#OpFrance : plus qu’une menace, une opportunité
Ce jeudi 15 janvier doit marquer le point d’orgue d’une vaste opération de cybervandalisme touchant les sites français. L’occasion de procéder à des mises à jour salvatrices.
Des hackers se réclamant du collectif nébuleux des Anonymous avaient promis une réponse informatique – controversée – à l’attentat qui a décimé la rédaction de Charlie Hebdo, sous la bannière #OpCharlieHebdo. En retour, un autre collectif d’hacktivistes avait promis de s’en prendre aux sites Web français, cette fois-ci sous la bannière #OpFrance.
L’Agence nationale pour la sécurité des systèmes d’information (Anssi) indiquait ainsi hier que « l’actualité récente a entraîné un accroissement significatif du nombre d’attaques informatiques visant des sites Internet français ». En fait, quelques dizaines de milliers de sites français ont été rendus inaccessibles ou défigurés, sinon piratés.
Dans certains cas, des coordonnées personnelles et des identifiants ont même été divulgués. Le point d’orgue d’#OpFrance est prévu pour ce jeudi 15 janvier ; le groupe Middle East Cyber Army (Meca) en a déjà donné le coup d’envoi.
Une vaste opération de cybervandalisme
Le protocole d’alerte de Zataz donne un aperçu de la situation, montrant la diversité des sites compromis : ministères, Conseils Généraux, Chambres de Commerce et d’Industrie, associations, académies de l’Education Mationale, mairies, syndicats, etc.
Une menace ? Certes.
Une surprise ? Non.
Dans un communiqué, Luc Delpha, Directeur de l'offre de services Gestion des Risques de Provadys, le souligne très justement. « Les différentes attaques relatées dernièrement et touchant les sites web d’administrations et d’entreprises françaises n’ont rien de surprenant. Internet est de plus en plus un miroir sombre du monde qui nous entoure. Le relatif anonymat qu’il permet et la distance qu’il autorise entre les auteurs des faits et leurs victimes en font une caisse de résonance pour l’expression violente des frustrations et crispations du moment. »
Certains ne s’y trompent d’ailleurs pas et réfutent le terme de cyberguerre pour lui préférer à juste titre celui de vandalisme. Et Damien Bancal, de Zataz, de souligner qu’il s’agit avant tout d’une opération de communication.
@Nice_Matin #OpFrance ne ressemble en rien à une cyberguerre, uniquement du vandalisme sans cible précise #cyberdefense
— Gaylord Dusautoir (@GaylordIT) January 15, 2015
Ces attaques démontrent bien qu’il s’agit avant tout d’une guerre de communication. #opfrance , #cyberdefense
— ZATAZ.COM Officiel (@zataz) January 15, 2015
Des mises à jour trop peu déployées
Sur le plan technique, l’ampleur du succès d’#OpFrance ne surprendra guère plus les spécialistes de la sécurité.
L’Anssi n’hésite d’ailleurs pas à rappeler « qu’il est possible de se prémunir de ces types d’attaques en appliquant les bonnes pratiques présentées dans les fiches qu’elle a préparées à cet effet » et jointes à son communiqué.
L’agence recommande ainsi des mesures classiques – mais apparemment peu mises en œuvre, sinon il serait inutile de les rappeler… – comme l’application régulière des correctifs de sécurité disponibles pour les applications Web. Ou encore l’utilisation de mots de passe robustes.
Comme le souligne Loïc Guézo, évangéliste sécurité informatique et directeur Europe du Sud de Trend Micro, sur Twitter : « pas de stress ; des actions claires ».
L’opportunité d’améliorer sa posture de sécurité avec un « un audit de sécurité gratuit »
Dès lors, certains voient dans #OpFrance moins une menace qu’une chance. Celle d’améliorer la posture de sécurité de nombreux sites Web pour lesquels elle a été, précisément, négligée trop longtemps. Avec humour, certains voient même l’opération en cours comme un audit de sécurité gratuit.
@Korben Et on dit merci #AnonGhost pour cet audit gratuit :)
— Tigzy (@TigzyRK) January 14, 2015
#opfrance : une operation massive d'élévation du niveau de sécurité des sites web de nos institutions et entreprises #merci
— Hakim S (@hakim_sd) January 15, 2015
Reste à savoir si, une fois la crise passée, celle-ci se traduira par des effets durables, par la mise en œuvre de pratiques sûres, ou si, au contraire, les mauvaises habitudes reprendront le dessus.
Car une chose saute aux yeux, confirmant un sentiment hélas largement partagé : de nombreuses victimes de l’#OpFrance opèrent des sites Web sans très probablement disposer de ressources dédiées à leur maintenance technique. Ils se sont reposées initialement sur un prestataire pour un projet donné, mais se contentent ensuite d’assurer la mise à jour du contenu sans se préoccuper du cycle de vie du contenant. Faute de moyens, probablement. Faute de conscience de la menace, sans aucun doute.
Mais après #OpFrance, il sera difficile d’affirmer que l’on ne savait pas.