Les terroristes dans le cyberespace
Le terrorisme international d'aujourd'hui dépend essentiellement de sa présence dans le cyberespace. Pour le combattre, il faut donc comprendre les outils et les techniques qu'il utilise. Une équipe du "Forward Looking Threat Research" a donc étudié les points communs, mais aussi les différences entre les cybercriminels "ordinaires" et les terroristes en ligne. L'une des principales conclusions est que le niveau de professionnalisme est désormais le même pour les deux groupes et qu'il continue d'augmenter.
Même si, contrairement aux cybercriminels et aux espions, les terroristes en ligne accordent une grande importance à la visibilité sur Internet et sur les canaux sociaux, ils utilisent des services et des outils de cryptage et d'anonymisation pour ne pas être localisés et attrapés. Il s'agit bien sûr de Tor pour l'accès anonyme au web, de Cloudfare pour masquer les adresses web, de SIGAINT, Ruggedinbox et Mail2Tor comme services de messagerie sécurisés, mais aussi des services de messagerie instantanée Wickr, Surespot, Signal, Threema et Telegram, ce dernier semblant être le favori absolu des terroristes en ligne avec un taux d'utilisation de 34%. Pour l'échange sécurisé de fichiers, ils utilisent top4top.net, Sendspace et SecureDrop. Ce comportement correspond à celui que l'on attendrait des cybercriminels et des espions.
En revanche, il y a aussi des écarts. Celles-ci reflètent l'évolution selon laquelle les terroristes en ligne doivent apparemment mieux se cacher sur Internet qu'il y a quelques années. C'est pourquoi ils recourent de plus en plus à des outils développés par leurs soins. Il semble que cette évolution soit liée à la pression et au succès accrus des enquêtes menées par les autorités internationales sur les milieux cybercriminels. Le site Arrestations et condamnations de ces derniers temps parlent d'eux-mêmes ici.
Parmi les principaux outils spéciaux utilisés notamment par les terroristes à motivation islamiste, on peut citer
- Les secrets de Mojahedeen : Il s'agit d'une application de cryptage considérée comme "professionnelle" pour la communication par e-mail, disponible depuis 2007 et apparemment développée comme alternative à PGP 2.
- Tashfeer al-Jawwal : Cette application a été développée et publiée en 2013 par le Global Islamic Media Front (GIMF). En tant qu'application de cryptage, elle sert à sécuriser les téléphones portables, l'un des principaux moyens de communication des terroristes.
- Asrar al-Dardashah : Il est ainsi possible de crypter des "messages instantanés" en appuyant sur un bouton et de les envoyer via l'application de messagerie instantanée Pidgin.
- Amn al-Mujahed : Ce logiciel, disponible depuis 2013 et toujours en cours de développement, crypte les messages pour différentes plateformes, pour le courrier électronique, les SMS et la messagerie instantanée. L'auteur est le comité technique Al-Fajr (ATC).
- Alemarah : Cette application Android sert à diffuser des informations sur les attentats terroristes. Les utilisateurs reçoivent des flux d'informations, des sites web et des entrées de calendrier contenant des informations sur les opérations terroristes en cours.
- Amaq v 1.1 : Cette application Android sert également à la propagande, à la différence que la version 2.1 actuelle permet de modifier sans problème l'URL sous laquelle l'application est hébergée. Par conséquent, même si un site Web est déconnecté, la communication n'est pas totalement interrompue, mais seulement temporairement - une tactique également appréciée des cybercriminels.
- Outil DDOS : Il s'agit manifestement de l'œuvre d'un sympathisant d'un groupe terroriste particulier. Elle permet des attaques par déni de service limitées via la technique SYN-Flood.
Même si les terroristes utilisent des outils développés par leurs soins, les techniques utilisées, comme le cryptage ou les attaques DoS, se recoupent. Les principales différences avec les cybercriminels se situent donc toujours au niveau des motivations et de leur rapport à la propagande. Cela ne facilite certes pas le travail des enquêteurs. En effet, plus les gangsters et les espions en ligne font des progrès techniques, plus il faut s'attendre à ce que les terroristes en ligne profitent également de ces évolutions, que ce soit sous la forme d'outils développés en interne ou non. Mais savoir quels outils et techniques ils utilisent est certainement le premier pas dans la bonne direction.
Pour plus de détails sur les conclusions de Trend-Micro sur les similitudes et les différences dans l'utilisation des techniques et des outils entre les criminels et les terroristes en ligne, voir ici.
Commentaire de l'expert en sécurité Udo Schneider, porte-parole du fournisseur japonais de sécurité informatique Trend Micro