Au cours de l’année écoulée, des hackers de l’EI ou pro-EI, prétendant être associés à l’EI ou agissant en son nom, ont mené des cyberattaques dans le monde entier. Leurs cibles comportaient des médias, organismes gouvernementaux, universités, ONG ainsi que des entreprises, des plus grandes aux plus modestes.
Pendant cette période, il y a également eu un débat sur les capacités cybernétiques de l’EI, autour de la question de savoir s’il cherchait à mener le cyber-djihad contre l’Occident, et des capacités de piratage de ses membres et partisans sur Internet. Si certains analystes de sécurité cybernétique ont tenté de minimiser la signification de ces attaques de l’EI, d’éléments pro-EI, et d’autres se disant affiliés à l’EI, la question de ce type de cyber-attaques est prise très au sérieux par les gouvernements et les organismes chargés de l’application de la loi.
Le FBI a ainsi mis en garde, dans un Communiqué intitulé « Les défacements [modification non sollicitée de la présentation d’un site web] de l’EI exploitent la vulnérabilité de WordPress » le 7 avril 2015, qu’une « série de défacements de sites Internet sont perpétrés par des individus sympathisants de l’État islamique en Irak et au Levant (EIIL), également dénommé L’État islamique en Irak et à Al-Sham (ISIS). Ces défacements ont affecté des opérations de sites Internet et de plateformes de communications de supports médiatiques, d’entités commerciales, d’institutions religieuses, de gouvernements fédéraux, étatiques et locaux, de gouvernements étrangers et d’une variété d’autres sites Internet nationaux et internationaux. Bien que les défacements relèvent d’une sophistication peu élevée, ils sont perturbateurs et souvent coûteux en termes de pertes de revenus et de dépenses de services techniques pour réparer les systèmes informatiques infectés ».
Le directeur du FBI, James Comey, a ajouté lors d’une intervention à l’Institut de droit et de cyber-sécurité de l’université de Georgetown, le 20 mai dernier, que l’EI « s’éveillait » à l’idée d’initier une cyber-attaque contre des infrastructures américaines essentielles, au moyen de logiciels malveillants sophistiqués. « La logique me dit que cela va arriver », a déclaré Comey, ajoutant que l’EI évaluait sa capacité à mener de telles attaques. Au cours des deux dernières années, a-t-il ajouté, une plus grande attention a été portée aux cyber-attaques potentielles contre les États-Unis, et bien qu’il ne les ait pas encore vues, « il est très vraisemblable qu’un logiciel malveillant finisse par atterrir entre les mains des terroristes ». « Un logiciel malveillant est une bombe, et les terroristes veulent obtenir des bombes ». Il a ajouté que, s’il pouvait être difficile pour un terroriste d’entrer physiquement aux États-Unis, ils peuvent le faire sur Internet en un clin d’œil.
Au cours du plus récent piratage, le 11 août 2015, la Division de piratage de l’État islamique (ISHD) a publié ce qu’elle a présenté comme une large collection de noms, courriels, et autres informations sensibles appartenant à des membres de l’armée et du gouvernement américains. Plus tôt cette année, en mars, le même groupe avait « doxxé » [révélé des informations personnelles sur une personne] 100 militaires américains, et en mai 2015, des soldats de l’armée italienne – en twittant des « listes noires » incluant leurs adresses personnelles, numéros de téléphone et photos. En publiant de telles informations sur des soldats américains et leurs familles, ainsi que sur d’autres responsables militaires occidentaux et leurs familles, les hackers de l’EI et pro-EI facilitent – ou même encouragent et recommandent – des attaques de « loups solitaires » contre ces individus.
Parmi les cibles spécifiques de piratages émanant de l’EI et de ses partisans aux États-Unis et dans d’autres pays figuraient : les forces armées et organes tels que les entités gouvernementales occidentales ; des grands médias tels que TV5Monde en France et d’autres entités françaises, y compris des organes gouvernementaux ; des associations telles que les organisations des femmes de soldats américains ; le ministère de la Défense chilien ; des organisations éducatives telles que l’université de New Brunswick, au Canada ; des centres névralgiques de transports, tels que l’aéroport international de Hobart en Australie ; des autorités municipales et régionales, telles que le Comté de Richland, au Wisconsin ; des médias moyen-orientaux, tels que la TV en arabe MBC, le quotidien des Emirats arabes unis Al-Ittihad ; et la station de radio populaire Nugoum en Egypte, en sus de différents sites Internet américains, britanniques, indiens, israéliens, néerlandais, égyptiens et russes.
Des hackers pro-EI ont ciblé l’armée américaine à de nombreuses reprises pour voler des données et faire du doxxing. En outre, ces hackers ont pris le contrôle de pages Facebook et Twitte, volé des informations de cartes de crédit aux États-Unis et dans d’autres pays « infidèles » , piraté des téléphones cellulaires de célébrités occidentales, exploité les vulnérabilités d’un plugin WordPress utilisé par des centaines de sites, volé des données de membres des forces armées après avoir accédé à leurs comptes Facebook, et menacé des membres de différentes forces armées et même des célébrités.
