Ce lundi 27 mars, le site internet de l’Assemblée nationale française a subi une attaque de pirates informatiques pro-russes, rendant l’accès au site de l’institution impossible pour le moment, selon les experts en cybersécurité. Cette attaque a été revendiquée par un groupe de hackers pro-russes qui se fait appeler « NoName057 (16) ». Selon leur communiqué sur Telegram, ils ont voulu protester contre la politique étrangère de la France, notamment son soutien à l’Ukraine et à l’OTAN.
Mais comment ont-ils réussi à paralyser le site d’une institution aussi importante ? Quelles sont les techniques utilisées par les hackers pour mener une attaque DDoS ? Et comment se protéger contre ce type de menace ? Nous allons essayer de répondre à ces questions en nous mettant dans la peau d’un pen-testeur ! Et c’est parti !
10 Étapes pour mettre K.O. le site de l’Assemblée nationale
L’attaque DDos du collectif NoName057 (16) s’est produite en 10 étapes, et vous allez découvrir ce à quoi chacune d’elle correspond.
Étape 1 : Reconnaissance
Les hackers pro-russes ont d’abord collecté des informations sur le site de l’Assemblée nationale et son infrastructure. Ils ont utilisé des techniques telles que le balayage de ports, l’analyse des métadonnées et l’identification des technologies utilisées sur le site.
Cela, grâce à des outils tels que : Nmap, Masscan, ExifTool, Wappalyzer, BuiltWith… Ils ont également recherché des informations publiques sur les employés de l’Assemblée nationale pour identifier des cibles potentielles.
Étape 2 : Phishing et compromission initiale
Après avoir identifié des cibles potentielles, les hackers ont lancé une campagne de phishing ciblée. Ils ont envoyé des e-mails contenant des pièces jointes malveillantes ou des liens vers des sites Web compromis, se faisant passer pour des collègues ou des partenaires.
Une fois qu’un employé a ouvert la pièce jointe ou cliqué sur le lien, un logiciel malveillant a été installé sur son ordinateur, donnant aux hackers un accès initial au réseau de l’Assemblée nationale.
Étape 3 : Établissement d’une présence persistante
Les hackers ont ensuite établi une présence persistante sur le réseau en installant des portes dérobées et en utilisant des techniques d’escalade de privilèges pour obtenir des droits d’administrateur.
Ils ont également exploité des vulnérabilités connues dans les logiciels utilisés par l’Assemblée nationale pour gagner un accès plus étendu au réseau. Une fois les droits d’administrateur obtenus, ils ont créé de nouveaux comptes ou compromis des comptes existants pour maintenir un accès discret à long terme.
Étape 4 : Mouvement latéral
Les pirates ont ensuite effectué un mouvement dit « latéral » dans le réseau de l’Assemblée nationale, en cherchant des systèmes et des données sensibles. Ils ont utilisé des outils de post-exploitation et des techniques d’espionnage pour collecter des informations sur la configuration du réseau, les systèmes de sécurité en place et les données stockées sur les serveurs.
Dans ce cas, Nmap peut encore servir, mais pas que :
- Metasploit: un framework de tests de pénétration qui comprend des modules pour l’exploitation de vulnérabilités, la collecte d’informations et l’escalade de privilèges.
- Aircrack-ng: une suite d’outils de sécurité réseau utilisée pour tester la sécurité des réseaux sans fil en collectant des informations sur les points d’accès et les clients connectés.
- Wireshark: un analyseur de protocole réseau qui permet d’analyser le trafic réseau et de collecter des informations sur les systèmes et les services en cours d’exécution.
- Mimikatz: un outil open source utilisé pour récupérer les informations d’identification stockées en clair sur les systèmes Windows.
- Snort: un système de détection d’intrusion réseau qui peut être utilisé pour surveiller le trafic réseau et identifier les comportements suspects.
Il ne leur restait plus qu’à préparer l’attaque DDos proprement dite…
Étape 5 : Préparation de l’attaque DDoS
Après avoir acquis suffisamment d’informations sur l’infrastructure du site, les hackers ont préparé l’attaque DDoS. Ils ont utilisé un réseau de bots (botnet), constitué d’ordinateurs infectés par des logiciels malveillants, pour générer un trafic massif et coordonné.
