Cyberguerre en Syrie : des hommes et des armes

Accusée d’attaques contre les médias occidentaux, l’armée électronique syrienne userait de programmes malveillants et de campagnes d’hameçonnage pour combattre l’opposition.

Alors que l’Occident s’interroge sur la pertinence d’une intervention militaire en Syrie, les cyberattaques menées par l’armée électronique syrienne (AES), dont celle qui aurait rendu inaccessible le site web du New York Times mardi 27 août, montent en puissance.

Les assauts contre les médias et réseaux sociaux occidentaux ne sont toutefois que la partie émergée de l’iceberg, souligne Tom Brewster de .

Une cyberguerre «vaste et complexe»

Un site web destiné à alerter la population syrienne sur les missiles Scuds entrants a été mis hors ligne deux jours durant le mois dernier, à la suite d’une attaque par déni de service distribué (DDoS). Le fondateur du site Aymta.com, Dlshad Othman, a déclaré à TechWeek Europe avoir passé près de 10 heures dans la nuit du 9 au 10 juillet à bloquer manuellement les adresses IP utilisées pour cette attaque.

Ces adresses, dans leur majorité, avaient pour origine l’ancienne Union soviétique, dont la Russie et l’Ukraine, mais aussi l’Iran. Dlshad Othman estime que le régime du président syrien Bachar al-Assad a soutenu l’assaut dans le cadre duquel 10.000 bots informatiques auraient été utilisés.

Etilaf.org, le site officiel de la Coalition nationale des forces de l’opposition et de la révolution syrienne (CNFOR), organisation politique créée en novembre 2012 au Qatar, a également fait l’objet du même type d’attaque en juillet. Le site fut indisponible une journée durant.

Du déni de service au malware

Les attaques par déni de service ne sont pas les seules armes de la cyberguerre syrienne. Mi-juin, deux attaques utilisant des programmes malveillants ont été repérées par le Citizen Lab de l’Université de Toronto.

Pour la première attaque, un malware aurait été intégré au client VPN Freegate utilisé par les forces d’opposition syriennes pour éviter l’espionnage du régime. Les pirates infiltrés auraient alors diffusé le logiciel qui contenait un cheval de Troie permettant l’accès à distance.

L’autre attaque s’est appuyée sur le « spear phishing », qui consiste à transmettre des messages électroniques douteux à un nombre limité d’utilisateurs, des membres de l’opposition syrienne dans le cas présent. Pour accéder à une vidéo, les destinataires de ces e-mails étaient invités à ouvrir un fichier compressé, puis cliquer sur des liens associés à un malware relié à un serveur de commande et contrôle basé en Syrie.

L’armée électronique syrienne

Active depuis 2011, l’armée électronique syrienne a confirmé à TechWeek Europe utiliser des programmes malveillants dans le cadre de campagnes ciblant un groupe restreint d’individus (« Watering Hole Campaign »).

« Parfois, nous injectons du code dans une certaine page et nous laissons la cible la visiter. Le malware est alors lancé et les mots de passe stockés dans son PC sont envoyés vers un site appartenant à l’AES », a indiqué un porte-parole de l’organisation.

L’AES déclare en revanche ne pas pratiquer d’attaques par déni de service, à l’inverse de certaines formations qui lui sont proches, dont la « Syrian Hackers School ».

Enfin, l’armée électronique syrienne dément exercer ses activités depuis Dubaï et être soutenue financièrement par l’homme d’affaires Rami Makhlouf, propriétaire de l’opérateur Syriatel et cousin de Bachar al-Assad.


Voir aussi

Quiz Silicon.fr – Crimes et châtiments sur Internet