Le 25 octobre, l'organisme Cybermalveillance a lancé une alerte à propos d'une campagne de cyberattaque. Les pirates défigurent des sites français de particuliers et de petites entreprises avec des messages de menace en lien avec les caricatures du prophète Mahomet.

« Vague de cyberattaques en défiguration en cours ciblant de nombreux sites Internet français ». Voici l’alerte publiée par dispositif gouvernemental Cybermalveillance, dimanche 25 octobre. La défiguration, plus connue sous le nom anglais « defacing », est le résultat d’une cyberattaque qui permet à un hacker d’afficher une page sur le site de sa victime. En conséquence, les visiteurs du site ne peuvent plus accéder à son contenu.

Généralement, le hacker publie un message simple dans lequel il revendique l’attaque et explique sa motivation. Sur la dizaine de sites compromis que Cyberguerre a consultés, les pirates affichent différents messages de menace, parfois accompagnés de musiques de prière en arabe, de vidéos sur la liberté d’expression, ou de caricatures d’Emmanuel et Brigitte Macron.

Des représailles pour les caricatures du prophète Mohammed

Dans le message le plus récurrent, les pirates s’identifient comme part des « hackers musulmans contre la France pour insulte du prophète Mohammed. » Certains signent «  nous sommes Royal Battler BD, des hackers bangladeshis », d’autres donnent leur pseudonyme de hacker comme « achraf Dz » (Dz signifiant dans ce cas « Algérien »).

Ces opérations font écho aux différents discours qui ont succédé à l’attentat de Conflans Saint-Honorine, lors duquel un terroriste a assassiné un enseignant qui avait montré deux caricatures du prophète Mahomet, publiées dans Charlie Hebdo. Le tragique assassinat terroriste a fait remonter les discussions sur la liberté d’expression et la représentation du prophète, ce qui a mené certains habitants de pays à majorité musulmane à appeler sur les réseaux sociaux au boycott de produits français.

Voici le genre de message affiché par les hackers, ici sur le site vitrine d’un chalet. // Source : Capture d’écran Cyberguerre

En 2015, après les attentats contre Charlie Hebdo et Hyper Cacher, des milliers de sites français, dont ceux de collectivités territoriales, avaient déjà été défigurés. La campagne avait atteint une ampleur suffisante pour que l’Anssi, la plus haute institution de cybersécurité française, doivent rappeler certaines mesures de prévention. Cette fois, l’opération se limite — pour l’instant — à des sites de particuliers ou de petites entreprises, vraisemblablement très peu visités et peu entretenus.

Une attaque facile sur des sites non critiques

« Bien souvent, les sites défigurés sont déjà ‘troués’ et ont pu être compromis en quelques clics », avance le hacker éthique Adrien Jeanneau, également connu sous le pseudo Hisxo. Ce n’est pas parce que les pirates parviennent à compromettre un site qu’ils disposent de connaissances ou de matériel avancés, loin de là.

Comme le rappelle le chercheur de bug, trouver des sites piratables s’avère parfois très simple. Ici, il suffit que les hackers aient fait des recherches avec les bons mots clés sur Google ou d’autres moteurs comme Shodan  — une pratique appelée « dork » — pour obtenir une liste de sites français vulnérables à un certain type d’attaque.

Vrai risque sur des sites peu sensibles

Ensuite, ils n’ont plus qu’à les exploiter avec des méthodes déjà connues et relativement faciles à mettre en place, afin de compromettre le serveur de la victime. Comme le souligne Cybermalveillance dans son article dédié à la défiguration, cette attaque bien visible peut causer d’importants dégâts : « En étant visible publiquement, la défiguration démontre que l’attaquant a pu prendre le contrôle du serveur, et donc, accéder potentiellement à des données sensibles (personnelles, bancaires, commerciales…) : ce qui porte directement atteinte à l’image et à la crédibilité du propriétaire du site auprès de ses utilisateurs, clients, usagers, partenaires, actionnaires…  »

« F*ck you France », le message d’un pirate sur le site d’un particulier. // Source : Capture d’écran Numerama

Les sites que nous avons pu observer servaient, pour la plupart, de simple vitrine à leur propriétaire, et il est probable que les serveurs ne contenaient pas d’autres informations. Mais il existe un risque réel que des données aient été dérobées, à évaluer pour chaque site au cas par cas.

Lorsqu’il s’agit de sites sensibles, les autorités peuvent réagir très rapidement. Par exemple, à peine deux heures après la publication de notre article sur la faille du site d’un établissement scolaire privé, nous avons été contacté par le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques.

Défiguration n’est pas synonyme de serveur compromis

Si Adrien Jeanneau a pu confirmer à Cyberguerre que plusieurs sites ont été compromis, il rappelle qu’un site peut être défiguré sans que le serveur soit entièrement atteint : «   Bien souvent, un site est défiguré avec une attaque connue sous le nom de ‘stored XSS’ : c’est un code Javascript malveillant que l’on stocke dans un commentaire ou plug-in WordPress qui n’a pas été mis à jour », développe-t-il. Le chercheur de vulnérabilités précise qu’il s’agit d’une « vulnérabilité relativement facile » et que ce genre d’approche est surtout adoptée par les « script kiddies » — un surnom donné aux hackers incompétents et donc relativement inoffensifs. Concrètement, si un site n’est pas à jour et mal protégé, il suffit de copier-coller dans l’espace commentaire des lignes de codes trouvées sur des forums et le tour est joué, vous pouvez afficher votre propre page.

Dans ce cas de figure, le pirate n’accède pas au serveur du site, et les données de l’entreprise ou de la personne touchée ne sont pas mises en danger. Pour contrer l’attaque, il suffit alors de supprimer le code malveillant. «  Il faut tout de même faire attention, une « stored XSS » peut permettre de mettre en place une page de phishing, ou encore de voler des cookies [les traqueurs de votre navigateur, qui peuvent contenir certaines informations, ndlr]. Par sécurité, mieux vaut changer ses mots de passe  », conseille le hacker éthique.

Si votre site a été défiguré, référez-vous à la procédure de Cybermalveillance. L’organisme détaille étape par étape les mesures à prendre pour arrêter la cyberattaque et porter plainte. Vous n’aurez pas besoin de compétences informatiques pour suivre ce protocole, qui vous orientera vers les ressources nécessaires.

Crédit photo de la une : Louise Audry pour Numerama

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux