Pourquoi la France est au cœur d’une campagne de cyberattaques particulièrement virulente
Depuis le début de l’année, de nombreux serveurs sont visés par une campagne de cyberattaques très agressive et efficace, comme l’expliquent des experts de la sécurité des systèmes d’informations. Décryptage en trois questions.
La campagne de cyberattaques furtives qui vise depuis le début de l’année de nombreuses entités françaises, révélée cette semaine par le cybergendarme français, a un format inhabituel car elle cible de façon indifférente de très nombreux serveurs. Cette campagne est « toujours en cours » et « particulièrement virulente », a mis en avant le directeur général de l’Agence nationale de la sécurité des systèmes d’informations (Anssi), Guillaume Poupard, qui n’a toutefois pas précisé les cibles précises des attaques.
Qui est visé ? Pourquoi ? Plusieurs experts décryptent les tenants et les aboutissants de cette campagne.
De quel type d’attaques s’agit-il ?
Cette campagne de cyberattaques compromet les routeurs français de particuliers, ces échangeurs du trafic réseau et internet, pour ensuite viser une autre cible à partir du réseau français. Une fois les vulnérabilités informatiques déterminées, les cyberattaquants sont en capacité de prendre le contrôle des routeurs et ainsi de masquer leurs traces, d’usurper l’identité de sites internet, voire de paralyser le trafic en neutralisant le routeur.
« Quand on est capable de contrôler un routeur, on est capable de voir tout ce qui passe comme information si elle n’est pas chiffrée, mais on est surtout capable de rediriger le trafic partout, sans que cela soit visible », indique Jérôme Saiz, expert cybersécurité et gestion de crise pour OPFOR Intelligence.
Habituellement, les opérations d’espionnage sont ciblées : les hackers visent « une entreprise, un service d’une entreprise voire une information dans un service d’une entreprise », explique Gérôme Billois, expert en cybersécurité au cabinet de conseil Wavestone. Mais ces attaques en cours semblent avoir une portée beaucoup plus large pour identifier des failles de sécurité, s’accordent à dire les experts.
Ces attaques ciblent en réalité les routeurs destinés aux entreprises et aux PME. « Les routeurs concernés sont des produits sur lesquels une vulnérabilité a préalablement été exploitée afin qu’APT31 puisse en prendre le contrôle. Ces routeurs sont ensuite utilisés par l’acteur malveillant comme passerelles d’accès anonyme à Internet, pour mener des actions malveillantes – comme des attaques par force brute pour trouver des mots de passe. Ils peuvent également être utilisés par APT31 comme relais vers des serveurs de commande et de contrôle CobalStrike pour infiltrer des réseaux », indique Pierre Delcher, chercheur en cybersécurité chez Kapersky.
Cette méthode de piratage est apparue en 2018, indique Gérôme Billois. « Ce qui est nouveau dans cette affaire, c’est le fait de partiellement utiliser la France comme point de rebond pour attaquer la France », relève-t-il.
Qui en sont les auteurs ?
En matière de cybersécurité, il est quasi impossible de déterminer les auteurs d’une attaque avec certitude, mettent en garde les différents spécialistes. « Il n’y a que des faisceaux, des indices concordants », explique Jérôme Saiz.
En observant les cyberattaques sur le long terme, il est possible de repérer des modes opératoires en déterminant des serveurs ou des types d’ordinateurs utilisés par exemple. Ces détails constituent la signature numérique d’un attaquant. Dans le jargon de la cybersécurité, on parle de « Tactics, Techniques and Procedures », ou TTP. « Il n’y a rien de plus simple à copier que du numérique: il suffit de reproduire le mode opératoire d’un attaquant pour se faire passer pour lui », prévient toutefois Loïc Guézo, secrétaire général du Clusif, club de la sécurité du numérique en France.
Ce type de piratage est appelé APT, pour « Advanced Persistent Threat », une menace persistante avancée; et un APT ne désigne donc pas un groupe de hackers mais un certain modus operandi de cyberattaquants. Pour qualifier l’attaque en cours depuis le début de l’année en France, l’Anssi évoque ainsi « l’APT31 », une campagne d’attaque « conduite par le mode opératoire APT31 », qui est régulièrement associé aux intérêts du gouvernement chinois.
« Ce type de numérotation des attaquants (avait) démarré en 2013 avec l’APT1, des entités qui travaillent pour le compte du MSS », le ministère de la Sécurité de l’État chinois, indique Loïc Guézo.
Pourquoi la Chine est-elle pointée du doigt ?
Bien que dans son communiqué, l’Anssi ne désigne pas explicitement la Chine comme l’auteur des attaques, le simple fait d’évoquer le mode opératoire APT31 est très inhabituel pour une instance technique telle que le gendarme français de la cybersécurité, dans un pays beaucoup moins coutumier du « name and shame » que les États-Unis. L’attribution d’une attaque à un pays relève plutôt de la sphère politico-diplomatique.
« Là, on sent une détente dans ce processus d’attribution: on commence à faire le lien et identifier des modes opératoires qui pointent assez mécaniquement des pays », note Gérôme Billois.
Le Conseil de l’Union européenne mentionne par exemple sans équivoque que des actes de cybermalveillance liés aux groupes de pirates APT31 ont été « menés depuis le territoire de la Chine à des fins de vol de propriété intellectuelle et d’espionnage » dans un communiqué de presse du 19 juillet.
Mais déclarer publiquement que l’attaquant a été repéré est à « double tranchant », poursuit l’expert en cybersécurité : « Soit il abandonne tout et disparait pour mieux réapparaitre une fois la tension retombée, soit ils cassent et détruisent pour masquer leurs traces ».
