Close
  • Français
  • English

14/02/2013Le piratage du New-York Times – mode opératoire et enjeux [Par Maxence Even, CEIS]

Début 2013, le New York Times découvrait la présence d’un logiciel malveillant au sein de son système informatique. Le réseau du quotidien américain a en effet été pénétré et surveillé pendant près de quatre mois, les mots de passe d’employés et journalistes ont été dérobés et utilisés pour soustraire quantité d’informations internes au journal.

Les hackers ont pu accéder au réseau du New York Times, dérober les mots de passes des employés et journalistes du journal, et ainsi installer des logiciels malveillant sur les ordinateurs de personnes d’intérêt, siphonnant quantité d’informations, et ce pendant plusieurs mois. Le New York Times n’est pas le seul journal à avoir été la cible de ces attaques puisque peu après, l’agence Bloomberg, puis le Wall Street Journal et le Washington Post ont également déclaré avoir été les cibles de cyberattaques, constatant que leurs ordinateurs communiquaient avec la Chine[1]. Le spectre de ces opérations de surveillance inclurait même le réseau social Twitter, qui a été la cible d’une attaque ayant pour conséquence le vol d’identifiants et de mots de passes de 250,000 utilisateurs parmi les plus anciens et actifs du site.  Ont été visés des utilisateurs renommés tels que des politiques américains (dont le président Barack Obama, le vice-président Joe Biden et le président de la Chambre des représentants John Boehner), des journalistes influents (Nick Bilton du NYTimes, Chris Hayes de la MSNBC, John Dickerson de la CBS) et des bloggeurs chinois ou traitant de la Chine (Michael Anti, Isaac Mao et Bill Bishop)[2].

Ces attaques coïncident avec la publication d’une enquête menée par le journaliste du New York Times David Barboza sur la fortune colossale du premier ministre chinois Wen Jiabao et de ses proches, enquête qui avait suscité l’indignation des autorités chinoises, promettant des conséquences. Les journalistes du New York Times s’étaient ainsi vus refuser l’accès au 18e congrès du Parti Communiste Chinois et le site en chinois du quotidien avait été bloqué. Des représailles qui confortent l’hypothèse d’une origine chinoise de l’attaque sur le New York Times, d’autant que les méthodes de couverture utilisées par les hackers rappellent des méthodes précédemment utilisées par l’armée chinoise (cf. encadré ci-dessous), et que le traçage de l’attaque par des experts en sécurité ramène à des ordinateurs basés en Chine. Mais c’est surtout le contenu visé par l’attaque qui a invité le New York Times à accuser la Chine, et précisément les autorités chinoises. En effet les hackers semblaient rechercher les sources de l’enquête de David Barboza, mais également des mails et documents sur les activistes tibétains, les industries de défense, les ambassades étrangères, ainsi que des think tanks et journalistes ; des informations à faible valeur commerciale, mais hautement stratégiques.

Le ministre de la Défense chinois a balayé ces accusations, affirmant que la loi chinoise interdit toute mesure de piratage portant atteinte à la sécurité d’internet, et qu’accuser l’armée chinoise de mener des cyberattaques sans en avoir de preuve solide constitue un manque de professionnalisme.

[box style=’doc’] Le mode opératoire des pirates :

Les hackers ont initié leur attaque par une simple technique de phishing, leur permettant d’introduire dans le système du New York Times un logiciel malveillant destiné à récupérer les mots de passe d’employés et journalistes. 53 ordinateurs ont ainsi été surveillés, dont celui du chef de bureau de Shanghaï David Barboza et de l’ancien chef du bureau de Pékin Jim Yardley. Les hackers ont tenté de masquer leur origine en redirigeant leurs attaques depuis des universités américaines ; méthode qui avait déjà été observée lors de précédentes attaques de l’armée chinoise[4]. Le contenu recherché semblait concerner les sources de l’enquête de David Barboza sur la fortune de Wen Jiabao, mais répondait également à une volonté de surveiller et anticiper le traitement médiatique des affaires chinoises par les journaux occidentaux, ce qui conforte l’hypothèse d’une source non-criminelle. Dans un article, ZDnet soulevait les éventuelles défaillances de la solution de Symantec – l’antivirus n’ayant, selon les faits rapportés, détecté qu’un des 46 virus mis en cause[5]. [/box]

[box style=’error’] Suite à cette analyse de ZDnet, vous trouverez ci-dessous le communiqué officiel de Symantec :

“Les attaques complexes telles que celle que décrit le New York Times dans son article soulignent l’importance que revêt l’utilisation à pleine capacité des solutions de sécurité pour les sociétés, les Etats et les particuliers. Les fonctionnalités avancées de nos solutions de protection des postes de travail, qui intègrent notre technologie unique basée sur la réputation et le blocage de comportement, ciblent spécifiquement les attaques sophistiquées. N’activer que les capacités de détection basées sur les signatures uniquement au sein des solutions de protection des postes de travail n’est pas suffisant dans un environnement où les attaques et menaces sont en évolution permanente. Nous encourageons nos clients à mettre en place de façon très agressive des solutions qui offrent une approche mixte de la sécurité. Un logiciel anti-virus n’est pas suffisant”.

 [/box]

Afin de se donner davantage de capacités de réaction mais surtout d’anticipation de ces cyberattaques de plus en plus marquantes et récurrentes, les Etats-Unis se sont dotés d’une réglementation secrète autorisant les attaques préemptives en cas de menace crédible, imminente et tangible d’une cyberattaque majeure émanant de l’étranger. Cette mesure est perçue par certains comme un avertissement envoyé à la Chine, dont les réticences à contrôler ses pirates pousseraient les Etats-Unis à recourir à des solutions plus musclées pour garantir l’intégrité de ses infrastructures numériques[6].

________
Source :

[1] Libération, « Des taupes chinoises dans les canards américains »
[2] Forbes, « Twitter Hack Mostly Hit Early-Adopter, Well-Connected Users (And Probably President Obama ».
[3] Foreign Policy, « The People’s Republic of Hacking ».
[4] New York Times, « Hackers in China Attacked The Times for Last 4 Months ».
[5] ZDNet, « Le New York Times piraté et Symantec n’a rien vu, mais se défend.
[6] New York Times, « Broad Powers Seen for Obama in Cyberstrikes ».