Un type d’attaque informatique dangereusement banale. Une cyberattaque, revendiquée par le groupe de hackers Anonymous Soudan, a paralysé dimanche dernier les services informatiques de plusieurs ministères français. Face à cette offensive d'une ampleur inédite, le parquet de Paris a annoncé l’ouverture d’une enquête pour "entrave à un système automatisé de données commise en bande organisée". S’ils sont interpellés, les pirates risquent jusqu’à 10 ans d’emprisonnement et 300.000 euros d’amende.
Pour s’en prendre aux ministères, les Anonymous ont utilisé la méthode du DDOS, aussi appelée le déni de service. "Ce qui s’est passé avec les sites internet de l’Etat, ce n’est pas nouveau, ça arrive souvent et cela depuis des années", indique à Europe 1, Clément Domingo, allias Saxx, hacker éthique et membre du groupe Hackers Without Borders. Cette méthode consiste à faire tomber en panne un service en le submergeant de requêtes. "Si on devait expliquer le déni de service par une image, il faut imaginer un train avec une capacité de 200 voyageurs. Au moment du départ, ce ne sont pas 200 personnes qui veulent monter à bord mais 1.000, 15.00, 3.000. Résultat, soit le train ne part pas, soit il avance extrêmement lentement", explique-t-il.
>> LIRE AUSSI - Cyberattaques contre l'État : qui est Anonymous Sudan, le collectif de cybercriminels qui fait parler de lui ?
Des méthodes faciles à mettre en place
Historiquement, cette méthode demandait aux groupes de cybercriminels de se coordonner et d’être nombreux pour envoyer des requêtes en simultané. Une technique qui réclamait une grande synchronisation. "Pour lancer un raid, les hackers se donnaient rendez-vous en publiant la date de l’attaque et le nom de la cible sur leurs réseaux", raconte le hacker. Avec le temps, la méthode s’est perfectionnée. "Aujourd’hui, il existe des logiciels DDOS parfois basés dans plusieurs pays et camouflés par des proxys qui envoient des milliers de requêtes pour faire 'crasher' le site ciblé", détaille Saax. "Parfois, ces outils contaminent des sites internet pour se servir de leur puissance de calcul pour attaquer leurs cibles", ajoute-t-il. C’est précisément cette méthode qui a été utilisée contre les ministères. Désormais, une personne peut simuler des milliers de connexions.
La cybercriminalité accessible
Contrairement aux idées reçues, ces attaques ne sont pas commises par des experts chevronnés en cyberattaques et en informatique. Bien souvent, les auteurs sont âgés d’une quinzaine d’années. Et certains s'adonnent à ces pratiques simplement pour le plaisir d’appartenir à un groupe. Le déni de service ne permet pas de voler des données compromettantes. Le DDOS empêche juste le fonctionnement d’un site internet et il est en somme assez facile à mettre en place.
L’application Telegram est devenue la plaque tournante de la vente de logiciels pour lancer des dénis de service. "Il suffit de trouver les bons canaux, où des personnes proposent de la location d'infrastructures DDOS pour pouvoir attaquer un site. C’est très simple, même ma grand-mère pourrait le faire !". En moyenne, le prix d’entrée est de 10 dollars. "Aujourd’hui, Telegram a rendu accessible la cybercriminalité à des personnes lambda".
Investir pour être mieux protégé
Même si l’attaque contre les ministères a été sans conséquence, elle n’en reste pas moins préoccupante et pose la question de la capacité de résilience des infrastructures de l’Etat face au déni de service. Le site du ministère de la Culture est resté hors-service 18 heures après l’attaque. "Si les instances investissent massivement dans la cybersécurité, les attaques de type DDOS seraient bénignes. Dans le cas contraire, tout le monde est vulnérable".
L’opération de dimanche dernier a pour objectif de mettre un coup de projecteur sur les groupes de hackers afin qu’ils puissent recruter dans l’optique d’une plus vaste action. "Ça va donner des idées, en vue des JO c’est très inquiétant", conclut Clément Domingo. En moyenne, les logiciels DDOS les plus puissants peuvent générer jusqu’à 38 millions de demandes de requêtes par seconde.