Tu veux nous parler aujourd’hui de la cyber attaque dont a été victime le New York Times. De quoi s’agit-il?

Il y en a au moins quatre attaques récentes toutes liées au même sujet : les enquêtes journalistiques de médias américains sur la corruption au sommet de l’appareil chinois.

  • Le New York Times et le Wall Street Journal et l’agence Bloomberg ont été victimes d’une attaque pour contrôler leur couverture qui s’est intensifiée ces derniers mois avec des enquêtes sur les fortunes de la famille du premier ministre et du nouveau secrétaire général ;
  • Le site de CNN a été rendu inaccessible pendant plusieurs minutes juste après qu’une journaliste a raconté l’attaque contre le New York Times.

L’attaque que nous connaissons le mieux est celle dont le NYT a été victime car le journal y a consacré un très long article détaillant ce qui s’est passé et comment il a réagi.

  • Elle a commencé au moment de la préparation de la publication de l’article sur le nouveau secrétaire général qui devrait bientôt devenir président.
  • Elle s’est servie de serveurs d’universités américaines préalablement infectés.
  • Elle a créé des programmes spéciaux pour suivre de près les échanges de mails des deux journalistes les plus impliqués dans l’enquête.
  • Elle aurait pu s’attaquer à toute l’infrastructure informatique du NYT mais n’en a rien fait.
  • Il semble en effet que ce qui les intéresse c’est de contrôler l’image de la Chine et les gens qui diffusent des informations qui ne plaisent pas au gouvernement.
  • Toutes les pratiques détectées correspondent à des pratiques de hackers chinois liés au gouvernement et connus.

Comment se fait-il qu’une institution comme le NYT n’ait pas vu venir l’attaque ?

Le New York Times a dit qu’ils utilisaient le système anti-virus de Symantec mais que, sur 45 attaques différentes, la technologie en question n’avait pu en détecter qu’une seule.

En fait ils se sont méfiés parce que le gouvernement chinois avait dit que leur article « aurait des conséquences ». C’est alors qu’ils ont mis La compagnie ATT et le FBI au courant et qu’ils ont détecté des actions suspectes dans leur système.

La question qui nous concerne tous devient donc : comment se fait-il que Symantec n’ait rien vu venir? La réponse est à la fois simple et inquiétante.

  • Les programmes anti-virus scannent les contenus qui passent par un ordinateur ou un serveur pour y trouver des lignes de code correspondant à ce qu’on a déjà trouvé dans des logiciels agressifs qu’on appelle « malware » ou software malveillant.
  • Mais il y a une fenêtre dangereuse, celle qui sépare le moment ou les hackers détectent une faiblesse dans un navigateur ou un programme et celui où une protection est trouvée et installée. Le fait de tirer parti de telles faiblesses est ce qu’on appelle un « zero day exploit » un exploit du jour zéro. Un joli nom.
  • Ce genre d’exploit est, par définition, indétectable par les programmes qui détectent ce qui est déjà connu.

Que pouvons nous apprendre de ce genre d’attaques ?

J’ai lu avec intérêt un article du journal britannique le Guardian qui dit que nous devons apprendre à distinguer trois types de hackers. Il précise d’abord que le mot n’est plus vraiment utilisé par les gens qui s’amusent à trouver les faiblesses des systèmes informatiques. Il s’applique maintenant de plus en plus à ceux qui s’infiltrent sans l’autorisation des propriétaires.

L’article distingue trois couches : les amateurs, les commerciaux et les professionnels liés aux gouvernements.

  • L’exemple qu’il donne dans la catégorie « amateurs » est Anonymous. Ils sont les plus connus mais pas nécessairement les plus sophistiqués. Charles Arthur, l’auteur de l’article, estime qu’ils sont moins compétents qu’ils ne croient. Et j’ajoute qu’ils ont un côté Robin des bois qui peut plaire.
  • Le deuxième groupe est composé de ceux qui attaquent les systèmes informatiques pour en tirer des informations – genre numéro de cartes de crédit et mots de passe – qu’ils vendent. C’est une source considérable de revenus.
  • Le problème le plus sérieux vient des hackers les plus compétents qui travaillent souvent pour des gouvernements, voir pour leurs forces armées ou leurs services d’intelligence comme la National Security Agency des Etats-Unis, le MI6 britannique ou le Mossad israélien, sans oublier les services français, iraniens, allemands et autres. C’est à eux qu’on doit les attaques les plus destructives comme Stuxnet contre l’Iran ou Red October contre les sites d’information de 39 pays dont nous avons parlé récemment.

Je voudrais ajouter, pour terminer, que j’ai été fasciné en faisant ces recherches de découvrir qu’il y a un commerce des « exploits de jour zéro ». Certaines entreprises sont spécialisées dans la détection de telles faiblesses et les revendent… souvent au plus offrant… entre 15 mille et 250 mille dollars.

Une des plus connues est française et s’appelle Vupen.com. Ils se sont fait connaître en gagnant un concours organisé par Google pour trouver des faiblesses dans Chrome. Mais ils ont refusé le prix de 60 mille dollars en déclarant qu’ils préfèrent réserver l’information pour leurs clients.

De fait, selon le site Slate, ils vendent leurs informations à plus de 60 pays qui sont membres ou partenaires de l’OTAN. Mais certains activistes américains les accusent d’être trop laxistes avec ce que l’un d’entre eux appelle « les balles de la Cyberguerre ».

Il s’agit en fait d’un commerce trop lucratif pour être facile à réglementer.

Billet publié sur l’Atelier des médias, émission de RFI

J’enquête, je suis et j’analyse les technologies de l’information et de la communication depuis la préhistoire (1994). Piqué par la curiosité et l’envie de comprendre ce que je sentais important,...