Cyberattaque contre l'Assemblée nationale : "C'est avant tout une opération de communication", explique un spécialiste en cybersécurité
"C'est avant tout une opération de communication", a expliqué lundi 27 mars sur franceinfo Nicolas Arpagian, spécialiste en cybersécurité, enseignant à Sciences Po Saint-Germain-en-Laye, après la cyber attaque dont a été victime le site internet de l'Assemblée nationale. Le site de l'institution a été inaccessible, victime d'une "action coordonnée qui déclenche un afflux de requêtes dont l'origine est indéterminée". L'attaque a été revendiquée sur Telegram par un groupe de hackers pro-russes, NoName057. Pour Nicolas Arpagian, "c'est une attaque assez low tech" qui s'est limitée à un "déni de service". Cette "non-disponibilité" du site Internet de l'Assemblée nationale "est déjà un message politique".
franceinfo : Est-ce que la revendication de l'attaque du site Internet de l'Assemblée nationale par un groupe de hackers pro-russes, NoName057, vous paraît crédible ?
Nicolas Arpagian : La revendication n'a, au final, pas tellement d'importance. C'est une attaque assez low tech par rapport à ce qu'on peut connaître en termes d'intrusion. C'est ce qu'on appelle du déni de service. Le déni de service, c'est un peu comme si vous souhaitiez gêner un commerçant. Vous organisez une manifestation devant sa boutique, vous ne cassez rien, vous n'agressez pas le personnel, mais vous vous restez devant. Ça veut dire qu'il n'y a pas de destructions. Et c'est pour ça que la restauration, la réactivation du site, est envisagée assez rapidement. C'est avant tout une opération de communication, parce que c'est une attaque qui est très visible. La non-disponibilité, c'est déjà un message politique. Mais par contre, c'est quelque chose qui est finalement assez facile à mettre en œuvre et peu coûteux. Donc il n'y a pas de performance technique en l'espèce.
Est-ce que cela veut dire qu'il n'y a pas de conséquences à long terme, de risques de fuite de données sensibles par exemple ?
Il faut se garder des risques de diversion. Ce que l'on a constaté quelquefois, c'est que des pirates utilisaient ce mode opératoire très visible, mais qui n'a pas d'impact au-delà de la politique. Le prix de la minute de non-disponibilité du site de l'Assemblée nationale n'a pas d'impact financier. Par contre - et c'est pour ça que ça prend un peu de temps avant de réactiver les systèmes - il faut s'assurer que ce n'est pas une mesure de diversion. En clair, vous avez organisé une espèce de rixe très visible à l'extérieur pendant que des gens rentraient dans la boutique. Il est donc important de s'assurer de l'intégrité des systèmes. Et c'est ce qui explique les heures passées à s'assurer de cette préservation de l'actif numérique de l'Assemblée nationale et du Sénat.
"C'est une cible qui est hautement symbolique"
Nicolas Arpagian, spécialiste en cybersécuritéà franceinfo
Est-ce que c'est une cible inattendue ?
Non, parce que c'est une cible qui est hautement symbolique. La disponibilité numérique, c'est le fait d'être audible, d'être présent. On prend la main sur votre antenne. Vous empiétez sur l'autorité de l'entité puisque vous la rendait muette, temporairement certes, mais vous avez l'initiative. Donc c'est hautement symbolique, peu technique, mais c'est effectivement quelque chose qui n'est pas souhaitable sur la durée.
600 enquêtes ouvertes pour cyberattaques l'an dernier contre 65 seulement il y a trois ans. Cela paraît exponentiel. Est-ce que cela veut dire qu'on ne sécurise pas suffisamment ce type de sites ?
Si on prend l'exemple du déni de service, le site de l'Assemblée nationale est calibré pour gérer un certain volume de connexions simultanées. Il y a des moments de pics de l'actualité parlementaire où beaucoup d'internautes peuvent se connecter. Le site est paramétré pour accepter ce volume croissant. Il est évident que si vous tripler, quadrupler, quintupler cette volumétrie, il se met en sécurité, il sature. Ce n'est pas une défaillance de sécurité, c'est juste qu'il est, d'habitude, proportionné pour un flux normal. Et il y a cette volumétrie qui est anticipée. En ce qui concerne la sécurité, en cas d'atteinte à l'intégrité des systèmes, le fait que l'on va s'introduire pour détruire des données, modifier des données ou exfiltrer des données, c'est une évolution continue. La réglementation fixe des obligations à ces opérateurs, à ces acteurs qu'on qualifie de services essentiels ou d'importance vitale. Et on leur demande d'une part, de déployer des politiques de sécurité, et d'autre part de se former, de s'entraîner à des exercices de gestion de crise.
Commentaires
Connectez-vous à votre compte franceinfo pour participer à la conversation.