Piratage de sites Internet : vraie nuisance ou publicité ?

Depuis l’attentat contre le journal Charlie Hebdo, un nombre accru d’attaques de sites internet a été enregistré en France. Ces piratages revendiqués par des groupes "islamistes" radicaux consistaient en modifications de pages d’accueil. Comment agissent les pirates et quel est leur réel pouvoir de nuisance ? Explications.
Image
Piratage de sites Internet : vraie nuisance ou publicité ?
Simulation de cyberattaque à Londres en mars 2014 ©AP Photo/Alastair Grant
Partager 8 minutes de lecture
Universités, mairies, musées, conseils généraux, commerces... Depuis l’attentat du 7 janvier dernier contre la rédaction du journal satirique Charlie Hebdo, plus de 25 000 sites internet français ont été piratés. Les anomalies observées sur ces sites seraient le résultat de "plus de 1300 attaques (qui) ont été revendiquées par des équipes (de) hackers se réclamant d’organisations islamistes", précisait Bernard Cazeneuve, ministre de l’Intérieur, lors de sa visite le 19 janvier de la sous-direction de lutte contre la cybercriminalité de la police judiciaire française.  Une dizaine d’attaques ont également été enregistrées contre des sites internet du ministère de la Défense, qui a décidé de renforcer sa surveillance et d’accroître sa vigilance sur les réseaux.  Des "gamins" Dans leurs attaques de ces derniers jours, les pirates ont principalement usé de la méthode de défiguration ("defacement" en anglais), qui consiste à modifier la page d’accueil d’un site pour y afficher un message, souvent une revendication politique ou religieuse.  Une attaque bien visible mais qui n'est pas une prouesse technique. La défiguration de sites reste à la portée de "gamins", comme les appelle Antoine Champagne, co-fondateur du site d’info-hacking reflets.info : "Dans le jargon des hackers, on les appelle des 'script kiddiots' parce qu’ils utilisent des scripts ('scripts exploits' en anglais) existants pour exploiter des failles qui sont généralement courantes. Ce ne sont même pas eux qui les codent." Le plus souvent, ils ne visent pas non plus un site en particulier mais une adresse IP, un numéro d’identification d’un équipement connecté à Internet. "En général, vous avez sur la même adresse IP entre 4 et 100 serveurs qui tournent, souligne Antoine Champagne. Si vous vous attaquez à une adresse IP, vous modifiez ainsi une centaine de sites d’un seul coup." C’est ainsi que ces derniers jours, des sites d’universités comme de pizzerias ont vu leur page d’accueil piratée. 
Piratage de sites Internet : vraie nuisance ou publicité ?
Ecrans de defacement ©source Liberation
Publicité Ces attaques "existent depuis le début du web", assure le co-fondateur du site d’info-hacking. Elles ne représentent rien d’alarmant pour les propriétaires du site attaqué ou les internautes. "On se focalise sur les sites Web où les pirates laissent des traces, comme on a pu voir, souligne Antoine Champagne. Mais ce n’est pas très grave. Si vous piratez un site web, il existe des sauvegardes précédant le piratage que vous pouvez mettre en ligne. Et puis, vous faites une mise à jour de la faille qui a été exploitée."  Le "defacement" est davantage un moyen simple et efficace pour les pirates de se faire de la publicité. "Leur démarche, c’est de se vanter, de laisser une signature", explique d’Antoine Champagne. Selon l’Agence nationale de la sécurité des systèmes d’information qui a, en effet enregistré une augmentation des piratages depuis l’attentat de Charlie Hebdo, cela n’a rien de nouveau. Quand un événement important intervient, cela entraîne généralement une augmentation du nombre d’attaques informatiques. Dernière en date, celle contre le compte Twitter du journal Le Monde, piraté par l’Armée électronique syrienne (SEA). La SEA a ainsi posté des messages sur le compte après plusieurs tentatives poussées d’attaques du site. 

