06juin

Questions sur la cyber-défense.

Un étudiant en master nous a transmis quelques questions autour de la cyber-défense pour élaborer un mémoire sur la cyber-sécurité et la cyber-défense, et nous proposons de livrer ici les réponses que nous avons apportées.

Des évolutions ont eu lieu concernant la prise en compte des menaces émanant du cyberespace. On peut noter une augmentation de l’intérêt des politiques pour ces « nouvelles » menaces (Livre Blanc de 2008 ; création de l’ANSSI en 2009 ; rapport Bockel sur la cyberdéfense en 2012 ; enfin Livre Blanc 2013). Dès lors, pensez-vous que le sujet est suffisamment traité au niveau national ?

Cyber-defense.fr: Le préfixe "cyber" apparaît 10 fois plus souvent dans le nouveau LBDSN de 2013 comparé à celui de 2008, on ne peut nier le sursaut dans la prise de conscience des pouvoirs publics pour cette thématique. Toutefois, si l'on compare les moyens français avec ceux de puissances comparables à la France (UK, Allemagne), il y a encore un effort important à faire.

Les agences de l’Etat, comme l’ANSSI, doivent-elles fixer une ligne de conduite spécifique, en matière de cybersécurité, aux entreprises du secteur privé, qui se positionnent sur des secteurs clefs relevant de l’intérêt national ?

Cyber-defense.fr: Clairement, oui. Pour les opérateurs d'infrastructures critiques il faut définir un cadre et des normes claires, pour les autres entreprises, les répercussions étant moins évidentes, il apparaît suffisant de fournir des recommandations. Mais au-delà de l'Etat, c'est même l'union européenne qui va nous imposer demain cette « hygiène informatique élémentaire »  que prônait l'ancien patron de l'ANSSI P. Pailloux. Une directive de l'UE relative à la sécurité des réseaux et de l'information est en préparation (le texte de l'UE est disponible ici http://ec.europa.eu/digital-agenda/en/news/eu-cybersecurity-plan-protect-open-internet-and-online-freedom-and-opportunity-cyber-security).

Est-il nécessaire de créer des « cloud souverains » afin de préserver des données qui sont sujet aux risques d’atteinte à la confidentialité lorsqu’elles ont un caractère sensible ?

Cyber-defense.fr: Les pouvoirs publics (et de nombreux acteurs privés: Iliad, OVH...) n'ont pas attendu cette proposition pour élaborer des 'datacenter' de qualité. Selon nous le « Cloud souverain » est un concept très flou, inutile aux entités détenant des informations confidentielles qui maîtrisent déjà très bien les processus pour stocker leurs données. Comme certaines affaires l'ont montré, le maillon faible dans le stockage de données confidentielles n'est pas la solution technique, mais le facteur humain : Snowden, Manning ...

Peut-on imaginer, en cyberstratégie, une analogie avec la dissuasion nucléaire, et ainsi la création d’une cyberdissuasion ?

Cyber-defense.fr: la dissuasion repose sur la crédibilité d'actions de représailles et sur la possibilité d'attribution. Pour le premier aspect, tant qu'il n'y aura pas un « cyber Hiroshima », la menace cyber restera peu crédible face à des représailles classiques. D'autre part la certitude d'attribution (bien que prétendument maîtrisée par les US) n'est pas acquise. Par conséquent l'analogie avec la dissuasion nucléaire reste un concept selon nous très limité.

Dans ce cas-là, le futur de la cybersécurité passe-t-il par le développement de cyberarmes ?

Cyber-defense.fr: Ne dit-on pas que la meilleure défense, c'est l'attaque ? En termes techniques, dans la sphère cyber, il faut avoir un très haut niveau de compétence dans les différentes attaques pour pouvoir les parer. A cet égard, rares sont les spécialistes du domaine qui n'ont pas d'abord une expérience de hacker (« black » ou « grey » hat!) ou qui s’adonnent à ce qu'il est commun d’appeler du pentesting (test de pénétration). Dès lors les pays et structures qui ont une connaissance avancée dans le domaine de l'offensive sont certainement mieux préparés pour empêcher ou contrer une attaque et donc assurer leur sécurité.

