Cet article est la première partie d’une série de billets sur ce que l’on dénomme la « cyberguerre ». Je traiterai principalement dans ces articles les aspects techniques et stratégiques de ce domaine.
La cyber-guerre fait aujourd’hui partie des grands débats sur le cyberespace. A ce jour, tout le monde en parle, tout le monde essaye de s’armer, de se documenter et de se prémunir envers d’éventuelles attaques contre les systèmes d’information, qu’ils soient civils ou gouvernementaux.
Travaillant d’un côté sur ces problématiques et étant de l’autre passionné, j’ai décidé de réaliser une série d’articles faisant un petit tour de ce thème complexe, alliant tant des connaissances techniques que des analyses sur les doctrines des différents protagonistes actuels. J’ai préféré faire ce premier article – faisant office d’introduction – sous forme de questions/réponses, principalement par soucis de clarté, mais aussi afin d’organiser un peu mieux le contenu…
La cyber-guerre, c’est quoi ? De la guerre de l’information ?
Il ne faut pas confondre « cyber-guerre » et guerre de l’information. La guerre de l’information a toujours fait partie des relations politiques, militaires et économiques entre les hommes pour un contrôle ou un accès à l’information faute de la contrôler. L’un des auteurs les plus connus sur la guerre de l’information – ayant le premier mis en avant des axiomes de la stratégie du renseignement – est sans aucun doute Sūn Zǐ (孙子) dans son célèbre livre « L’art de la Guerre » (à ne pas confondre avec Sūn Bìn (孙膑) et son Traité militaire).
La « cyber-guerre », quant à elle, est en partie[1] le prolongement de la guerre de l’information à l’ère d’internet, prenant racine en même temps que la démocratisation de ce média vers la fin de la guerre froide. Elle ne reprend pas les axiomes des guerres classiques, mais se calque sur plusieurs principes des guerres asymétriques. Aujourd’hui, le mythe encore présent dans les esprits du teenager piratant les systèmes du DoD à la lumière de son écran d’ordinateur est cependant bien loin : on assiste à une véritable course à l’armement des différentes forces milliaires prédominantes aujourd’hui (la Chine, les Etats-Unis, Israël, la France, l’Iran, la Russie, l’Allemagne, la Grande Bretagne, la Corée du Nord, le Brésil, l’Inde etc.).
Le spectre de la « cyberguerre » hante les médias à chaque nouvelle attaque informatique. Ce terme est aujourd’hui utilisé à outrance car il fait vendre. Il regroupe des attaques, souvent des campagnes délimitées dans le temps d’espionnage ou de sabotage utilisant le cyberespace comme vecteur d’attaque. Il n’y a pas un seul théâtre d’affrontement, mais de multiples attaques possédant de multiples belligérants, souvent anonymes.
Mais si c’est sur internet, alors des civils peuvent y participer ?
Oui et non. Aujourd’hui la documentation pouvant amener quelqu’un à pénétrer des réseaux informatiques est ouverte. Tout le monde peut se renseigner en autodidacte et en quelques années posséder un niveau permettant de mettre en œuvre des attaques envers des systèmes d’information stratégiques. Il adviendra ensuite aux personnes s’aventurant dans ce domaine de posséder leurs propres capacités tactiques afin de réaliser des opérations complexes permettant de pivoter dans certains réseaux ou de frapper au moment opportun.
Cependant, ce type d’attaque « one-shoot » et ciblée requiert une véritable capacité d’organisation et de préparation afin d’être sûr de lancer la bonne charge au moment propice où toutes les variables d’environnement sont au vert : contexte politique, relations entre l’entité visée et l’extérieur, infrastructure visée, découverte de failles, agenda des acteurs de l’entité etc. De plus, on ne peut pas être spécialisé dans tous les domaines de l’informatique offensive, car ce champ est vaste et en constante mutation[2]. Il est donc improbable que des civils puissent organiser sur le long terme une préparation à une attaque d’envergure telle que Titan Rain, Ghost Net, Aurora ou Stuxnet par exemple.
