Récemment, de nombreux sites internet officiels taïwanais ont été mis hors service à la suite d’une série d’attaques par déni de service distribué (DDoS). Parmi les sites visés figuraient ceux du bureau présidentiel de l’île, du ministère de la Défense nationale, du ministère des Affaires étrangères et du plus grand aéroport du pays, Taiwan Taoyuan International.
Le fait que ces attaques se soient produites au cours de la visite très attendue de la Présidente de la Chambre des représentants des États-Unis, Nancy Pelosi, n’est pas une coïncidence. Il s’agit en effet de la plus haute responsable politique américaine à se rendre à Taïwan en 25 ans et sa visite témoigne d’un « engagement inébranlable envers la démocratie dynamique de Taïwan ». Selon Reuters, la Chine – qui revendique l’île comme étant sienne – a condamné ce déplacement en le qualifiant de menace pour la paix et la stabilité dans le détroit de Taïwan, et le pays a brandi la menace d’une action militaire. Peu après, le site internet de la présidence aurait enregistré un trafic 200 fois supérieur à celui d’un jour normal, ce qui a entraîné une interruption de service d’environ 20 minutes.
S’il y a des raisons de penser que ces attaques DDoS ont été lancées par des cybercriminels patriotiques établis en Chine, en Russie et ailleurs, plutôt que par le Gouvernement chinois lui-même, il n’en reste pas moins que ces attaques sont largement motivées par des considérations politiques. Les attaques DDoS sont en effet de plus en plus utilisées dans le cadre de protestations géopolitiques et sont menées dans le but de nuire aux gouvernements et aux organisations vitales des pays du monde entier. Face à cette tendance croissante, il est important que les organisations agissent dès maintenant pour se protéger.
Augmentation des tensions géopolitiques et de l’activité DDoS dans la région APAC
Une analyse chronologique du paysage des menaces fait apparaître la relation qui existe entre la montée des tensions géopolitiques et l’activité DDoS. Par exemple, alors que la plupart des régions géographiques ont connu une baisse du nombre d’attaques DDoS au cours des six derniers mois de 2021, une région a enregistré une hausse de l’activité DDoS : l’Asie-Pacifique (APAC). Nous avons d’ailleurs observé que cette région a comptabilisé plus de 1,2 million d’attaques au cours du second semestre 2021, soit une augmentation de 7 % par rapport au premier semestre de la même année.
Cette recrudescence des attaques fait écho à la montée des tensions géopolitiques dans la région, notamment entre la Chine, Hong Kong et Taïwan. Historiquement, les trois nations ont eu recours aux attaques DDoS pour perturber le trafic et les activités en ligne. Il n’est donc pas surprenant que le nombre d’attaques dans la région APAC ait augmenté parallèlement à l’agitation géopolitique grandissante, les cybercriminels actifs dans la région profitant de cette agitation pour lancer des attaques DDoS afin de causer un maximum de perturbations.
Pour mieux comprendre la manière dont les cybercriminels utilisent les cyberattaques dans le contexte d’événements géopolitiques, il convient de s’intéresser aux attaques et incidents suivants impliquant la région APAC au cours du second semestre 2021. Tout d’abord, en juillet, la Chine a fait l’objet d’une vive condamnation pour avoir lancé une série de cyberattaques, allant de la cyber extorsion et du crypto-jacking aux hacks et aux ransomwares, dans le but de s’emparer de secrets industriels, d’informations commerciales et d’études sur les vaccins. Parmi les cibles figuraient les États-Unis, le Royaume-Uni et d’autres alliés mondiaux qui ont attribué l’attaque de Microsoft Exchange à des pirates associés au Gouvernement chinois.
En outre, en novembre 2021, le directeur du département de la cybersécurité de Taïwan a indiqué que les agences gouvernementales de l’île étaient la cible d’environ 5 millions de cyberattaques et de sondes par jour. Les responsables taïwanais ont affirmé que la Chine avait intensifié ses cyberattaques dirigées contre son gouvernement et ses organisations, en corrélation directe avec les tentatives de la Chine d’intégrer l’île à son propre territoire. Enfin, en décembre, au moins 13 organisations dans des secteurs tels que la défense, les soins de santé et les transports ont été la cible d’une supposée campagne de cybersécurité chinoise. Un logiciel vulnérable présent dans plus de 600 entreprises américaines a joué un rôle déterminant dans la concrétisation de cette violation.
Comment les organisations des pays touchés peuvent-elles se protéger ?
Les organisations situées dans des pays en proie à de vives tensions géopolitiques peuvent prendre plusieurs mesures pour empêcher les attaques DDoS de ravager leur infrastructure en ligne.
Le point le plus important est sans doute que les entreprises doivent mettre en œuvre un solide système d’atténuation des attaques DDoS pour protéger leur infrastructure en ligne. Deuxièmement, les fournisseurs de services et les entreprises disposant de propriétés internet critiques pour l’organisation et tournées vers le public doivent faire preuve d’une grande vigilance et évaluer en permanence les risques potentiels. Durant les périodes de troubles géopolitiques, la situation évolue constamment, ce qui oblige les organisations à se tenir au courant de tout ce qui se passe et des répercussions possibles des événements sur le paysage des menaces.
Il est également essentiel que les organisations contrôlent régulièrement leur infrastructure en ligne. Ainsi, tout changement ou ajustement apporté aux applications, services et serveurs est intégré à la stratégie de défense contre les DDoS. Lors de l’optimisation du système de protection contre les attaques DDoS, les entreprises disposant de propriétés internet critiques et tournées vers le public doivent donc soumettre tous les composants de l’infrastructure en ligne à des tests périodiques dans le cadre du plan global d’atténuation des attaques DDoS. Ainsi, les éléments vitaux de l’infrastructure en ligne ne seront pas affectés s’ils sont visés par une attaque DDoS.
Il est manifeste que les attaques DDoS figurent de plus en plus souvent dans l’arsenal utilisé pour mener des contestations et des guerres géopolitiques. Les organisations dans les nations touchées doivent faire tout leur possible pour se protéger de manière adéquate si elles sont prises entre deux feux pendant les périodes de forte agitation.