Cibles, modalités, virulence: la France aux prises avec une campagne de cyberattaques inhabituelle

En matière de cybersécurité, il est quasi impossible de déterminer les auteurs d'une attaque avec certitude, mettent en garde les différents spécialistes. (Photo, AFP)
En matière de cybersécurité, il est quasi impossible de déterminer les auteurs d'une attaque avec certitude, mettent en garde les différents spécialistes. (Photo, AFP)
Short Url
Publié le Samedi 24 juillet 2021

Cibles, modalités, virulence: la France aux prises avec une campagne de cyberattaques inhabituelle

  • Cette campagne de cyberattaques compromet les routeurs français de particuliers, ces échangeurs du trafic réseau et internet, pour ensuite viser une autre cible à partir du réseau français
  • Une fois les vulnérabilités informatiques déterminées, les cyberattaquants sont en capacité de prendre le contrôle des routeurs et ainsi de masquer leurs traces, d'usurper l'identité de sites internet, voire de paralyser le trafic en neutralisant le route

PARIS : La campagne de cyberattaques furtives qui vise depuis le début de l'année de nombreuses entités françaises, révélée cette semaine par le cybergendarme français, a un format inhabituel car elle cible de façon indifférente de très nombreux serveurs, expliquent des experts à l'AFP.

Cette campagne "toujours en cours" est "particulièrement virulente", a mis en avant le directeur général de l’Agence nationale de la sécurité des systèmes d’informations (Anssi), Guillaume Poupard, qui n'a toutefois pas précisé les cibles précises des attaques.

De quel type d'attaques s'agit-il?

Cette campagne de cyberattaques compromet les routeurs français de particuliers, ces échangeurs du trafic réseau et internet, pour ensuite viser une autre cible à partir du réseau français.

Une fois les vulnérabilités informatiques déterminées, les cyberattaquants sont en capacité de prendre le contrôle des routeurs et ainsi de masquer leurs traces, d'usurper l'identité de sites internet, voire de paralyser le trafic en neutralisant le routeur.

"Quand on est capable de contrôler un routeur, on est capable de voir tout ce qui passe comme information si elle n'est pas chiffrée, mais on est surtout capable de rediriger le trafic partout, sans que cela soit visible", indique Jérôme Saiz, expert cybersécurité et gestion de crise pour OPFOR Intelligence.

Habituellement, les opérations d'espionnage sont ciblées: les hackers visent "une entreprise, un service d'une entreprise voire une information dans un service d'une entreprise", explique Gérôme Billois, expert en cybersécurité au cabinet de conseil Wavestone. Mais ces attaques en cours semblent avoir une portée beaucoup plus large pour identifier des failles de sécurité, s'accordent à dire les experts.

Cette méthode de piratage est apparue en 2018, indique M. Billois. "Ce qui est nouveau dans cette affaire, c'est le fait de partiellement utiliser la France comme point de rebond pour attaquer la France", relève-t-il.

Qui en sont les auteurs?

En matière de cybersécurité, il est quasi impossible de déterminer les auteurs d'une attaque avec certitude, mettent en garde les différents spécialistes. "Il n'y a que des faisceaux, des indices concordants", explique Jérôme Saiz.

En observant les cyberattaques sur le long terme, il est possible de repérer des modes opératoires en déterminant des serveurs ou des types d'ordinateurs utilisés par exemple. Ces détails constituent la signature numérique d'un attaquant. Dans le jargon de la cybersécurité, on parle de "Tactics, Techniques and Procedures", ou TTP. 

"Il n'y a rien de plus simple à copier que du numérique: il suffit de reproduire le mode opératoire d'un attaquant pour se faire passer pour lui", prévient toutefois Loïc Guézo, secrétaire général du Clusif, club de la sécurité du numérique en France.

Ce type de piratage est appelé APT, pour "Advanced Persistent Threat", une menace persistante avancée; et un APT ne désigne donc pas un groupe de hackers mais un certain modus operandi de cyberattaquants.

Pour qualifier l'attaque en cours depuis le début de l'année en France, l'Anssi évoque ainsi "l'APT31", une campagne d'attaque "conduite par le mode opératoire APT31", qui est régulièrement associé aux intérêts du gouvernement chinois.

"Ce type de numérotation des attaquants (avait) démarré en 2013 avec l'APT1, des entités qui travaillent pour le compte du MSS", le ministère de la Sécurité de l’État chinois, indique M. Guézo.

Pourquoi la Chine est-elle pointée du doigt?

Bien que dans son communiqué, l'Anssi, gendarme français de la cybersécurité, ne désigne pas explicitement la Chine comme l'auteur des attaques, le simple fait d'évoquer le mode opératoire APT31 est très inhabituel pour une instance technique comme l'Anssi, dans un pays beaucoup moins coutumier du "name and shame" que les États-Unis. L'attribution d'une attaque à un pays relève plutôt de la sphère politico-diplomatique.

"Là, on sent une détente dans ce processus d'attribution: on commence à faire le lien et identifier des modes opératoires qui pointent assez mécaniquement des pays", note Gérôme Billois.

