Bonjour à tous et bienvenue dans le ZD Tech, le podcast quotidien de la rédaction de ZDNet. Je m’appelle Louis Adam et aujourd’hui, je vais vous expliquer pourquoi retrouver et dénoncer les auteurs de cyberattaques est un sujet complexe et délicat.
En effet, remonter jusqu’aux auteurs d’une attaque informatique, c’est compliqué. Mais pas impossible.
En enquêtant sur les caractéristiques de l’attaque, il est possible de collecter certains indices. Par exemple, l’utilisation d’adresses IP, de noms de domaines ou encore de certaines métadonnées laissées par les cybercriminels donne des pistes intéressantes.
Et ces indices permettent, parfois, à force d’investigation et de patience, de retrouver les groupes ou les personnes à l’origine de l’attaque. Mais ce n’est pas une science exacte.
Dissimulation…
Et ce, pour deux bonnes raisons.
Tout d’abord, parce que les cybercriminels prennent généralement soin d’effacer leurs traces. Pour cela, ils utilisent des techniques visant à effacer les indices qu’ils laissent derrière eux.
Par exemple, ils peuvent utiliser un fournisseur d’accès à internet qui ne répond pas aux injonctions des forces de l’ordre. Ou utiliser des techniques de chiffrement. Ou encore des outils pour protéger leur anonymat, comme Tor ou Tails.
Mais, dans certains cas, les pirates peuvent aussi usurper des identités afin de se faire passer pour d’autres.
…ou usurpation d’identité
Une affaire récente le montre.
En 2019, des chercheurs en sécurité informatique se sont ainsi rendu compte qu’un groupe de cybercriminels, connu sous le nom de Turla, avait piraté les outils informatiques d’un autre groupe de pirates, baptisé OilRig.
Pourquoi faire ? Pour créer un magnifique écran de fumée ! Pour les enquêteurs, les indices laissés par les pirates pointaient vers Oilrig. Mais dans certains cas, c’était en réalité le groupe Turla qui tirait les ficelles.
D’où la difficulté d’attribuer avec certitude la paternité d’une attaque à tel ou tel groupe.
La prudence est de mise
Ce genre de manipulations est généralement l’apanage d’attaquants très sophistiqués. Le genre de groupe qui travaille pour le compte de gouvernements dans des affaires d’espionnage ou sur des cyberattaques de très haut vol.
Et ça, c’est un point crucial. Car ces difficultés incitent certains pays à la prudence quand il s’agit de dénoncer publiquement les actions de leurs ennemis.
Ainsi, dans le cas présenté un peu plus tôt, le groupe Turla est généralement associé à la Russie. Et le groupe OilRig serait plutôt lié à l’Iran.
Attention à l’incident diplomatique
Donc, pointer hâtivement du doigt un groupe alors qu’un autre est en réalité à la manœuvre peut conduire à un incident diplomatique. Le genre d’incident dont on préférerait se passer.
Reste que les Etats-Unis, par exemple, ne s’embarrassent pas toujours de ces subtilités. Ils se sont fait une spécialité de dénoncer publiquement les responsables d’attaques informatiques. Il s’agit le plus souvent de la Chine, de la Russie et de la Corée du Nord. Le plus souvent des ennemis sur le plan géopolitique.
La conséquence de cette politique, c’est que les accusés ont toujours la possibilité de se dédouaner. Il leur suffit de rappeler que l’attribution des attaques n’est pas une science exacte. Et que les faits rapportés par les enquêteurs ne sont pas des preuves irréfutables, mais de simples spéculations.
