État Islamique revendique une cyber attaque qui venait d’être attribuée à la Russie


2015-05-21_11h17_05Par Moon of Alabama – Le 9 novembre 2018

Depuis fin 2014, État islamique en Irak et en Syrie dispose de son propre groupe de pirates informatiques. Ce groupe a régulièrement mené des cyberattaques contre des médias et des cibles militaires. Le groupe est devenu connu sous le nom de United Cyber Caliphate (UCC).

Récemment, certains « experts » ont attribué les attaques de l’UCC à la Russie. Ils ont même prétendu que le cyber-califat n’existe pas car il s’agit d’une opération sous fausse bannière russe. Apparaissent maintenant de nouvelles preuves que de telles affirmations sont absurdes.

Les attaques revendiquées par le cyber-califat incluent :

Janvier 2015 – Les comptes Twitter et Youtube de l’U.S. Central Command sont détournés et rempli de messages pro-EI.

Mars 2015 – Une liste de renseignements personnels détaillés concernant des pilotes de l’armée de l’air étatsunienne est mise en ligne.

Avril 2015 – TV5Monde est piratée en direct, les médias sociaux associés à la chaîne sont aussi piratés et défigurés avec le message « Je Suis E.I. ».

Avril 2015 – Le site Web d’un aéroport australien est défiguré par un message posté au nom d’EI.

Août 2015 – Une base de données appartenant à l’armée étasunienne est piratée et les données de 1 400 membres de son personnel mises en ligne.

Septembre 2015 – Des courriels secrets du gouvernement britannique sont piratés. Les adresses électroniques des principaux ministres du Cabinet sont publiées.

Avril 2016 – l’UCC pirate avec succès 20 sites Web d’entreprises australiennes, les redirige vers un contenu créé par EI.

Avril 2017 – l’UCC publie une liste de 8 786 personnes à assassiner.

EI a produit du matériel de propagande de haute qualité, des vidéos bien réalisées et a créé ses propres magazines sur papier glacé. Atteindre ce niveau nécessite des experts en informatique. Il n’est donc pas étonnant d’apprendre que des pirates informatiques ont rejoint le groupe et travaillé avec son équipe média. Du point de vue d’EI, les attaques susmentionnées ont toutes un sens. Il n’y a aucune raison de douter des revendications d’EI.

Mais l’absurdité de la « menace russe » est passée sur le devant de la scène. Soudain, toutes les attaques informatiques présumées, y compris celles menées par le cyber-califat, ont été attribuées à la Russie :

Des pirates russes liés au Kremlin pourraient être à l’origine de l’une des plus grandes attaques menées à ce jour contre une chaine télévisée, attaque qui a interrompu les émissions de la chaîne française TV5Monde en avril dernier, selon des sources proches de l’enquête menée par la France.

Des pirates informatiques prétendant être des partisans d’État islamique ont fait en sorte que les 11 chaînes de la chaîne publique cessent temporairement d’émettre et ont affiché des messages sur leurs réseaux sociaux pour protester contre l’action militaire française en Irak.

La société américaine de cybersécurité FireEye, qui a parfois aidé les autorités françaises, a déclaré mercredi qu’elle pensait que l’attaque venait d’un groupuscule russe soupçonné de travailler avec le pouvoir exécutif russe.

L’information sur l’attaque de TV5 a été publiée sur un site Web identifié comme faisant partie du « cyber-califat », une référence à État islamique.

Mais le site est hébergé sur le même bloc d’adresses IP et utilise le même serveur de noms de domaine que le groupe appelé APT28 par FireEye et Pawn Storm par Trend Micro, une autre grande société de sécurité.

Des affirmations similaires ont été faites au sujet d’autres attaques qu’EI avait elle-même revendiquées. « C’est les Russes qui l’ont fait ! » ont aboyé plusieurs sociétés de cybersécurité, menteuses comme des arracheurs de dent.

Rapidement, il a même été rajouté que le cyber-califat n’existait en fait pas du tout :

Le cyber-califat est une opération du renseignement russe travaillant sur ce que les espions appellent un découpage.