Partidarios del régimen sirio hackean el Twitter del diario francés Le Monde. http://t.co/K98b0wl5hQ pic.twitter.com/rfJ25gTdih

— Noticias RCN (@NoticiasRCN) 21 Janvier 2015 D’après la description livrée par le quotidien dans ses propres colonnes, l’action de l’Armée électronique syrienne semble plus complexe que le "defacement" de page d’accueil. Même si, d’après Antoine Champagne, "ils ne sont pas si mauvais" et qu’ils bénéficient d’"appuis gouvernementaux", ce sont "aussi des idiots. On avait montré sur notre site reflets.info toutes leurs photos sur Facebook. On les avait tous identifiés", raconte le spécialiste. "Mais en général, un site web ne contient pas des tonnes de données. Ce n’est pas dramatique s’il est piraté. En revanche, quelqu’un qui remonte à l’intérieur du système d’information, comme ce que décrit Le Monde, peut passer d’un serveur à un autre, accéder au système qui stocke les données des abonnements avec les adresses des abonnés et les coordonnées des cartes bancaires. Là, ça devient plus grave qu’une attaque de page d’accueil."  En dépit de l’amateurisme de certains pirates, quelles peuvent être les conséquences de ces attaques ? Est-on préparer à les contrer ou les prévenir ? Explications d’Antoine Champagne, co-fondateur du site d’info-hacking reflets.info
Ces "script kiddiots", qui changent les pages d’accueil, ont-ils néanmoins un pouvoir de nuisance ?  Non, parce qu’ils s’attaquent au CMS (système de gestion de contenu pour administrer un site Internet, ndlr) et ne font que remplacer la page d’accueil par un gros graffiti bien moche. Ça n’a franchement aucun intérêt technique.  Il y a toutes sortes de pirates. Il y a ces script idiots, des gamins qui utilisent des outils existants qu’ils ne sont pas capables de faire eux-mêmes. Des outils de piratage, il y en a partout, ce n’est pas compliqué à maîtriser. D’autres, plus doués, utilisent des outils existants ou qu’ils conçoivent eux-mêmes pour une attaque très ciblée. Mais ceux-là ne vont pas forcément exploiter des failles qui se trouvent sur la partie haute du millefeuille, ils vont un peu plus loin dans le système.  Et puis, il y a ceux qui sont vraiment très forts. Eux, vous ne voyez jamais ce qu’ils font. Ils s‘enterrent dans le serveur, il récupère de la donnée, monte des opérations plus complexes derrière. Et c’est plutôt de cela dont on devrait avoir peur.  Dans les histoires de piratages informatiques, ce n’est pas ce que l’on voit ou que l’on apprend dans la presse qui devrait nous faire peur. C’est plutôt ce qu’on ne voit pas et qu’on ne lit nulle part.  Un pirate informatique qui veut vraiment faire du dégât va prendre la main sur un serveur, et y rester le plus longtemps possible sans se faire repérer, pour prendre des informations qui lui permettront de faire des choses plus sensibles.  Ces derniers jours, on a eu une avalanche de déclarations des politiques sur la cyberguerre en cours, le cyberterorrisme… Mais ce n’est pas ça.
Piratage de sites Internet : vraie nuisance ou publicité ?
