Défaillance d’Oxalide : les 3 scénarios les plus probables

Une panne chez Oxalide reste l’hypothèse la plus probable pour expliquer le blackout de L’Express, Le Parisien et d’une trentaine d’autres médias ce matin. Mais le scénario d’une attaque avancée ne peut pas être totalement écarté.

Ce matin, l’hébergeur Oxalide a connu une panne de plusieurs heures se traduisant par l’indisponibilité de plusieurs média nationaux (L’Express, Mediapart, 20 Minutes, Le Parisien, France Inter…) ainsi que celle de quelques cybermarchands. Dans le contexte actuel, tous les regards se sont évidemment tournés vers les différents groupes de hackers qui ont lancé ces derniers jours l’opération #OpFrance.

A l’heure où nous écrivons ces lignes, les services d’Oxalide sont rétablis via « une solution de contournement » selon les termes employés par le prestataire, mais l’hébergeur n’a pas encore détaillé les causes de la panne majeure subie ce matin. « Le niveau actuel d’information ne permet ni d’affirmer que la responsabilité d’Oxalide soit engagée, ni qu’il s’agisse d’un acte malveillant lié à l’actualité. L’analyse de la chronologie des faits devra permettre d’apporter une réponse à ces questions », écrit la société dans un communiqué diffusé de 12h30. « Les premiers éléments en notre possession nous permettent d’écarter l’hypothèse d’une attaque externe de type DDoS », ajoute la société quelques dizaines de minutes après, précisant toutefois « n’écarter aucune piste ». Traduction : si rien ne laisse accréditer une attaque par déni de service – par nature très visible -, toute suspicion d’agression externe n’est pas écartée.

Les premiers éléments en notre possession nous permettent d’écarter l’hypothèse d’une attaque externe de type DDoS

— oxalide (@oxalide) January 16, 2015

Pour Gérôme Billois, senior manager en gestion des risques et sécurité chez Solucom, un cabinet de conseil intervenant surtout auprès des grandes entreprises, trois scénarios principaux sont envisageables.

« Le plus probable est celui de la coïncidence. Une panne ça arrive », dit-il. Et d’imaginer par exemple un problème de routage BGP (Border Gateway Protocol, permettant d’échanger les informations de routage et d’accessibilité de réseaux). En cas de défaillance en la matière, les chemins d’accès aux sites ne sont tout simplement plus disponibles. Un dysfonctionnement de BGP pourrait expliquer par ailleurs les différents types de réponses que nous avons observés (erreur de Gateway, erreur http, dépassement de la durée de connexion) en tentant de nous connecter ce matin aux différents sites concernés par la panne. « En fonction du chemin emprunté et de l’architecture technique, on peut obtenir différents messages d’erreur en cas de défaillance BGP », remarque Gérôme Billois. Ce dernier attribue à ce scénario une probabilité de 70 % environ.
Le second scénario est plus inquiétant : « il pourrait s’agir d’une nouvelle attaque contre la liberté de la presse », dit Gérôme Billois. De facto, Oxalide se distingue dans le milieu des hébergeurs par sa présence très forte dans le secteur des média. Il pourrait donc s’agir d’une attaque d’un niveau technique bien supérieur à celui utilisé par les groupes de hackers ayant lancé OpFrance, et qui, jusqu’à présent, repèrent via des outils de scan des failles connues et facilement exploitables sur des sites à faible visibilité. « On peut par exemple imaginer une attaque visant à piéger les postes des administrateurs systèmes, via une campagne par phishing. Si ces derniers administrent le réseau depuis le poste où ils consultent leurs e-mails, il est ensuite très possible de créer ce genre de perturbations », remarque le consultant. Pour ce dernier, une attaque de ce niveau pourrait être menée par des mercenaires, des cybercriminels disposant de compétences pointues vendues aux plus offrant. Or, certaines organisations extrémistes disposent de moyens importants leur permettant, sur le papier, de s’offrir ce type de services. Probabilité : entre 20 et 25 %.
Le troisième scénario, celui d’une faille de sécurité chez Oxalide, est aussi le moins probable. « C’est celui d’une vulnérabilité non patchée qui aurait pu être détectée et exploitée par les hackers de OpFrance », résume Gérôme Billois. Même si le niveau technique de ces derniers reste limité (entre 4 et 5 sur une échelle allant de 1 à 10 selon le consultant), certains groupes savent mener des exploitations de failles manuelles, observe-t-il.

Crédit Photo : Eugene Sergueev-Shutterstock

Lire aussi : Gagner simultanément en sécurité et en agilité