Les médias, des cibles privilégiées pour les hackers

Du 4 au 6 juin, La Tribune a été victime d’attaques informatiques ciblées et de grande ampleur. Du New York Times à Rue89, en passant par TV5 Monde, les cyberattaques sur les médias se sont multipliées ces dernières années. Avec des méthodes et des finalités très différentes.
Sylvain Rolland
Pour quelques centaines ou quelques milliers d'euros, il est possible de recourir à des "botnet" pour "faire sauter" des sites.

Pour provoquer le "crash" d'un site, il suffit parfois de quelques milliers de connexions simultanées. Le serveur, débordé, ne peut plus répondre à la demande, et le site devient inaccessible. La méthode est bien connue des hackers, les pirates du web, qui l'utilisent allègrement pour s'attaquer à leurs proies.

Pendant 48 heures, du samedi 4 au lundi 6 juin, La Tribune a été l'une d'entre elles. Mais notre site a été confronté à des attaques informatiques violentes, d'une grande ampleur. Ce ne sont pas quelques milliers de fausses connexions qu'il a fallu gérer, mais jusqu'à un million par seconde au plus fort de la crise. Autrement dit, c'est comme si un million d'ordinateurs se connectaient en même temps sur latribune.fr pour faire sauter les serveurs, et donc rendre le site indisponible.

Ces assauts venaient d'Asie. Ils ont entraîné des dysfonctionnements pendant tout le week-end. Mais grâce à la mise en place de nouvelles solutions techniques, l'accès au site a été progressivement rétabli lundi dans la matinée. Ce qui n'empêchait pas de nouvelles attaques de se dérouler...

Les attaques DNS, un moyen efficace à court terme pour semer le chaos

La Tribune n'est pas un cas isolé. Les attaques par DDoS (pour Distributed denial of service ou attaque informatique par déni de service distribué) sont de plus en plus courantes contre des médias. Elles font partie de la grande famille des attaques DNS, pour Domain Name System, qui visent à s'en prendre à un site via son nom de domaine.

Concrètement, cette forme élaborée d'attaque permet d'envoyer un grand nombre de connexions simultanées vers un site pour saturer les serveurs. Très courante, cette attaque est aussi assez facile à mettre en oeuvre. Il suffit pour une personne mal intentionnée de s'offrir les services d'un botnet, c'est-à-dire d'un réseau d'ordinateurs "zombies". Le prix, compris entre quelques centaines et quelques milliers d'euros, correspond à la durée de l'attaque et son intensité.

Si les attaques DDoS sont si efficaces à court terme (avant que le hacker décide d'arrêter de payer ou que le site trouve de nouvelles solutions d'hébergement), c'est parce que tout le monde peut y participer sans s'en rendre compte. Car les botnets sont installés dans les ordinateurs via des malwares, ou logiciels malveillants, des virus que l'on "attrape" en surfant sur internet si la machine n'est pas ou mal protégée, et qui se propagent d'une machine à l'autre. Au moment choisi, les botnets s'acharnent en même temps sur une adresse IP identifiée.

Généralement, l'offensive est rapide. Elle s'étale sur quelques heures "à peine", comme l'ont expérimenté l'an dernier les sites belges Le Soir et Sud info (trois heures) ou encore sept sites de grands journaux suédois le 19 mars dernier (une heure). En revanche, les attaques subies par La Tribune se sont étalées sur trois jours, sur des longues plages de douze heures à chaque fois. Cette durée et cette intensité -rares- révèlent que notre média a fait l'objet d'attaques ciblées, commanditées par quelqu'un (ou quelques-uns). Mais "on ignore toujours qui en est à l'origine et pourquoi, il n'y a pas eu de revendication", précise Thomas Loignon, le directeur Nouveaux médias du journal.

Se venger d'un article ou de la ligne éditoriale

Qu'a donc fait La Tribune pour subir tant d'acharnement ? "Il peut arriver qu'une attaque soit menée sans raison particulière, sans aucune logique, explique un fin connaisseur du milieu du hacking. Mais le plus souvent, les hackers veulent marquer les esprits en faisant payer aux médias des prises de position ou des articles qui leur ont déplus », ajoute-t-il.

"Les médias sont des cibles privilégiées, car les hackeurs cherchent un écho", poursuit l'entreprise de sécurité WatchGuard dans ses prédictions 2016. Ainsi, plus l'objectif des cybercriminels est politique, plus l'attaque est sophistiquée et spectaculaire. Après les attentats de Charlie Hebdo par exemple, plus d'un millier de sites français (médias, associations...) avaient été victimes d'attaques revendiquées par des groupes islamistes ou anti-Charlie.