Si l’on part du postulat que le cyberespace est un nouvel espace géographique, au sein duquel s’appliqueraient des règles spécifiques, comme pour d’autres espaces, le droit de l’espace, le droit aérien, ou encore le droit de la mer: peut-on dès lors imaginer que des traités internationaux, ou régionaux, fassent leur apparition avec pour objet spécifique, la cybersécurité ou la cyberdéfense ? Peut-on espérer un droit du cyberespace ?

Cyber-defense.fr : Le cyber espace est déjà particulièrement normé (RFC, normes constructeurs...) et pour l'instant que ce soit en terme de norme comme d'administration (noms de domaines par exemple), les États-Unis sont en position de domination. Il y a eu plusieurs tentatives dans le domaine, il faut aujourd'hui d'abord retenir le débat autour de la neutralité du réseau. Pour le reste, le droit de la sphère cyber ne peut être séparé des autres disciplines du droit (relations internationales, droit commercial, propriété intellectuelle) qui sont elles, ancrées dans des limites géographiques et des sphères d'influences d’acteurs précis. Ce qui est sûr, c'est que le cyber-espace sera à l'avenir l'objet de toujours plus de normes et traités, par les États mais aussi les acteurs inter-étatiques (OTAN, UE, mais aussi consortium d'entreprises...). Dans le domaine des cyber-conflits, voir ainsi le manuel de Tallinn: http://ccdcoe.org/249.html.

Pouvez-vous me parler brièvement des principales menaces au sein du cyberespace (attaques DDOS, le virus Stuxnet…) ?

Cyber-defense.fr : Selon nous on peut les classer selon les trois types suivants:

  1. criminels (leur but=argent, y compris l'espionnage industriel);
  2. "hacktivists" (but=partager/imposer une opinion, des idées) et enfin:
  3. états (but=contrôle au sens large ce qui inclut la coercition).

Les hackers et cyberterroristes sont les acteurs qui viennent en premier à l’esprit quand on parle de cyberattaques. Mais qu’en est-il des Etats ? Disposent-ils de moyens suffisants pour lancer ce type d’attaque (notamment la France) ? Ont-ils recours à des personnes privées afin de lancer ce genre d’attaque ?

Cyber-defense.fr : Les révélations de Snowden ont démontré que les US disposent d'un ensemble de moyens incomparablement supérieur à n'importe quel acteur privé (qu'ils « fédèrent » d'ailleurs autour de leur système de surveillance). Pour le reste des pays, il faut rester dans la supposition. En France nous disposons certainement de bonnes capacités offensives comme le montrent certaines allusions lors d'auditions parlementaires. De même nous avons quelques entreprises très bien positionnées (Par exemple Qosmos, spécialisée dans le filtrage; ou encore Vupen dans les vulnérabilités 0-days) . En revanche rien ne nous permet de penser que des entreprises françaises travailleraient uniquement pour le compte de l’État français. (Voir notre billet sur le marché cyber ).

Les nouveaux acteurs comme Wikileaks ou les Anonymous constituent-ils de réelles menaces pour la sécurité des systèmes d’informations ?  

Cyber-defense.fr: Il en sont un aspect (voir plus haut), mais certainement pas la menace principale. Pour nous, dans un sens ils participent même à l'équilibre des forces.

Peut-on imaginer un développement des cyberattaques tel que le cyberespace devienne l’espace privilégié des conflits à venir ?

Cyber-defense.fr: C'est de la prospective à très long terme et donc un sacré pari. C'est selon nous envisageable à l'horizon de la fin du siècle mais d'ici là, il faut s’attendre à d'autres ruptures technologiques qui pourraient aussi bien de nouveau ancrer la guerre dans la sphère réelle : par exemple les nano-technologies.

Au contraire la cyberstratégie restera-t-elle plus modestement un des pans de la stratégie militaire française ?

Cyber-defense.fr : Un des pans peut-être, mais un courant de pensée en pleine expansion. Toutes les potentialités sont loin d'avoir été explorées et le domaine reste en pleine évolution.

10avr.

Le marché des cyber-armes: un marché gris ?

