Le groupe d’hacktivistes Anonymous Sudan, responsable de la récente cyberattaque contre des ministères français, est expert en manipulation, peur et impact médiatique. Que sait-on vraiment de ce collectif de pirates aux accents russes ?

Le collectif de hackers Anonymous Sudan a réussi son meilleur coup médiatique le lundi 11 mars 2024 : mettre en panne le réseau interministériel de l’État. Une cyberattaque bien plus dérangeante qu’inquiétante – les données ne sont pas dérobées, seul le système est perturbé. Elle était toutefois assez importante pour déclencher une cellule de crise, activée dès dimanche soir « pour déployer des contre-mesures et garantir la continuité des services informatiques » selon un communiqué transmis aux médias.

Les services de plusieurs ministères étaient bloqués, un message indiquait « incident de production sur les infrastructures du RIE » sur les ordinateurs de nombreux agents de la fonction publique.

Une grande partie du réseau est revenue à la normale le matin du 13 mars, mais dans les médias, l’information tourne encore et provoque l’effet anxiogène espéré par les hacktivistes. Bel exploit pour un groupe qui, il y a un encore un an, bloquait à peine pour quelques heures le site d’un aéroport dans le Grand Est (de la France).

À l’époque, nous les avions contactés pour avoir un peu plus d’informations sur leurs motivations. Anonymous Sudan disait avoir ciblé la France pour les caricatures de Mahomet par Charlie Hebdo en 2015. Ils ont donc mis huit ans à réagir. Quant à leur partenariat avec le principal groupe d’hacktivistes ultranationaliste russe, leur réponse était la suivante : « Je me fiche des soutiens envers l’Ukraine. En cas d’attaque par Killnet [ndlr : le principal collectif d’hacktivistes russes] j’attaquerai immédiatement avec eux pour les aider. » Ils ajoutent : « La Russie a aidé le Soudan par le passé, donc nous aidons l’équipe russe de Killnet. »

La revendication sur la chaîne Telegram d'Anonymous Sudan // Source : Numerama
La revendication sur la chaîne Telegram d’Anonymous Sudan. // Source : Numerama

Une première « alliance » d’Anonymous Sudan avec des groupes russes

Rien ne permet de confirmer leur prétendue origine soudanaise. Les hacktivistes communiquent bien en arabe, mais utilisent aussi le russe et l’anglais. Leur apparition soudaine, corrélée à des évènements polémiques, laisse croire qu’ils sont plutôt sensibles aux accents russes.

Le 17 janvier, Rasmus Paludan, un militant d’extrême droite – lié à des organisations russes – brule un Coran à Stockholm, devant l’ambassade de Turquie, au moment le pays est réticent à laisser entrer la Suède dans l’OTAN. Moins de 24 heures plus tard, Anonymous Sudan est créé et déclare que le pays scandinave sera sa première cible. Le collectif va ensuite suivre l’activité du polémiste et lancer des cyberattaques contre tous les pays où Rasmus brûle le Coran.

Au même moment, Anonymous Sudan s’allie à Killnet pour cibler des pays engagés dans la défense de l’Ukraine comme la Pologne et la Lituanie. Les attaques sont classiques : du DDoS, pour mettre en panne un site, sans dommages particuliers. Or les Anonymous Sudan vont prendre leur envol, déployer leur propre programme malveillant et faire leur chemin dans l’hacktivisme.

les pirates soutiennent les pirates russes pour leur soutien au Soudan plus tôt | Les pirates soudanais soutiennent les pirates russes pour leur soutien au Soudan plus tôt // Source : Numerama
En russe, « les pirates soutiennent les pirates russes pour leur soutien au Soudan plus tôt ». // Source : Numerama

Microsoft, Deezer, ChatGPT, une longue liste de cibles

Si le collectif continue de régulièrement choisir différentes cibles pour des raisons géopolitiques, il se met à attaques des services privés, des multinationales, aux millions de clients, comme pour tester l’étendue des capacités de leur botnet, ces réseaux de milliers d’appareils électroniques détournés pour frapper une cible.

En juillet, le groupe commence par saturer la plateforme de créateurs de contenus Onlyfans, puis le service cloud de Microsoft. Trente minutes de dysfonctionnement seulement, assez pour donner confiance aux hacktivistes dans leur programme. En octobre, Anonymous Sudan s’attaque à la plateforme de streaming musical Deezer et en bloque l’accès pendant près de 24 heures. Le mois suivant, il vise plus gros encore et perturbe durant quelques heures le fameux chatbot géré par IA, ChatGPT.

Après tous ces essais, mettre en panne le réseau interministériel de l’État paraît plus envisageable.

La revendication sur la chaîne Telegram d'Anonymous Sudan. // Source : Numerama
La revendication sur la chaîne Telegram d’Anonymous Sudan. // Source : Numerama

Qui finance les hackers d’Anonymous Sudan ?

Plus la cible est importante et plus l’opération est couteuse. Les attaques DDoS sont plutôt simples techniquement, mais demandent des ressources si l’on veut un impact conséquent.

Anonymous Sudan pourrait obtenir des financements étatiques pour mener son attaque contre l’Occident et continuer à harceler des puissances étrangères. Le groupe se rémunère aussi grâce au cybercrime en faisant louer son botnet – des milliers d’ordinateurs infectés et détournés pour lancer des attaques – à d’autres acteurs malveillants susceptibles d’être intéressés.

Contacté par Numerama, Boris Lecoeur, Directeur Général de Cloudflare (France), nous indique qu’Anonymous Sudan est passé du système de botnet classique à celui « des grappes de serveurs, payants, proposé par de célèbres entreprises ». Les attaques « sont plus efficaces, plus denses en nombre de requêtes. L’adresse IP du serveur ne sera pas directement blacklistée non plus puisqu’il apparaitra d’abord comme un service légitime », précise Boris Lecoeur.

Comment Anonymous Sudan arrive-t-il à obtenir l’accès à des serveurs appartenant à grands acteurs du secteur ? « On peut imaginer qu’ils piratent des comptes d’entreprises clientes ou utilisent des passes-nom pour ouvrir des profils », explique le directeur de Cloudflare France.

« C’est aussi le souci avec quelques infrastructures souveraines, le nombre de serveurs est limité et n’est pas adapté aux menaces actuelles », affirme Boris Lecoeur.

Quel que soit leur financement, l’attaque du 11 mars rappelle qu’il ne faut pas prendre à la légère ces opérations. Ces attaques DDoS sont souvent anecdotiques, mais la montée en force de leur volume peut provoquer des perturbations qui, elles, risquent de déranger, certes temporairement, des services essentiels. Il faut d’autant plus se tenir prêt à l’aube des Jeux olympiques.

La communication est le dernier point à souligner : Anonymous Sudan a trouvé le moyen parfait pour créer un climat anxiogène avec une attaque simple et peu dommageable. Et céder à la peur pour si peu, c’est faire le jeu de ces hacktivistes.


Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !