Le New York Times victime d'attaques de hackers chinois

New York Times Tower seen from streetlevel, par Dan DeLuca (Wikimedia Commons)

 

Jeudi 31 janvier, le New York Times a déclaré que son système informatique avait été attaqué de façon régulière au cours des quatre derniers mois par des hackers chinois. Ces attaques sont liées, selon le grand quotidien, à la préparation et la publication d'une enquête sur la fortune cachée du Premier ministre chinois Wen Jiabao. Ce piratage n'est pas un acte isolé, d'autres groupes de presse sont concernés. Je vous propose de revenir sur cette histoire édifiante.

Quatre grands médias américains ont été récemment victimes de plusieurs attaques informatiques, toutes liées au même sujet : les enquêtes de journalistes sur la corruption au sommet de l'appareil chinois.

  • Le New York Times, le Wall Street Journal et l'agence Bloomberg ont été victimes d'une attaque pour contrôler leur couverture, qui s'est intensifiée ces derniers mois avec des enquêtes de journalistes américains sur les fortunes de la famille du premier ministre et du nouveau secrétaire général, Xi Jinping, 
  • Le site de CNN a ensuite été rendu inaccessible pendant plusieurs minutes, juste après qu'une journaliste a raconté l'attaque contre le New York Times.

 

L'attaque que nous connaissons le mieux est celle dont le NYT a été victime, car le journal y a consacré un long article, détaillant ce qui s'est passé et comment ses journalistes ont réagi :

  • L'attaque a commencé au moment de la préparation de la publication de l'article sur le nouveau secrétaire général chinois Xi Jinping, qui devrait bientôt devenir président de l'Empire du milieu.
  • Elle s'est servie de serveurs d'universités américaines préalablement infectés.
  • Elle a créé des programmes spéciaux pour suivre de près les échanges de mails entre les deux journalistes les plus impliqués dans l'enquête.
  • Elle aurait pu s'attaquer à toute l'infrastructure informatique du NYT, mais n'en a finalement rien fait.

Il semble en effet que ce qui intéresse les pirates, c'est de contrôler l'image de la Chine à l'étranger, et les gens qui diffusent des informations qui ne plaisent pas au gouvernement. Toutes les pratiques détectées correspondent à des pratiques de hackers chinois liés au gouvernement, et connues.

 

Comment une institution comme le NYT a-t-elle pu ne pas voir venir cette attaque ?


Le New York Times a dit utiliser le système anti-virus de Symantec. Le problème, c'est que sur 45 attaques différentes, la technologie en question n'a pu en détecter qu'une seule. En fait, les Américains se sont méfiés parce que le gouvernement chinois avait dit que leur enquête "aurait des conséquences". C'est alors qu'ils ont mis la compagnie ATT et le FBI au courant, et qu'ils ont détecté des actions suspectes dans leur système.

Computer Data Output par JoshuaDavisPhotography, via Flickr CC

La question qui nous concerne tous devient donc : comment se fait-il que Symantec n'ait rien vu venir ? La réponse est à la fois simple et inquiétante :

  • Les programmes anti-virus scannent les contenus qui passent par un ordinateur ou un serveur pour y trouver des lignes de code correspondant à ce qu'on a déjà trouvé dans des logiciels agressifs qu'on appelle "malware" ou software malveillant.
  • Mais il y a une fenêtre dangereuse, celle qui sépare le moment où les hackers détectent une faiblesse dans un navigateur ou un programme et celui où une protection est trouvée et installée. Le fait de tirer parti de telles faiblesses est ce qu'on appelle un "zero day exploit", un exploit du jour zéro. Un joli nom.
  • Ce genre d'exploit est, par définition, indétectable par les programmes qui détectent ce qui est déjà connu.

 

Les leçons à tirer de ce genre d'attaques


J'ai lu avec intérêt un article du journal britannique le Guardian qui dit que nous devons apprendre à distinguer entre trois types de hackers. Il précise d'abord que le mot n'est plus vraiment utilisé par les gens qui s'amusent à trouver les faiblesses des systèmes informatiques : il s'applique maintenant de plus en plus à ceux qui s'infiltrent sans l'autorisation des propriétaires.

 

L'article distingue trois couches : les amateurs, les commerciaux et les professionnels liés aux gouvernements.

  • L'exemple qu'il donne dans la catégorie "amateurs" est Anonymous. Ils sont les plus connus mais pas nécessairement les plus sophistiqués. Charles Arthur, l'auteur de l'article, estime qu'ils sont moins compétents qu'ils ne croient. Et j'ajoute qu'ils ont un côté Robin des bois qui peut plaire.
  • Le deuxième groupe est composé de ceux qui attaquent les systèmes informatiques pour en tirer des informations - genre numéro de cartes de crédit et mots de passe - qu'ils vendent. C'est une source considérable de revenus.
  • Le problème le plus sérieux vient des hackers les plus compétents qui travaillent souvent pour des gouvernements, voir pour leurs forces armées ou leurs services d'intelligence comme la National Security Agency des Etats-Unis, le MI6 britannique ou le Mossad israélien, sans oublier les services français, iraniens, allemands et autres. C'est à eux qu'on doit les attaques les plus destructives comme Stuxnet contre l'Iran ou Red October contre les sites d'information de 39 pays dont nous avons parlé récemment.

 

Je voudrais ajouter, pour terminer, que j'ai été fasciné en faisant ces recherches de découvrir qu'il y a un commerce des "exploits de jour zéro". Certaines entreprises sont spécialisées dans la détection de telles faiblesses et les revendent - souvent au plus offrant - entre 15 mille et 250.000 dollars. Une des plus connues est française et s'appelle Vupen.com. Ils se sont fait connaître en gagnant un concours organisé par Google pour trouver des faiblesses dans Chrome. Mais ils ont refusé le prix de 60.000 dollars en déclarant qu'ils préfèraient réserver l'information pour leurs clients.

 

De fait, selon le site Slate, ils vendent leurs informations à plus de 60 pays qui sont membres ou partenaires de l'OTAN. Mais certains activistes américains les accusent d'être trop laxistes avec ce que l'un d'entre eux appelle "les balles de la Cyberguerre". Il s'agit en fait d'un commerce trop lucratif pour être facile à réglementer.

Envoyez-moi un e-mail lorsque des commentaires sont laissés –

Francis Pisani
@francispisani
Perspectives on innovation, creative cities, and smart citizens. Globe wanderer. Distributed self. Never here. Rhizomantic.

Vous devez être membre de Atelier des médias pour ajouter des commentaires !

Join Atelier des médias

Articles mis en avant

Récemment sur l'atelier

mapote gaye posted blog posts
4 févr.
Mélissa Barra posted a blog post
La Côte d’Ivoire veut s’attaquer aux dysfonctionnements que connaît l’enseignement supérieur public…
18 janv.
Plus...