Le 18 novembre, « une cyberattaque de grande ampleur » aurait visé We Sign It, le site qui héberge la pétition « Noël Sans Amazon ». Voilà ce qu’affirment les deux députés François Ruffin (La France Insoumise) et Matthieu Orphelin (ex La République en Marche), dans un communiqué envoyé à plusieurs rédactions, dont celle de Cyberguerre, et repris par de nombreux médias nationaux.
La pétition, publiée le 16 novembre, appelle les Français à boycotter Amazon lors de l’achat de leurs cadeaux de Noël et à se tourner vers un « e-commerce responsable », favorable aux commerces locaux. Une ribambelle d’élus et de personnalités considérées à gauche de l’échiquier politique s’y sont déjà engagés : Anne Hidalgo, Julien Bayou, Audrey Pulvar, Philippe Geluck, Delphine Batho ou encore José Bové font partie des plus de 25 000 signataires.
Mais d’après les deux députés, la pétition n’aurait pas que des soutiens : une personne a cherché à nuire frontalement à leur appel avec une « cyberattaque ». « Entrave manifeste au droit de pétition », « tentative d’ingérence dans le débat public », le duo emploie des termes forts. La personne à l’origine de l’attaque aurait été identifiée, après une petite analyse, qui permettrait de remonter jusqu’à son profil LinkedIn : elle serait « dirigeante de plusieurs sociétés informatiques, spécialisées en ‘e-réputation’, en marketplace, lobbying et e-marketing, et a été certifiée Amazon Web Services.»
Un détail suffisant pour que Ruffin et Orphelin, dans la vidéo, se demandent s’il leur serait possible, à leur tour, de lancer une « cyberattaque contre le géant de l’e-commerce » — bien qu’il s’agisse manifestement d’un questionnement ironique.
Cyberguerre a creusé le sujet pour répondre à une question : l’ampleur de l’incident est-elle si importante ?
La cyberattaque ? « Un pétard mouillé »
Pour expliquer le déroulement de la cyberattaque au grand public, les deux députés ont publié une vidéo dans laquelle ils exposent leur « enquête ». Ils y lancent une conversation avec Pierre Lalu, chef de projet et « community organizer » de We Sign It, et Benjamin Sonntag, fondateur de l’hébergeur Octopuce, prestataire de We Sign It. Ce dernier, au centre de la réponse à l’incident, garde la parole pendant une majeure partie de la vidéo. Il est également cofondateur de la Quadrature du Net, une organisation de défense des libertés sur Internet, aux positions tranchées, notamment sur les activités d’Amazon.
Capture des logs [l’historique des connexions au site, ndlr] à l’appui, Sonntag explique qu’il a dû bloquer 218 adresses IP [un numéro d’identification attribué aux appareils connectés à internet, ndlr] qui inondaient la pétition de fausses signatures. « Ça peut faire tomber le serveur, c’est de l’ordre du pénal », affirme-t-il dans la vidéo.
Contacté au téléphone, le fondateur d’Octopuce précise son propos à Cyberguerre : « Les adresses IP ont servi à envoyer 90 000 fausses signatures ». Il balaie les doutes sur le caractère malveillant de la démarche : « Les 60 000 premières signatures étaient signées ‘Jeff Bezos’ [lpatron d’Amazon, ndlr], et le message laissé était ‘déso pas déso’. La personne a ensuite utilisé le nom de Bill Gates [patron de Microsoft, ndlr] pour les 30 000 signatures suivantes. »
5 minutes pour régler l’incident
Malgré le fait que dans la vidéo, l’accent soit mis sur la possibilité que le site puisse tomber avec ce genre d’attaque, l’hébergeur calme le jeu au téléphone avec nous : « Cela m’a pris 5 minutes de gérer l’incident. À 22h05 la personne lançait l’attaque, à 22h30 j’étais averti. Le temps de finir ma série et j’étais devant mon ordinateur, à 23 heures. À 23h05, c’était fini », raconte-t-il, non sans une pointe d’ironie. Dans le communiqué largement diffusé, repris par exemple par le HuffPost, Orphelin et Ruffin expliquent pourtant que l’attaque a été « déjouée après de longues heures de travail ».
