Dix-neuf mille sites français auraient été attaqués depuis les attentats en région parisienne, du 7 au 9 janvier, selon une estimation donnée par un général de l'armée française se basant sur des sites spécialisés. Quel que soit leur nombre exact, de très nombreux portails ont bien été touchés, principalement par des « défaçages » – le fait de remplacer la page d'accueil d'un site par un message de revendication.

La plupart de ces attaques – qui se produisent également, à un rythme moins soutenu, tout au long de l'année – sont le fait de groupes revendiquant une « défense de l'islam ». Tour d'horizon de ces groupes, qui existaient bien avant les attaques terroristes qui ont touché la France.

1) Qui sont-ils, combien sont-ils ?

Ces groupes sont entre vingt et trente, selon les estimations, parfois très actifs, certains cherchant à toucher le plus grand nombre de sites possibles, d'autres se concentrant sur quelques « cibles » à plus grande notoriété.

AnonGhost revendique une vingtaine de membres, situés dans plusieurs pays musulmans : Tunisie, Pakistan… Fallaga Team, qui a remplacé la page d'accueil du site du mémorial de Caen ou celle de la fondation Jacques Chirac, revendique l'étiquette de « hackeurs tunisiens » dans ses messages. Meca, dont un membre a été interrogé par le site spécialisé Zataz, évoque une « dizaine de membres », « vieux, jeunes, étudiants ou professionnels de l'informatique ».

L'identité réelle de leurs membres, qui communiquent exclusivement par pseudonymes, est inconnue, mais les conversations que Le Monde.fr a pu avoir avec certains d'entre eux laisse entrevoir le profil de hackeurs plutôt jeunes. Certains comme Meca se sont formés récemment, mais avant les attentats ; d'autres comme Apoca-Dz exercent depuis plusieurs années.

2) Comment procèdent-ils ?

La plupart de ces groupes opèrent selon une technique de « filet » : ils recherchent, par le biais d'outils automatisés, des sites qui n'ont pas appliqué des mises à jour de sécurité et sont donc vulnérables. La plupart des sites personnels, de PME ou d'associations, tout comme certains sites à l'audience beaucoup plus importante, utilisent les mêmes outils : le système de blog Wordpress, Joomla, Spip… Les créateurs de ces logiciels les mettent régulièrement à jour et corrigent les failles de sécurité qui y sont découvertes, mais leurs utilisateurs n'appliquent pas toujours ces correctifs – notamment pour les « petits » sites.

Une fois une liste de sites vulnérables établie, les groupes peuvent sélectionner les « cibles » qui leur semblent les plus prometteuses en terme de visibilité, et exploiter la faille pour se connecter à l'administration du site, voire directement au serveur qui l'héberge, et changer sa page d'accueil. Un groupe s'est ainsi attaqué au site de la section syndicale SUD du groupe Michelin, croyant qu'il s'agissait du site officiel de l'entreprise.

Ces attaques, sans être triviales, ne nécessitent pas des compétences techniques très poussées – dans le jargon des spécialistes de la cybersécurité, on qualifie leurs auteurs de « script kiddies », littéralement « des gamins avec des scripts » : des outils « clé en main » sont assez facilement disponibles sur la Toile.

3) Comment s'en protéger ?

L'Agence nationale de la sécurité des systèmes d'information (Anssi), chargée de la protection des infrastructures informatiques françaises, a diffusé jeudi des conseils à destination des administrateurs de sites.

De manière préventive, il est recommandé d'utiliser un mot de passe complexe pour l'administration du site, et d'appliquer toutes les mises à jour de sécurité. En cas de « défaçage », l'Anssi recommande de porter plainte, et de ne pas restaurer une sauvegarde précédente qui contiendrait les mêmes failles de sécurité.

4) Quelle est leur idéologie ? Se considèrent-ils comme des djihadistes ?


