On devrait toujours se méfier des e-mails que ses collègues envoient le dimanche. Celui qui est arrivé dans la boîte mail d'une des journalistes du Monde, le 18 janvier en milieu de matinée, avait l'apparence anodine d'un lien vers le site de la BBC. La destinataire, pensant que son rédacteur en chef lui « envoyait un lien pour [lui] proposer un sujet », n'avait aucune raison de se méfier.
En réalité, le lien menait vers une imitation quasi parfaite de la page de connexion de sa boîte mail professionnelle. Et le message reçu n'avait pas été envoyé par son supérieur hiérarchique mais par des pirates. Dans les heures qui ont suivi, plusieurs journalistes du Monde recevaient des messages similaires. Ils contenaient simplement un lien, parfois accompagné d'une formule de politesse en anglais.
Ces mails ne leur étaient pas envoyés par leurs collègues, malgré les apparences. De la même façon qu'il est possible d'écrire au dos des enveloppes postales une adresse fantaisiste, il est très facile de modifier le champ « envoyeur » d'un message électronique. Et seul un œil averti est en mesure de détecter la supercherie.
Le compte Twitter ciblé
Cette pratique, qui consiste à inciter sa cible à renseigner son identifiant et son mot de passe en se faisant passer pour une personne de confiance, se nomme « hameçonnage » – ou « phishing », en anglais. Il suffit que l'une des victimes tombe dans ce piège, vieux comme Internet, et c'est une boîte au trésor qui s'ouvre pour les pirates. Quiconque a passé quelques jours dans une entreprise au XXIe siècle le sait : les mots de passe circulent sans cesse par courrier électronique ou messagerie instantanée.
Il semblerait cependant que les pirates n'aient pas trouvé, dans un premier temps, ce qu'ils cherchaient. Une information précise les intéressait : le mot de passe du compte Twitter du Monde.fr et ses plus de 3 millions d'abonnés. Leurs cibles initiales ne laissent guère de doute : il s'agit de journalistes disposant des codes d'accès aux réseaux sociaux et de journalistes haut placés dans la rédaction. Croisé dans un ascenseur, un rédacteur en chef ayant échappé à l'attaque se désole : « Mais je n'ai pas reçu de faux mail, ça veut dire que je ne suis pas un chef qui compte ? »
Malheureusement pour les pirates, les équipes du Monde.fr, conscientes des risques, n'avaient jamais échangé de mots de passe par courrier électronique ni messageries instantanées. Bredouilles, les hackeurs abattent une nouvelle carte, en envoyant, lundi 19 janvier à 9 h 57, un court message à l'une des rares personnes de l'équipe disposant du mot de passe : « Je ne peux pas vous connecter à Twitter, c'est le mdp ? ». Nous comprenons alors qu'au moins un compte email a été compromis ; la détentrice du précieux sésame donne l'alerte.
A ce moment-là, cela fait déjà près d'une heure que quelques journalistes du Monde.fr, ayant remarqué que des messages suspects avaient été envoyés en leur nom ou qu'ils en avaient reçu, essaient de remonter le fil de ce qui ne semble être alors qu'une tentative de hameçonnage.
Des serveurs piratés aux États-Unis
A première vue, les messages envoyés par les pirates ne contiennent qu'un lien vers une fausse page. Mais ils comportent tout de même plusieurs traces : celle de la machine qui a été utilisée pour envoyer les courriels – dont l'adresse sur le réseau figure dans le code informatique du message – et celle des pages sur lesquelles renvoyaient les messages.
Le serveur qui a servi à l'envoi de ces mails frauduleux n'est pas situé dans un paradis pour hackeurs. Il se trouve tout simplement aux Etats-Unis, chez un prestataire – qui semble tout à fait légitime – du New York Post. Un journal qui a été victime d'un piratage il y a trois jours : son compte Twitter avait brièvement publié des messages annonçant la troisième guerre mondiale avant que les équipes en reprennent le contrôle.
Mais les pirates qui ont attaqué le New York Post ne se sont pas contentés de voler le mot de passe du compte Twitter du journal. Ils se sont également ménagé un accès discret sur des machines utilisées par l'entreprise. Ce dimanche et lundi, ils se sont servis d'une de ces machines pour envoyer les courriels ciblés visant plusieurs journalistes du Monde afin d'éviter que leurs messages ne soient bloqués par des filtres antispam.
