Small nick 01

Jérôme BENBIHI

Internet : faut-il craindre un Black Out ?

 

blackout

Une cyberattaque mondiale visant l'organisme international qui attribue les adresses Internet, l'ICANN, a eu lieu vendredi soir (le 22 février). Après une réunion d'urgence de l'organisation, David Conrad, un des responsables de l'ICANN a expliqué que des pirates s'attaquent à l'infrastructure internet elle-même et évoque une campagne inédite à très grande échelle qui s'est intensifiée très récemment : « Il y a déjà eu des attaques ciblées mais jamais comme ça ».

Plus précisément, il s’agit d’attaques informatiques massives qui viseraient à modifier les adresses de sites internet de grandes entreprises et d’institutions gouvernementales pour rediriger le trafic vers des sites contrôlés par les pirates. Outre le vol de données et l’espionnage de conversations, les autorités craignent des coupures de services, voire un black-out total pendant quelques heures. Les sites seront inaccessibles, les applications inutilisables, les paiements ne passeront plus, etc. Ces attaques pourraient viser des sites d’opérateurs vitaux comme l’énergie, les transports, la santé...

Selon les premières investigations, l’opération serait menée par un groupe de pirates iraniens qui aurait volé d'énormes quantités de mots de passe de messagerie et autres données sensibles de différents gouvernements et sociétés privées. Ils auraient pénétré très profondément les systèmes et savent en sortir au bon moment mais ont certainement laissé quelques portes entrouvertes pour revenir plus tard.

L'ICANN recommande l’adoption d’un mécanisme de sécurité : le « domain name system security extensions », ou DNSSEC. Ce dernier est destiné à protéger le système (le DNS) qui garantit qu’un internaute saisissant l’adresse d’un site dans son navigateur (par exemple : « .com », « .fr », « .gov »…) arrive bien sur un serveur géré par les équipes techniques du site en question. Les systèmes DNS sont une cible de choix pour des pirates parce que dès qu’ils prennent le contrôle, ils peuvent récupérer des informations de tout type (des données bancaires via le site imitant celui d’une banque, des e-mails en détournant à son profit les messages adressés à une organisation donnée…).

Des attaques de ce type, qui permettent de faire en sorte qu’un nom de domaine ne corresponde plus aux serveurs du site qu’il est censé afficher, remontent à plusieurs années déjà. En 2013, un groupe de pirates fidèles au régime de Damas avait réussi à afficher une page de propagande au lieu du site web du New York Times. Lorsque les internautes tapaient « nytimes.com », ils parvenaient sur une page web tenue par des soutiens du dirigeant syrien Bachar Al-Assad.

Et, le 27 novembre 2018, la division de recherche Talos de Cisco a repéré une campagne sophistiquée de cyber espionnage nommée "DNSpionage". Talos a identifié le vol de courriers électroniques et autres identifiants de connexion d’un certain nombre d’entités gouvernementales et privées du Liban et des Émirats arabes unis, rappelle BFM Business. « Tout le trafic vers ces sites a été redirigé vers une adresse Internet contrôlée par les attaquants. Ces derniers ont ainsi obtenu des certificats de chiffrement SSL pour les domaines ciblés, ce qui leur a permis de déchiffrer les informations d'identification de courrier électronique.

Le 9 janvier 2019, le fournisseur américain de solutions de sécurité FireEye a publié un rapport où il décrivait l’attaque. Au même moment, le département américain de la Sécurité intérieure a publié une directive d’urgence ordonnant à toutes les agences civiles fédérales américaines de sécuriser les identifiants de connexion pour leurs enregistrements de domaine Internet. Le 25 janvier 2019, c’est au tour de la société de sécurité CrowdStrike de publier un article de blog répertoriant la plupart des adresses Internet connues pour être utilisées par la campagne d'espionnage à ce jour. »

A ce jour, ce sont ainsi 50 entreprises et agences gouvernementales du Moyen-Orient (Arabie saoudite, Émirats arabes unis, Irak, Jordanie, Koweït, Liban, Libye) mais aussi Albanie et Chypre qui seraient concernées, rapporte BFM. Des adresses de sites pirates vers lesquelles les trafics des sites piratées ont été redirigées pointent ainsi le Liban, la Suède, les Pays Bas et l’Allemagne, où ces sites pirates ont donc été déclarés.

Article publié sur LinkedIn

 

Laissez un commentaire