Le Conseil de l'Union européenne mentionne par exemple sans équivoque que des actes de cybermalveillance liés aux groupes de pirates APT31 ont été "menés depuis le territoire de la Chine à des fins de vol de propriété intellectuelle et d'espionnage" dans un communiqué de presse du 19 juillet.

Mais déclarer publiquement que l’attaquant a été repéré est à "double tranchant", poursuit l'expert en cybersécurité : "soit il abandonne tout et disparait pour mieux réapparaitre une fois la tension retombée, soit ils cassent et détruisent pour masquer leurs traces".


Un influenceur franco-iranien jugé en juillet pour apologie du terrorisme

La justice vise des propos tenus par l'influenceur sur l'attaque sanglante du Hamas le 7 octobre 2023, qui a entraîné la mort de 1.218 personnes du côté israélien, en majorité des civils, selon un décompte de l'AFP basé sur des chiffres officiels. (AFP)
La justice vise des propos tenus par l'influenceur sur l'attaque sanglante du Hamas le 7 octobre 2023, qui a entraîné la mort de 1.218 personnes du côté israélien, en majorité des civils, selon un décompte de l'AFP basé sur des chiffres officiels. (AFP)
Short Url
  • La justice vise des propos tenus par l'influenceur sur l'attaque sanglante du Hamas le 7 octobre 2023, qui a entraîné la mort de 1.218 personnes du côté israélien, en majorité des civils, selon un décompte de l'AFP basé sur des chiffres officiels
  • Se présentant comme journaliste indépendant sur TikTok, où il est suivi par 330.000 abonnés, le mis en cause, qui s'est fait connaître avec une association d'aide aux plus démunis, y partage de nombreux contenus sur l'actualité du Moyen-Orient

BOBIGNY: Un influenceur franco-iranien sera jugé début juillet devant le tribunal de Bobigny (Seine-Saint-Denis) pour apologie du terrorisme, ont indiqué jeudi à l'AFP le parquet et ses avocats.

Shahin Hazamy, 29 ans, s'est vu "délivrer une convocation à une audience du 3 juillet pour apologie du terrorisme par un moyen de communication en ligne en public", a déclaré le parquet, confirmant son arrestation mardi révélée par le magazine Le Point.

La justice vise des propos tenus par l'influenceur sur l'attaque sanglante du Hamas le 7 octobre 2023, qui a entraîné la mort de 1.218 personnes du côté israélien, en majorité des civils, selon un décompte de l'AFP basé sur des chiffres officiels.

Se présentant comme journaliste indépendant sur TikTok, où il est suivi par 330.000 abonnés, le mis en cause, qui s'est fait connaître avec une association d'aide aux plus démunis, y partage de nombreux contenus sur l'actualité du Moyen-Orient.

"En s'en prenant à un journaliste la justice envoie un très mauvais signal à la liberté de la presse. Notre client Shahin Hazamy a subi un traitement inadmissible, avec une perquisition devant ses enfants en bas âge alors que les faits reprochés ont bientôt deux ans", ont déclaré à l'AFP ses avocats Nabil Boudi et Antoine Pastor.

Ces poursuites font suite à l'arrestation fin février d'une autre Iranienne en France, Mahdieh Esfandiari, actuellement écrouée pour apologie du terrorisme dans le cadre d'une information judiciaire confiée au Pôle national de lutte contre la haine en ligne (PNLH).

Annonçant cette nouvelle arrestation en France d'un de ses ressortissants, la télévision d'Etat iranienne a fustigé mercredi une "violation flagrante de la liberté d'expression dans un pays qui prétend être une démocratie".


Macron appelle à intégrer Mayotte dans la Commission de l'océan Indien

Le président français Emmanuel Macron a demandé jeudi "l'intégration" du département français de Mayotte à la Commission de l'océan Indien (COI), en plaidant pour une "approche pragmatique" face à l'hostilité des Comores. (AFP)
Le président français Emmanuel Macron a demandé jeudi "l'intégration" du département français de Mayotte à la Commission de l'océan Indien (COI), en plaidant pour une "approche pragmatique" face à l'hostilité des Comores. (AFP)
Short Url
  • "Nous ne pouvons pas laisser un territoire et ceux qui y vivent à l'écart d'un certain nombre de nos programmes", a dit M. Macron, en citant expressément Mayotte, au cinquième sommet de la COI dans la capitale malgache Antananarivo
  • Mais à la différence de La Réunion, autre département français dans cette partie du monde, Mayotte reste à la porte de l'organisation intergouvernementale

ANTANANARIVO: Le président français Emmanuel Macron a demandé jeudi "l'intégration" du département français de Mayotte à la Commission de l'océan Indien (COI), en plaidant pour une "approche pragmatique" face à l'hostilité des Comores.

"Nous ne pouvons pas laisser un territoire et ceux qui y vivent à l'écart d'un certain nombre de nos programmes", a dit M. Macron, en citant expressément Mayotte, au cinquième sommet de la COI dans la capitale malgache Antananarivo.

La COI réunit les États insulaires (Madagascar, Comores, Maurice, Seychelles et La Réunion pour la France) dans le sud-ouest de l'océan Indien.

