ARAB NEWS JP. 
ARAB NEWS PK. 
PARIS : La campagne de cyberattaques furtives qui vise depuis le début de l'année de nombreuses entités françaises, révélée cette semaine par le cybergendarme français, a un format inhabituel car elle cible de façon indifférente de très nombreux serveurs, expliquent des experts à l'AFP.
Cette campagne "toujours en cours" est "particulièrement virulente", a mis en avant le directeur général de l’Agence nationale de la sécurité des systèmes d’informations (Anssi), Guillaume Poupard, qui n'a toutefois pas précisé les cibles précises des attaques.
De quel type d'attaques s'agit-il?
Cette campagne de cyberattaques compromet les routeurs français de particuliers, ces échangeurs du trafic réseau et internet, pour ensuite viser une autre cible à partir du réseau français.
Une fois les vulnérabilités informatiques déterminées, les cyberattaquants sont en capacité de prendre le contrôle des routeurs et ainsi de masquer leurs traces, d'usurper l'identité de sites internet, voire de paralyser le trafic en neutralisant le routeur.
"Quand on est capable de contrôler un routeur, on est capable de voir tout ce qui passe comme information si elle n'est pas chiffrée, mais on est surtout capable de rediriger le trafic partout, sans que cela soit visible", indique Jérôme Saiz, expert cybersécurité et gestion de crise pour OPFOR Intelligence.
Habituellement, les opérations d'espionnage sont ciblées: les hackers visent "une entreprise, un service d'une entreprise voire une information dans un service d'une entreprise", explique Gérôme Billois, expert en cybersécurité au cabinet de conseil Wavestone. Mais ces attaques en cours semblent avoir une portée beaucoup plus large pour identifier des failles de sécurité, s'accordent à dire les experts.
Cette méthode de piratage est apparue en 2018, indique M. Billois. "Ce qui est nouveau dans cette affaire, c'est le fait de partiellement utiliser la France comme point de rebond pour attaquer la France", relève-t-il.
Qui en sont les auteurs?
En matière de cybersécurité, il est quasi impossible de déterminer les auteurs d'une attaque avec certitude, mettent en garde les différents spécialistes. "Il n'y a que des faisceaux, des indices concordants", explique Jérôme Saiz.
En observant les cyberattaques sur le long terme, il est possible de repérer des modes opératoires en déterminant des serveurs ou des types d'ordinateurs utilisés par exemple. Ces détails constituent la signature numérique d'un attaquant. Dans le jargon de la cybersécurité, on parle de "Tactics, Techniques and Procedures", ou TTP.
"Il n'y a rien de plus simple à copier que du numérique: il suffit de reproduire le mode opératoire d'un attaquant pour se faire passer pour lui", prévient toutefois Loïc Guézo, secrétaire général du Clusif, club de la sécurité du numérique en France.
Ce type de piratage est appelé APT, pour "Advanced Persistent Threat", une menace persistante avancée; et un APT ne désigne donc pas un groupe de hackers mais un certain modus operandi de cyberattaquants.
Pour qualifier l'attaque en cours depuis le début de l'année en France, l'Anssi évoque ainsi "l'APT31", une campagne d'attaque "conduite par le mode opératoire APT31", qui est régulièrement associé aux intérêts du gouvernement chinois.
"Ce type de numérotation des attaquants (avait) démarré en 2013 avec l'APT1, des entités qui travaillent pour le compte du MSS", le ministère de la Sécurité de l’État chinois, indique M. Guézo.
Pourquoi la Chine est-elle pointée du doigt?
Bien que dans son communiqué, l'Anssi, gendarme français de la cybersécurité, ne désigne pas explicitement la Chine comme l'auteur des attaques, le simple fait d'évoquer le mode opératoire APT31 est très inhabituel pour une instance technique comme l'Anssi, dans un pays beaucoup moins coutumier du "name and shame" que les États-Unis. L'attribution d'une attaque à un pays relève plutôt de la sphère politico-diplomatique.
"Là, on sent une détente dans ce processus d'attribution: on commence à faire le lien et identifier des modes opératoires qui pointent assez mécaniquement des pays", note Gérôme Billois.
Le Conseil de l'Union européenne mentionne par exemple sans équivoque que des actes de cybermalveillance liés aux groupes de pirates APT31 ont été "menés depuis le territoire de la Chine à des fins de vol de propriété intellectuelle et d'espionnage" dans un communiqué de presse du 19 juillet.
Mais déclarer publiquement que l’attaquant a été repéré est à "double tranchant", poursuit l'expert en cybersécurité : "soit il abandonne tout et disparait pour mieux réapparaitre une fois la tension retombée, soit ils cassent et détruisent pour masquer leurs traces".
