« Il y a eu une cyberattaque massive visant à faire tomber X, avec des adresses IP localisées dans la région de l’Ukraine ». C’est ce qu’indiquait Elon Musk, patron de X, au micro de Larry Kudlow, sur Fox Business, ce lundi 10 mars, commentant les indisponibilités de son réseau social, tout au long de la journée. Des propos qui lui ont valu une volée de bois vert.
L’incident s’est produit dans un contexte de grave détérioration des relations entre l’Ukraine et les États-Unis, et quelques jours seulement après que l’US Cyber Command, l’unité cybernétique militaire offensive et défensive du pays, a suspendu ses opérations offensives contre la Russie, dans le cadre d’une réduction significative de ses effectifs.
Les responsables ukrainiens se sont empressés de réfuter l’idée que Kiev était à l’origine de la cyberattaque. Lors d’un entretien avec la BBC, l’ancien directeur du Centre national de cybersécurité, Ciaran Martin, a qualifié les accusations d’Elon Musk de peu convaincantes et d’« à peu près nulles ».
Pour Ciaran Martin, il est difficile de trouver une organisation de l’envergure de X qui aurait été aussi durement touchée par un tel incident au cours des dernières années. Selon lui, l’incident ne donne pas une bonne image de la cyber-résilience de la plateforme en général.
Lors d’une attaque DDoS, des acteurs malveillants bombardent un serveur avec du trafic réseau indésirable pour le submerger, le mettre hors ligne et empêcher les utilisateurs légitimes d’y accéder.
Ces formes brutes de cyberattaque sont bien connues et relativement courantes – elles constituent souvent un élément clé des actions hacktivistes en raison de leur accessibilité – ce qui, à première vue, confère un certain degré de crédibilité aux affirmations d’Elon Musk.
Cependant, les attaques DDoS sont lancées via des réseaux géographiquement dispersés d’ordinateurs et d’autres appareils qui ont été cooptés dans des botnets à l’insu de leur propriétaire. Il est donc très difficile de localiser avec précision les individus qui en sont responsables – à compter en plus que le botnet impliqué n’ait pas été loué à un tiers par son opérateur pour mener l’attaque.
Tom Parker, auteur spécialisé dans la cybersécurité et directeur de la technologie chez NetSPI, a déclaré que l’ampleur de l’attaque suggérait fortement l’implication d’un acteur sophistiqué, mais qu’il était important de comprendre qu’il est « notoirement difficile » d’attribuer avec précision les incidents de type DDoS.
« Ces adversaires sont très habiles à dissimuler leurs traces. Nous devons être extrêmement prudents avant de pointer du doigt sans disposer de preuves claires et convaincantes démontrant la capacité, le motif et le bénéfice probable pour la partie impliquée », a déclaré Tom Parker à nos confrères de Computer Weekly. En outre, « malgré les événements récents, je pense que l’Ukraine cherche toujours à entretenir des relations plus positives avec les États-Unis, ce qui rend peu probable le bien-fondé des allégations de son implication. Le scénario semble plutôt correspondre à une opération “false flag” délibérément conçue pour impliquer l’Ukraine ».
« Comme nous le voyons souvent dans ces situations complexes, l’explication la plus simple n’est pas toujours la bonne, et tirer des conclusions prématurées peut nous égarer », juge enfin Tom Parker.
Un groupe propalestien
Pour donner plus de poids aux arguments contre Musk, un groupe hacktiviste propalestinien connu sous le nom de Dark Storm Team a ensuite affirmé via Telegram être à l’origine de l’incident.
Un compte sur la plateforme de médias sociaux Bluesky, prétendant être associé à ce groupe et semblant avoir des liens avec le collectif Anonymous, a décrit l’attaque DDoS comme une protestation pacifique et a déclaré que les attaques se poursuivraient.
Pour Jake Moore, conseiller mondial en cybersécurité chez ESET, cela n’a rien de bien surprenant : « les cybercriminels attaquent sous tous les angles et sont incroyablement intrépides dans leurs tentatives. Qu’elles soient dirigées par des groupes motivés politiquement ou des gangs à motivation financière, les attaques DDoS sont un moyen astucieux de cibler un site web sans avoir à pirater l’ordinateur central, ce qui permet aux auteurs de rester largement anonymes et difficiles à pointer du doigt ».
Et de souligner que « cela rend également d’autant plus difficile de se protéger, à part le fait d’avoir une protection générique contre les DDoS. Cependant, même avec une telle protection, les acteurs malveillants se renforcent chaque année et utilisent encore plus d’adresses IP telles que les dispositifs IoT domestiques pour inonder les systèmes, ce qui rend la protection de plus en plus difficile ».
Mais un défaut de configuration n’aide pas. Selon le chercheur en sécurité Kevin Beaumont, X a en fait été victime d’un botnet dérivé de Mirai, ayant visé spécifiquement un nœud réseau (ASN) de Twitter qui exposait directement sur Internet des serveurs du réseau social. De quoi contourner les protections offertes par CloudFlare.
Plus de détails sur l’article original.