Le groupe Comodo, qui vend des certificats numériques et des solutions sécurisés pour Internet, a fait savoir qu'un de ses partenaires - celui-ci a souhaité rester anonyme - avait subi une attaque informatique le 15 mars dernier dans la soirée. L'attaque était préoccupante parce que les certificats Digital Secure Sockets Layer (SSL) vendus par Comodo sont un composant important de l'infrastructure utilisée par l'entreprise pour sécuriser l'Internet. En effets, les certificats, des fichiers cryptés, servent à sécuriser le navigateur et lui permettent de savoir s'il est bien connecté à un vrai site Gmail.com, par exemple, et non pas à un site imposteur. Les SSL aident aussi à prévenir les attaques par phishing et dans un pays comme l'Iran, ils peuvent être d'une importance capitale pour les dissidents, puisqu'ils contribuent à préserver les communications privées et à les tenir à l'abri des regards indiscrets.

L'attaque en question a été bien planifiée et exécutée avec soin, mais selon Comodo, cela n'a pas empêché de la détecter rapidement. Ainsi, Massimo Penco, vice-président de Comodo Italie, dit avoir reçu une alerte l'informant d'un évènement inhabituel le 15 mars vers 19 heures. « Quelqu'un a émis un certificat pour Google, mais nous n'avions reçu aucune requête de ce genre de la part de l'entreprise californienne, » raconte-t-il. « Dans les 15 minutes qui ont suivi, j'appelai mes collègues du New Jersey pour leur demander de verrouiller le système, » a t-il ajouté. Le certificat de Google a été révoqué en une ou deux heures, ainsi que 8 autres certificats, qui avaient été émis dans l'intervalle. Comodo ne savait pas qui était à l'origine de l'attaque. Dans le monde de piratage, passer d'un ordinateur à un autre pour brouiller les pistes est une pratique courante. Quant à obtenir des informations d'un pays qui pratique le secret, comme l'Iran, les probabilités sont minces...

Or l'Iran a tout à fait les moyens, les motifs et la possibilité de mener une attaque de ce type pour espionner des communications sensées être sécurisés entre les Iraniens et les serveurs utilisés par des sociétés comme Google, Skype et Microsoft, celles-là même dont les certificats ont été usurpés, » a déclaré Melih Abdulhayoglu, fondateur et PDG de Comodo. « Un certain nombre de faits désignent le gouvernement iranien et son nouveau ministère chargé de la guerre informatique, » a t-il ajouté. Interrogés à ce sujet, les représentants de la Mission permanente de l'Iran auprès de l'Organisation des Nations Unies n'ont pas fait de commentaire.

La piste de l'Etat Iranien privilégiée

« Cela fait bien une dizaine d'années que le gouvernement iranien s'emploie à espionner et à contrôler l'utilisation de l'Internet par ses citoyens, » a déclaré Mehdi Yahyanejad, fondateur du forum iranien de discussion Balatarin, qui a un succès certain auprès de la population. Mais après la création d'une cyber police fin 2008, l'Iran a commencé à mener quelques actions plus musclées. Ainsi, le fondateur de Balatarin pense que le gouvernement de son pays était à l'origine d'une attaque complexe qui, en février 2009, a vidé son site et l'a maintenu hors ligne pendant trois semaines. Il soupçonne l'État d'avoir été complice de cette attaque : la nouvelle avait été publiée sur le site de l'agence de presse gouvernementale Fars News Agency quelques heures après - avant même qu'il ait le temps de comprendre ce qui s'était passé. Les pirates avaient utilisé des techniques d'ingénierie sociale pour tromper le fournisseur de services Internet utilisé par Balatarin et avoir accès à son compte. Comme dans le cas de Comodo, l'offensive avait été planifiée et exécutée de manière très précise. Depuis 2009, Balatarin a subi de nombreuses attaques par déni de service (DDoS). Et la plus récente, menée en janvier de cette année, avait atteint un degré sans précédent.

Autant dire que les dissidents iraniens ont du souci à se faire aujourd'hui en matière d'usage de l'Internet. « Les emails et les logiciels malveillants, les attaques DDoS, sont devenues monnaie courante en Iran, » a déclaré Mehdi Yahyanejad. Les attaques par déni de service inondent les sites de requêtes inutiles, jusqu'à les mettre hors ligne. Elles sont déclenchées quand il y a des manifestations ou pendant des périodes de troubles, et servent souvent à étouffer la protestation sur Internet. «  Pendant les manifestations, le gouvernement veut éviter la circulation rapide des vidéos, afin de réduire leur impact médiatique, » a t-il expliqué. Ces dernières années, un groupe se faisant appeler Armée Cyber iranienne a fait surface. Il s'en est pris à des sites appartenant à Twitter, au moteur de recherche chinois Baidu, et à la Voix de l'Amérique. Personne ne sait vraiment qui fait partie de cette « armée », mais selon Mehdi Yahyanejad, il y a de fortes chances pour que ses membres soient aussi soutenus par l'État.

Un hacker revendique l'attaque

Un début de réponse est intervenu ce week-end avec la revendication de ces attaques par un pirate répondant au nom de ComodoHacker. Celui-ci indique dans un couriel « je ne suis pas un groupe de hacker, mais un pirate avec l'expérience de 1000 hackers ». Il explique ensuite la méthode utilisée pour créer de faux certificats SSL. Il affirme avoir été en mesure de compromettre deux partenaires de Comodo, GlobalTrust.it et InstantSSL.it. A l'origine, ComodoHacker indique qu'il voulait casser un algorithme de la société de sécurité RSA avant de trouver des failles sur les deux sites mentionnés. Parmi ses motifs, le pirate de 21 ans, qui ne se revendique pas de l'Armée Cyber Iranienne, cite le vers Stuxnet créé par les Etats-Unis et Israël et des millions de dollars dépensés pour le mettre au point, affirme qu'un Internet sécurisé n'existe pas et qu'il recommencera, se pose en égal de la CIA et menace ceux qui s'immiscent dans les affaires de son pays et veulent faire du mal au peuple iranien.