Analyse

Cybercriminalité : l’exemple du défacement

Le 9 février 2022 par Guillaume Brechler, Élise Boyer, Thomas Salasca, Elisa Heller

Le défacement ou défiguration est une forme d’attaque vieille de plus de 25 ans, visant à modifier l’apparence d’un site internet. Si le défacement n’est pas dévastateur pour l’infrastructure informatique de la victime, sa manifestation est immédiatement visible sur le site attaqué. Si les acteurs de taille importante sont globalement protégés de ce type d’acte, cette menace reste d’actualité, particulièrement pour les acteurs de petite, voire de moyenne dimension.

Avec le développement des réseaux et d’internet, on observe une mutation des modes d’actions et d’attaques chez les cybercriminels. Cela peut passer par le phénomène de “défacement”, décrit par l’Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) comme étant : “Le résultat d’une activité malveillante qui a modifié l’apparence ou le contenu d’un serveur internet, et a donc violé l’intégrité des pages en les altérant”. Ces actions malveillantes sont souvent justifiées par des revendications. 

En janvier 2021, dans un contexte d’importantes tensions géopolitiques à l’Est de l’Europe, de nombreux sites ukrainiens ont subi une importante cyberattaque, qui entraîne l’indisponibilité des contenus et menace leur intégrité. Ces sites sont victimes entre autres de défacement. Les hackers en changent la présentation et remplacent les contenus par des messages vindicatifs en ukrainien, russe et polonais. Cette campagne de piratages s’accompagne d’un important trafic sur les réseaux sociaux. L’attaque informationnelle se double d’une atteinte réputationnelle importante pour les sites victimes, les hackers revendiquant, à tort, l’extraction des bases de données desdits sites. 

Cet exemple pose notamment la question de l’attribution du défacement. Lors d’une attaque similaire en 2015, en France, l’ANSSI avait décidé de se prêter en public à un retour d’expérience. Les contenus partagés ont laissé peu de doutes quant au caractère terroriste du piratage. Pour autant, l’analyse des techniques utilisées par les assaillants a pu ultérieurement faire émerger des doutes sur la possible responsabilité d’un groupe de hackers russes. 

S’il n’existe pas de définition légale du défacement, ce type d’attaque peut correspondre à plusieurs incriminations contenues dans le Code pénal, notamment à l’article 323-3, qui réprime “le fait d’introduire frauduleusement des données dans un système de traitement automatisé de données” par des peines pouvant aller jusqu’à 7 ans et 300 000 € d’amende, si l’État est victime du défacement. 

 

Enjeux et différents degrés de défacement.

Si le défacement a nécessairement une portée nuisible, il peut aussi avoir une visée communicative. Un groupe, une entité ou simplement une personne peut chercher à faire passer un message au travers du défacement. C’est dans une majorité des cas le but même du défacement, avant même qu’il ne soit utilisé pour nuire. Le message est souvent transmis à titre revendicatif, politique ou idéaliste. Véritable nuisance ou démonstration de force, le défacement cherche à dénoncer, accuser et par moment, à déstabiliser et décrédibiliser une entité, un groupe, voire un pays. Cette attaque peut d’ailleurs servir plusieurs buts.

 

Défacement à message.

Le 17 octobre 2021, un hacker au discours pro-turc commet une attaque par défacement sur le site internet de l’ancien président des USA Donald Trump. Cette attaque survient un an après que les sites de campagne de Biden et de Trump aient subi le même type de vandalisme, les dernières d’une série d’attaques visant de grandes entreprises et des entités politiques américaines.

La section "Action" du site web de Trump comportait une vidéo du président turc Recep Tayyip Erdogan, le message "Hacked by RootAyyildiz" et des liens vers des pages Facebook et Instagram contenant des références à la fois à la Turquie et à Erdogan. L’après-midi même, la vidéo était retirée et la page "Action" redirigeait les internautes vers la page d'accueil du site. RootAyyildiz prétend être un "hacktiviste" turc de 19 ans qui aurait ciblé le site de Trump afin de protester contre les positions "anti-Turquie et anti-islam" des États-Unis.

Des pirates informatiques favorables à la Turquie - membre de longue date de l'OTAN dont les relations avec les États-Unis se sont dégradées ces dernières années - ont déjà pris pour cible des entités américaines par le passé. À la mi-novembre, une partie du site de campagne de Joe Biden a été défigurée par des références à la Turquie et à RootAyyildiz.  Ces attaques s’inscrivent dans un cadre plus large, des pirates pro-turcs ayant également pris le contrôle des comptes Twitter de plusieurs journalistes américains en 2018, selon la société de cybersécurité CrowdStrike.

 

Défacement à but de décrédibilisation.

Un autre aspect de ce type d’attaque peut être observé, notamment via le défacement mené à l’été 2017  par un hackeur indien sur le site du gouvernement pakistanais, ce dernier affichant une photo avec la date du 15 août, anniversaire de l’indépendance de l’Inde. L’hymne national indien tournait également en musique de fond sur le site. Le but était de rendre le site impraticable et de déranger le Pakistan, dans le contexte conflictuel que ces deux pays connaissent depuis plusieurs décennies. Le site du gouvernement pakistanais a rapidement été remis en état de marche, cependant ce défacement était une réponse à des attaques provenant du Pakistan sur des dizaines de sites indiens, avec pour objectif d’accuser l’Inde de génocide et de viols dans la région du Kashmir.

 

Défacement à but de soutien à une campagne plus large.

Lors de la campagne anti-française faisant suite aux propos d’Emmanuel Macron sur les caricatures de Mahomet en octobre 2020, de nombreux sites français ont été victimes de défacement. Le 25 octobre 2020, le site cybermalveillance.gouv lance une alerte au sujet d’une vague de cyberattaques par défiguration en cours ciblant de nombreux sites internet français. Sur une dizaine de sites, les pirates affichent des messages de menace accompagnés de musiques de prière en langue arabe, de vidéos sur la liberté d’expression ou encore de caricatures d’Emmanuel et Brigitte Macron.

Les pirates se décrivent comme des “hackers musulmans” luttant “contre la France pour insulte du prophète Mahomet”. Ces cyberattaques s’inscrivent dans une riposte du mouvement anti-radicalisme déclenché suite à l’attentat de Conflans-Saint-Honorine - où un enseignant fut sauvagement assassiné par un terroriste – et les discours des politiques français qui en ont découlé. En 2015 déjà, suite aux attentats de Charlie Hebdo et de l’Hyper Cacher, de nombreux sites français avaient été victimes du même type de cyberattaque.

 

Identification de l’attaquant 

La défiguration de sites internet possède certes un pouvoir de nuisance et a pour but de délivrer un message, en s’appuyant notamment sur l’audience du site pour gagner en audience, pour autant elle revêt une dimension plus large que celle des seuls aspects techniques et informationnels. En effet, une des problématiques majeures posées par ce type d’attaque est celle de son attribution : Le fait qu’un site soit défacé et que l’identité visuelle ou des éléments de communication d’une entité viennent remplacer le contenu classique d’un site ne signifie pas pour autant qu’elle soit responsable de l’attaque. La complexité de l’identification des auteurs de cyberattaques trouve alors toute sa résonance, car il est tout à fait possible que l’attaquant souhaite dissimuler son intervention et pointer du doigt un coupable qui ne l’est pas. Il peut s’agir d’un simple moyen de couvrir ses traces, mais cela peut également être un volet d’une opération de déception plus large. 

A titre d’exemple, on peut citer l’attaque dirigée contre la chaîne d’information TV5 Monde en 2015. Initialement revendiquée par le Cybercaliphate, une expertise approfondie des méthodes utilisées par les attaquants laissait toutefois apparaître une proximité troublante avec celles du groupe APT28 (aussi connu sous le nom de Fancy Bear ou encore Pawn Storm), affilié au GRU, le service de renseignement militaire russe. 

Ainsi, les difficultés éventuelles d’attribution du défacement s’ajoutent au potentiel de nuisance pour la victime dont le site est temporairement mis au service de la communication de l’attaquant. Toutefois, ces caractéristiques communes à tous les défacements doivent s’apprécier dans un cadre plus global, l’intensité et les objectifs des défacements variant en fonction des buts poursuivis par ses auteurs.

Le défacement est donc un type d’attaque relativement aisé à mettre en place, dont le risque est maîtrisé s’agissant des structures atteignant une certaine taille, à moins qu’elle ne s’insère dans un processus de piratage plus large, à l’instar de celui ayant touché TV5 Monde. Cependant, les petites et moyennes entreprises sont souvent moins bien sécurisées, et donc plus à même d’être les victimes de tels procédés. Ainsi, le risque pour les structures de petite taille d’être touchées reste significatif.

 

Guillaume Brechler, Élise Boyer, Thomas Salasca et Elisa Heller pour le Club Cyber AEGE

 

Pour aller plus loin :