Fin janvier 2018, les trois plus grandes banques des Pays-Bas, ainsi que l’équivalent local du Trésor Public, ont fait l’objet d’une attaque par déni de service, rendant leurs quatre sites Internet indisponibles. Une attaque qui survient peu de temps après les révélations sur l’action des services secrets néerlandais contre Cozy Bear, un groupe de hackers russes. Hasard ou coïncidence ?
Les services en ligne et sites Internet des trois plus grandes banques des Pays-Bas, ainsi que des Impôts, ont été rendu indisponibles par une série d’attaques DDOS, entre les 27 et 29 janvier 2017. Une situation décrite comme malheureusement classique par les autorités néerlandaises, mais dont le timing peut interroger.
Faire tomber un serveur en le saturant de demandes
Pour rappel, une attaque par déni de service distribué, ou DDOS (Distributed Denial of Service), consiste en l’envoi d’un nombre très important de requêtes vers un serveur, de façon à ce qu’il ne puisse plus y répondre, et qu’il tombe, rendant les sites qu’il gère indisponibles. Le plus souvent, les hackers utilisent pour ce faire des groupes d’appareils dont ils ont pu prendre le contrôle (à l’aide d’un botnet par exemple), et leur demandent tous d’exécuter la même action. C’est le principe d’attaques comme celles de Mirai.
Dans le cas des Pays-Bas, les trois banques attaquées, ING, ABN Amro et Rabobank, ont jugé bon de préciser qu’aucun détail bancaire de leurs clients n’avaient été compromis, le grand public ne maîtrisant pas forcément la spécificité de chaque type de piratage informatique.
ING, Rabobank et ABN Amro : trois banques dans le viseur des pirates
« Durant l’attaque DDoS, le site internet d’ING a été saturé par du trafic de données entraînant une surcharge de nos serveurs et qui a mis la pression sur la disponibilité des services bancaires en ligne » a indiqué ING, la banque numéro 1 aux Pays-Bas, avec 8 millions de clients privés. Rabobank a été attaquée lundi 29 janvier à 9h10, rendant ses services de banque en ligne indisponibles pendant la matinée. Quant à ABNB Amro, la troisième banque néerlandaise a subi trois attaques durant le week-end, paralysant un temps ses services internet.
L’équivalent néerlandais de la direction générale des finances publiques a également été visée ce même 29 janvier, mais pour un effet moindre : les sites et services du Trésor public néerlandais ne sont restés bloqués qu’une dizaine de minutes. « Les choses sont de retour à la normale et nous enquêtons sur l’incident » a expliqué le porte-parole du Trésor Public Andre Karels.
Quel lien avec les révélations dans la presse sur le cyber-renseignement néerlandais et Cozy Bear ?
La concentration de ces attaques sur trois jours posent forcément question. Le président de la banque centrale néerlandaise Klaas Knot a voulu désamorcer toute envie de les relier entre elles : « Je pense que ces attaques sont sérieuses, mais notre propre site web est attaqué des milliers de fois par jour. C’est la réalité en 2018 » a-t-il déclaré.
Difficile de lui donner tord. Mais le fait est que, parmi les milliers d’attaques quotidiennes, quatre ont touché leurs cibles. Des cibles d’importance. A quelques heures d’intervalle. Et ce, quelques jours à peine après la révélation, dans la presse, des actions des services secrets néerlandais contre le groupe de hackers russes Cozy Bear. Des révélations qui avaient fait craindre, dès leur publication, des représailles musclées.
Hasard, représailles russes ou machination visant la Russie ?
Bien entendu, la conjonction de ces deux faits n’est peut-être qu’une coïncidence. Il est possible, également, qu’un groupe de cyber-pirates travaillant pour le compte d’un Etat ait voulu, par cette attaque, donner l’impression d’une vengeance russe, pour discréditer encore davantage les services de renseignement de Vladimir Poutine.
Le fait que cette attaque soit spectaculaire mais avec des conséquences somme toute faibles pour les organismes attaqués peut renforcer cette thèse.
Mais elle est également cohérente avec celle d’une attaque venant bien de Cozy Bear ou autre groupe affilié à la Russie, mais comme un simple avertissement, ou une démonstration de force. Il est peu probable, de toute façon, que l’origine précise de cette attaque soit un jour connue. Mais ce hasard de calendrier reste significatif – et les observateurs seront très attentifs aux futures cyber-attaques que subiront les Pays-Bas dans les jours et semaines à venir.