Une centaine de noms de militaires américains, accompagnés de leurs adresses et d'appel au meurtre, voilà ce qu'a fait paraître sur internet un groupe de pirates se revendiquant du cyber-djihadisme. Selon l'agence SITE, ces islamistes 2.0 se font appeler "la division des hackers de l'Etat islamique". Une menace sérieuse qui pourrait, dans le futur, viser également des Français.
François-Bernard Huyghe, docteur d’État, hdr., est directeur de recherche à l’IRIS, spécialisé dans la communication, la cyberstratégie et l’intelligence économique, derniers livres : « L’art de la guerre idéologique » (le Cerf 2021) et « Fake news Manip, infox et infodémie en 2021 » (VA éditeurs 2020).
François-Bernard Huyghe : Premièrement, il n’est pas si difficile que ça de pirater un site ou un ordinateur. Mais pour ce qui est de trouver les noms ou les adresses des membres d’une organisation, grâce à des comptes Twitter par exemple, c’est quelque chose qu’on voit tous les jours. Rappelez-vous, par exemple, que dans l’affaire Sony, les pirates avaient aussi trouvé des noms et des adresses. En France, nous avions eu un scandale similaire parce qu’un site mettait en ligne le nom et l’adresse de policiers et de gardiens de prison. Sur le plan technique, pour un hacker d’un certain niveau comme pour une personne dotée de patience, trouver des noms et des adresses de militaires n’est pas un exploit technologique invraisemblable. D’ailleurs le collectif Anonymous le fait souvent.
Par ailleurs, on peut se demander si cette action aura des effets dangereux. Honnêtement, je suis un peu sceptique. D’abord parce que ces militaires prendront leurs précautions et seront protégés par la police. D’autre part, l’Etat islamique, si je ne m’abuse, n’a jamais réussi à faire d’attentats sur le sol américain, contrairement à d’autres organisations ou à des citoyens Américains convertis au djihad. Sur le plan du danger physique, cela ne me paraît pas vraiment terrifiant. En revanche, ce qui me paraît beaucoup plus important, c’est que l’Etat islamique s’adapte aux technologies et imite les techniques des hackers, qui eux-mêmes s’en prennent parfois à des sites ou à des comptes djihadistes en publiant leurs informations. L’effet de panique recherché ici est maximum. On se rappelle que l’Etat islamique avait donné des instructions presque théologiques aux "bons musulmans", en leur disant qu’idéalement ils devaient faire la "hijra", l’immigration en terre musulmane, et donc aller combattre avec Daech au "pays de Cham", mais que si ceux-ci ne le pouvaient pas ils devaient alors faire ce qui était en leur mesure pour faire le djihad. Jusqu’à présent cet appel n’a pas eu d’effet monstrueux. Certes, il y a eu cette agression au couteau de trois militaires à Nice, mais cela n’a pas provoqué des centaines de morts. A contrario, l’impact psychologique est important parce que chacun va compatir et s’identifier avec les gens dont les familles vont vivre dans la crainte, et l’impression que le danger peut ressortir n’importe où s’accroît. Il s’agit surtout de guerre psychologique. Par ailleurs et pour être franc, si demain un djihadiste américain veut s’attaquer à un soldat, ce ne sera pas très difficile de trouver un GI dans les rues, en Virginie par exemple. De la même façon, Mohammed Merah n’avait pas eu beaucoup de mal à trouver des paras français à Montauban et à Toulouse.C’est avant tout l’effet psychologique qui est visé, d’autant plus qu’il y a, me semble-t-il, une stratégie de la part de Daech visant à tout essayer. Dès qu’une opportunité stratégique fait son apparition, l’Etat islamique la saisit : un coup ils font du hacking, un coup ils multiplient les comptes Twitter, ils menacent etc. Cela correspond à leur mentalité, celle de créer de l’inquiétude et de la déstabilisation par tous les moyens possibles.