Les pages piégées vers lesquelles pointaient les e-mails sont elles aussi hébergées aux Etats-Unis, sur deux sites différents mais situés sur le même serveur, avec d'autres pages, dont un petit site de commerce électronique. Lorsque nous appelons la propriétaire de ce dernier, elle tombe des nues : « Oh mon Dieu, c'est terrible ! » C'est son « responsable informatique » qui gère son site. Il travaille en freelance alors qu'il se trouve dans le nord-est des Etats-Unis, et son profil ne cadre pas vraiment avec celui d'un dangereux hackeur : jeune papa, c'est un fervent opposant de la surveillance menée par la NSA et se revendique sur les réseaux sociaux comme « végétarien » et « féministe ».
Lorsque nous le contactons, il découvre qu'un intrus utilise également son serveur pour envoyer « beaucoup de mails de spam vers des adresses du Monde.fr ». D'autres envois sont programmés, dont un bon nombre semble émaner de Chine. Il bloque alors ce qu'il peut, mais une partie des e-mails est déjà envoyée.
Tentatives de publication sur LeMonde.fr
Cette « deuxième vague » de messages piégés est beaucoup plus importante que la première. Elle a été envoyée à de très nombreux salariés du Monde. L'objectif recherché de l'attaque a changé : il ne s'agit plus de prendre le contrôle de nos comptes sur les réseaux sociaux. Les pirates cherchent, plus largement, tout ce qui pourrait leur permettre de publier un message de revendication sur un espace éditorial du Monde.
Cela, nous le découvrons une heure plus tard. Aux alentours de 18 h 30, lundi, plusieurs messages étranges apparaissent sous la forme de brouillons dans notre outil de publication. Leurs titres sont en anglais, leur sens est limpide : « Message de l'Armée électronique syrienne » ou « Hacké par l'Armée électronique syrienne ».
Beaucoup de gens se mettent à courir subitement dans les couloirs pour s'assurer que les pirates n'arrivent pas à publier quoi que ce soit sur Le Monde.fr. Une heure plus tard, le constat est rassurant : aucun faux article n'a été mis en ligne, grâce à un mécanisme de sécurité interne qui a fonctionné.
Un groupe « para-étatique »
L'Armée électronique syrienne est un groupe bien connu. Ces hackeurs pro-Assad s'attaquent depuis des années aux sites et comptes Twitter des médias internationaux, qu'ils détournent pour publier des messages de propagande ou de fausses informations. Leur mode opératoire est toujours le même : des cibles à très grande visibilité, qu'ils attaquent par des techniques de hameçonnage. Plus que le vol de données, ils cherchent à faire des « coups », des actions spectaculaires. En 2013, le groupe avait piraté le compte Twitter d'Associated Press pour y annoncer que deux explosions avaient été entendues à la Maison Blanche et que le président Barack Obama était blessé – le message avait fait immédiatement plonger la Bourse de New York.
Qui sont-ils ? A plusieurs reprises, des porte-parole de l'Armée électronique syrienne ont affirmé qu'ils n'étaient pas directement liés à l'armée syrienne. Selon l'un d'eux, interrogé il y a un peu plus d'un an par Le Monde, le groupe est composé de « jeunes Syriens qui veulent défendre leur pays sur Internet » et qui s'attaquent aux médias occidentaux « parce qu'ils continuent de publier des informations fausses sur la Syrie ».
Le groupe de pirates n'a aucun lien avec les groupes djihadistes qui ont lancé depuis plus d'une semaine une série d'attaques de faible ampleur contre des sites français. Lié au clan Assad, mais aussi à l'Iran, ce groupe dispose de moyens étatiques, selon des sources militaires françaises. Jusqu'à présent, le groupe s'était très peu attaqué à des sites français ou francophones, concentrant ses attaques sur des cibles américaines.
Déni de service
Lundi soir, l'Armée électronique syrienne n'était pas parvenue à publier ses messages de revendication sur notre site. Ni à prendre le contrôle de notre compte Twitter. Coïncidence ? En début de soirée, notre site était visé par une autre attaque, de type déni de service, cette fois-ci. Beaucoup plus simple à réaliser techniquement, un déni de service distribué vise à bloquer la connexion à un site en le saturant de fausses connexions. Arme habituelle de groupes disposant de moins de moyens que l'Armée électronique syrienne, elle semble avoir été employée cette fois-ci... presque par dépit.
Rassemblées au siège du Monde, boulevard Auguste-Blanqui, une douzaine de personnes procédaient au même moment aux vérifications et au nettoyage des comptes infectés. Alors que la situation revient peu à peu à la normale, mardi matin, la direction du Monde décide qu'elle portera plainte au plus tôt.