Cyber Research Center au United States Military Academy à West Point, N.Y., le 9 avril 2014 ©AP Photo/Mel Evans
Qu’entendez-vous alors par cyberterrorisme ?  Ça s’apparente à quelque chose que l’on n’a jamais vu. Il n’y a qu’un ou deux exemples répertoriés. Le plus cité par les tenants de la théorie de la "cyberguerre" - ou même du "cyber Pearl Harbor" - remonte à l'époque où le mur de Berlin est tombé et où l’ennemi traditionnel disparaissait peu à peu.  Les Américains devaient justifier et conserver leur budget. Ils avaient donc besoin de brandir une nouvelle menace. Peu à peu, ils ont affiné leur théorie en disant qu’un "cyber Pearl Harbor" se préparait c’est-à-dire qu’une organisation pourrait, un jour, compromettre l’économie d’un pays en arrêtant des centrales nucléaires ou électriques, des distributions de l’eau, des banques... Une cyberattaque qui aurait une incidence réelle.  Pour l’instant, on n’a rien vu… Sauf une fois, dans une centrale nucléaire en Iran contre laquelle l’arme électronique Stuxnet a été utilisée. C’est une arme numérique qui, selon les théories, aurait été développée par les Etats-Unis et Israël. Ils auraient fait entrer par une clé USB, et non pas par Internet, une arme numérique, une sorte de virus, qui s'est attaqué au Scada de la centrale (le système informatique de gestion des usines). Le virus a ralenti très nettement des centrifugeuses qui enrichissaient l’uranium. C’est le seul exemple concret que l’on ait.  Et puis il y a eu un arrêt quelconque dans un haut fourneau allemand. Mais on est encore très loin d’une attaque coordonnée. Pourtant, toutes sortes de choses sont faisables comme perturber des systèmes de signalisation. Cela a déjà été fait, mais ponctuellement, par des gens qui voulait prouver que c’était réalisable. Mais il n’y a jamais eu d’attaque montée par un groupe terroriste défini comme tel qui lancerait une action massive pour perturber vraiment l’économie d’un pays. L’autre exemple souvent donné, mais qui ne relève pas complètement d’une cyberattaque, c’est l’Estonie attaquée en 2007 par des dénis de service (DDoS).
En quoi cela consiste le "déni de service" ? Vous faites des connexions factices sur un site selon deux méthodes : un logiciel qui, par exemple, lance 100 000 connexions simultanées sur un serveur web et sature le site qui ne peut plus répondre aux nouveaux arrivants. Ils ne pourront plus atteindre le site.  Il y a aussi des requêtes que l’on peut modifier ou créer. Vous envoyez une requête au serveur qui comprend que l’on lui demande quelque chose, mais qu'il doit aussi patienter pour une seconde requête à venir. Donc le serveur alloue de la mémoire à la première requête et à celle à venir. Au bout d'un certain nombre de requêtes de ce type, le serveur s’écroule.  Il y a des dénis de service tout court, où vous envoyez vous même vos multiples requêtes, ou bien il y a les dénis de service distribués sur plusieurs ordinateurs ou entre plusieurs personnes. D'où de multiples sources d’attaques, qui sont donc plus difficiles à contrer qu’une seule.  Dans le cas de l’Estonie, les banques ont été touchées, mais ça n’a pas duré longtemps. A ce moment-là, on a parlé de cyberguerre. Tous les pays occidentaux se sont enflammés, et l’OTAN a créé une force spéciale contre les cyberattaques de ce genre, dont le siège est en Estonie.
A-t-on à notre service une sécurité informatique suffisante ?  Il y a une ribambelle d’entreprises informatiques dont une grande partie est fortement inefficace. Si vous vous attendez à une sécurité à 100%, vous ne l’aurez jamais, parce que les logiciels évoluent en permanence.  Parmi les sociétés de sécurité informatique, il y a encore des starts-up qui développent des produits, parfois rapidement, pour remporter des marchés, et qui comportent encore des failles, même dans le système de sécurité.  Et puis lorsqu’un responsable informatique va voir son PDG en disant : "J’ai besoin de 200 000€ pour la sécurité des systèmes d’information", ça ne rapporte rien à l’entreprise. In fine, c’est souvent pour cela que les gens sont piratés, parce qu’ils n’ont pas investi assez de moyens pour protéger leur système.  L’Etat est-il prêt à contrecarrer des attaques informatiques ?  Personnellement je ne crois pas. Si demain le système d’information d’une centrale nucléaire se détériore, il faudra compter sur les procédures internes d’arrêt. Il ne faudra pas compter sur le gouvernement français.  En France, il y a l’Agence nationale de la Sécurité des Systèmes d’Information, chargée de faire des recommandations et de sensibiliser des sites d’importance comme les centrales nucléaires, distributeurs d’eau, les banques. Mais entre les sensibiliser et les mettre en pratique, il y a un monde.