Le 19 juillet dernier à 22h41, une cyberattaque visait la France. Un cybersquatteur enregistrait 967 adresses Internet en .FR, probablement à des fins malveillantes. Désormais sous contrôle, la situation mérite une analyse pour en évaluer les causes, l’impact ainsi que les mesures prises ou à prendre.
Comme souvent les cyberattaques se produisent à un moment où l’attention baisse. La période estivale se prête donc toujours bien à une accentuation de la cybercriminalité. C’est ainsi qu’un cybersquatteur, resté anonyme grâce au RGPD mais probablement localisé en Indonésie, a réussi à enregistrer 967 noms de domaine en .FR reproduisant ou imitant des noms de marques, d’entreprises ou d’organisations françaises et internationales : bougyuestelecom.fr, digipsote.fr, leparisein.fr… sont des exemples parmi d’autres.
Le procédé est simple et nécessite simplement une carte bancaire, un bureau d’enregistrement de noms de domaine (ici la société allemande Key-Systems GmBH) ainsi qu’un peu d’ingéniosité pour dresser une liste d’organisations à cibler. Parmi elles AlloCiné, Abritel, Apple, Ali Express, La Banque Postale, Bouygues Telecom, Zalando, Mondial Relay, L’Equipe ou encore l’URSSAF.
La presse s’empare du sujet
Une fois l’information sortie sur Twitter, c’est toute la presse française qui s’est émue de cette situation évoquant du phishing à venir par l’intermédiaire d’«une attaque massive qui se prépare en France », « des nouveaux noms de domaine créés pour piéger les internautes inattentifs » ou évoquant encore « une campagne sans précédent (qui) se prépare ».
La réalité est toute différente puisque les noms de domaine ont été déposés des fins de « parking », une technique de monétisation qui consiste à enregistrer un maximum de noms de domaine similaires à des noms de domaine existants avec pour objectif de générer des revenus publicitaires.
Fallait-il donc autant alerter et s’émouvoir d’une telle situation ?
Très exactement huit jours après leurs enregistrements, ces noms de domaine ont tous été supprimés par l’AFNIC, l’autorité en charge de la gestion du .FR. Après avoir été gelés, ils ont purement été effacés de l’Internet, ce qui signifie qu’ils ne sont plus utilisables jusqu’au moment de leur remise dans le domaine public par l’AFNIC et leur éventuel réenregistrement par un tiers.
Face à une telle situation, l’AFNIC est tout à fait dans son rôle, s’efforçant même par son action de conforter le .FR dans statut de « zone de confiance ». La qualité de l’action entreprise par l’AFNIC est d’ailleurs remarquable puisque rares sont les registres prenant de telles initiatives.
Le rôle des entreprises
Pour autant ce genre d’attaques mérite un traitement différent, plus rapide et plus efficace et c’est aux entreprises que revient la responsabilité d’intervenir. Alors oui, il était absolument nécessaire d’alerter car le 19 juillet dernier une attaque de phishing de grande ampleur aurait pu toucher des centaines d’entreprises françaises.
La sécurité des noms de domaine est d’ailleurs entrée dans les préoccupations de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) puisque cette dernière a publié des recommandations sur la question. Face à la recrudescence de la cybercriminalité, la détection rapide, l’analyse immédiate et l’engagement de procédures permettant de faire cesser les attaques sont indispensables.
Ces 967 noms de domaine n’ont pas causé de dégâts. Au mieux ils ont détourné un peu de trafic résiduel des entreprises visées. La situation aurait été nettement plus complexe si un ouragan de phishing avait visé les centaines d’organisations concernées. Dans ce cas, la résolution du problème doit intervenir sous quelques heures au maximum.
