Panique sur les autoroutes mondiales de l’information : dans la nuit du vendredi 22 au samedi 23 février, une dépêche de l’Agence France-Presse se fait l’écho d’une « attaque massive », « inédite », « en cours » contre « l’Internet mondial ».

Dans le week-end qui suit, de nombreux médias ont repris à leur compte la nouvelle de ce prétendu cataclysme numérique, jusqu’au secrétaire d’Etat au numérique français, Mounir Mahjoubi. Sur le plateau de CNews, lundi matin 25 février, il a expliqué : « Ce que les pirates ont réussi à faire est quelque chose de très rare. » Sauf que l’attaque n’est ni en cours à proprement parler, ni inédite, ni massive.

Pourquoi c’est plus compliqué

Tout part d’un communiqué de l’Icann, organisme américain gestionnaire d’Internet et des noms de domaine, publié vendredi 22 février et qui recommande l’adoption d’un mécanisme de sécurité (le « domain name system security extensions », ou DNSSEC). Ce dernier est destiné à protéger le système (le DNS) qui garantit qu’un internaute saisissant l’adresse d’un site dans son navigateur – par exemple : « lemonde.fr » – arrive bien sur un serveur géré par les équipes techniques du site en question.

Dans son message, l’Icann ne parle pas d’une attaque en cours, se déroulant sous ses yeux impuissants, mais fait référence à un « risque ». Son message est surtout destiné à promouvoir le DNSSEC, que les gestionnaires de noms de domaine renâclent trop souvent à mettre en place. Ce système permet pourtant de mieux sécuriser cette infrastructure critique d’Internet.

Ces recommandations de l’Icann ne viennent pas de nulle part. Ces dernières semaines, le gouvernement américain et plusieurs entreprises spécialisées (comme FireEye et Talos) ont effectivement documenté, pour certaines dès le mois de novembre 2018, une campagne d’attaques visant les systèmes DNS de nombreuses organisations.

Cette opération et le groupe professionnel bien organisé qui l’a réalisée ont remis en lumière ce type d’attaques contre les systèmes DNS. Ils demeurent une cible de choix pour des pirates : en prenant le contrôle, il est possible de récupérer des informations de tout type (des données bancaires via le site imitant celui d’une banque, des e-mails en détournant à son profit les messages adressés à une organisation donnée…).

A aucun moment, en revanche, l’Icann ne parle d’attaques inédites dans son communiqué du 22 février. Des attaques de ce type, qui permettent de faire en sorte qu’un nom de domaine ne corresponde plus aux serveurs du site qu’il est censé afficher, remontent à plusieurs années déjà. En 2013, un groupe de pirates fidèles au régime de Damas avait réussi à afficher une page de propagande au lieu du site web du New York Times. Lorsque les internautes tapaient « nytimes.com », ils parvenaient sur une page web tenue par des soutiens du dirigeant syrien Bachar Al-Assad. Ces dernières années, plusieurs groupes de pirates informatiques soutenus par des Etats ont eu recours, dans leur panoplie, à ce type d’attaque.