Oui, il y a plusieurs exemples, l’affaire de Joué-lès-Tours, ou celle du meurtre de ce soldat britannique par deux islamistes en Angleterre il y a deux ou trois ans. Mais d’abord, soyons plus précis sur cette notion de "loup solitaire" à laquelle je ne souscris pas vraiment. Existe-t-il vraiment des gens qui deviennent fous en entendant les appels de Daech et prennent un couteau pour se précipiter sur un soldat ou un policier ? Je pense que cela est très rare. Il y a peu d’exemple d’un loup solitaire pur qui "pète les plombs" et attrape n’importe quoi pour attaquer un mécréant ou un pécheur.En revanche, ce qui existe, c’est ce que les Américains appellent le "home grown terrorism" et ce que moi je qualifierais de "djihad des copains", c’est-à-dire le profil du type Merah, Nemouche ou Coulibaly. Ces gens n’en sont pas à leur coup d’essai car on ne descend pas quelqu’un à la kalachnikov si l’on n’a pas un peu pratiqué la violence criminelle ou fréquenté la prison. Ce sont des personnes, en petits groupes autonomes, ayant fait ou non un pèlerinage ou une formation technique en terre de djihad, qui décident de monter une action commando. Ce ne sont donc pas des loups solitaires, même Mohammed Merah, quand on creuse un peu, on s’aperçoit qu’il n’était pas seul, il y avait par exemple son beau-frère etc. Derrière ceux qui ont fait des attentats sanglants dotés d’une certaine sophistication stratégique, on trouvera des gens qui ont l’habitude de la violence, qui se sont organisés dans leur coin, ne serait-ce que pour trouver une kalachnikov, ce qui n’est pas à la portée de tout le monde. Ce qui est très gênant pour la police qui les recherche, c’est qu’ils peuvent méditer leur coup pendant des mois, et que même si on les surveille il est impossible de les surveiller tous, de plus se pose la question de ce qu’on doit faire s’ils ne passent pas à l’acte. Mais ce ne sont pas les 19 terroristes du 11 septembre, qui avaient reçu des fonds, des instructions précises établies par un chef quelque part en Afghanistan. Là on n’est plus du tout dans quelque chose qui peut s’organiser depuis l’Irak ou la Syrie. Il y a également tous les cas des terroristes binationaux, comme en Australie ou au Canada, et pourtant ces gens-là ne téléphonent pas tous les soirs à al-Baghdadi pour lui dire qu’ils passeront à l’acte le lendemain. Ils ont une autonomie, une mission vague, c’est à eux de s’organiser, et ils le feront sur place, souvent avec leur famille ou leurs amis de quartier ou de délinquance.
Pour revenir au hacking, donner l’adresse de ces militaires américains est d’abord les troubler psychologiquement, mais si un djihadiste souhaite trouver une cible, ce n’est pas ça qui manque.
Bien-sûr, mais il faudrait voir comment ils ont obtenu ces noms et ces adresses. Etait-ce en pénétrant des ordinateurs de l’armée américaine où ces informations sont confidentielles et protégées ? C’est vrai que les Américains dépensent des milliards dans la protection des systèmes d’information et que l’amiral en charge du cyber-command a d’énormes moyens. Mais ils ont également pu obtenir cela par des associations professionnelles, de vétérans, des mutuelles, des organismes de prêts etc.
Oui. Très franchement, en France, je pense qu’il n’est pas très difficile de trouver les adresses et les noms de militaires. De par mon métier j’en fréquente beaucoup à l’Ecole militaire et ce sont des gens comme les autres, ils ont des comptes FaceBook ou des enfants ou épouses qui en ont, sont sur Twitter, tiennent des blogs, sont présents dans des annuaires, sont sur "Copains d’avant" etc. Entendons-nous bien, trouver le nom et l’adresse de quelqu’un n’est pas non plus le secret de la bombe atomique. Il y a des tas de pistes pour trouver ça. A titre de comparaison, est-ce normal qu’on puisse trouver les noms et les adresses des policiers sur internet ? Mais il est sûr que voir son nom en ligne avec un appel au meurtre fait paniquer.
Sur le plan informatique, je pense que les équipes américaines essaieront de retrouver à qui appartient le compte Twitter en question, si on peut l’infiltrer, le fermer. Mais pour vous donner une idée sur la perméabilité des systèmes, je vous rappelle qu’à la fin du quinquennat de Nicolas Sarkozy, l’intranet de l’Elysée avait été piraté, et cela grâce à de la simple ingénierie sociale, c’est-à-dire tromper un être humain en lui racontant une histoire. En l’occurrence dans cette affaire, ils s’étaient intéressés à des gens qui travaillent à l’Elysée, pourtant censés avoir fait l’ENA et être malins, et ils les avaient trompé en leur écrivant que leur compte avait été piraté et qu’il fallait clicker sur un lien. Ces astuces, avec un peu d’ingéniosité, peuvent également être pratiquées par téléphone. Le fait qu’on ait pu trouver ces noms et ces adresses ne veut pas forcément dire que ce "cyber-califat" ait de très bons ingénieurs en informatique, mais qu'il y a peut-être juste eu un peu de travail pour abuser de la niaiserie de quelqu’un qui a donné des adresses, l’accès à un annuaire etc. Que peut-on faire contre ça ? Comme on dit en sécurité informatique, "le plus gros problème est entre l’écran et la chaise". Il faut de la prévention, de la sécurisation. Le problème est que c’est lourd, il faut prendre des habitudes, et on perd du temps. Il y a un prix pour tout cela, mais ce qu’il faudrait c’est de "l’hygiène informatique", qui vise à prendre de bonnes habitudes : ne pas prendre n’importe quelle clef USB, ne pas répondre n’importe quoi à n’importe qui. Des choses de bon sens mais que tout le monde ne respecte pas.
En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.
Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !