LES MEDIAS, DES CIBLES PRIVILEGIEES POUR LES HACKERS
Depuis samedi 4 juin, La Tribune est victime d’attaques informatiques ciblées et de grande ampleur. Du New York Times à Rue89, en passant par TV5 Monde, les cyberattaques sur les médias se sont multipliées ces dernières années. Avec des méthodes et finalités très différentes. Pour provoquer le "crash" d'un site, il suffit parfois de quelques milliers de connexions simultanées. Le serveur, débordé, ne peut plus répondre à la demande, et le site devient inaccessible. La méthode est bien connue des hackers, les pirates du web, qui l'utilisent allègrement pour s'attaquer à leurs proies. Depuis samedi 4 juin, La Tribune est l'une d'entre elles. Mais notre site est confronté à des attaques informatiques violentes, d'une grande ampleur. Ce ne sont pas quelques milliers de fausses connexions qu'il a fallu gérer, mais jusqu'à un million par seconde au plus fort de la crise. Autrement dit, c'est comme si un million d'ordinateurs se connectaient en même temps sur latribune.fr pour faire sauter les serveurs, et donc rendre le site indisponible. Ces assauts viennent d'Asie. Ils ont entraîné des dysfonctionnements et des indisponibilités pendant tout le week-end. Mais grâce à la mise en place de nouvelles solutions techniques, l'accès au site a été progressivement rétabli lundi dans la matinée. Ce qui n'empêchait pas de nouvelles attaques de se dérouler...
LES ATTAQUES DNS, UN MOYEN EFFICACE À COURT TERME POUR SEMER LE CHAOS
La Tribune n'est pas un cas isolé. Les attaques par DDoS (pour Distributed denial of service ou attaque informatique par déni de service distribué) sont de plus en plus courantes contre des médias. Elles font partie de la grande famille des attaques DNS, pour Domain Name System, qui visent à attaquer un site via son nom de domaine. Concrètement, cette forme élaborée d'attaque permet d'envoyer de quelques milliers à plusieurs millions de connexions simultanées vers un site pour saturer les serveurs. Très courante, cette attaque est aussi assez facile à mettre en place. Il suffit pour une personne mal intentionnée de s'offrir les services d'un botnet, c'est-à-dire d'un réseau d'ordinateurs "zombies". Le prix, compris entre quelques centaines et quelques milliers d'euros, est défini selon la durée de l'attaque et son intensité. Si les attaques DDoS sont si efficaces à court terme (avant que le hacker décide d'arrêter de payer ou que le site trouve de nouvelles solutions d'hébergement), c'est parce que le monde peut y participer sans s'en rendre compte. Car les botnets sont installés dans les ordinateurs via des malwares, ou logiciels malveillants, que l'on « attrape » en surfant sur internet si la machine n'est pas ou mal protégée, et qui se propagent d'une machine à l'autre. Au moment choisi, les botnets s'acharnent en même temps sur une adresse IP identifiée. Généralement, l'offensive est rapide. Elle s'étale sur quelques heures "à peine", comme l'ont expérimenté l'an dernier les sites belges Le Soir et Sud info (trois heures) ou encore sept sites de grands journaux suédois le 19 mars dernier (une heure). En revanche, les attaques subies par La Tribune durent depuis trois jours (à l'heure où ces lignes sont écrites) et s'étalent à chaque fois sur douze heures. Cette durée et cette intensité -rares- révèlent que La Tribune fait l'objet d'attaques ciblées, commanditées par quelqu'un (ou quelques-uns). Mais "on ignore toujours qui en est à l'origine et pourquoi, il n'y a pas eu de revendication", précise Thomas Loignon, le directeur Nouveaux médias du journal.
SE VENGER D'UN ARTICLE OU DE LA LIGNE ÉDITORIALE
Qu'a donc fait La Tribune pour subir tant d'acharnement ? "Il peut arriver qu'une attaque soit menée sans raison particulière, sans aucune logique, explique un fin connaisseur du milieu du hacking. Mais le plus souvent, les hackers veulent marquer les esprits en faisant payer aux médias des prises de position ou des articles qui leur ont déplus », ajoute-t-il. "Les médias sont des cibles privilégiées, car les hackeurs cherchent un écho", poursuit l'entreprise de sécurité WatchGuard dans ses prédictions 2016. Ainsi, plus l'objectif des cybercriminels est politique, plus l'attaque est sophistiquée et spectaculaire. Après les attentats de Charlie Hebdo par exemple, plusieurs milliers de sites français (médias, associations...) avaient été victimes d'attaques revendiquées par des groupes islamistes ou anti-Charlie. Six mois plus tôt, en juillet 2014, le site Rue89 subissait également la vengeance d'un hackeur dénommé Grégory Chelli. Celui qui se présentait comme un "militant sioniste" voulait punir la sensibilité pro-palestinienne du site et dénonçait un article "mensonger" qui lui avait été consacré quelques jours auparavant. Il avait lui aussi opté pour des attaques de type déni de service.