Six mois plus tôt, en juillet 2014, le site Rue89 subissait également la vengeance d'un hackeur dénommé Grégory Chelli. Celui qui se présentait comme un "militant sioniste" voulait punir la sensibilité pro-palestinienne du site et dénonçait un article "mensonger" qui lui avait été consacré quelques jours auparavant. Il avait lui aussi opté pour des attaques de type déni de service.

La négligence des journalistes, le maillon faible des médias

Pour éviter ce genre d'attaques informatiques, il faut que l'hébergeur du média concerné propose une solution anti-DDoS. Mais celles-ci sont chères et lourdes à installer, ce qui pénalise les "petits" médias, qui n'ont pas les moyens de s'équiper de telles solutions anti-hacking. Depuis février dernier, Google propose également à tous les médias du monde qui le souhaitent de rejoindre gratuitement son "project Shield", ou "bouclier". Le géant californien, qui fournit une part importante du trafic des médias via son moteur de recherche, a développé une solution capable d'intercepter les connexions néfastes avant qu'elles n'atteignent le serveur.

Mais certaines attaques, souvent les plus graves, relèvent avant tout d'erreurs humaines, imputables à la négligence et au manque de culture de sécurité informatique des journalistes. Cette faille est exploitée par la technique dit du "hameçonnage", ou "phishing", qui a fait ses preuves. Il s'agit tout simplement de tromper un journaliste pour l'inciter à révéler ses identifiants, en se faisant passer pour une personne de confiance. Le New York Post, le Washington Post ou encore Le Monde y ont été confrontés.

L'objectif pour les hackers ? Paralyser le site, bien sûr, mais aussi en profiter pour prendre le contrôle des réseaux sociaux pour publier des messages de propagande ou des fausses informations. L'Armée électronique syrienne, un groupe de hackers pro-Assad offusqué par les "mensonges" des médias occidentaux, s'est illustré à de nombreuses reprises depuis 2012 dans l'art du "hameçonnage". Son principal fait d'arme est d'avoir pris, en 2013, le contrôle du fil Twitter de l'agence Associated Press, pour y annoncer que le président Obama avait été blessé dans l'explosion de deux bombes à la Maison-Blanche. Ce qui avait provoqué un vent de panique à la Bourse de New York.

Quand les médias sont victimes d'attaques qui les dépassent

L'exemple le plus marquant d'un piratage massif reste celui, en mars 2015, des onze chaînes du groupe TV5 Monde, qui émettent dans plus de 200 pays. Pendant plusieurs heures, ce fut l'écran noir total suite à la neutralisation par des hackers de l'infrastructure informatique, suivie par la disparition de l'ensemble des messageries internes et par la publication sur les comptes Twitter et Facebook de messages de soutien à l'Etat islamique.

L'attaque, inédite, a été qualifiée "d'une puissance inouïe" par la direction du groupe, créant un traumatisme encore bien vivace chez les journalistes, et la poussant à renforcer sa sécurité informatique. L'enquête préliminaire qui a suivi a dénoncé la négligence du personnel, qui laissait traîner des mots-de-passe sur des post-its à la vue de tous... Mais elle a aussi montré que les médias peuvent être les cibles d'attaques dont les enjeux les dépassent. En effet, la piste de cybercriminels russophones a été reconnue comme la plus plausible. Déjà identifiés par plusieurs entreprises de sécurité, ce groupe de hackers était réputé pour collecter des informations sur des questions de défense et de géopolitique.

Ce piratage massif fait écho à celui vécu par le New York Times en janvier 2013. Le célèbre journal s'était rendu compte que des pirates surveillaient son réseau informatique depuis quatre mois, pour récupérer des mots de passe, des courriels... D'après sa propre enquête, les responsables seraient des hackers chinois, à l'affût d'informations suite à la publication d'une enquête sur le patrimoine du Premier ministre d'alors, Wen Jiabao. La Chine a catégoriquement nié toute implication.

Sylvain Rolland

Sujets les + lus

|

Sujets les + commentés

Commentaires 2
à écrit le 16/05/2017 à 18:34
Signaler
Ennemi N° 1 Windows ?

à écrit le 08/06/2016 à 10:49
Signaler
C'est de la censure différée, faute de pouvoir l'exercer localement (Gvt restreignant les libertés dans le pays). Ne rien revendiquer empêche de savoir comment "mieux policer" (humour) certains articles. Ça devait être gravissime pour développer une...

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.