Quelques cas isolés de piratages gouvernementaux ont cependant défrayé la chronique, aux États-Unis par exemple avec le cas de Gary McKinnon, ayant piraté une centaine de bastions entre 2001 et 2002. Ces piratages n’ont toutefois fait l’objet d’aucune demande d’un Etat extérieur, il s’agissait pour Gary de simples recherches portant sur l’existence de relations entre l’Oncle Sam et une civilisation extraterrestre.
Les internautes « lambda » réalisent principalement des attaques partielles, axées sur la saturation de certaines ressources. Ce fut le cas par exemple avec les affaires de la Géorgie (2008), de l’Estonie (2007), du Kirghizstan (2009) et de la révolution verte (Iran, 2009) où des DDoS composés tant de Botnet « consentis » (Opt’in botnets) que de Botnets « normaux » (réseaux d’ordinateurs zombies) furent utilisés contre des intérêts gouvernementaux. Toutefois, ce type d’attaques requiert derrière les pouvoirs en place des jeunesses patriotes (ex : Nashis en Russie) ou une véritable opposition internationale (Le cas des révoltes arables récemment réalisées grâce aux réseaux sociaux).
Depuis quelques mois, un groupe nébuleux d’internautes appelé « Anonymous » occupe le devant de la scène hacktiviste, notamment suite à des attaques DDoS organisés contre certaines entreprises américaines. Beaucoup d’articles ont fait écho d’une « cyber-guerre » concernant les agissements de ce groupe, même si, de telles actions se rapportent plus à de cyber-protestations comme ce fut de nombreuses fois le cas durant cette dernière décennie.
Donc les attaques telles que Ghostnet, Aurora et Stuxnet auraient été réalisés par des Etats ?
La crainte de voir un cyber-conflit s’est ravivé l’année dernière avec les affaires Aurora (fin 2009) et Stuxnet (début 2010), deux affaires complètement différentes en termes opérationnels mais également dans les acteurs impliqués. L’une, Aurora, fut une affaire d’espionnage réalisée à l’aide de campagnes de spear-phishing contre de grands groupes occidentaux (Google, Intel etc.). Plusieurs indices (la méthodologie employée semblable à GhostNet – affaire déjà imputé à la Chine, les exploits et RATs utilisés etc.) ont conclu très vite à une implication de la Chine et de deux de ses universités : Shanghai Jiao Tong et l’école professionnelle de Lanxiang.
Stuxnet, de son côté, a été beaucoup plus évolué que les différentes campagnes d’espionnage Chinois. Tout d’abord, il utilisait des failles non connues au moment de leur utilisation, au nombre de quatre[3]. De plus, il agissait comme un vers : un vers ayant une charge utile permettant le contrôle de certains systèmes industriels. Enfin, pour passer inaperçu, il utilisait des certificats d’authenticité de deux éditeurs logiciels. Je ne vais pas faire un article sur Stuxnet, vous en trouverez un très bon par ici. Cependant, sa capacité à attaquer des systèmes industriels (SCADA), notamment utilisés dans le domaine nucléaire a ravivé la crainte de voir lors d’une guerre ou de simples piratages, le sabotage de systèmes vitaux pour notre société (Santé, Gestion Énergétique, Transports, Communication, Eau etc.).
Selon plusieurs sources, la réalisation des trois versions de Stuxnet aurait pris des mois à raison de plusieurs personnes travaillant activement dessus, tant dans la recherche de failles sur Windows qu’au développement même du vers et de sa charge utile.
Alors, qui est derrière ce ver ?
Tout de suite, les esprits se sont orientés vers Israël pour plusieurs raisons. Côté géopolitique, l’Iran, ennemi historique d’Israël a vu ses centrifugeuses nucléaires (Natanz et Bushehr) visées par Stuxnet et nous savons que l’acquisition de l’arme nucléaire par l’Iran est la préoccupation principale d’Israël et de ses alliés pour la stabilité de la région.
