mehaniq41 - stock.adobe.com
France : une cyberattaque d’une « intensité inédite » aux airs de tempête dans un verre d’eau
L’attaque sur laquelle les services du Premier ministre ont choisi de communiquer s’inscrit dans un bruit de fond continu d’escarmouches en déni de service distribué et semble surtout avoir été opportunément récupérée.
Branle-bas de combat dans les rédactions de France et de Navarre, ce lundi 11 mars 2024, en fin d’après-midi. Les plus rapides sortent l’information vers 17h : « plusieurs services de l’État font, depuis dimanche, l’objet d’attaques informatiques d’une “intensité inédite”, mais leur impact à ce stade “a été réduit” et l’accès aux sites de l’État “rétabli” », rapportent ainsi nos confrères du Parisien, citant les services du Premier ministre.
À 18h, les auteurs du coup se délectent déjà, pointant, sur leur chaîne Telegram, les multiples articles faisant état de leur fait d’armes, dans la presse Hexagonale. Il s’agit du groupuscule Anonymous Sudan, qui annonçait l’offensive vers 1h du matin, le 11 mars : « nous avons conduit une cyberattaque massive contre l’infrastructure de la Direction interministérielle du numérique », la Dinum.
Qui est Anonymous Sudan ?
Le Français Sekoia.io compte parmi ceux qui parlent le mieux de ce groupuscule : ses analystes estiment « avec certitude qu’en janvier 2023, lorsqu’un activiste suédois de droite a commis un acte antimusulman médiatisé, des groupes hacktivistes nationalistes russes tels que Killnet ont identifié une opportunité de saper les négociations entre la Suède et la Turquie sous un prétexte islamophobe, comme le président turc Erdogan réagit souvent à ce sujet ».
C’est alors que « Killnet a soit créé Anonymous Sudan, soit aidé un groupe préexistant non qualifié à mener et à médiatiser des opérations en DDoS par procuration contre la Suède et, plus tard, contre d’autres pays de l’OTAN, afin d’avoir un impact sur les États qui soutiennent l’Ukraine ».
Flashpoint, également spécialiste du renseignement sur les menaces, s’inscrit sur la même ligne : l’alignement du groupuscule sur les intérêts de Moscou ne fait pas de doute, sans que cela ne permette de conclure à d’éventuels liens hiérarchiques.
Comment procède ce groupuscule ?
« Lors d’une autre campagne de plusieurs jours en mars 2023, le groupe a ciblé des établissements médicaux, des universités et des aéroports en France », rappelle Radware. Il s’en est également pris à Microsoft, X (anciennement Twitter) et OpenAI, pour ne citer que quelques cibles. Il s’est fait une spécialité du déni de service distribué.
Début 2023, « la principale tactique d’Anonymous Sudan consistait à lancer des attaques DDoS sur le Web à partir de serveurs publics en nuage, en dissimulant les sources d’attaque derrière et à travers des milliers de proxys HTTPS/SOCKS », explique le spécialiste de la sécurité applicative Web.
Et de mentionner des « attaques DDoS sur le Web, combinées à des vagues alternées d’inondations UDP et SYN. Les attaques proviennent de dizaines de milliers d’adresses IP uniques et le trafic UDP atteint jusqu’à 600 gigabits par seconde (Gb/s), tandis que les flux de requêtes HTTPS atteignent plusieurs millions de requêtes par seconde ». Une analyse que l’on retrouve chez Netscout.
Anonymous Sudan change toutefois son mode opératoire dans la seconde moitié de 2023, s’appuyant sur le botnet Skynet-Godzilla, partageant une promotion à 100 $ la journée, fin novembre dernier.
Peu onéreux donc, ce botnet « fournit une combinaison de DDoS Web, d’attaques volumétriques (fragmentation et amplification UDP), TCP SYN et SYN-ACK. Grâce à la commande Linux dstat, SKYNET/GODZILLA a démontré que les attaques L4 TCP atteignaient 40 Gb/s et les attaques UDP plus de 200 Gb/s, tandis que les attaques DDoS Web (HTTPS) utilisant des proxys avaient un potentiel de 15 millions de requêtes par seconde », indique Radware.
Désormais, le groupuscule dit utiliser sa propre infrastructure de DDoS-as-a-Service, annoncée fin février. Il assure l’avoir utilisée dans des attaques contre des entités en Égypte, au Tchad, en Israël et au Bahreïn.
L’attaque était-elle sérieuse ?
Matignon a fait état de la mise en place d’une cellule de crise. De quoi suggérer que la situation est prise au sérieux et mérite de l’être. De fait, une cyberattaque en déni de service distribué (DDoS) peut être utilisée comme un écran de fumée, pour détourner l’attention d’autres activités malveillantes moins retentissantes, comme une intrusion. Kasperky estimait, en 2015, que 40 % des attaques en DDoS coïncidaient avec d’autres incidents.
Et la Dinum est responsable du Réseau interministériel d’État (RIE), réseau qui interconnecte les administrations des grands ministères et assure la connexion Internet de 14 000 sites de l’État. Être sur le qui-vive dès lors qu’une malveillance avérée l’affecte est bien la moindre des choses.
Reste que le DDoS est, avec les défigurations de sites Web, l’arme des hacktivistes, ces groupes motivés idéologiquement et/ou politiquement, dont l’affiliation à d’éventuelles officines étatiques est, pour certains du moins, plus ou moins questionnée. Les attaques en DDoS sont monnaie courante, au point de constituer un bruit de fond de menaces cyber. Le week-end dernier, plusieurs sites Web d’administrations en Estonie en ont encore fait l’expérience.
Mais entre contexte géopolitique et politique domestique, si Matignon a choisi de communiquer sur cet incident, c’est que les services du Premier ministre y trouvaient leur intérêt. Car les incidents cyber dont l’État ne parle pas ne manquent pas. Choisir de communiquer sur ce DDoS, et saisir l’opportunité de se positionner en victime à coût nul, n’a donc rien d’innocent.