BFM Business

Cyberattaques islamistes: comment les sites français doivent se protéger

Des écrans de contrôle au centre opérationnel de l\'ANSSI.

Des écrans de contrôle au centre opérationnel de l\'ANSSI. - Marie Jung

Ces derniers jours, le nombre de sites web français subissant des attaques par déni de service ou des défigurations a explosé. L'Anssi propose deux fiches pratiques pour aider à se prémunir de ce type de piratage puis à y faire face.

Depuis les événements de la semaine dernière, une vague de piratages s’est abattue sur les sites web français. Les attaquants cherchent avant tout à rendre indisponible des sites institutionnels français. Ils se sont regroupés sous le nom "OpFrance".

Pour aider les éditeurs de site web à se prémunir contre de telles attaques et à réagir quand elles arrivent, l’Anssi (Agence nationale de la sécurité des systèmes d’information) vient de publier deux fiches accessibles en ligne: une fiche de bonnes pratiques en cybersécurité et une fiche d’information sur les attaques de sites institutionnels.

La très grande majorité de ces attaques sont soit des défigurations des sites (pour diffuser des messages à la place du contenu habituel du site), ou des dénis de service (DDoS pour bloquer l’accès au site).

Que faire dans le cas d’une défiguration de site ?

Dans le premier cas, les attaquants exploitent les failles de sécurité des sites. La première chose à faire est de signaler immédiatement l’attaque (ou la tentative d’attaque) au DSI (directeur des systèmes d’information) ou, dans le secteur public, au FSSI (Fonctionnaire de sécurité des systèmes d’information) concernés. Lorsqu’ils ne sont pas joignables, il est toujours possible de s’adresser au centre opérationnel de l’Anssi situé Tour Mercure à Paris.

Ensuite, les entreprises doivent collecter l’ensemble des éléments concernant l’attaque (journaux, captures réseaux, copie de disques). Ces traces sont à conserver pour faciliter le dépôt de plainte. Enfin, la faille doit être recherchée, trouvée puis corrigée. Cela parait évident, mais l’Anssi prend la peine de le préciser dans sa documentation : "en aucun cas la restauration d’une sauvegarde ou la suppression de l’élément ajouté/modifié ne pourra être considérée comme étant une réponse adaptée". Autrement dit, inutile de vous contenter de tout réinstaller, si vous ne mettez pas à jour votre outil de gestion de contenu (CMS) ou toute autre brique logicielle utilisée, vous risquez d’être de nouveau attaqué rapidement.

Cette évidence ne doit donc pas en être une pour tout le monde. Pour aller plus loin, l’Anssi propose d’autres documents sur son site web.

Que faire dans le cas d’une attaque par déni de service ?

Dans le cas d’une attaque DDoS, avant de réagir, il faut déterminer ce qui pose problème que ce soit un lien réseau ou une application. Il s’agit ensuite d’identifier les protocoles utilisés, puis d’où provient l’attaque et enfin un critère permettant de distinguer le trafic web légitime du trafic web lié à l’attaque DDoS. Une fois tous ces éléments rassemblés, il est temps de réagir.

Parmi toutes les actions proposées par l’Anssi, on notera le filtrage du trafic au niveau de l’opérateur, le blocage des adresses IP à l’origine de l’attaque ou encore le changement d’un site web dynamique en site statique si le problème vient d’une application web. Comme dans le cas d’une attaque par défiguration de site, l’Anssi met à disposition d’autres documents.

Marie Jung