Qui est derrière le groupe pro-russe "NoName057(16)", responsable du crash de sites gouvernementaux?

Ce lundi 27 mars 2023, le site de l'Assemblée nationale française était complètement bloqué. À la place, les internautes pouvaient juste voir que l'adresse web était "en maintenance". Mais que l'on ne s'y trompe pas: il ne s'agissait pas du résultat d'une simple opération de routine. Peu après, un collectif de hackers pro-russes, NoName057(16), a revendiqué sur Telegram une attaque visant la chambre parlementaire française. Il ne s'agit pas de leur coup d'essai. Il y a une semaine, les sites internet de plusieurs ministères italiens ont subi le même sort. Ils seraient également responsables d'autres actions du genre réalisées au cours des derniers mois dans les pays baltes, au Danemark, en Finlande, en Pologne, en République tchèque, en Norvège ou encore, sans surprise, en Ukraine. À la longue, ils sont devenus célèbres dans le milieu de la cybercriminalité, les experts tentant de percer à jour leur organisation.

Un maître mot: le DDoS

Ces cybercriminels ne s'en cachent pas: leurs hackings sont systématiquement dirigées contre les pays qui soutiennent Kiev dans le cadre de la guerre en Ukraine. Hier, ils ont par exemple critiqué la France pour avoir donné son appui à ce qu'ils appellent les "néonazis ukrainiens", en accord avec la rhétorique du Kremlin. "C'est un groupe de 'hacktivistes' créé en mars 2022, après le début du conflit en soutien a la Russie, qui fournit des outils pour faire des attaques par déni de service, consistant à saturer des sites Internet pour les bloquer", explique à RTL François Deruty, directeur du renseignement chez Sekoia.

Ce type d'attaque, dit DDoS (Distributed Denial of Service), est le système opératoire qui a été par exemple utilisé ce lundi contre l'Assemblée nationale. Les hackers ont d'abord collecté des informations sur l'infrastructure du site, par exemple via le phishing, pour en identifier les points faibles. Ensuite, ils lancent l'attaque DDoS en tant que telle, avec un grand nombre de requêtes simultanées destinées à saturer les serveurs pendant plusieurs heures. En parallèle, ils font tout pour effacer leurs traces, via des serveurs proxy, le cryptage, l'utilisation de logiciels autodestructibles, etc.

Un groupe lié à Moscou devenu un véritable réseau de hackers

Pour mener de telles actions, il faut donc que les hackers disposent d'un minimum de ressources. Selon le quotidien italien La Repubblica, NoName057(16) serait proche du Service russe des renseignements extérieurs, le SVR. Mais sa puissance ne tient pas qu'à sa proximité avec le Kremlin. Plus globalement, ce collectif a étendu son réseau avec des "cyber-volontaires", leur remettant au passage des récompenses sous forme de cryptomonnaie.

"Pour qu'un groupe de hackers soit puissant, il doit avoir énormément de petites mains pour accomplir des tâches à des niveaux très distincts. Cette ouverture lui a permis d'acquérir beaucoup de pouvoir en peu de temps", confirme à RTL Matthieu Dierick, expert cybersécurité pour l’entreprise F5.

Des opérations au timing réfléchi

Ce dernier précise en outre que l'attaque de ce lundi n'était pas forcément la plus difficile à mener pour ce groupe. "Les sites gouvernementaux français saturent vites. Il suffit généralement d'une centaine de machines pour les bloquer", estime-t-il.

NoName057(16) n'attaque pas non plus n'importe quand. Selon François Deruty, le fait que l'Assemblée nationale soit visée pendant la contestation contre la réforme des retraites n'est pas un hasard. Le but n'est pas de paralyser indéfiniment le système informatique des autorités, le site français étant d'ailleurs rétabli depuis hier, mais de participer au sentiment de chaos qui règne en France. En République tchèque, ils avaient sévi pendant les élections présidentielles en visant la page internet de Petr Pavel, un candidat plus progressiste et critique envers Moscou, depuis élu à la tête de l'État. En Italie, les attaques ont souvent eu lieu après que la présidente du Conseil Georgia Meloni montre publiquement son soutien à Kiev.

Des attaques encore plus agressives par la suite?

NoName057(16) n'est toutefois pas le seul groupe de hackers pro-russes. Il en existe des dizaines et leurs activités sont nombreuses et variées. Ils visent non seulement des sites gouvernementaux mais aussi ceux des banques, des hôpitaux, etc. La semaine dernière, le collectif pro-russe Anonymous Sudan a par exemple visé le site d’Aéroports de Paris et celui de la DGSI, les services de renseignement français.

Comment ces attaques pourraient évoluer à l'avenir? C'est la grande question. Interrogé par l'agence de presse italienne Ansa, Pierluigi Paganini, expert en cybersécurité s'inquiète de voir les prochaines vagues de hacking devenir toujours plus agressives. Il redoute notamment la "croissance alarmante" de certains "botnets", ces groupes d'ordinateurs qui mènent des cyberattaques coordonnées. Il cite par exemple l'apparition d'un nouveau botnet, 'HinanaBot', en début d'année, et la consolidation de deux autres, nommés 'GoBruteforcer' et 'KmsdBot'. "S'ils devaient également être utilisés contre nos organisations, nous pourrions nous retrouver en sérieuses difficultés", prédit-il.