« Hacked By Turkic Hackers Rulez (OPJ & M3T4L) ». Depuis début avril, c’est le message qui accueille les internautes visitant le site du CERC (Conseil de l’emploi, des revenus et de la cohésion sociale), une ancienne entité gouvernementale, a découvert France Info le 7 avril. Le site est victime depuis plusieurs jours d’un piratage revendiqué par les Turkic Hackers Rulez, et par un groupe ultra-nationaliste turc, les Loups Gris.
« Il est regrettable que le gouvernement nous voie comme des terroristes en France. Sachez que nous ne sommes pas engagés dans des activités terroristes. Cependant, si vous souhaitez mener une campagne contre les Loups Gris, nous ne cesserons pas nos attaques contre vos sites gouvernementaux », prévient le message. Le texte est accompagné par un drapeau rouge, inspiré du véritable étendard turc, représentant deux croissants de lune face à face et une croix gammée, mais aussi par le symbole des Loups Gris.
Le nom des Loups Gris n’est pas inconnu du gouvernement français : il s’agit d’une organisation ultranationaliste turc, décrite comme un groupe terroriste et interdite en 2020 par le ministère de l’Intérieur. C’est la première fois que ce groupe revendique ouvertement une cyberattaque en France — et le fait qu’elle dure depuis jours soulèvent plusieurs questions.
Qui sont les Turkic Hackers Rulez et les Loups Gris ?
Le hack est revendiqué par plusieurs acteurs. Tout d’abord, M3T4L et OPJ, qui semblent être des pirates faisant partie du groupe Turkic Hackers Rulez. Ces derniers ont revendiqué l’attaque sur leur compte Instagram, en partageant notamment les articles de presse mentionnant le hack. Il ne s’agirait cependant pas d’un groupe très bien défini : selon l’expert en cybersécurité SaxX, le nom du groupe « pourrait laisser à penser à plusieurs « jeunes » isolés ou en groupe, s’appropriant cette « bannière » un peu comme avec Anonymous », explique-t-il sur X (ex-Twitter).
Peu d’informations sont disponibles sur eux : ils auraient été formés en 2020, et compteraient à leur actif le piratage du site du journal anglais Time, et celui de l’entreprise spécialisée en cybersécurité Cisco. En février 2024, un groupe au nom très proche, la Turk Hack Team, avait également revendiqué le hack de La Poste et du Crédit Agricole. Il n’est cependant pas clair s’il s’agit des deux mêmes acteurs, la Turk Hack Team n’ayant pas revendiqué l’attaque sur son compte Telegram.
L’autre groupe responsable du défacement du site du CERC est celui des Loups Gris — et il s’agit là d’une entité bien connue des renseignements. Les Loups Gris sont décris comme une organisation paramilitaire néofasciste et ultranationaliste turc, et ils ont déjà été à l’origine d’attaques physiques en France. Le gouvernement avait ainsi prononcé leur dissolution en novembre 2020, après une série d’agressions envers la communauté arménienne à Lyon et à Dijon. Ils n’avaient pas jusque-là revendiqué de cyberattaques.
Un vieux site du gouvernement touché
Le site du CERC serait inactif depuis le 3 avril 2024, d’après le hacker éthique Baptiste Robert — cela veut donc dire que 4 jours se sont écoulés entre le piratage et le moment où il a été remarqué. Au moment de la publication de cet article, cela faisait 5 jours que le site était défacé, sans que le gouvernement n’ait repris le contrôle.
Les attaques par défacement ou défiguration visent généralement les sites de petite ou moyenne importante, généralement moins bien protégés. La pratique consiste à altérer l’apparence de la page d’accueil du site, afin de faire passer un message, et de rendre le site inutilisable. Pendant l’attaque, les hackers peuvent également « prendre le contrôle du serveur, et donc, accéder potentiellement à des données sensibles (personnelles, bancaires, commerciales…) », rappelle également le site Cybermailveillance du gouvernement.
Si le CERC bénéficie bien d’une adresse officielle du gouvernement, utilisant l’extension .gouv, il ne s’agissait cependant plus d’un site actif. Le CERC a en effet été remplacé en 2013 par France Stratégie, et son site avait été archivé. La page d’accueil, avant le 3 avril 2024, affichait clairement cette mention, comme l’avait remarqué SaxX.
Contactée par Numerama, France Stratégie n’avait pas répondu au moment de la publication de cet article.
Un site archivé depuis 2013 étant forcément plus facile à hacker qu’un site maintenu, l’importance de l’attaque des hackers turcs est donc à minimiser. De plus, un défacement n’expose généralement pas les sites à beaucoup de danger, à l’instar des DDOS, impressionnants, mais rarement dommageables. Il reste cependant étonnant que l’état n’ait pas repris le contrôle du site, cinq jours après le piratage.
La France a été la cible de nombreuses cyberattaques ces derniers mois. Rien que sur le mois de mars, France Travail a été victime d’un vol de données concernant 43 millions de personnes, et le réseau interministériel des ministères a été gravement perturbé par une attaque DDOS menée par Anonymous Sudan. Des attaques beaucoup plus impressionnantes que le hack du site du CERC. Cette dernière montre cependant que, à quelques mois des JO, la France est plus que jamais la cible des hackers — et il y a fort à parier qu’ils ne vont pas s’arrêter.
Nouveauté : Découvrez
La meilleure expérience de Numerama, sans publicité,
+ riche,
+ zen,
+ exclusive.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !
