Comment Ámbito a été piraté : qu'est-ce que la défiguration et tout ce que nous savons sur l'attaque
L' attaque contre le site du journal Ámbito a une fois de plus mis en évidence un type de piratage de plus en plus courant dans les médias, les organismes publics et les plateformes numériques : le defacement , une technique qui ne vise pas à voler des informations ou à obtenir un gain financier, mais plutôt à modifier le contenu visible d'une page pour y laisser un message .
L'incident s'est produit vendredi matin, quelques jours après que la Cour suprême a confirmé la condamnation de Cristina Kirchner pour corruption dans l'affaire Highways.
Pendant une brève période, la une du site web spécialisé en économie et en affaires a été complètement remaniée : des photos de crânes, des messages hostiles à l'ancien président et des slogans comme « #CFKPRESA » et « #CFKCHORRA » ont dominé les gros titres de plusieurs articles. Le tout était signé par un groupe se présentant sous le nom de @gov.eth , un nom déjà bien connu du cyberactivisme argentin.
Le journal a confirmé qu'il s'agissait d'une attaque de défiguration , une méthode consistant à accéder au panneau d'administration du site et à remplacer son contenu original par du texte, des images ou des vidéos. « Le contenu a été considérablement modifié », a-t-il expliqué dans un communiqué officiel, dans lequel il a également présenté ses excuses aux lecteurs et aux annonceurs.
L'attaquant s'est identifié comme @gov.eth, un nom déjà connu dans le cyberactivisme argentin.
Le nom @gov.eth n'est pas nouveau. Ces derniers mois, cet utilisateur a revendiqué le piratage de plusieurs sites d'information, tels que Perfil.com et La Unión Digital de Catamarca, ainsi que du site officiel du gouvernement argentin , argentina.gob.ar , fin 2024.
Dans une interview accordée à Clarín , l'un des agresseurs s'est présenté sous ce pseudonyme et a affirmé qu'aucun mobile politique ne justifiait ses actes. « Nous étions deux jeunes qui s'ennuyaient et nous avons réussi », avait-il déclaré à l'époque, expliquant qu'il travaillait dans le marketing numérique, mais qu'il menait ces attaques « par loisir ».
Selon son témoignage, lors de certains piratages précédents, ils ont réussi à pénétrer dans le système grâce à des identifiants divulgués sur les pages de test du gouvernement. Comme les serveurs n'étaient pas équipés de l'authentification à deux facteurs , il suffisait de saisir un nom d'utilisateur et un mot de passe pour accéder au backend , le tableau de bord qui gère le contenu du site.
Bien que la nature exacte de la faille de cette dernière attaque reste à confirmer, Ámbito a reconnu que les attaquants ont accédé à la liste des noms d'utilisateur et des mots de passe , leur permettant d'en modifier massivement le contenu. Tout porte à croire, comme dans les cas précédents, à une possible fuite d'identifiants ou à une défaillance des mesures de sécurité de base du système .
L'exemple le plus illustratif est l'attaque contre argentina.gob.ar en décembre dernier. Les attaquants ont révélé que le serveur ne disposait pas d'une authentification à deux facteurs (également appelée 2FA ou MFA), une mesure permettant de vérifier l'identité d'un utilisateur à l'aide d'un code supplémentaire (envoyé sur un téléphone portable, une application ou par biométrie) et qui constitue une barrière de sécurité supplémentaire .
« Nous avons accédé au site grâce à un identifiant fuité obtenu sur un site de test gouvernemental et avons utilisé le même identifiant pour nous connecter au backend d'argentina.gob.ar », avait alors expliqué gov.eth. Ils ont ensuite augmenté les autorisations et pris le contrôle du système.
La dégradation est une forme de « vandalisme numérique ». (Photo : Shutterstock)
Contrairement à d'autres cyberattaques plus complexes ou motivées par des raisons financières, la défiguration est une forme de « vandalisme numérique ». L'objectif est de modifier l'apparence d'un site pour véhiculer un message, laisser une trace ou simplement démontrer sa faisabilité. En général, aucune information n'est volée ni aucun logiciel malveillant installé , même si cela ne signifie pas qu'il n'y a aucun risque.
Cette technique consiste à accéder au panneau de configuration du site – via une vulnérabilité, un mot de passe faible ou une fuite d'identifiants – et à remplacer son contenu par un autre . Il peut s'agir d'images, de messages politiques , de vidéos, de menaces ou de moqueries. Dans de nombreux cas, comme celui-ci, une tête de mort est utilisée comme signature, accompagnée de hashtags et de liens vers des chaînes Telegram ou d'autres réseaux.
Le terme vient de l'anglais « deface » et désigne la modification de l'apparence d'un site web . Bien que moins sophistiquée que d'autres cyberattaques, elle peut avoir un impact public considérable, notamment si elle touche des médias ou des sites web officiels.
Au-delà des intentions de l'attaquant, l'épisode met en évidence les risques liés à la non-application de mesures de cybersécurité de base . L'utilisation de mots de passe forts et uniques, l'activation de l'authentification à deux facteurs et la mise à jour constante des logiciels sont des ressources essentielles pour prévenir ce type d'intrusions.
Clarin
