21déc.

La cyberguerre, un fantasme ?

CyberWarfareLa cyberguerre fantasme ou réalité ? A l'heure où la cyber-défense revient sur le devant de la scène, dans l’actualité mais également dans le futur livre blanc, la priorité entre offensive et défensive est débattue. Finalement, la cyber-offensive est-elle utile ? La défensive ne devrait elle pas se réduire à de la simple sécurité ?

Ainsi le 20 novembre, l'Express révélait qu'une véritable cyberguerre s'était jouée derrière le piratage dit "de l'Elysée".[1].

L'exemple américain

Dans son édition du 8 décembre, The Economist publie un article sur cette "cyberwarfare" sous-titré "Hype and fear", disponible en ligne ici. Présentant l'avance majeure dont dispose les États-Unis, celui-ci conclut que l'offensive est largement sur-évaluée.

L'article rappelle qu'aux États-Unis, le spectre de cyberattaques ayant des effets dans le monde réel est largement évoqué. La notion de "Cyber Pearl Harbor", en vogue. Une politique volontaire est en place. Elle se serait traduite récemment selon l'hebdomadaire par la signature au mois d'Octobre par Obama d'une directive secrète pour des cyber-opérations. Il est clair qu'avec un budget de 3,4 milliards de dollars, le Cyber Command américain dispose de moyens importants (ce budget est quasiment celui de l'ensemble de la dissuasion nucléaire... en France).

Il faut également noter que le patron du Cyber Command US (Général Keith Alexander) est également le patron de la NSA, contrairement à un pays comme la France où le cyber possède une partie militaire (via l'OG-cyber[2], sans budgets ni moyens importants) et une partie civile distincte (l'ANSSI, mieux dotée).

L'équilibre entre offensive et défensive en débat

A propos de l'équilibre entre défense et attaque, en bon militaire, le général Alexander estime que l'offensive est primordiale. Pour autant, The Economist affirme que les défenses américaines ne sont capables d'arrêter que 3 attaques sur 10; par ailleurs, le journal cite Martin Libicki de la Rand Corporation qui prétend que la cyber-offensive ne peut jouer qu'un rôle de soutien d'opérations classiques. [3].

Selon Jarno Limmel de Stonesoft, une entreprise de cyber-sécurtié, la cyber-défense doit s'appuyer sur 3 capacités clés:

  • résilence contre une attaque majeure
  • des capacités d'attributions afin d'interdire l'impunité
  • des moyens de rétorsion pour dissuader une éventuelle attaque.

Pour autant, The Economist estime que les luttes dans le cyberespace sont principalement d'ordre économique. En effet, la Chine et la Russie sont citées pour être les spécialistes de l'espionnage industriel [4]. Surtout, l’hebdomadaire souligne ironiquement qu'avant de penser à l’attaque, les pays occidentaux et les américains les premiers devraient colmater les brèches dans leur propre logiciels (98% des failles de sécurité viendraient de logiciels produits aux États-Unis).

Le retour de la dissuasion

Finalement, on revient sur le brouillard de guerre propre au cyber-espace. En définitive la dissuasion repose sur la crédibilité d'actions de représailles et sur la possibilité d'attribution. Au mois d’Octobre le secrétaire d’État à la défense américain affirmait "les potentiels agresseurs devraient avoir conscience que les États-Unis disposent de la capacité de les localiser et les tenir responsables d'actes affectant l'Amérique ou ses intérêts". Même si cette affirmation peut paraître optimiste, elle établit une voie possible pour la dissuasion: le rôle central de capacités d'attribution permettant des représailles, y compris classiques.

Pour penser la cyber-guerre, d'abord repenser la guerre

En définitive si la cyber-guerre apparaît pour certains comme un fantasme; c'est d'abord parce que l'imaginaire collectif n'a pas encore pris conscience des changements dans la conflictualité. La guerre telle qu'elle est encore pensée n'existe plus. Comme l'a bien exprimé Bertrand Boyer dans son ouvrage Cyberstratégie, l'art de la guerre numérique[5]:

"il faut résolument aujourd'hui favoriser l'évolution de notre cadre de pensée, briser les codes qui régissent la stratégie et son rapport à la violence. Il nous faut concilier l'inconciliable, penser l'affrontement sans la guerre, la coopération sans la transparence, la paix comme un état transitoire."

Ainsi l'émergence de la cyberguerre n'est que le symptôme d'une recomposition des stratégies de puissance des États, et sans doute, de nouveaux acteurs.

Notes

[1] On peut pour étoffer le sujet lire ce point de vue, mais aussi le naturel démenti américain ici

[2] Officier Général Cyberdéfense, appartenant à l’État-major des armée

[3] "Cyber-warfare can only be a support function" for other forms of war

[4] L'article cite cet exemple où des hacker d'une agences de renseignement étranger, auraient en 2009 dérobé 24.000 fichiers confidentiels de Lockeed Martin, qui auraient permis d'espionner les réunions abordant des aspects technologiques des capteurs du chasseur J-35 Joint Strike Fighter.

[5] Paru en mai 2012, Éditions Nuvis, ISBN 978-2-36367-013-7

29mai

Stuxnet, Duqu ... Flame !

208193539.png

Après Stuxnet et Duqu, un nouveau vent de panique souffle dans l'nivers de la Cybersécurité, et bien sûr de la cyber-défense. Un nouveau virus, macro-virus devrions-nous dire est apparu. Enfin apparu, c'est inexact puisque'il sévirait en toute discrétion depuis 2 ans au moins. Découvert il y a quelques jours par Kaspersky suite aux demandes d'investigation de l'union internationale des télécommunications, celui-ci possède à première vu des caractéristiques intéressantes:

  • Une remarquable furtivité donc (durée des sévices estimée à 2ans au moins), avec possibilité d'être commandé et effacé à distance
  • Mouchard complet utilisant micro-capture d'écran-keylogger[1]; les données sont envoyées ensuite par Internet.
  • Environnement de développement permettant a priori de reprogrammer à la volé n'importe quelle outil avec notamment une machine virtuelle; cela confère une évolutivité au virus.
  • Du coup le virus n'est pas très léger: il pèserait donc dans les 20Mo ! (à comparer avec les 0,5mo de Stuxnet); si la comparaison de complexité ne peut se réduire à une comparaison de taille[2], l'architecture (représentée dans le schémas illustrant ce billet) est particulièrement complexe.
  • Contamination/Propagation par phishing,Web / clé USB; réseau local
  • Enfin et surtout un contamination très ciblée géographiquement:

208193524.png

Finalement, Flame apparaît comme un cyber-mouchard particulièrement évolué.

Cette nouvelle découverte est peu étonnante, combien d'autres virus, produits de la cyber-guerre sont à découvrir ? Cette fois-ci cependant, la source paraît identifiée; en effet, le ministre israélien des affaires stratégiques Moshé Yaalon a déclaré "Il est justifié, pour quiconque considère la menace iranienne comme une menace significative, de prendre différentes mesures, y compris celle-là, pour la stopper [...] Israël est en pointe dans les nouvelles technologie et ces outils nous offrent toutes sortes de possibilités"[3].

Laissons à présent les équipes de Kaspersky décortiquer le virus pour en savoir plus sur l'état de l'art en terme de cyber-arme. Bien que nous ne connaissions pas les données qui ont pu être extraites, et donc l'efficacité d'un tel programme, il est évident que la panoplie à disposition de la fonction "connaissance et anticipation" s'étoffe. Peut-être une leçon pour le futur livre blanc de la défense et sécurité nationale ?

NB: Les images illustrant ce billet appartiennent à kaspersky, voir ce lien pour de plus amples informations.

Notes

[1] Dispositif permettant d'enregistrer ce qui est tapé sur un clavier

[2] notamment à cause du fait que Flame contient de nombreuses librairies additionnelles lui permettant d'effectuer de la compression ou des manipulations sur les bases de données

[3] source ici

10mar.

Stuxnet, la cyber guerre a déjà commencé.

stuxnet.jpgAu mois de juin 2010, une société de sécurité informatique biélorusse VirusBlokAda annonce avoir découvert un nouveau virus de type cheval de Troie, qui s’attaque aux systèmes Windows. La communauté des experts en sécurité est abasourdie: ce virus utilise un grand nombre de vulnérabilités jamais découvertes encore, usurpe des certificats de constructeurs informatiques majeurs, et s'attaque à un logiciel qui contrôle des processus industriels très répandus. Va-t-on assister à des catastrophes industrielles: coupures électriques, centrales nucléaires qui s'emballent ?

Lire la suite