En théorie, tout site constitue une cible potentielle: cela va du site d’une association au portail d’une grande entreprise, en passant par la boutique en ligne d’une PME. Bien souvent, il est impossible de savoir pourquoi tel ou tel site a subi un piratage. Les attaques ne visent quasiment jamais l’exploitant du site en personne: elles ont lieu parce que la cible s’y prêtait particulièrement bien. Les cybercriminels analysent le Web de manière systématique et souvent automatisée à la recherche de sites qui présentent des vulnérabilités ou des failles de sécurité. De cette façon, ils repèrent les cibles les plus faciles ou particulièrement lucratives.
Un piratage peut avoir des conséquences fatales. Il est déjà arrivé que certaines entreprises subissent des dommages financiers les ayant menées à la faillite. Pour les personnes privées, les répercussions peuvent aller de la révélation d’informations au public jusqu’au préjudice existentiel.
Tous les piratages ne se ressemblent pas
Il convient tout d’abord de préciser que le terme de piratage (ou hacking en anglais) peut avoir différentes significations. Il existe plusieurs sortes de pirates. Le public en a souvent une vision très stéréotypée, liée en général aux personnages de «hacker» qui peuplent la pop-culture: un homme ou une femme qui porte des vêtements sombres, une capuche, des lunettes de soleil, et qui saisit frénétiquement du code sur un clavier d’ordinateur au fond d’une cave secrète. En réalité, la culture du hacking est très hétérogène dans la communauté des programmeurs et des spécialistes IT. Il existe ainsi des hackers professionnels qui travaillent dans le domaine de la cybersécurité pour détecter les vulnérabilités avant que les criminels ne le fassent: ce sont les «white hats» (chapeaux blancs) ou pirates éthiques.
Dans la suite de cet article, nous nous intéresserons toutefois à la face sombre du piratage motivé par des intentions criminelles à l’encontre de sites web. Là encore, il existe plusieurs approches. Toutes les attaques n’ont pas la même finalité et ne suivent pas le même mode opératoire.
Souvent, les criminels piratent un site afin de l’utiliser de manière abusive pour envoyer des spams, réaliser des attaques DDoS (attaques par déni de service distribuées) ou du phishing (hameçonnage). Dans d’autres cas, les pirates cachent un logiciel malveillant (malware) sur le site afin de le propager ensuite par l’intermédiaire des internautes qui ignorent le danger encouru. Malheureusement, il arrive souvent aussi que le piratage serve à se procurer des données sensibles en vue de les revendre illégalement (par exemple sur le Darknet).
Outre ces différents cas, il existe encore d’autres formes de piratage. Par exemple, un site peut faire l’objet d’une défiguration intentionnelle (on parle de défacement) à des fins de propagande, de démonstration de pouvoir, par simple jeu ou pour d’autres motifs. Les situations de ce genre se produisaient essentiellement à l’époque où le piratage ne donnait pas encore lieu à un commerce criminel. Mais pour les groupes de cybercriminels organisés, elles manquent fondamentalement de lucrativité.
Sur le plan juridique, tout acte de piratage criminel à l’encontre de sites web suisses relève de l’une au moins des trois infractions suivantes au Code pénal suisse:
- Soustraction de données (Art. 143)
- Accès indu à un système informatique (Art. 143bis)
- Détérioration de données (Art. 144bis)
Il n’est pas rare que les auteurs des attaques se rendent également coupables d’autres délits comme l’escroquerie (Art. 146 CP), l’extorsion et le chantage (Art. 156 CP) ou le blanchiment d’argent (Art. 305bis CP).
Attaques de pirates en Suisse: des chiffres en augmentation
Pour l’année 2021, la Statistique policière de la criminalité publiée par l’Office fédéral de la statistique faisait état d’un total de 1950 cas relevant de l’une de ces trois infractions et correspondant manifestement à un mode opératoire «cyber» (par voie numérique).
Infraction | Total | dont avec un cyber-modus | Proportion |
---|---|---|---|
Soustraction de données (Art. 143) | 988 | 713 | 72,2% |
Accès indu à un système informatique (Art. 143bis) | 805 | 551 | 68,4% |
Détérioration de données (Art. 144bis) | 756 | 686 | 90,7% |
Nombre d’infractions en rapport avec le piratage au cours de l’année 2021. Représentation simplifiée basée sur la Statistique policière de la criminalité 2021 (source: bfs.admin.ch)
Dans une étude très suivie commandée par le magazine «Beobachter» et publiée par celui-ci en octobre 2021 (en allemand), Recorded Future, le fournisseur américain de renseignements pour la cybersécurité, avance même le chiffre de 4799 attaques menées par des pirates à l’encontre d’adresses IP suisses au cours des cinq dernières années. L’étude précise que plus de la moitié des cas ont eu lieu pendant la seule période d’août 2020 à août 2021.
