Attaques informatiques : de quoi parlent les politiques ?
Attaques informatiques : de quoi parlent les politiques ?
Par Martin Untersinger
Le ministre français de la défense a évoqué 24 000 attaques contre son administration en 2016, et le mouvement d’Emmanuel Macron plus de 4 000 contre son site. Mais le terme « attaque informatique » recouvre des réalités très différentes.
Le terme « attaque informatique » recouvre des réalités très différentes. | Quentin Hugon pour Pixels
Mardi 14 février, les responsables de la campagne du mouvement En Marche ! ont indiqué avoir subi plus de 4 000 attaques informatiques. Quelques semaines plus tôt, le ministre de la défense affirmait avoir paré à 24 000 offensives contre son administration en 2016.
Que veulent dire ces chiffres ?
Ces chiffres peuvent donner le tournis. Mais en matière de sécurité informatique, le terme « attaque » ne veut pas dire grand-chose et peut désigner des phénomènes techniques radicalement différents, de gravité très variable, et impliquant des acteurs très hétérogènes.
Concrètement, cela peut aller d’un simple repérage, guidé par la curiosité d’un jeune étudiant désireux de réparer une éventuelle faille, à une opération techniquement très sophistiquée montée et financée par un Etat destinée à siphonner toutes les informations du site d’un candidat.
Faute d’accès aux systèmes internes des candidats, ou du ministère, impossible pour le journaliste ou l’expert de dire ce que recouvrent précisément ces attaques. Et même dans ce cas, il est très compliqué de dire qui se cache derrière une attaque, quels sont les moyens techniques, financiers et humains employés.
De quelles attaques parlent-ils ?
Une attaque informatique visant un parti politique peut prendre plusieurs formes.
- Le phishing
Le phishing est une technique consistant à faire parvenir à sa cible un e-mail se faisant passer pour un site légitime, par exemple son fournisseur de courriel. Lorsque la victime saisit son mot de passe, elle croit s’identifier normalement, mais c’est en réalité l’attaquant qui récupère son mot de passe.
Cette technique est extrêmement commune car elle permet de pénétrer à l’intérieur d’un compte ou d’un système informatique en utilisant des identifiants valides, sans avoir à profiter d’une faille. C’est ainsi qu’avaient procédé les pirates qui s’en étaient pris au Parti démocrate, aux Etats-Unis.
Les déclarations des politiques concernant d’éventuelles tentatives de phishing sont à prendre avec des pincettes : les plus efficaces sont les mieux réalisées, donc les plus furtives et les plus indétectables. Les plus dangereuses sont, au final, celles qui sont restées invisibles.
- Exploitation de failles informatiques
Des pirates désireux de s’en prendre à un parti politique et qui ne disposent pas, comme après un phishing, des codes d’accès, peuvent aussi « forcer la porte ». Par exemple en procédant à des attaques sur les bases de données présentes sur les sites des candidats, pour se procurer des données internes, ce qui peut se faire, notamment, par le biais de ce qu’on appelle des injections SQL. Il s’agit là aussi d’une attaque extrêmement classique, mais très utile si le but est de se procurer des données. Plus largement, un assaillant peut tenter de pénétrer les divers composants de l’infrastructure Web d’un candidat, particulièrement ceux qui ne sont pas mis à jour dans leurs dernières versions, profitant ainsi de failles de sécurité souvent bien connues.
- Attaques par déni de service
Une autre attaque, très différente, consiste non pas à se procurer un accès aux systèmes attaqués comme dans le cas du phishing ou de se procurer des données, mais de perturber l’accès à un site Internet. On parle d’attaques « DDoS » : en saturant un site de connexions, on empêche les véritables utilisateurs de le consulter. Ce type d’attaque est extrêmement fréquent, et de nombreux outils permettant de les réaliser sans connaissances techniques particulières sont disponibles sur Internet. Symétriquement, la plupart des protections de base des sites Internet permettent de les déjouer. Les attaques de ce type ont, historiquement, été souvent utilisées à des fins de protestation, dans le cadre de combats idéologiques : les partis politiques sont donc particulièrement concernés. Certaines attaques en déni de service sont sophistiquées, puissantes et difficiles à contrer, mais il s’agit d’une minorité.