Dans leurs messages de revendication et dans les entretiens accordés à la presse, ces groupes mettent en avant leur volonté de « défendre l'islam » et de protester contre la poursuite de la publication de Charlie Hebdo et de dessins représentant le Prophète. Pêle-mêle, les messages de revendication s'en prennent à la France, au sionisme, aux Etats-Unis, à Charlie Hebdo, souvent avec des argumentaires peu précis ni développés.

Certains se revendiquent du mouvement djihadiste Daesh, comme Apoca-dz, le jeune Algérien de 17 ans qui a défacé plusieurs pages de municipalités au lendemain de la tuerie de Charlie Hebdo. Il se dit sympathisant de l'Etat islamique, mais rien ne dit qu'il soit lié formellement à celui-ci.

Certains groupes de hackers « islamistes » sont même ouvertement opposés à Daesh et refusent de faire l'apologie des attentats, à l'image d'AnonGhost, qui compte notamment un Kurde parmi ses membres historiques. Ce groupe de hacktivistes musulmans prône même un « islamisme défensif » et la « cohabitation pacifique entre les religions », et explique leurs attaques informatiques par l'« offense » des caricatures de Charlie Hebdo.

Interrogé par Le Monde, celui qui se présente comme le fondateur du groupe explique qu'il faut « respecter toutes les religions » et que même s'il considère que certaines comportent des pratiques ridicules, « on ne doit pas se foutre de la foi ».

S'ils refusent d'être comparés au groupe informel Anonymous, dont des membres ont annoncé il y a une semaine mener une opération contre des sites et des comptes sur les réseaux sociaux de propagande djihadistes, les membres de ces groupes « pro-islam » semblent partager une partie de leurs idéaux libertaires, et considèrent leurs défaçages davantage comme une forme de manifestation que comme une attaque. Certains ont d'ailleurs participé par le passé à des actions initiées par Anonymous.


La plupart de ces groupes ciblent spécifiquement des sites d'administrations ou qu'ils considèrent comme s'opposant à l'islam – certains s'attaquent régulièrement à des sites de diocèses ou d'associations catholiques ou juives. Mais ce qu'ils recherchent en priorité est la visibilité : sur la page d'accueil d'un caviste, le groupe Fallaga Team a ainsi écrit : « Nous savons que vous défendez l'islam et nous vous en remercions. Ce défaçage vous a visés simplement parce que vous êtes célèbre et que tout le monde verra ce message. Aucune information n'a été effacée. »

5) Faut-il craindre des attaques plus graves ?

Ces derniers jours, plusieurs groupes ont publié autour du mot-clé « #opfrance » de nombreuses menaces d'attaques informatiques de grande ampleur. Mercredi et jeudi, ils promettaient par exemple de provoquer des blocages massifs de sites Web français ou encore de perturber le réseau téléphonique mobile dans le pays. Ces attaques n'ont pas eu lieu. Vendredi, de nombreux sites de médias et d'entreprises ont été inaccessibles pendant plus d'une heure, laissant craindre une large attaque informatique – il s'agissait en réalité d'une panne.

Pour mener à bien des attaques d'envergure, les moyens et connaissances techniques nécessaires sont beaucoup plus importants que pour de « simples » défaçages. Le blocage d'un unique site, par une attaque dite de « déni de service », reste possible – une attaque simultanée sur de nombreux sites est une menace nettement moins crédible. Quant à perturber le réseau GSM en France, il s'agirait d'une opération très lourde et complexe, qui nécessiterait des capacités importantes plus proches de celles dont dispose un Etat que de celles à portée des groupes de hackeurs.


En revanche, il est possible que ces groupes puissent conduire des opérations plus ciblées ou spectaculaires – cette semaine, un groupe quasiment inconnu est parvenu à prendre le contrôle de comptes Twitter et YouTube du commandement militaire américain au Moyen-Orient. Sans conséquences graves.

par ces groupes « pro-islam » n'étaient pas cruciaux. AnonGhost a annoncé détenir un important fichier d'adresses électroniques et de
numéros téléphoniques professionnels de fonctionnaires français. Selon les vérifications du Monde, sur la base d'un échantillon d'informations publiées par le groupe, cet annuaire est ancien – il date de 2011.