Mais à la différence de La Réunion, autre département français dans cette partie du monde, Mayotte reste à la porte de l'organisation intergouvernementale.

"L'implication de nos populations, l'intégration de toutes nos îles dans les efforts de la COI pour la prospérité et la sécurité, dans la pluralité de ses dimensions maritime, alimentaire et pour la santé sont dans l'intérêt de nos peuples et de la région", a insisté M. Macron.

Il a suggéré toutefois d'"avancer de manière pragmatique vers cet objectif", sans réclamer l'intégration pleine et entière immédiate de l'archipel.

"La France est le premier bailleur de la COI", a-t-il aussi souligné, en précisant que l'Agence française du développement (AFD) gérait un "portefeuille de 125 millions d'euros de projets" de l'organisation.

"La COI est un modèle de coopération (...) Aucune de nos îles ne peut relever seule le défi", a-t-il ajouté, évoquant un "océan Indien profondément bousculé" par les défis planétaires actuels.

"Ensemble, en conjuguant nos atouts (..) nous pouvons tracer une voie nouvelle singulière", a-t-il assuré.

L'Union des Comores s'oppose à l'intégration de Mayotte dans la COI car elle conteste la souveraineté de la France sur Mayotte, restée française lorsque l'archipel des Comores est devenu indépendant en 1975.

Mayotte, tout comme les îles Éparses, autre territoire français hérité de la colonisation et revendiqué par Madagascar, sont au cœur du canal du Mozambique, voie majeure de transport maritime qui renferme d'importantes réserves en hydrocarbures.


Narcobanditisme à Marseille: le ministre de l'Intérieur annonce 21 arrestations dans «le haut du spectre»

Le ministre de l'Intérieur Bruno Retailleau (C) s'entretient avec la présidente de la métropole Aix-Marseille-Provence Martine Vassal et le président du Conseil régional Provence-Alpes-Côte d'Azur Renaud Muselier lors d'une visite d'inspection des mesures de sécurité publique à Marseille. (AFP)
Le ministre de l'Intérieur Bruno Retailleau (C) s'entretient avec la présidente de la métropole Aix-Marseille-Provence Martine Vassal et le président du Conseil régional Provence-Alpes-Côte d'Azur Renaud Muselier lors d'une visite d'inspection des mesures de sécurité publique à Marseille. (AFP)
Short Url
  • Les personnes arrêtées sont de "hauts responsables qui tiennent un réseau à la Castellane", "pas du menu fretin", a-t-il insisté: ce "ne sont pas des petites mains, des charbonneurs, mais des responsables de haut niveau du narcobantitisme"
  • Toutes ces interpellations jeudi matin n'ont cependant pas eu lieu à Marseille, pour ce réseau qui présente des "ramifications nationales mais avec des racines marseillaises", a ajouté le ministre sans plus de détail

MARSEILLE: Le ministre de l'Intérieur Bruno Retailleau a annoncé jeudi un coup de filet avec 21 interpellations de trafiquants appartenant au "haut du spectre" du narcobanditisme marseillais, lors d'un déplacement à Marseille.

Une opération "a eu lieu très tôt ce matin avec 21 interpellations liées au narcobanditisme, dans le haut de spectre, qui doit nous permettre de démanteler un réseau important sur Marseille", qui tenait la cité de la Castellane, dans les quartiers populaires du nord de la ville, a déclaré Bruno Retailleau lors d'une conférence de presse.

Les personnes arrêtées sont de "hauts responsables qui tiennent un réseau à la Castellane", "pas du menu fretin", a-t-il insisté: ce "ne sont pas des petites mains, des charbonneurs, mais des responsables de haut niveau du narcobantitisme", a insisté M. Retailleau.

Selon une source policière, cette enquête portait notamment sur du blanchiment.

Toutes ces interpellations jeudi matin n'ont cependant pas eu lieu à Marseille, pour ce réseau qui présente des "ramifications nationales mais avec des racines marseillaises", a ajouté le ministre sans plus de détail.

Au total, 170 enquêteurs ont été mobilisés pour ce coup de filet qui est, selon le ministre, "un coup dur", "sinon mortel", porté à ce réseau.

La cité de la Castellane, vaste ensemble d'immeubles blancs en bordure d'autoroute, est connue pour être un haut lieu marseillais de ces trafics de stupéfiants qui empoisonnent le quotidien des habitants. En mars 2024, Emmanuel Macron s'y était rendu pour lancer des opérations "place nette XXL" contre les trafiquants et depuis la présence policière y était quasi constante, mais si le trafic était moins visible il se poursuivait notamment via les livraisons.

Ce coup de filet n'a a priori "pas de lien" avec les récents faits visant des prisons en France, a également précisé le ministre.

Le ministre était à Marseille pour dresser un premier bilan des plans départementaux de restauration de la sécurité du quotidien, lancés en février, avec par exemple mercredi 1.000 fonctionnaires mobilisés dans les Bouches-du-Rhône qui ont procédé à 10.000 contrôles d'identité.

Au total, 106 personnes ont été interpellées, dont une trentaine d'étrangers en situation irrégulière, dans le cadre d'une opération "massive" et "visible".