Les agences secrètes américaines, dont la National Security Agency, qui contrôle le cyberespionnage américain et travaille en étroite collaboration avec CYBERCOM, sont parvenues à des conclusions similaires : « APT 28 est le renseignement russe, c’est aussi simple que cela », m’a expliqué récemment un expert de la NSA.

En d’autres termes, le cyber-califat est une opération russe sous fausse bannière.

Les arracheurs de dent et l’auteur de l’article précédent confondent (intentionnellement) méthodes et acteurs. L’ATP (Advance Persistent Threat) numéro 28 décrit une certaine ligne de conduite à suivre lors d’un piratage. C’est une méthode bien connue qui peut être identifiée jusqu’à un certain niveau. Mais si on peut reconnaître la méthode, on ne peut pas identifier les personnes qui l’utilisent.

Si un voleur a déjà utilisé une barre à mine pour ouvrir une fenêtre, d’autres cambriolages utilisant une méthode similaire ont pu être effectués par la même personne. Ou peut-être pas. Un autre voleur aurait pu utiliser la même méthode. Le propriétaire de la maison pourrait même l’utiliser lui-même pour escroquer son assurance. La méthode n’identifie pas l’auteur.

Ainsi, l’utilisation de certains outils et méthodes pour pénétrer dans un ordinateur ne dit pas qui est le pirate. ATP 28 n’est pas russe. Ces outils et méthodes sont connus du public. Un email de spearphishing est envoyé à la cible. Lorsque le destinataire clique sur un lien dans cet e-mail, un logiciel malveillant est lancé qui crée une porte dérobée dans l’ordinateur cible. N’importe qui peut trouver de tels outils en ligne et lancer une telle attaque. L’attribution souvent revendiquée de l’ATPxyz à la Russie a toujours été et est toujours une totale absurdité.

Il existe aussi de nouvelles preuves que le cyber califat existe bel et bien.

Il y a quelques jours, une agence de presse affiliée à EI publiait la nécrologie d’un hacker canadien qui travaillait pour EI. La Gazette de Montréal rapporte :

Un média lié à État islamique affirme qu’un Canadien est à l’origine des cyberattaques les plus médiatisées du groupe terroriste, y compris l’embarrassante prise de contrôle du compte Twitter du Central Command de l’armée américaine.

Le combattant canadien, qui aurait été tué par un drone en Syrie, aurait également pénétré dans les ordinateurs des banques et utilisé le « butin » pour financer ses combats et pirater le ministère américain de la Défense, les aéroports, les médias internationaux et les comptes de « centaines » de soldats américains.

L’homme, né à Toronto, a « réussi à apporter des victoires bénies au Califat en lançant des attaques électroniques qui ont donné le gout de la défaite et de l’échec aux ennemis », selon l’avis [émis en langue arabe] .

L’avis de « martyr » publié par la Fondation Al-Muhajireen, un média ayant des liens connus avec EI, identifie le pirate jihadiste canadien par son surnom : Abu Osama Al-Kanadi.

L’annonce indique qu’Al-Kanadi était devenu l’un des meilleurs informaticiens d’EI et fait l’éloge de ses exploits en ligne au sein de la Cyber Armée du Califat.

Abu Osama Al-Kanadi ne sonne pas vraiment russe. De même, aucun des piratages que le cyber-califat a revendiqué n’a été utile à la Russie de quelque façon que ce soit.

Mais le mal est fait. Aucun de ces « experts » ayant prétendu que la Russie était derrière les attaques du cyber-califat ne rétractera ses affirmations ni n’effacera ses articles.  Il n’y aura pas non plus de correction dans les médias, qui vont au contraire répéter leurs absurdités.

Le message est clair : la Russie est vilaine. Chaque piratage est le fait de la Russie. La Russie est l’ennemi. N’oubliez jamais cela.

Stephen McIntyre

Traduit par Wayan, relu par jj pour le Saker Francophone

   Envoyer l'article en PDF