Attentat de Conflans : des sites français sont hackés puis « défigurés »
« Vague de cyberattaques en défiguration en cours ciblant de nombreux sites Internet français ».
https://twitter.com/cybervictimes/status/1320432492558446593
Généralement, le hacker publie un message simple dans lequel il revendique l'attaque et explique sa motivation. Sur la dizaine de sites compromis que Cyberguerre a consultés, les pirates affichent différents messages de menace, parfois accompagnés de musiques de prière en arabe, de vidéos sur la liberté d'expression, ou de caricatures d'Emmanuel et Brigitte Macron.
Des représailles pour les caricatures du prophète Mohammed
Dans le message le plus récurrent, les pirates s'identifient comme part des « hackers musulmans contre la France pour insulte du prophète Mohammed. » Certains signent « nous sommes Royal Battler BD, des hackers bangladeshis », d'autres donnent leur pseudonyme de hacker comme « achraf Dz » (Dz signifiant dans ce cas « Algérien »).
Ces opérations font écho aux différents discours qui ont succédé à l'attentat de Conflans Saint-Honorine, lors duquel un terroriste a assassiné un enseignant qui avait montré deux caricatures du prophète Mahomet, publiées dans Charlie Hebdo. Le tragique assassinat terroriste a fait remonter les discussions sur la liberté d'expression et la représentation du prophète, ce qui a mené certains habitants de pays à majorité musulmane à appeler sur les réseaux sociaux au boycott de produits français.
En 2015, après les attentats contre Charlie Hebdo et Hyper Cacher, des milliers de sites français, dont ceux de collectivités territoriales, avaient déjà été défigurés. La campagne avait atteint une ampleur suffisante pour que l'Anssi, la plus haute institution de cybersécurité française, doivent rappeler certaines mesures de prévention. Cette fois, l'opération se limite -- pour l'instant -- à des sites de particuliers ou de petites entreprises, vraisemblablement très peu visités et peu entretenus.
Une attaque facile sur des sites non critiques
« Bien souvent, les sites défigurés sont déjà 'troués' et ont pu être compromis en quelques clics », avance le hacker éthique Adrien Jeanneau, également connu sous le pseudo Hisxo. Ce n'est pas parce que les pirates parviennent à compromettre un site qu'ils disposent de connaissances ou de matériel avancés, loin de là.
Comme le rappelle le chercheur de bug, trouver des sites piratables s'avère parfois très simple. Ici, il suffit que les hackers aient fait des recherches avec les bons mots clés sur Google ou d'autres moteurs comme Shodan -- une pratique appelée « dork » -- pour obtenir une liste de sites français vulnérables à un certain type d'attaque.
Ensuite, ils n'ont plus qu'à les exploiter avec des méthodes déjà connues et relativement faciles à mettre en place, afin de compromettre le serveur de la victime. Comme le souligne Cybermalveillance dans son article dédié à la défiguration, cette attaque bien visible peut causer d'importants dégâts : « En étant visible publiquement, la défiguration démontre que l’attaquant a pu prendre le contrôle du serveur, et donc, accéder potentiellement à des données sensibles (personnelles, bancaires, commerciales…) : ce qui porte directement atteinte à l’image et à la crédibilité du propriétaire du site auprès de ses utilisateurs, clients, usagers, partenaires, actionnaires… »
Les sites que nous avons pu observer servaient, pour la plupart, de simple vitrine à leur propriétaire, et il est probable que les serveurs ne contenaient pas d'autres informations. Mais il existe un risque réel que des données aient été dérobées, à évaluer pour chaque site au cas par cas.
Lorsqu'il s'agit de sites sensibles, les autorités peuvent réagir très rapidement. Par exemple, à peine deux heures après la publication de notre article sur la faille du site d'un établissement scolaire privé, nous avons été contacté par le Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques.
Défiguration n'est pas synonyme de serveur compromis
Si Adrien Jeanneau a pu confirmer à Cyberguerre que plusieurs sites ont été compromis, il rappelle qu'un site peut être défiguré sans que le serveur soit entièrement atteint : « Bien souvent, un site est défiguré avec une attaque connue sous le nom de 'stored XSS' : c'est un code Javascript malveillant que l'on stocke dans un commentaire ou plug-in Wordpress qui n'a pas été mis à jour », développe-t-il. Le chercheur de vulnérabilités précise qu'il s'agit d'une « vulnérabilité relativement facile » et que ce genre d'approche est surtout adoptée par les « script kiddies » -- un surnom donné aux hackers incompétents et donc relativement inoffensifs. Concrètement, si un site n'est pas à jour et mal protégé, il suffit de copier-coller dans l'espace commentaire des lignes de codes trouvées sur des forums et le tour est joué, vous pouvez afficher votre propre page.
Dans ce cas de figure, le pirate n'accède pas au serveur du site, et les données de l'entreprise ou de la personne touchée ne sont pas mises en danger. Pour contrer l'attaque, il suffit alors de supprimer le code malveillant. « Il faut tout de même faire attention, une « stored XSS» peut permettre de mettre en place une page de phishing, ou encore de voler des cookies [les traqueurs de votre navigateur, qui peuvent contenir certaines informations, ndlr]. Par sécurité, mieux vaut changer ses mots de passe », conseille le hacker éthique.
Si votre site a été défiguré, référez-vous à la procédure de Cybermalveillance. L'organisme détaille étape par étape les mesures à prendre pour arrêter la cyberattaque et porter plainte. Vous n'aurez pas besoin de compétences informatiques pour suivre ce protocole, qui vous orientera vers les ressources nécessaires.