- Repérage
Enfin, tout site connecté à Internet est « visité » régulièrement : de nombreux acteurs tentent par tous les moyens de repérer, parfois automatiquement, des sites potentiellement vulnérables pour les infecter, sans que cela soit une démarche politique. Autrement dit, ce type d’événement, que certains responsables peuvent être tentés de qualifier d’attaque, vise de manière indiscriminée sites marchands, blogs personnels et sites de candidats à la présidentielle.
Peut-on remonter vers l’auteur d’une cyberattaque ?
Désigner le responsable d’une cyberattaque, c’est le casse-tête de la cybersécurité : la plupart des entreprises spécialisées, employant pourtant les meilleurs experts de la planète, s’y refusent quasi-systématiquement, tant l’exercice est complexe. La raison ? Il est aussi facile de ne laisser aucune trace – voire d’en laisser de fausses – qu’il est difficile de les faire parler.
En matière de traces, la plupart du temps, les responsables de systèmes informatiques retrouvent des adresses IP derrière l’attaquant, par exemple si ce dernier a multiplié les connexions pour tenter de saturer le site Internet ou s’il a essayé de pénétrer dans une base de données. Une adresse IP est l’adresse d’un ordinateur sur le réseau. En théorie, il est donc possible de remonter vers son propriétaire. Mais dans la plupart des cas, les assaillants prennent des précautions : ce n’est pas leur véritable adresse qui laisse des traces – lorsqu’elle en laisse –, car ils s’arrangent par exemple pour que leurs actions transitent par plusieurs serveurs, situés dans différents pays.
Lorsque la campagne d’Emmanuel Macron indique qu’une partie des attaques proviennent d’Ukraine, cela veut simplement dire que c’est vers ce pays que pointent les adresses IP retrouvées dans leur infrastructure. Comme le rappelait d’ailleurs le responsable numérique de la campagne, un grand nombre de pirates utilisent des serveurs en Ukraine, sans pour autant que ce pays abrite les pirates responsables des attaques. Sans parler de leur commanditaire, qui peut être une entité totalement différente.
D’autres traces peuvent être exploitées : comme par exemple les méthodes ou les outils utilisés pour mener l’attaque (un programme espion particulier par exemple). Mais ces outils peuvent être partagés, mis en ligne, modifiés, réutilisés par des groupes d’attaquants très différents. Il existe, sur Internet, de nombreux outils de piratage en « libre-service » qui peuvent être utilisés par n’importe qui. Même lorsqu’on tombe sur un outil unique et inconnu jusqu’alors, les traces ou les indices qu’on peut trouver à l’intérieur peuvent avoir été placés à dessein, pour brouiller les pistes.
En théorie, il est quand même possible d’attribuer une cyberattaque. Mais il s’agit d’un processus si complexe qu’on estime que seuls une poignée d’Etats sur la planète disposent des ressources techniques et humaines pour se prononcer sur les cyberattaques les plus avancées. Pour les cas les moins sensibles, la justice et la police peuvent aussi y parvenir, mais souvent à l’issue d’un travail d’enquête très fastidieux. Très loin, donc, des moyens contraints d’un parti politique en campagne.
Pourtant, les Américains ont bien dit que les Russes les avaient piratés…
A l’automne 2016 puis en début d’année, les services de renseignement américains ont affirmé que les Russes avaient, par le biais de piratages informatiques, tenté de favoriser l’élection de Donald Trump. De nombreux observateurs ont fait le lien avec le piratage, au printemps, du Parti démocrate : des hackers très compétents avaient pénétré dans ses serveurs et subtilisé un grand nombre de courriels internes.
Le fait que les Etats-Unis pointent directement un responsable est une chose très rare : cela n’était auparavant arrivé que trois fois. Mais cela s’explique à la fois par les moyens humains et techniques dont disposent les Américains – les Etats-Unis étant considérés comme le pays le plus avancé, et le plus agressif, dans le « cyberespace ».
A l’inverse, les autorités françaises se sont refusées, jusqu’à présent, tant pour des raisons techniques, juridiques que politiques, à attribuer des cyberattaques. Cependant, les traces retrouvées dans les systèmes informatiques du Parti démocrate sont celles d’un groupe qu’une demi-douzaine d’entreprises spécialisées, et sans doute autant d’Etats, pistent depuis des années. Les autorités françaises ont d’ailleurs remis aux partis des indicateurs techniques permettant de détecter ces pirates. Pour l’instant, aucun parti politique n’a fait état d’une attaque provenant de ce groupe.