Un pirate informatique interpellé pour l’attaque des réseaux de Deutsche Telekom

En novembre 2016, les routeurs Deutsche Telekom furent la cible d’une attaque informatique, ce qui priva près 900.000 de ses clients d’accès à Internet.

L’opérateur avait indiqué, à l’époque, que les interruptions de service semblaient « liées à une tentative ratée de prise de contrôle des routeurs des clients pour perturber le trafic internet. » Ce que confirma le BSI, l’Office fédéral allemand chargé de la sécurité des technologies de l’information.

Selon ce dernier, les réseaux gouvernementaux auraient aussi été visés. « Le BSI considère cette interruption comme faisant partie d’une attaque mondiale contre une sélection d’interfaces de gestion à distance de routeurs DSL », avait-il expliqué.

Responsable de la sécurité informatique chez Deutsche Telekom, Thomas Tchersich confia au quotidien Der Tagesspiegel que l’objectif des pirates était de transformer les routeurs en « botnet » (c’est à dire en « machines zombies ») afin de préparer une attaque réseau à grande échelle. Pour cela, le logiciel malveillant « Mirai », déjà en cause dans de précédentes attaques médiatisées (dont celle, par déni de service, commise en octobre, aux États-Unis, via des objets connectés), fut utilisé.

Restait à savoir qui pouvait être derrière cette attaque informatique, qui, selon le procureur de Cologne, est un « cas particulièrement grave de sabotage » ayant « menacé des infrastructures de communication critiques. » Or, dans ce genre d’affaires, il est toujours compliqué de retrouver la trace des assaillants.

« Les attaques [informatiques] sont très diverses, ce qui explique des comptabilisations hétérogènes. […] L’absence d’attribution des attaques résulte d’un choix politique. De telles attributions sont en effet très difficiles. Dans certains cas, il est impossible d’identifier avec certitude l’auteur de l’attaque. Les ordinateurs identifiés comme étant à son origine peuvent se situer dans n’importe quel pays et être eux-mêmes des victimes », expliquait récemment, lors d’une audition au Sénat, Guillaume Poupard, le directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

Mais dans le cas de l’attaque ayant visé les routeurs de Deutsche Telekom, l’enquête a rapidement avancé. En effet, la semaine passée, un Britannique âgé de 29 ans a été arrêté à l’aéroport de Lutton (Royaume-Uni), sur la base d’un mandat d’arrêt européen émis par l’Allemagne dans le cadre de cette affaire. Cette interpellation a été le fruit d’une « coopération internationale étroite » entre les autorités allemandes, britanniques et chypriotes, avec l’appui d’Europol et d’Eurojust.

Pour l’Office fédéral allemand de police criminelle (le BKA), la piste cybercriminelle est donc privilégiée. Le suspect aurait en effet eu l’intention de créer un botnet pour ensuite le revendre sur des places de marché du Darknet, un réseau « superposé » qui est une sorte d’Internet parallèle souvent utilisé pour des activités illégales.

Cela étant, on n’en saura pas plus pour le moment, le BKA ayant précisé qu’aucune information supplémentaire sur cette affaire ne sera communiquée pour ne pas compromettre les investigations en cours.

Conformément à l'article 38 de la Loi 78-17 du 6 janvier 1978 modifiée, vous disposez d'un droit d'accès, de modification, de rectification et de suppression des données vous concernant. [Voir les règles de confidentialité]