d'attaque vont plutôt avoir intérêt à montrer qu'ils ont la capacité à faire une attaque plutôt qu'à faire l'attaque elle-même. On est un peu dans une situation de dissuasion. Pour dissuader un adversaire politique de faire quelque chose d'autre, par exemple.

Mais dans le cas de l'attaque contre DYN, l'attaque a bien eu lieu pourtant ?

L'attaque contre DYN était une "proof of concept", qui  a démontré qu'en s'attaquant à un opérateur DNS, on peut faire tomber une grosse partie de l'infrastructure de services utilisée tous les jours par des utilisateurs. Après cette démonstration, c'est une chose à prendre en compte dans les différents calculs stratégiques des Etats. L'exemple de TV5Monde est intéressant. Cette attaque est attribuée de façon assez claire aux Russes. L'objectif n'était pas d'attaquer TV5Monde en tant que tel, mais plutôt d'envoyer un message à un moment où les affaires ukrainiennes comme celles des porte-hélicoptères étaient importantes entre la France et la Russie.

Quelles sont les parades contre ces attaques de type déni de service par des botnets ?

Les parades techniques sont de deux types. La première est celle de la prévention en sécurisant le plus possible les équipements, en gardant à l'esprit qu'aucun équipement réseau n'est anodin. Ensuite, quand l'attaque a lieu, la parade principale est celle d'avoir un plan de réaction déjà préparé face à des attaques de type DDoS. Dans ces plans, il y a le fait d'avoir des capacités de duplication, ne pas avoir un seul prestataire de DNS, avoir plusieurs copies de son serveur, pouvoir transférer un certain nombre de ses ressources importantes d'un site à un autre. Tout ça est de l'ordre de la conception du réseau. Il y a ensuite un certain nombre d'équipements qui peuvent "mitiger" les attaques, très onéreux et utilisés par des acteurs qui ont une importance stratégique…

attaque informatique liberia
©TV5MONDE