Plantage de Twitter et Facebook : une cyberattaque russe ?

Des millions d’utilisateurs de Twitter en rade et Facebook qui ne marche guère mieux, que s’est-il passé jeudi sur le Net ? Explications.

Twitter Fail (DR)

Pourquoi les sites ont disparu ?

Il était 15 heures à Paris lorsque Twitter a disparu de l’écran. Quelques heures plus tard, Twitter annonçait avoir été victime d’un DoS, un Denial of Service attack ou attaque par déni de service.

Au lieu de chercher la faille d’un système pour l’attaquer, les nouveaux pirates bombardent un site de requêtes pour faire tomber ses serveurs informatiques. Un serveur ne peut en effet répondre qu’à à un nombre limité de demandes avant saturation.

Il ne faut pas imaginer des dizaines de milliers de personnes cliquant sur un site. Le système est plus perfectionné et peut être piloté par un seul individu. Pour cela, il faut mettre en place un botnet. Le pirate infecte des milliers d’ordinateurs qui deviennent des machines zombies. Ce sont ces zombies qui envoient, malgré eux, des requêtes là où le pirate leur commande de le faire.

Pour Colin, informaticien à Rue89, il est difficile pour l’internaute moyen de s’aperçevoir que son ordinateur est un zombie. Les administrateurs des sites victimes de DOS ont eux-même du mal à localiser l’origine de l’attaque :

« C’est difficile pour un site de faire face à une telle attaque parce que les requêtes arrivent d’endroits différents. Il est difficile de distinguer les bonnes des malveillantes. »

Des attaques de zombies courantes et bon marché

Selon lui, ces attaques sont très courantes mais pas toujours aussi spectaculaires. L’une des utilisations les plus courantes des botnets est l’envoi de spams :

« Certaines boîtes, illégales, ou individus sont payés pour faire de l’envoi massif de spams ou louer à disposition leur botnet dans un objectif d’agression. Il faut environ 50 euros pour envoyer des millions de spams. »

Le degré de nuisance d’un botnet dépend du nombre d’ordinateurs infectés. 10 000 ordinateurs peuvent suffir à saturer un site important mais le plus important, le botnet storm, a contaminé jusqu’à un million de sytèmes. « Attention, il s’agit d’estimations », souligne Colin Vérot.

La Russie est-elle derrière ce piratage ?

Le compte Twitter de Cyxymu (DR)

Selon Max Kelly, le responsable sécurité de Facebook, cité par Cnet, cette opération visait un seul internaute, membre de Facebook, de Twitter, YouTube et des plateformes de blogs LiveJournal et Google’s Blogger :

« Cette attaque simultanée sur plusieurs sites où il a ouvert des comptes avait pour objectif de faire taire sa voix. »

La victime serait un Géorgien répondant au nom de Cyxymu ou Soukhoumi, la capitale de l’Abkhazie, région autonome de Géorgie, autoproclamée république indépendante en 1992, reconnue comme telle par la Russie.

Très hostile au Kremlin, Georgy, 34 ans, est actif dans la blogosphère depuis trois ans. Son blog a déjà été piraté en décembre 2008. Interrogé par le Guardian, il accuse la Russie d’être derrière le piratage de ses comptes :

« Je n’imaginais pas que ça pouvait me viser, je ne suis pas vraiment un blogueur connu. Ça a commencé quand des milliers de spams usurpant mon identité ont été envoyés partout dans le monde pour proposer aux gens de cliquer sur mon blog. »

La cyberguerre, très pratiquée en Russie

Son blog, toujours inaccessible, traite essentiellement de sujets politiques. Son dernier article concernant l’Abkhazie date du 5 août, la veille de l’attaque. Cyxymu y critiquait une nouvelle loi accordant la citoyenneté abkhaze à 50000 Géorgiens d’Abkhazie.

Le coupable ? Personne ne s’avance, même si Cyxymu accuse « le KGB » sur Twitter. Selon Bill Woodcock, un expert cité par le New York Times, l’attaque est localisée en Abkhazie.

Twitter admet que le piratage du site « semble avoir une motivation géopolitique » mais ne veut guère spéculer avant d’avoir obtenu plus d’informations.

Cette affaire, dont on ignore si elle est vraiment liée à l’Abkhazie, propulse la blogosphère et les pirates du Caucase sur le devant de la scène. Les cyberattaques dans cette région sont très courantes.

En 2008 déjà, lors de la guerre entre la Géorgie et la Russie, Tbilissi avait signalé la saturation des serveurs d’une centaines de sites. Des millions de mails offensifs ont ainsi bloqué les sites gouvernementaux, dont celui du Président, des sites de médias et de banques.

LiveJournal, qui héberge le blog de Cyxymu, est très utilisée par la blogosphère russophone. Cette plateforme basée aux Etats-Unis fait régulièrement état d’attaques. GlobalVoices rapportait en 2008 la disparition d’une dizaine de sites russes.

Ces derniers jours, une autre polémique a également agité LiveJournal ; une blogueuse biélorusse Tatsiana Elavaya avait publié une vidéo provocatrice montrant l’assassinat de soldats russes retenus prisonniers par des guérilleros tchétchènes durant la guerre de 1999 en Tchétchénie. Plus de 2000 commentaires ont réclamé la suppression de son blog.

Colin attire l’attention sur le fait que cette attaque contre Twitter, toute impressionnante qu’elle est, n’est pas forcément le fait d’un groupe :

« Il suffit que le bon pirate ait accès au bon botnet pour une action de cette ampleur. Certains pirates agissent par vengeance personnelle. »