Benjamin Sonntag regrette que l’ampleur de l’attaque soit exagérée dans les médias, et donc indirectement par les députés. « C’est un pétard mouillé, il n’y a rien de ‘massif’ », tranche-t-il. Le site a peut-être fonctionné au ralenti pendant une ou deux heures, mais il n’est pas tombé. Et pour cause : si la personne postait 5 messages par secondes, ça n’a pas suffit surcharger le serveur de requêtes. Si l’objectif réel du malfaiteur avait été de faire tomber le site, et non de « troller » les votes, il aurait pu utiliser toutes sortes d’autres techniques plus efficaces.
En revanche, Sonntag reste persuadé que l’ampleur de l’attaque est malgré tout suffisante pour que son client We Sign It puisse enclencher une procédure pénale.
We Sign It, site associatif (presque) sans protection
La présentation de l’incident a surpris les spécialistes du secteur, d’un côté par l’ampleur accordée à un événement en apparence routinier, mais aussi par le fait qu’il n’a pas été géré automatiquement.
« Le site de We Sign It ne paraît pas remplir les critères attendus pour un site de pétition », constate un expert en cybersécurité, contacté par Cyberguerre. Plusieurs détails le surprennent : le site ne vérifie pas l’existence de l’adresse mail utilisée pour signer la pétition ; il accepte les signatures envoyées avec des adresses email jetables ; il ne demande jamais de remplir de test captcha, un outil couramment utilisé pour contenir les bots ; et il ne présente pas de conditions générales d’utilisation à accepter avant de signer. Ces manques permettent à n’importe qui de créer facilement un script capable de lancer des milliers de signatures à la suite, sans être bloqué automatiquement. Autrement dit, quiconque peut tenter de manipuler le volume de signatures, même à faible échelle.
« Le site de We Sign It est vieux, et n’a pas été mis à jour depuis longtemps », constate Benjamin Sonntag, tout en rappelant qu’une nouvelle version devrait sortir prochainement. En l’attendant, il relève que le site a tout de même quelques « petites protections » qui ont permis de détecter l’activité inhabituelle. Mais We Sign It a dû faire appel à son hébergeur pour gérer l’incident « à la main », n’ayant pas les compétences en interne. « On peut se contenter de se protéger à la main pour ce genre de site », tempère le dirigeant de Octopuce.
We Sign It n’est en effet pas destiné à atteindre la taille du géant des pétitions Change.org. Pour rappel, le site a été choisi par l’équipe de Matthieu Orphelin, mais n’a pas de partenariat particulier avec elle. C’est une petite structure associative, qui vit de dons et publie rarement plus d’une pétition par jour. Elle met en avant « les luttes pour les droits humains, l’écologie et les alternatives économiques à différentes échelles ». Le seul employé de l’association, Pierre Lalu, travaille à mi-temps. « Nous sommes une association, pas une entreprise », rappelle-t-il à Cyberguerre. « Nous avons de faibles moyens, et aucune compétence de développement en interne. »
Les CGU n’étaient pas à jour, les logiciels non plus
Cyberguerre a pu vérifier que plusieurs logiciels mobilisés dans le bon fonctionnement du site ne sont plus à jour, certains depuis 2012. C’est au risque que des pirates puissent l’attaquer en exploitant des vulnérabilités connues, réparées depuis des années. Pierre Lalu a conscience du problème, mais il espère les corriger bientôt : « Nous avons réalisé un crowdfunding de 15 000 euros auprès de notre communauté en décembre 2019. Cette enveloppe est allouée à une mise à jour du site, qui va nous permettre de le mettre en conformité RGPD et de mieux le sécuriser. » Prévue pour avril, la livraison du site a été retardée, mais Pierre Lalu ambitionne qu’elle soit déployée d’ici le 1er décembre.
Dès le 19 novembre au soir, des hackers s’étaient déjà employés triturer les nombreux bugs du site : une fausse pétition déposée sur le site suggère qu’il présente une faille XSS, une vulnérabilité qui permet d’injecter du code sur la page. Ici, le pirate se contente d’afficher « hey you » aux visiteurs de la page, mais il pourrait décider de mettre avant un message de propagande ou s’en servir pour présenter un faux formulaire afin de dérober les données des visiteurs.
Et ce n’est pas tout : le lendemain de l’attaque médiatisée, We Sign It a signalé une succession d’incidents plus importants, qui ont ralenti et fait couper brièvement le site entre 19h et 21h.