Communiqué annonçant l’un des premiers piratages suivant la déclaration de l’État islamique : « #Iraq #Iran #Syria Les cyber-moudjahidines du Califat islamique ont piraté le site Internet iranien iranefardamag.com” Source : compte Twitter en Ourdou de l’EI, 5 juillet 2014 ; voir aussi rapport JTTM de MEMRI Al-Baghdadi-Led Islamic State (IS) Tweets In Urdu For Audiences In Pakistan And India, 15 juillet 2014.
Des « hacktivistes » pro-EI ont édifié leurs propres réseaux, en particulier sur Twitter, pour s’aider mutuellement. Ainsi, le 13 août 2015, après la déclaration du 11 août, deux jours auparavant, par la Division des Hackers de l’État islamique, selon laquelle ils avaient piraté des bases de données de l’armée américaine, un compte Twitter a proposé d’aider les éléments pro-EI et djihadistes à créer leurs propres comptes Twitter pour diffuser les données obtenues lors du piratage. Il s’agit d’un phénomène courant : lorsqu’un compte Twitter est suspendu, d’autres apparaissent rapidement pour continuer à diffuser l’information. Le tweet affirmait : « Nous répétons pour la millième fois que nous sommes disposés à fournir des comptes pour l’armée des partisans [du djihad sur Twitter]. Al-Fateh [logiciel de sécurité utilisé par les djihadistes sur Internet pour dissimuler leur emplacement] a désormais un impact sur Twitter. Créez un compte et crachez sur Jack [Dorsey, cofondateur de Twitter]. Le programme FYI Al-Fateh [peut être téléchargé sur le (lien fourni)] ».
Proposition de créer des comptes Twitter pour les soutiens du djihad. Source: @ENGISIS_3_9_, 12 août 2015.
De nombreuses cyber-attaques menées par des éléments hackers pro-EI sont destinées à obtenir et diffuser des données provenant de comptes bancaires américains et de comptes de cartes de crédit. Ainsi, le 30 janvier 2015, un hacker tunisien a annoncé avoir prêté allégeance au chef de l’EI, Abou Bakr Al-Bagdadi, et avoir piraté 200 comptes de cartes de crédit, américains et d’autres pays « infidèles », en réaction à la campagne de la coalition anti-EI en Syrie et en Irak.
Un autre objectif important de la cyber-activité de l’EI et de ses partisans sur Internet est de suivre activement les principaux opposants du groupe, y compris le collectif médiatique anti-EI basé à Al-Raqqa, « Raqqa est massacrée en silence », qui expose les atrocités de l’EI sur Facebook et Twitter ; l’Observatoire syrien des Droits de l’Homme, qui décrit la situation des droits de l’Homme en Syrie et rend compte des violations ; l’armée américaine ; et des cheikhs influents et autres personnes ayant pris position contre l’EI. L’un des objectifs des attaques de l’EI contre ces entités et personnes est d’obtenir des informations personnelles sur elles et sur leurs familles, afin de pouvoir les prendre pour cible sur le terrain – comme dans le cas de deux activistes de « Raqqa est massacrée en silence », exécutés en juillet 2015.
Certains des hackers qui paraissent pro-EI n’ont parfois aucune affiliation avec le groupe, même s’ils utilisent des contenus et des symboles pro-EI dans leurs messages de défacement, que ce soit pour créer chaos et confusion, ou pour d’autres raisons. Néanmoins, leurs actions alimentent la réputation du cyber-djihad de l’EI, qui continue de grandir, et toutes ces entités investissent et améliorent leurs capacités, parfois sous le contrôle direct de l’EI et parfois via la multitude de leurs partisans sur Internet, créant un mélange explosif. Illustrant ce phénomène, le piratage en avril 2015 de TV5Monde en France a fait les gros titres des médias internationaux, et a été revendiqué par le CyberCalifat. Bien que le Département d’État américain ait conclu que le piratage de TV5Monde par le CyberCalifat n’était peut-être pas lié à l’EI, et qu’il était peut-être l’œuvre du groupe de piratage russe APT28, l’EI a bénéficié de la publicité que de telles attaques de piratage génèrent. Ces attaques aident aussi à promouvoir l’EI en rendant ses capacités plus impressionnantes qu’elles ne le sont en réalité.
Le rapport examinera l’activité de piratage contre des cibles militaires, gouvernementales, médiatiques, commerciales et individuelles au cours de l’année passée, de la part d’éléments de l’EI, pro-EI ou partisans de l’EI.
Quelques tweets de #OpFrance :
Un hacker mauritanien
United Islamic Cyber félicite CyberCaliphate d’avoir piraté le Twitter et les comptes YouTube du U.S. Armed Forces Central Command (CENTCOM)
Utilisation du hashtag #HellForCharlieHebdo
Rapport de Steven Stalinsky et R. Sosnow
Steven Stalinsky est directeur exécutif de MEMRI ; R. Sosnow est rédactrice en chef à MEMRI