Si le marché de la cyber défense est en plein boom, comme nous le soulignions dans un précédent article, celui-ci présente une spécificité indéniable. En effet, s'il est possible de s'armer de manière conventionnelle par des circuits classiques et relativement publics, le marché de la cyber-défense rend indispensable le recours à une forme de marché obscur et confidentiel, que nous qualifierons, sans parler de marché noir, de marché gris. Parler de marché gris, c'est tempérer le terme "noir", puisque ce marché n'est pas illicite. Par ailleurs, le terme "gris" marque une forme d'absence de contrôle par le fabricant original.

Pourquoi avoir recours à ce marché gris ?

La sphère cyber a ceci de spécifique qu'elle possède une portion dématérialisée, le logiciel, sur laquelle les attaques sont les plus aisées, et bien sûr les plus répandues. Dès lors, afin de mener une attaque il est le plus souvent nécessaire d'exploiter une vulnérabilité d'un système d'information. Ces vulnérabilités, aussi appelées "exploits", sont la ressource naturelle, le nerf de la cyber-guerre, serions-nous tentés d'écrire. Lorsque ces failles sont directement exploitables et inconnues du public (et donc de l'entité en charge de les résoudre, les "patcher" dans le jargon consacré), elles sont qualifiées de "zero days"[1].

Les "exploits" ne sont pas illicites. De nombreuses entreprises en font leur commerce. Un exploit peut se vendre jusqu'à 500.000$ s'il concerne un logiciel majeur (Internet Explorer de Microsoft par exemple). Aujourd’hui ce commerce se développe et se professionnalise: plus de la moitié des exploits sont vendus par des entreprises plutôt que par des hackers isolés[2] La France possède par exemple une entreprise dont c'est la spécialité, Vupen . Pour autant, une grande partie des transactions de ces "exploits" a lieu sur internet directement ou indirectement, notamment par le biais de certains forums. De par la nature du produit, l'origine de l'exploit, même vendu par une entreprise, n'est ainsi jamais garantie.

Forum Darkode.com

Profil d'un client

Avec des prix aussi élevés, le client type d'un exploit est rarement un cyber-criminel : il s'agit d'abord et surtout des services de renseignements disposant des fonds les plus importants. L'entrée sur le marché d'acteurs au poids financier important aurait multiplié par 5 le prix moyen d'un exploit depuis 2004[3]. Des critiques s'élèvent contre ce marché de cyber vulnérabilités, pour autant toute velléité de régulation est vouée à l'échec: par l'aspect international de ce marché, mais aussi à cause de la fine frontière entre simple recherche en cyber-sécurité et les applications offensives possibles.

La France, combien d'exploits?

Dans cette tribune des Échos, Eric Filiol, ancien officier français et spécialiste en cyber-sécurité, défend l'existence d'une compétence française dans le domaine. Il y écrit ainsi:

"Le maître mot de la guerre de demain ne sera pas : « la France, combien de divisions ? » mais « la France combien de vulnérabilités peut-elle exploiter ? ».

Il est satisfaisant de constater que la France possède certaines compétences dans le domaine.

Cependant à l'heure actuelle le développement de ce marché gris pose plusieurs problèmes. En premier lieu il y a le problème moral qui est proche de celui des armes conventionnelles, l'aspect insidieux en plus: ces vulnérabilités sont susceptibles de nuire à tous; leur prolifération est incontrôlable. Ensuite, ce marché entraîne une surenchère, pour nos propres gouvernements, des crédits consacrés à l'achat d'exploits. Exploits, qui, de par la nature du marché peuvent d'ailleurs être vendus à plusieurs acheteurs différents sous couvert d'une prétendue exclusivité.

Afin de résoudre ces problèmes il est nécessaire que la recherche de ces exploits se fasse au sein même des agences "cyber" des différents gouvernements. Pour autant, on sera toujours confronté à cette forme de pouvoir égalisateur du cyber: la découverte isolée d'exploits par n'importe quel amateur éclairé ne peut être empêchée. Le marché des cyber-armes est donc condamné entre noir et gris.

Notes

[1] Puis lorsqu'elles deviennent publiques, sont appelées successivement "one day", "two days" etc...

[2] selon Roy Lindorf, chercheur à la l'université de la défense hollandaise, cité par The Economist, March 30th 2013, The digital arms trade.

[3] ibid