Selon les experts, ces cas concerneraient toutefois exclusivement des vols de données à des fins de revente sur le Darknet. Face à une demande de rançon, de nombreuses entreprises réagissent en payant simplement la somme demandée. Il est donc difficile d’obtenir une analyse ou une estimation quantitative exacte de ce genre de cas.
La plateforme d’actualités watson.ch a récemment publié un article (en allemand) comprenant une liste chronologique des cas de piratage dirigés vers des entreprises et des collectivités suisses en 2021. Toujours selon watson.ch, on dénombre déjà de nombreuses attaques de pirates à l’encontre d’entreprises et d’administrations suisses cette année.
Que veulent les pirates et comment procèdent-ils?
Intéressons-nous à présent aux buts des pirates qui attaquent un site. En cas de phishing ou de propagation d’un logiciel malveillant, le piratage doit rester le plus longtemps possible indétectable afin de générer un maximum de dommages. Ce sont alors plutôt les petits sites qui sont visés car ils sont généralement moins bien protégés, leurs exploitants mettent plus de temps à détecter les attaques et les actes criminels passent donc plus longtemps inaperçus. Les pirates procèdent souvent en installant un «web shell» (code encoquillé) sur le serveur du site web qu’ils attaquent, ce qui leur permet d’accéder à distance (parfois pendant de longues périodes) à tous les systèmes qui composent le réseau de la victime.
Malheureusement, les plugins ou les thèmes obsolètes servent fréquemment de point d’entrée aux pirates pour leurs actes malveillants. Si vous n’actualisez pas régulièrement les plugins et les thèmes, vous ouvrez une voie d’accès idéale aux criminels. Mais les plugins et les thèmes ne constituent pas les seuls points critiques. Dans certains cas plus rares, une version obsolète du noyau de votre système de gestion de contenu (CMS – Content Management System) peut représenter la faille si vous n’avez pas effectué les mises à jour de sécurité appropriées ou si vous avez conservé les anciennes versions non actualisées en guise de sauvegardes sur le serveur web.
Comment les autorités font-elles face?
Le chemin des poursuites pénales pour des cyberattaques de type phishing est généralement semé d’embûches car il est difficile de remonter jusqu’aux auteurs des infractions. Toutefois, un certain nombre de corps de police et d’autorités fédérales disposent de services dédiés à la cybercriminalité et travaillent assidument et méticuleusement sur les cas suspects.
Le Centre national pour la cybersécurité (NCSC) agit en tant que correspondant et centre de compétences de la Confédération en matière de cybersécurité. Le NCSC (anciennement «MELANI») est responsable du déploiement de la Stratégie nationale de protection de la Suisse contre les cyberrisques.
Le Conseil fédéral a tout récemment ouvert une consultation relative à l’introduction d’une obligation de signaler les cyberattaques. L’avant-projet de loi prévoit que toute attaque recelant un potentiel important de dommages devra obligatoirement faire l’objet d’un signalement au Centre national pour la cybersécurité (NCSC). Il introduit également l’obligation pour La Confédération de fournir une assistance en cas de cyberattaque. Le NCSC sera chargé d’avertir le public des cybermenaces et de le sensibiliser aux cyberrisques, mais aussi de soutenir les exploitants d’infrastructures critiques en les aidant, le cas échéant, à gérer les cyberincidents.
Mises à jour et maintenance régulières: la meilleure protection contre le piratage
Ces dernières années, la sensibilisation du public aux questions de cybercriminalité, et plus spécialement au problème du phishing, a manifestement progressé et l’on peut se réjouir que les internautes se montrent de plus en plus prudents. Malheureusement, il faut souvent avoir été soi-même victime d’une attaque une première fois pour prendre conscience du danger réel. En outre, il reste encore beaucoup d’exploitants de sites, de webmasters, de webdesigners ou d’agences digitales qui font de mauvais choix en matière de sécurité. Une fois terminée la conception de leur site, nombre d’entre eux se préoccupent trop peu de maintenance et de sécurité. Chacun devrait pourtant saisir d’emblée l’importance de veiller à la sécurité de son site.
Info
Vous trouverez des informations et conseils utiles à propos de la prévention des attaques de pirates sur votre site web dans la première partie de notre série d’articles sur ce sujet ou dans notre Centre d’assistance et sur les sites du Centre national pour la cybersécurité (NCSC), de la Prévention Suisse de la criminalité (PSC) ou de la Swiss Internet Security Alliance (iBarry).
Signaler des cas de piratage au NCSC à l’adresse suivante: https://www.report.ncsc.admin.ch/fr/