Vent de panique sur l'Internet français. Ce lundi 25 février, le secrétaire d'Etat chargé du numérique, Mounir Mahjoubi, a confirmé qu'un piratage de grande ampleur avait été mené sur le Web (et serait toujours en cours). Il se fait l'écho de nombreux articles de presse qui, reprenant une dépêche de l'Agence France-Presse publiée dans la nuit du vendredi 22 au samedi 23 février, assuraient qu'une vague d'attaques "inédites" "à très grande échelle" sur l'Internet mondial. Ce piratage n'est pourtant pas nouveau, ni massif.

Le quiproquo est parti d'un communiqué publié ce vendredi 22 février par l'Icann, organisation américaine qui gère le système des noms de domaines en ligne ("Domain name System", ou DNS) reliant un ordinateur à un site Internet. L'agence n'alerte pas sur une attaque en cours mais évoque un"risque continu et important" des "éléments clés de l’infrastructure DNS (Domain Name System)". Le but du texte n'est donc pas d'informer sur un piratage ayant eu lieu ce week-end, mais d'inciter les professionnels à s'en protéger.

UNE TECHNIQUE EMPLOYÉE DEPUIS PLUS DE DEUX ANS

Peu après sa publication, l'AFP décide de faire une dépêche et, pour l'étayer, interroge l'un des patrons de l'Icann, David Conrad. Celui-ci évoque une campagne inédite "à très grande échelle", qui se serait intensifiée ces derniers temps. Au fil des reprises et des titres, cet aspect progressif disparaît des articles. Au point de laisser penser, après la déclaration de Mounir Mahjoubi, que l'Internet mondial serait en passe de s'écrouler sous les manipulations d'un hacker plus efficace qu'Eliott Anderson, le personnage joué par Rami Malek dans la série à succès Mr Robot. Communiqué qui a ensuite entraîné une panique générale, alors qu'un expert interrogé par l'AFP déclarait que ces piratages "pourraient faire cesser de fonctionner des pans d'Internet". Une déclaration qui serait une (très) légère exagération : "C'est faux, assure Paul Rascagnères, qui travaille au service de renseignement sur la menace de Cisco Talos. Internet ne va pas s'arrêter de fonctionner à cause de ces attaques."

En réalité, dans son communiqué, l'Icann décrit une technique observée dès 2017. Depuis près de deux ans, les entreprises spécialisées comme Cisco Talos, FireEye, et le gouvernement américain mettent en garde contre un nouveau type d'attaque ciblant les systèmes DNS d'organisations et d'Etats. "Nous avons publié un post de blog en novembre 2018 sur le sujet, se rappelle Paul Rascagnères. Depuis, une autre entreprise américaine a fait de même, suivi du gouvernement américain. Devant l'effet boule de neige, l'Icann a probablement voulu alerter du risque à son tour".

IMPOSSIBLE À DÉTECTER

Les experts de Cisco Talos expliquent ne pas avoir trouvé d'attaque"massive" mais au contraire un piratage "sur des entités spécifiques, avec un nombre de cibles limitées". Mounir Mahjoubi n'a donc pas tort quand il évoque la rareté des attaques en question : "Ils ont piraté l’annuaire et chaque fois que vous mettez l’adresse (d’un site Internet), au lieu d’aller sur la vraie machine, ils nous amenaient sur une autre machine qui leur appartient." Une vraie démonstration de force, qui, au-delà de la prouesse technique, peut avoir des conséquences très réelles : "Vous avez l’impression d’être sur le site (...) sauf qu’en fait vous êtes sur la machine de ceux qui vous attaquent, a poursuivi le secrétaire d'Etat. Ils peuvent récupérer vos données, ils peuvent les utiliser pour se reconnecter, pour prendre de l’argent."

Cette technique de piratage est surnommée le "DNSpionnage" : "C'est exactement comme si quelqu'un décidait de pirater votre communication. Vous envoyez votre message, quelqu'un le récupère, le lit et l'envoi à son destinataire original. Le tout en l'affaire de quelques secondes, sans que vous vous en aperceviez", note Julie Gommes, experte en cybersécurité. A la différence de l'hameçonnage (plus communément appelée phishing), où des pirates vous demandent d'ouvrir un mail ou un SMS pour pouvoir avoir accès à vos données, aucune action de l'utilisateur n'est ici requise : "Cette technique est complètement transparente, explique Paul Rascagnères. Il est très difficile de s'en rendre compte, ce qui permet au pirate à cheval sur le système d'observer les communications".

LES EMIRATS ARABES-UNIS ET LE LIBAN VISÉS

Une technique quasiment indétectable et donc difficile à arrêter. "L'utilisateur ne peut pas faire grand chose, explique Paul Rascagnères. Il revient à l'organisation qui possède la boîte mail ou le service en question de vérifier que le DNS n'ait pas été modifié sans qu'il ne s'en soit rendu compte. La seule solution, c'est être vigilant." Le département de la sécurité intérieure américaine a d'ailleurs publié en début d'année une liste de conseils à l'encontre de ses agences gouvernementales avec un mot d'ordre : la prudence. Les agences ont également été invitées à muscler leurs mots de passe pour tous les comptes de systèmes pouvant modifier leurs enregistrements DNS et à surveiller régulièrement leur activité. David Conrad, l'un des responsables de l'Icann, a ainsi déclaré qu'il n'y avait "pas d'outil unique" pour prévenir un piratage : "Nous devons améliorer la sécurité globale du DNS si nous voulons avoir un espoir d'empêcher ce genre d'attaques", a-t-il estimé.

Car personne n'est épargné. Les pirates cibleraient aussi bien des gouvernements que des services de renseignement, des compagnies aériennes ou l'industrie pétrolière, au Moyen-Orient comme en Europe. En novembre dernier, les experts de Cisco Talos ont ainsi repéré des attaques répétées à l'encontre du ministère des finances libanais, de plusieurs domaines publics appartenant aux Emirats-Arabes Unis, ainsi que du service mail de Middle East Airlines, une compagnie aérienne libanaise. Ces piratages, qui avaient tous pour but d'espionner les communications des organisations en question, serait l'oeuvre d'un seul acteur, que Cisco Talos se refuse à identifier : "Ce n'est pas notre rôle, mais d'après notre analyse, il est bien unique".

D'autres n'ont pas les même scrupules. La firme FireEye, par la voix de son expert Ben Read, a ainsi affirmé "qu'il y a des preuves que cela vient d'Iran ou est fait pour soutenir l'Iran". En janvier, l'entreprise estimait ainsi avoir des soupçons "modérés" sur les activités iraniennes, alors que le pays développe ces dernières années ses infrastructures informatiques. Les gouvernements russes, chinois et nords-coréens sont eux aussi suspectés. A l'heure actuelle, tous démentent être particulièrement actifs en matière de piratage.