Découvrir des attaques via les médias sociaux

cavaliers gris qui font des attaques

Découvrir que l’on a subi des attaques informatiques pour une organisation, ce n’est pas agréable. Imaginez quand on les découvre via les réseaux sociaux!

C’est ce qui s’est produit la semaine dernière (début juillet 2015) quand des ministères du gouvernement du Québec ont découvert via les réseaux sociaux que le collectif de pirates Anonymous avait réussi à s’infiltrer dans leurs serveurs.

En guise d’opposition au controversé projet de loi C-51 (loi canadienne contre le terrorisme), le groupe de pirates a fait de multiples intrusions le 1er juillet dernier pour diffuser par la suite, plusieurs milliers de comptes d’utilisateur et de mots de passe provenant des systèmes du gouvernement.

Dans le milieu de la sécurité de l’information au Québec, la nouvelle a fait « boule de neige » puisque plusieurs personnes l’ont répliqué allègrement sur les réseaux sociaux dans les heures suivantes.

Genèse de l’annonce des attaques

Lorsque j’ai appris cette nouvelle, je m’intéressais peu aux détails des intrusions ou des contenus qui ont été dérobés. Je voulais savoir comment la diffusion de l’annonce des attaques s’était propagée sur le Web et qui sait, contacter la première personne qui l’a communiqué histoire d’en savoir un peu plus sur comment elle avait été informée.

En effectuant des recherches sur les réseaux sociaux, on découvre sur Twitter que @Stefx00 a été le premier à donner des détails. Son message a été émis le 1er juillet à 13h26 soit la même journée que les attaques. J’ai découvert également qu’il était le premier à relayer les informations émises sur l’incident par le collectif de pirates Anonymous.

Par la suite, M. Stewart Bell (@StewartBellNP), un journaliste travaillant au National Post de Toronto (au Canada), a été le deuxième à publier la nouvelle sur Twitter le lendemain (le 2 juillet 2015 à 8h56 (UTC−4)). Voici le message qu’il a diffusé:

Anonymous says it hacked 3 Quebec gvt websites July 1 & exposed emails in retaliation over approval of anti-terror law C-51. #cyberattacks

Au courant de la même journée, le magazine en ligne HackRead a publié un article intitulé Exclusive: Anonymous Breaches Canadian Government Servers Again!Il a diffusé après la mise en ligne de son article, ce message sur Twitter le 2 juillet 2015 à 20h27 (UTC−4):

Exclusive: #OpBillC51: #Anonymous Breaches #Canadian Government Servers Again | #Security

À partir du message de @Stefx00, le magazine Branchez-vous a publié à son tour le 3 juillet autour de 7h du matin, un article sur le sujet s’intitulant Le gouvernement du Québec victime de piratage. Il en fut de même par M. Éric Parent de LogicNet qui a écrit sur le sujet dans son blogue.

Bref, les articles de HackRead, de Branchez-vous et de M. Parent conçus à partir du tweet de @Stefx00 ont généré par la suite, plusieurs messages sur les divers réseaux sociaux.

soldats bleus tombés

Comment les organisations ont constaté les attaques?

Selon ce que j’ai appris, la découverte des attaques par certaines organisations ciblées a été effectuée par leurs employés qui l’ont appris sur les réseaux sociaux ou sur le Web. Il semble que l’article de Branchez-vous et sa promotion sur les réseaux sociaux par le compte Twitter de  ont contribué à faire connaître l’incident au Québec.

Également, l’équipe pour l’assistance à la gestion des incidents gouvernementaux CERT/AQ a prévenu les organisations visées par les attaques ainsi que les autres ministères du gouvernement du Québec le 3 juillet dernier.

Concernant le CERT/AQ, on peut lire sur la page Web consacrée au service que cette activité d’alertage fait partie de son offre de services:

Le CERT/AQ coordonne un réseau d’alerte qui regroupe les représentants des ministères et organismes gouvernementaux québécois. Ces représentants, nommés par leur organisation, portent le titre de coordonnateur organisationnel de gestion des incidents (COGI). Le réseau d’alerte vise à améliorer la capacité de l’ensemble des ministères et organismes publics à réagir aux incidents et aux attaques informatiques.

Comment se prémunir?

En analysant les faits, on constate que deux jours se sont écoulés entre le moment de la première annonce des attaques et la prise de connaissance de l’annonce par les organisations québécoises. Deux jours, c’est énorme considérant que les données dérobées ont été diffusées durant cette période sur un site de stockage en ligne avant d’être effacées.

On peut conclure que pour découvrir rapidement un incident de la sorte, il est requis de surveiller régulièrement les réseaux sociaux comme Twitter par exemple. Pour M. Tout le monde, c’est une bonne source d’informations pour faire sa veille sur les attaques.

Cette source est aussi bonne pour les organisations qui devraient se doter d’outils de surveillance des réseaux sociaux. De tels outils sont acquis habituellement à des fins marketing, mais ils pourraient être utilisés aussi à des fins de sécurité. Dans ce cas-ci, cela aurait prévenir la longue exposition des données dérobées.

Photo: Securisa (avec olloclip, macro 15x).




Autres billets intéressants:

Laisser un commentaire