Les cyberattaques en quatre questions

Le très sérieux New York Times (en anglais) a présenté la cyberattaque comme l'une des plus importantes jamais subies par internet. Menée contre Spamhaus, une organisation basée à Genève (Suisse) en guerre contre les spams, elle aurait saturé le réseau internet, notamment en Europe, mercredi 27 mars.

Renseignements pris auprès d'entreprises spécialisées, il s'avère qu'aucun pic de trafic ou de saturation d'internet n'a été observé en Europe, même si la cyberattaque était d'ampleur. Spamhaus aurait seulement réussi un beau coup de pub, laisse entendre Slate.fr. Reste que le crédit donné à cette affaire montre l'importance du phénomène, autant que les mystères qui l'entourent. Francetv info revient sur les cyberattaques en quatre questions.

Qu'est-ce qu'une cyberattaque ?

Le site gouvernemental risques.gouv.fr définit une cyberattaque comme "une tentative d'atteinte à des systèmes informatiques réalisée dans un but malveillant".

Ses objectifs peuvent être divers : "Voler des données (secrets militaires, diplomatiques ou industriels, données personnelles, bancaires, etc.), détruire, endommager ou altérer le fonctionnement normal de dispositifs informatiques, prendre le contrôle de processus informatiques, ou tromper les dispositifs d'authentification pour effectuer des opérations illégitimes".

Ses cibles ? "Des ordinateurs ou des serveurs, isolés ou en réseaux, reliés ou non à internet, des équipements périphériques tels que les imprimantes, ou encore des appareils communicants comme les téléphones mobiles, les ordiphones ou les tablettes", indique encore le site.

 Quand ont-elles commencé ?

Toujours selon le site gouvernemental sur la gestion des risques, "en l'an 2000, le virus informatique 'I Love You' s'est répandu en quatre jours sur plus de 3 millions d'ordinateurs dans le monde, entraînant une perte financière estimée à 7 milliards de dollars pour les seuls Etats-Unis".

Mais selon Jean-Paul Pinte, maître de conférences à l'université catholique de Lille et auteur de Cybersécurité des acteurs économiques (éd. Lavoisier), les toutes premières ont pu remonter aux années 90. L'un des premiers actes de "cyber-guerre" à avoir fait sensation s'est déroulé en 1999 à Taïwan, selon la revue Geopolitique. Des hackers envoient alors "sur des sites officiels de Taipei, des messages accréditant la thèse que Formose [l'ancienne appellation de l'île de Taïwan] fait, faisait et fera partie intégrante de la Chine continentale".

En 2007, une attaque massive menée contre l'Estonie reste dans les annales. "Elle visait une structure étatique durant plusieurs semaines, avec des moyens suffisants pour saturer durablement les sites visés et causer un déni de service prolongé", explique Jean-Paul Pinte. Elle a émané "de sites russes contre des sites de l'administration estonienne ainsi que ceux de banques et de journaux de ce pays".

Qui attaque et pour quels motifs ?

Jean-Paul Pinte dresse le portrait de quatre grands types de "cyberattaquants". Tout d'abord les Etats, dans un but d'espionnage ou dans un contexte de cyberguerre. Récemment, les Etats-Unis ont ainsi accusé la Chine de s'en prendre à des entreprises, journaux et infrastructures. Mais Washington ne serait pas en reste. Le virus Stuxnet, qui serait "made in America", a détraqué des sites nucléaires iraniens.

Autre catégorie : les "cybermilitants : personnes physiques, petites mains, voire groupes plus organisés". Ils s'attaquent à des Etats ou des entreprises pour défendre une cause.

Mais tous n'ont pas de revendications politiques. "Cela peut aussi être un individu contre un Etat qui cherche à créer un préjudice sans retirer d'argent", poursuit le chercheur.

Reste enfin des "individus ou des sociétés qui s'attaquent à d'autres pour tirer un bénéfice", que ce soit des informations ou une rançon. Bref, des "cybercriminels".

Comment les pirates s'y prennent-ils ?

Pour la cyberattaque menée contre Spamhaus, le ou les pirates ont choisi un mode opératoire banal mais efficace : une "attaque par déni de système", ou attaque DoS (pour denial of service attack, en anglais). Elle consiste à lancer un grand nombre de requêtes vers un site jusqu'à le saturer.

Pour cela, le pirate a pris soin d'infecter des centaines, voire des milliers de machines, au moyen d'un "cheval de Troie". A l'insu du propriétaire, ces machines deviennent des "zombies", ou "Botnet". Elles vont exécuter les ordres du pirate, comme envoyer simultanément des requêtes à un site jusqu'à lui faire perdre la tête. Cette attaque est d'autant plus intéressante qu'elle est intraçable, car elle passe par des machines infectées.

Ce type de cyberattaques vise à engorger et bloquer un site, mais les attaques sont aussi diverses que les intentions du pirate. Des "rançongiciels" ou "ransomware" ont ainsi vu le jour. Ils bloquent un ordinateur et réclament le paiement d'une rançon pour le débloquer.

Autre procédé, pour récupérer des données dans le cadre de l'intelligence économique, des pirates "distribuent des clés USB à l'entrée de salons en se faisant passer pour une société. La personne l'installe sur son ordinateur et les pirates vont pouvoir récupérer les mails et de nombreuses données confidentielles", pointe Jean-Paul Pinte.

Plus subtil, l'utilisation de "l'ingéniérie sociale", décrite ici par une analyste pour le site Le cercle Les Echos. Afin d'obtenir des informations sensibles, on cible avec soin un salarié, ses centres d'intérêt, ses habitudes, les outils qu'il utilise pour affaiblir le système d'information visé. En usant des faiblesses psychologiques de la cible, on peut ensuite pénétrer un système sans éveiller de soupçons. Un phénomène amplifié par l'exploitation des réseaux sociaux.