Recontacté le vendredi 20 novembre, Benjamin Sonntag nous a apporté des précisions : « Cette fois-ci elle provenait de ce que j’appelle un ‘professionnel’, puisque l’attaque a été lancée avec un botnet [un ensemble d’appareils contrôlés par un ou des serveurs de commande, ndlr] relativement standard, avec plus de 4 000 IP. Nous avons eu plus de 3 millions de hit en deux heures, sur des pages un peu lourdes ». Cette fois-ci, le site associatif a donc été visé par une attaque qui peut être plus facilement classée comme un déni de service, et qui était plus sophistiquée. « Nous avons des outils qui bloquent certains abus manifestes. Mais le botnet s’adaptait et étalait le nombre de hit pour passer en dessous du nombre limite du radar », précise-t-il.
Pierre Lalu, de son côté, insiste sur le fait que bien que la sécurité du site ne soit pas au niveau, c’est la première qu’il voit une pétition perturbée par un trafic automatisé.
Une attaque attribuée prématurément à un « consultant Amazon »
Dernier point, et non des moindres : dans la vidéo, Benjamin Sonntag affirme avoir identifié la personne à l’origine de « l’attaque ». « Derrière quasiment 99 % des IP de l’attaquant, on retrouve la même personne, une EURL, un nom, une adresse à Nice, un numéro de téléphone. Du coup, je me suis dit que c’était quelqu’un qui s’est fait pirater son réseau, et qui a plein de machines piratées qui se retrouvent à attaquer We Sign It. En fait, la page LinkedIn de cette personne indique que c’est un expert Amazon, reconnu par Amazon dans le monde de l’hébergement », développe-t-il.
D’après les experts que nous avons interrogés, les éléments montrés à l’écran ne suffisent pas à attribuer l’attaque. Il est possible que cet « expert Amazon » ait lancé directement le spam, sans mettre en place une quelconque précaution comme dissimuler ses IP derrière un VPN. Mais il est aussi possible que cette personne se soit fait pirater, et que ses serveurs aient été utilisés comme rebond dans l’attaque. Au téléphone, Benjamin Sonntag s’amuse du détail : « Dans tous les cas, c’est une situation ironique. » Il nous a aussi réaffirmé qu’il disposait de suffisamment de preuves pour justifier un signalement aux autorités.
La certification Amazon Web Services n’indique pas de lien avec l’entreprise
Dans leur communiqué, les députés maintiennent un doute autour de l’implication d’Amazon, bien qu’ils restent mesurés dans leurs accusations : « Que le coupable soit cette personne ou une autre qui aurait utilisé son identité, il est trop tôt pour savoir si Amazon est directement commanditaire de cet acte de malveillance. » Leur hypothèse est purement spéculative. De son côté We Sign It défend sur Twitter qu’il n’accuse pas Amazon « directement ».
Pour rappel, une personne « certifiée Amazon Web Services » n’a, dans la large majorité des cas, pas beaucoup de lien avec le groupe. La certification indique simplement que la personne a passé avec succès des tests de compétence en ligne sur les produits logiciels d’AWS. AWS est leader du cloud, et ses produits sont donc utilisés par un nombre conséquent d’entreprises.
D’ailleurs, les députés devraient savoir que l’usage d’AWS n’est pas exclusif à Amazon. Le jour de la publication de la pétition « Noël Sans Amazon », We Sign It s’était fait épingler par plusieurs observateurs, dont le secrétaire d’État au numérique, Cédric O, qui a depuis retiré son message. Les conditions générales d’utilisation du site indiquaient qu’il était hébergé sur… Amazon Web Services : un comble par rapport au contenu de la pétition. Dès lendemain, WeSignit mettait le texte légal à jour avec le nom de son hébergeur depuis un an, Octopuce, afin de clore la moquerie.
Reste que le site a bien subi un acte malveillant mineur, plus un autre plus important le lendemain, et que son représentant dans la vidéo, Pierre Lalu, semble décidé à porter plainte : « On va contacter notre avocat et continuer l’enquête. On ne peut pas [laisser quelqu’un] comme ça, impunément, par arrogance, casser un site (…) On a envie de défendre notre communauté, et de montrer qu’on ne se laisse pas faire quand on se fait attaquer. » Au téléphone, il précise : « Nous considérons encore nos options, et il se peut que nous portions plainte contre X. Pour l’instant, nous ne pouvons pas conclure que la personne a bien elle-même lancé l’attaque. Mais nous ne voulons pas créer une hystérie sur le sujet. »
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !