Cyberwarfare attention
Par Ugo MODESTE, mardi 12 août 2008 à 13:22 :: General :: #253 :: rss
Le conflit aux enjeux complexes qui vient d'éclater au Caucase, et l'intervention militaire russe en Georgie qui fait suite aux tensions en Ossetie du Sud et en Abkhazie a été l'occasion de l'ouverture d'un second front sur le terrain numérique. Contrairement aux attaques qui ont ciblé l'Estonie, l'Ukraine et dans une moindre mesure les différentes attaques à caractère politique contres des sites gouvernementaux ou associatifs dont il est difficile de prouver l'implication d'un pouvoir étatique, ici la conjonction de l'intervention militaire et des cyber-attaques observées ou en cours donnent une vision intéressante des méthodes et des contre-mesures en action sur ce nouveau terrain.
Dès le 22 juillet 2008, et faisant suite à la violation de l'espace aérien géorgien par des avions de chasse russes, le site du président georgien Mikhail Saakashvili a fait l'objet d'une attaque DDoS et s'est retrouvé inaccessible durant 24 heures. José Nazario, expert chez Arbor Networks, a analysé l'activité réseau durant l'attaque et révélé qu'un message était accessible dans les flux (HTTP, SYN, ICMP) durant l'attaque : “win+love+in+Rusia”. Le site est d'ailleurs toujours inaccessible au moment de la rédaction de cette note.
Depuis, l'escalade militaire a été suivi du défacement du ministère des affaires étrangères georgien (ou le portrait de Mr Saakashvili faisait face à celui d'Hitler) ainsi que de celui de la banque nationale. De plus, plusieurs portails d'informations ont été rendus indisponibles suite à des attaques de type DDoS. Jart Armin, qui s'intéresse de près au trafic réseau lié à cette guerre évoque sur son blog un contrôle russe des points clés de l'infrastructure Web géorgienne :
the latest server routing map... shows the Russian based servers AS12389 ROSTELECOM, AS8342 RTCOMM, and AS8359 COMSTAR, controlling all traffic to Georgia’s key servers. For example here AS28751 CAUCASUS NET AS Caucasus Network Tbilisi, Georgia & AS20771 DeltaNet Autonomous System DeltaNet ltd 0179 Tbilisi Georgia.
Tandis que Gadi Evron n'y voit qu'une suite de phénomènes logiques en période de crises diplomatiques et indépendante du pouvoir en place.
Ces multiples attaques sont-elles coordonnées par le pouvoir central à Moscou ou le fait de groupuscules patriotiques isolés ? Difficile à dire à l'heure actuelle, la prudence s'impose et je me garderais bien d'avancer une hypothèse bancale même si pour le pouvoir géorgien le doute n'est plus permis :
"Georgia has been attacked by a formidable force, it is a brutal attack with the use of air force, tanks and even the trademark cyber attack."
Quoiqu'il en soit, il n'est pas fréquent de voir un pays limitrophe, en l'occurence l'Estonie, envoyer officiellement ses experts du CERT pour panser les plaies sur le terrain numérique, et encore moins voir un ministère des affaires étrangères contraint de faire ses annonces officielles à partir d'une plateforme Blogspot.
Voir également le blog de Renesys pour des compléments sur l'infrastructure géeorgienne et les enjeux en cours dans la région :
(...)What many people don't realize is that the cyber world is often built alongside the physical one. That is, those fiber optic cables that carry Internet traffic tend to follow the world's pipelines, bridges, and railroad tracks. Loss of Internet connectivity can therefore imply the physical destruction of vital pathways for trade.