Les pirates ont également identifié et exploité les points faibles de l’infrastructure du site, tels que les serveurs mal configurés ou les limites de bande passante, afin de maximiser l’impact de leur attaque. Ils ont testé et ajusté leurs techniques d’attaque pour s’assurer qu’elles seraient efficaces contre les mécanismes de défense en place.
Étape 6 : Lancement de l’attaque DDoS
Une fois tout préparés, les hackers ont lancé l’attaque DDoS. Les bots du réseau ont commencé à envoyer un grand nombre de requêtes simultanées au site de l’Assemblée nationale, saturant les ressources du serveur et provoquant des ralentissements ou une inaccessibilité totale du site.
L’attaque a été maintenue pendant plusieurs heures, ce qui montre que les pirates disposaient de ressources importantes pour soutenir l’opération. À l’heure actuelle, le site affiche toujours « actuellement en maintenance ».
Étape 7 : Dissimulation des traces
Afin d’éviter d’être détectés et de réduire les chances de remonter jusqu’à eux, les hackers ont pris soin d’effacer leurs traces tout au long du processus. Ils ont utilisé des techniques telles que le routage du trafic via des serveurs proxy, l’effacement des journaux système et l’utilisation de logiciels malveillants autodestructeurs pour minimiser leur empreinte numérique.
Ils ont également utilisé des méthodes de cryptage et de stéganographie pour masquer la communication entre les bots et les serveurs de commande et contrôle.
Étape 8 : Exploitation des résultats
Après avoir réussi à perturber le site de l’Assemblée nationale, les pirates ont potentiellement utilisé l’attaque DDoS comme une diversion pour cacher d’autres activités malveillantes. Par exemple, ils auraient pu profiter de l’attention portée à l’attaque DDoS pour exfiltrer des données sensibles ou compromettre d’autres systèmes sans être détectés.
De plus, l’attaque aurait pu servir à démontrer leurs capacités et à semer la peur parmi les responsables de la sécurité.
Étape 9 : Analyse post-mortem et amélioration
Après l’attaque, les pirates ont probablement analysé les résultats pour identifier les aspects de leur opération qui ont fonctionné et ceux qui auraient pu être améliorés. Ils ont examiné les réactions des défenseurs, les mesures de sécurité mises en place en réponse à l’attaque, et les éventuelles erreurs commises lors de l’exécution.
Cette analyse leur permettra d’affiner leurs compétences et d’adapter leurs méthodes pour de futures cyberattaques. Eh oui ! On n’est probablement pas sorti de l’auberge…
Étape 10 : Partage d’informations et renforcement de la communauté
Les hackers pro-russes pourraient également partager les informations et les tactiques utilisées lors de cette attaque avec d’autres groupes de cybercriminels, contribuant ainsi à renforcer leur communauté et à développer de nouvelles méthodes d’attaque.
Cela peut se faire par le biais de forums en ligne, de groupes de discussion ou d’échanges directs entre les membres de différents groupes.
Mais le DDos, ce n’est pas que ça !
L’attaque DDoS subie par le site de l’Assemblée nationale semble être relativement importante, puisque ce dernier cumule désormais plusieurs heures d’inaccessibilité consécutives. Les attaques DDoS consistent à inonder un site avec le plus grand nombre de requêtes possible, grâce à un réseau de bots. Le but ? Ralentir le site, et le faire tomber si possible. Visiblement, les pirates disposaient de certaines ressources, au vu de la durée des perturbations.
Il existe plusieurs types d’attaques DDoS, selon la couche du modèle OSI visée (représentation abstraite des différentes couches qui composent un réseau informatique, allant de la couche physique [le câble] à la couche application [le logiciel]. Chaque couche a ses propres protocoles et ses propres vulnérabilités.)
Les 5 types d’attaques DDoS les plus dangereux sont :
- Les attaques volumétriques: elles visent la couche réseau (couche 3) ou la couche transport (couche 4) du modèle OSI. Elles consistent à saturer la bande passante du site cible avec un grand volume de trafic, souvent généré par des botnets (des réseaux d’ordinateurs infectés et contrôlés à distance).
Un exemple d’attaque volumétrique est l’attaque UDP flood, qui envoie des paquets UDP (User Datagram Protocol) aléatoires au serveur cible, sans attendre de réponse.
- Les attaques protocolaires: elles visent également la couche réseau ou la couche transport du modèle OSI. Elles exploitent les faiblesses des protocoles utilisés pour établir et maintenir les connexions entre les machines, comme le protocole TCP (Transmission Control Protocol).
