Le 22 février 2019, l’Agence France Presse se fendait d’un communiqué de presse largement relayé par les médias généralistes, lesquels évoquent alors une cyberattaque mondiale de grande ampleur. Un discours alarmiste à tempérer et à mettre en perspective avec l’expertise des ingénieurs en cybersécurité.

« Il existe un risque permanent et important pour les éléments clés de l’infrastructure du système de noms de domaine ». Voilà l’une des citations apparues un peu partout dans les médias français et du monde entier suite à la publication d’un communiqué officiel de l’ICANN (Internet Corporation for Assigned Names and Numbers), société dédiée à l’attribution des noms de domaine et des numéros sur Internet.

Dans la foulée, l’Agence France Presse (AFP) signait à son tour un CP titré « Un gendarme internet prévient d’une attaque de grande ampleur », largement repris par les médias généralistes. L’ICANN, qui délivre les noms de domaine en « .com », « .gov », « .fr », à titre d’exemple, a donc fait l’objet d’une cyberattaque par une ou plusieurs entités. Replaçons cependant cet événement dans un contexte plus global.

Un procédé similaire à d’autres attaques

Comme le fait remarquer NextImpact, l’ICANN s’appuie sur des rapports de KrebsOnSecurity et FireEye, lesquels mettaient en exergue des attaques aux méthodes similaires observées ces derniers mois. Stéphane Bortzmeyer, ingénieur réseaux et spécialiste de la sécurité informatique, précise judicieusement que cette attaque n’a pas « commencé le 22 ou le 23 février », s’agissant en fait d’un « problème déjà passé ».

L’intéressé s’attarde ensuite sur les tenants et les aboutissants de ce « DNSpionnage » aux cibles nombreuses : gouvernements, services de renseignements et de police, compagnies aériennes et industrie pétrolière, au Moyen-Orient ou en Europe. Son procédé consiste ainsi à « prendre le contrôle d’un certain nombre de noms de domaine, et à y associer d’autres informations techniques ». « Ainsi, les utilisateurs, croyant se connecter à tel ou tel service, allaient en fait sur un autre », détaille-t-il sur son blog.

«  Ce que les pirates ont réussi à faire est quelque chose de très rare », s’est de son côté exclamé le secrétaire d’État chargé du numérique, Mounir Mahjoubi, sur le plateau de la chaîne Cnews, en réaction à cette actualité brûlante et sensible. Et de poursuivre : « Ils ont piraté l’annuaire et chaque fois que vous mettez l’adresse (d’un site internet), au lieu d’aller sur la vraie machine, ils nous amenaient sur une autre machine qui leur appartient ».

Photo kalhh // Source : Pixabay

Conséquences : « Ce qui fait que vous avez l’impression d’être sur le site — il y a l’adresse du site — , sauf qu’en fait vous êtes sur la machine de ceux qui vous attaquent. Ils peuvent récupérer vos données, ils peuvent les utiliser pour se reconnecter, pour prendre de  l’argent », a-t-il déclaré. Un discours alarmiste à mettre en perspective avec les éclaircissements apportés par les experts du secteur.

Le même Stéphane Bortzmeyer susmentionné a été interrogé par les journalistes de France Info. Et le moins que l’on puisse dire, c’est que l’intéressé a cherché à tempérer le vent de panique observé : « L’ICANN, et les médias qui ont repris son communiqué, ont un discours sensationnaliste, dramatique, du genre des films hollywoodiens », débute-t-il.

« Cela ne justifie donc pas de paniquer, comme si une bombe allait exploser demain ! »

Et d’enchaîner : « Un gouvernement qui pirate les sites web d’un autre gouvernement, c’est l’activité permanente et normale sur internet, c’est un bruit de fond. L’attaque en question, qui vise le système des noms de domaine, est identifiée et pratiquée depuis des années », avant d’évoquer un « groupe bien organisé, assez compétent », qui vise ici des « organismes financiers, des médias ou des organismes gouvernementaux, en général au Moyen-Orient ».

Stéphane Bortzmeyer poursuit pour France Info : « Ce groupe a donc transformé une attaque traditionnelle en une campagne sérieuse, sur le long terme, visant de nombreux objectifs. Possiblement, ce groupe a détourné les gens pour récupérer des mots de passe à des fins d’espionnage. Ce qui n’est guère nouveau : les États se piratent entre eux depuis des années… Cela ne justifie donc pas de paniquer, comme si une bombe allait exploser demain ! », tient-il à rassurer.

Cybersécurité : un sujet complexe à traiter

Pour Le Monde Informatique, Michel Van den Berghe, directeur général d’Orange Cyberdefense a lui aussi cherché à calmer les esprits : «  Il ne faut pas oublier que même en cas d’attaque de grande ampleur, il existe beaucoup de backups et de process permettant de maintenir la structure globale », a-t-il déclaré. Cette alerte a en revanche permis à l’ICANN d’effectuer une petite piqûre de rappel quant à l’existence du « Domain Name System Security Extensions » (DNSSEC), un protocole de protection censé nous protéger contre ce type d’attaque, mais trop peu déployé dans le monde.

Plus globalement, cette cyberattaque qualifiée de grande ampleur reflète un phénomène précis : notre propension à traiter de manière trop « légère » les sujets liés à la cybersécurité, sans remettre en perspective par l’intermédiaire d’experts les informations communiquées, bien que certains médias s’y attellent. Cette attaque informatique est certes réelle, mais bien loin de mettre en danger tous les internautes du monde entier.

Partager sur les réseaux sociaux