#OpFrance : plus qu’une menace, une opportunité

Une vaste opération de cybervandalisme

Le protocole d’alerte de Zataz donne un aperçu de la situation, montrant la diversité des sites compromis : ministères, Conseils Généraux, Chambres de Commerce et d’Industrie, associations, académies de l’Education Mationale, mairies, syndicats, etc.

Une menace ? Certes.

Une surprise ? Non.

Dans un communiqué, Luc Delpha, Directeur de l'offre de services Gestion des Risques de Provadys, le souligne très justement. « Les différentes attaques relatées dernièrement et touchant les sites web d’administrations et d’entreprises françaises n’ont rien de surprenant. Internet est de plus en plus un miroir sombre du monde qui nous entoure. Le relatif anonymat qu’il permet et la distance qu’il autorise entre les auteurs des faits et leurs victimes en font une caisse de résonance pour l’expression violente des frustrations et crispations du moment. »

Certains ne s’y trompent d’ailleurs pas et réfutent le terme de cyberguerre pour lui préférer à juste titre celui de vandalisme. Et Damien Bancal, de Zataz, de souligner qu’il s’agit avant tout d’une opération de communication.

@Nice_Matin #OpFrance ne ressemble en rien à une cyberguerre, uniquement du vandalisme sans cible précise #cyberdefense

— Gaylord Dusautoir (@GaylordIT) January 15, 2015

Ces attaques démontrent bien qu’il s’agit avant tout d’une guerre de communication. #opfrance , #cyberdefense

— ZATAZ.COM Officiel (@zataz) January 15, 2015

Des mises à jour trop peu déployées

Sur le plan technique, l’ampleur du succès d’#OpFrance ne surprendra guère plus les spécialistes de la sécurité.

L’Anssi n’hésite d’ailleurs pas à rappeler « qu’il est possible de se prémunir de ces types d’attaques en appliquant les bonnes pratiques présentées dans les fiches qu’elle a préparées à cet effet » et jointes à son communiqué.

L’agence recommande ainsi des mesures classiques – mais apparemment peu mises en œuvre, sinon il serait inutile de les rappeler… – comme l’application régulière des correctifs de sécurité disponibles pour les applications Web. Ou encore l’utilisation de mots de passe robustes.

Comme le souligne Loïc Guézo, évangéliste sécurité informatique et directeur Europe du Sud de Trend Micro, sur Twitter : « pas de stress ; des actions claires ».

L’opportunité d’améliorer sa posture de sécurité avec un « un audit de sécurité gratuit »

Dès lors, certains voient dans #OpFrance moins une menace qu’une chance. Celle d’améliorer la posture de sécurité de nombreux sites Web pour lesquels elle a été, précisément, négligée trop longtemps. Avec humour, certains voient même l’opération en cours comme un audit de sécurité gratuit.

@Korben Et on dit merci #AnonGhost pour cet audit gratuit :)

— Tigzy (@TigzyRK) January 14, 2015

#opfrance : une operation massive d'élévation du niveau de sécurité des sites web de nos institutions et entreprises #merci

— Hakim S (@hakim_sd) January 15, 2015

Reste à savoir si, une fois la crise passée, celle-ci se traduira par des effets durables, par la mise en œuvre de pratiques sûres, ou si, au contraire, les mauvaises habitudes reprendront le dessus.

Car une chose saute aux yeux, confirmant un sentiment hélas largement partagé : de nombreuses victimes de l’#OpFrance opèrent des sites Web sans très probablement disposer de ressources dédiées à leur maintenance technique. Ils se sont reposées initialement sur un prestataire pour un projet donné, mais se contentent ensuite d’assurer la mise à jour du contenu sans se préoccuper du cycle de vie du contenant. Faute de moyens, probablement. Faute de conscience de la menace, sans aucun doute.

Mais après #OpFrance, il sera difficile d’affirmer que l’on ne savait pas.