Elles visent à épuiser les ressources du serveur cible, comme la mémoire ou le processeur. Un exemple d’attaque protocolaire est l’attaque SYN flood, qui envoie des requêtes TCP SYN (synchronisation) au serveur cible, sans compléter le processus de connexion (handshake).
- Les attaques réflexives: elles visent aussi la couche réseau ou la couche transport du modèle OSI. Elles utilisent des serveurs intermédiaires, appelés réflecteurs, pour amplifier le trafic envoyé au site cible. Les réflecteurs sont des serveurs qui répondent aux requêtes qu’ils reçoivent, comme les serveurs DNS (Domain Name System) ou NTP (Network Time Protocol).
Les pirates envoient des requêtes falsifiées aux réflecteurs, en utilisant l’adresse IP du site cible comme adresse source. Les réflecteurs renvoient alors leurs réponses au site cible, sans savoir qu’ils participent à une attaque DDoS. Un exemple d’attaque réflexive est l’attaque DNS amplification, qui envoie des requêtes DNS avec un grand nombre de questions au serveur DNS, qui renvoie une réponse beaucoup plus volumineuse au site cible.
- Les attaques applicatives: elles visent la couche application (couche 7) du modèle OSI. Elles ciblent les applications web qui sont hébergées sur le site cible, comme les formulaires, les bases de données ou les scripts.
Elles visent à ralentir ou à rendre indisponibles ces applications, en envoyant des requêtes malveillantes ou invalides. Un exemple d’attaque applicative est l’attaque HTTP flood, qui envoie des requêtes HTTP GET ou POST au serveur web cible, en utilisant des paramètres aléatoires ou falsifiés.
- Les attaques mixtes : elles combinent plusieurs types d’attaques DDoS pour maximiser l’impact sur le site cible. Elles peuvent utiliser des techniques de camouflage ou de variation pour éviter la détection et la mitigation.
Un exemple d’attaque mixte est l’attaque TCP SYN + UDP + ICMP flood, qui envoie simultanément des requêtes TCP SYN, des paquets UDP et des paquets ICMP (Internet Control Message Protocol) au serveur cible.
Ces attaques DDoS sont très dangereuses, car elles peuvent causer des dommages importants aux sites web et aux services en ligne qui en sont victimes. Elles peuvent entraîner une perte de revenus, une dégradation de la réputation, une violation de la confidentialité des données ou une interruption de service, comme c’est le cas actuellement avec le site de l’Assemblée Nationale.
Pour se protéger contre ces attaques DDoS, il existe plusieurs solutions possibles, comme l’utilisation de pare-feu, de filtres anti-DDoS, de services cloud ou de réseaux distribués. Il est également important de surveiller le trafic réseau et de mettre à jour les logiciels et les systèmes.
L’Assemblée nationale en proie à une offensive cybernétique apocalyptique : les pro-russes en colère sèment le chaos
Le groupe affirme : « Nous avons décidé de réitérer notre récent voyage en France, où les protestations contre Macron, qui a décidé de ne pas se soucier des Français et continue à servir les néo-nazis Ukrainiens, ne se calment pas ».
Le groupe NoName057 (16), créé en mars 2022, a déclaré sur sa chaîne Telegram que cette attaque était une riposte aux manifestations contre le président Macron, qu’ils accusent de soutenir les « néo-nazis ukrainiens ». Ils ont également revendiqué une attaque contre le site du Sénat, qui n’a pas encore eu d’effet notable.
Selon Nicolas Quintin, analyste en chef de l’équipe d’analyse des menaces chez Thales, NoName057 (16) fait partie d’un réseau d’environ 80 groupes de hackers pro-russes qui ciblent les institutions des pays soutenant l’Ukraine, en particulier en Europe de l’Ouest. La France, l’une de leurs cibles régulières, a été la victime de plusieurs attaques récentes, notamment contre les sites d’Aéroports de Paris et de la DGSI.
Les attaques de ces collectifs pro-russes se distinguent des cyberattaques traditionnelles par leur absence de demande de rançon. Ils agissent en représailles politiques plutôt qu’en quête de gains financiers. Cette escalade des attaques informatiques soulève de nouvelles inquiétudes quant à la sécurité des institutions et des infrastructures critiques en Europe.