Piraté par des hackers pro-russes, le site de l'Assemblée nationale bloqué

[Article publié le lundi 27 mars à 15h29 et mis à jour à 16h46]

Impossible pour l'heure de consulter le site Internet de l'Assemblée nationale. « Ce site est inaccessible », peut-on lire en renseignant l'URL ce lundi 27 mars. Selon plusieurs experts, le blocage est lié à une attaque de hackers pro-russes.

Le site de l'Assemblée, qui renvoie vers une page fixe où il est indiqué qu'il est « actuellement en maintenance », est la cible d'une attaque par « déni de service » (un nombre très élevé de requêtes jusqu'à saturation, NDLR) par le collectif de hackers pro-russes NoName057(16). Les attaques par déni de service, peu coûteuses, n'entraînent généralement que des blocages temporaires de sites. Mais elles peuvent handicaper des entreprises si elles sont liées à leur système de vente ou de production.

Le groupe de hackers a revendiqué cette attaque sur sa chaîne Telegram en riposte au soutien de la France à l'Ukraine, a confirmé Ivan Fontarensky, directeur technique de la cyberdéfense chez Thales.

Lire aussiCyberattaques contre les collectivités territoriales : le pire est-il à venir ?

NoName revendique également une attaque contre le site du Sénat, pour l'instant sans effet notable. Ce groupe est l'un des quelque 80 collectifs de hackers pro-russes qui s'en prennent aux institutions des pays qui soutiennent l'Ukraine, notamment les pays d'Europe de l'Ouest, a expliqué Nicolas Quintin, analyste en chef de l'équipe d'analyse des menaces de Thales, qui réunit une cinquantaine d'experts dans le monde.

La France, l'une de leurs cibles régulières, a connu plusieurs attaques de ce type tout récemment. La semaine dernière, elles ont bloqué le site d'Aéroports de Paris et visé le site de la DGSI. Ces deux vagues d'attaques ont été revendiquées par un autre groupe de hackers pro-russes, a précisé Thales, qui suit leurs communications.

NoName, créé en mars 2022, qui communique en russe et en anglais, conduit des attaques par déni de service, des cyberattaques de base. Ces collectifs pro-russes ont fleuri depuis l'invasion de l'Ukraine par la Russie. Ils agissent sans rechercher de rançon, contrairement aux hackers traditionnels.

Le groupe de hackers qui avait attaqué les serveurs de la ville de Lille identifié

Ces attaques interviennent après plusieurs cyberattaques en France constatées en mars sur des organismes publics, comme de l'hôpital de Brest ou les serveurs de la ville de Lille. Des hackers ont revendiqué la cyberattaque qui a visé début mars la mairie de cette dernière, et diffusé en ligne quelque 305 gigaoctets de données volées, a-t-on appris ce lundi 27 mars, auprès de la commune et d'un spécialiste en cybersécurité.

L'attaque a été orchestrée par le groupe de hackers « Royal », a indiqué dans un communiqué la ville de Lille, précisant à l'AFP avoir appris l'information via le blog spécialisé zataz.com. Selon l'auteur de ce blog, le spécialiste en cybersécurité Damien Bancal, « les pirates informatiques ont diffusé (lundi) deux fichiers de données volées à la ville de plus de 150 gigas chacun. Ce qui m'inquiète, c'est qu'ils précisent n'avoir diffusé que 10% » du total.

« 305 gigas de données, c'est équivalent à 150 disques blu-ray. Si c'est seulement 10%, c'est complètement fou », a-t-il expliqué à l'AFP. « Ils ont caché cela dans le darkweb. » Ces données étant désormais en ligne, « d'autres pirates vont commencer à copier, récupérer ces informations et s'en servir: ça peut être des téléphones portables, des mails, voire des documents liés à la vie privée », a-t-il déploré.

Des entreprises et communes« jetées en pâture »

Plusieurs heures sont encore nécessaires pour télécharger et découvrir le contenu de ces fichiers, a-t-il précisé, craignant « la diffusion d'informations concernant l'état civil » des administrés. « Le groupe Royal fait partie de nombreux groupes dédiés au ransomware, ou rançongiciel », la prise d'otage informatique à partir d'un logiciel malveillant.

« Leur première véritable apparition, c'est en septembre 2022. Depuis, plus de 142 entreprises ou entités ont vu leurs données diffusées », sans compter les « victimes qui ont payé, et ne sont donc pas connues », a détaillé Damien Bancal.

« Ils infiltrent les ordinateurs, menacent de diffuser les données en réclamant une rançon. Quand les entreprises, communes, ou autres entités ne payent pas, elles sont jetées en pâture, comme ça les autres ont peur et payent », a développé Damien Bancal. Les pirates de « Royal » n'ont « pas affiché le montant de la rançon », a-t-il souligné.

Parmi les victimes de ce groupe, figurent selon ce spécialiste des sociétés privées, des communes en Allemagne ou aux Etats-Unis, ainsi que des médias ou encore une école en Australie. « Jusqu'au Luxembourg, ce qui est très rare », a-t-il ajouté.

Le secteur de l'énergie sous surveillance

En janvier dernier, l'agence nationale de la sécurité des systèmes d'information (Anssi) alertait sur le risque de cyberattaque, à l'occasion de la deuxième édition de son panorama de la cybermenace, soit un bilan annuel de ses interventions. En effet, si la menace cybercriminelle à but lucratif, représentée par les attaques par rançongiciel, reste très élevée et touche plus que jamais tous les secteurs et toutes les tailles d'entreprises, l'Anssi intervient avant tout sur des cas de menace stratégique en espionnage et sur des cas de menace en sabotage.

Envoyées par les services d'autres États, ces menaces qui pourraient déstabiliser le fonctionnement de l'économie française continuent de se multiplier. « Le secteur de l'énergie fait l'objet de toute notre attention, dans un contexte de tension sur le réseau électrique », précise Mathieu Feuillet, sous-directeur Opération de l'Anssi.

(Avec AFP)