Le groupe d’hacktiviste pro-Kremlin, Killnet, à l’origine d’un grand nombre de cyber-méfaits depuis plusieurs mois s’est attaqué au portail internet de l’organe parlementaire de l’Union européenne. Le déni de service, DDoS, n’est peut-être plus l’ennemi public numéro 1 mais reste néanmoins une menace à prendre au sérieux et à anticiper.
Mercredi 23 novembre, le Parlement adoptait, par 494 voix pour, 58 contre et 44 abstentions, une résolution vis-à-vis de la Russie quant à son offensive sur l’Ukraine. L’Union Européenne ne pouvant actuellement désigner officiellement des États comme commanditaires du terrorisme, les députés Européens ont donc pris la responsabilité de déclarer la Russie comme étant un État parrain du terrorisme et un État qui utilise des moyens de terrorisme. Dans l’intervalle, les députés ont également invité le Conseil à inclure l’organisation paramilitaire russe “le groupe Wagner », le 141e régiment spécial motorisé, également connu sous le nom de “Kadyrovites », et d’autres groupes armés, milices et mandataires financés par la Russie, sur la liste des terroristes de l’UE.
Un groupe d’une cinquantaine de milliers de membres
Une initiative qui n’a pas laissé indifférents les pirates du groupe Killnet qui ont immédiatement adressé une attaque en déni de service au site web du Parlement. Pour Justin Fier, Director of Cyber Intelligence and Analysis de Darktrace, « la facilité avec laquelle Killnet est capable de lancer ces attaques relativement peu sophistiquées et de faire les gros titres dans le monde entier mérite d’être soulignée. Le groupe possède une grand nombre de “réservistes » auxquels il peut faire appel pour lancer une attaque au titre de son “hacktivisme”, comme on l’a vu lors des attaques contre JP Morgan et le gouvernement lituanien au début de l’année. Il suffit parfois d’entrer une URL dans un outil d’attaque et d’appuyer sur “run” pour que l’un de leurs affiliés lance une attaque de ce type. » Sur son site Zataz, Damien Bancal, rappelle que la bande Killnet afficherait 50 000 membres et aurait décidé, après s’en être pris à la Maison Blanche, à Starlink, la solution satellitaire d’Elon Musk, et une succession d’attaques DDoS contre la Pologne, la Lituanie, l’Italie, etc., d’attaquer l’Angleterre.
DDoS : une attaque toujours d’actualité
Si le ransomware est devenu la star des médias, le déni de service reste une menace à prendre au sérieux et contre laquelle il faut se protéger. “Cette attaque se fait la plupart du temps avec des botnets. Des réseaux de serveurs, ordinateurs, smartphones, robots qui sont infectés préalablement par un ver et à qui l’attaquant ordonne d’envoyer un grand nombre de requêtes vers la cible dans un laps de temps très court. L’attaque en tant que telle est très rapide », rappelle Louis Vieille-Cessay, directeur avant-vente France et BeLux chez CyberRes (Groupe Micro Focus). Alors, malgré les efforts des éditeurs et des fabricants pour éliminer ces vers des machines détournées (on rappellera ici l’importance des mises à jour de sécurité), mais aussi des autorités comme la Gendarmerie Nationale pour les démanteler, leur existence persiste sur un marché où on peut louer les “services” de ces botnets le temps d’une attaque. “Ce n’est pas notre cas, mais certaines sociétés proposent des services de filtrage pour identifier les requêtes identiques et répétées émanant des botnets. Elles investissent également dans leur identification. Reste que l’utilisation de ces systèmes n’est pas gratuite et qu’il faut donc mettre en face le coût correspondant au risque d’attaque et d’impact opérationnel », ajoute Louis Vieille-Cessay.
Anticiper, se préparer, tester l’efficacité des solutions
Olivier Caleff, responsable Gestion de Crise et Cyber Résilience chez Erium, précise de son côté que si l’interruption de service du site du Parlement Européen n’a pas été très longue, “c’est sans doute parce que ce type d’attaque avait été anticipée et que les équipes de la Sécurité Opérationnelle (SecOps) avaient des plans de réaction et des procédures appropriées pour atténuer les effets du DDoS alors même que ce type d’attaque peut durer plusieurs jours. La recette est simple : tout se joue dans le “BEFORE » la gestion de l’incident. Les points clés sont : anticiper, se préparer, tester l’efficacité des solutions techniques déployées ou actionnables en cas de besoin avec des BAS (Breach Attack Simulation) et faire des exercices – avant que la réalité nous rattrape. Cela permet d’avoir un point de situation sur les aspects techniques (détection…), organisationnels (mobilisation, communication…) et décisionnels. » Pour l’expert, reste encore à savoir quelle a été la répartition des rôles entre les équipes du Parlement Européen et le CERT-EU en charge de la sécurisation des institutions européennes.
Stéphane Bellec