D’un point de vue militaire, Israël était l’un des seuls pays ayant une « doctrine militaire » propice à commettre ce genre de faits (et ce n’est pas le premier « fait d’armes informatique » de Tsahal de ce genre). Concernant la Chine, sa capacité cybernétique offensive est depuis des années orientée vers l’espionnage politique et industriel dans le cyberespace. Elle est de plus (avec la Russie) le principal partenaire commercial de l’Iran, notamment sur le point militaire et nucléaire.
De leurs côtés, les Etats-Unis et Grande Bretagne n’ont jamais réalisé d’opérations offensives dans le cyberespace sans prétexte préalable ou sans qu’il y ait en parallèle un conflit physique avec leur ennemi. Il ne reste alors qu’Israël, qui est de plus suspecté au fil des semaines grâce à de nouvelles révélations toujours plus contraignantes pour Tsahal.
Pour conclure sur cette question, il est marrant de voir certains experts en cyber-guerre d’origine israélienne remuer ciel et terre afin de discréditer la thèse envers Israël (comme par ici). Enfin, l’autre jour, au détour d’une recherche, j’ai vu une conférence (très intéressante en passant) d’un ancien de Tsahal aujourd’hui expert en cyber-guerre, qui de façon humoristique a présenté une slide blanche sur Stuxnet [min 36 :20].
Les systèmes « SCADA » seraient donc le nerf de la cyber-guerre ?
Les systèmes industriels (SCADA) et de communication ont toujours été, dans le cadre de guerres la cible de frappes (voir les bombardements sur Bagdad ou Belgrade). La cyber-guerre induit cependant un nouveau vecteur d’attaque : le virtuel. La sécurité des systèmes SCADA est aujourd’hui l’une des préoccupations principales des Etats face à d’éventuelles attaques informatiques. En effet, comme dit plus haut, c’est sur ce type de systèmes que repose l’approvisionnement énergétique de nos sociétés. Attaquer des SCADA c’est donc s’en prendre au cœur du fonctionnement d’une société. Mais c’est plus difficile en pratique que sur le papier…
Ces systèmes donc sont vulnérables aux attaques informatiques ?
Comme l’a prouvé Stuxnet : Oui. Et ce n’est pas un cas isolé. En effet, plusieurs autres pays ont vu leurs systèmes attaqués dont des centrales nucléaires ou réseaux de Smart-Grid (compteurs intelligents). D’ailleurs pour l’anecdote l’un des premiers piratages d’ordre militaire de l’histoire fut effectué contre un pipeline russe pendant la guerre froide [On Cyber Warfare, Page 6] donc cette histoire de SCADA ne date pas d’hier. La principale préoccupation des Etats concernant la sécurité de leurs différentes infrastructures énergétiques s’oriente donc vers les mises à jour de ces systèmes. En effet, les systèmes industriels sont rarement mis à jour, car les logiciels de gestion ont été développés sur des plateformes non évolutives. De plus, dans plusieurs cas, les constructeurs de ces systèmes n’assurent plus ce que l’on pourrait appeler le « service après vente » (publication de patchs etc.).
Cependant, il existe plusieurs limites non négligeables qui relativisent grandement ce type de menaces. Tout d’abord, les faibles connexions des systèmes SCADA avec l’extérieur. En effet, une très large majorité de ces derniers n’est pas reliée à internet. Ils doivent donc être piratés, soit par accès physique, soit en utilisant un vecteur indirect afin d’atteindre la cible (par clé USB par exemple – comme ce fut le cas pour Stuxnet). Ensuite, certains de ces systèmes possèdent des protocoles de communication « exotiques », non basés sur les standards largement développés tels que TCP/IP ou Ethernet, limitant donc la diffusion par le réseau de certains types de menaces. De plus, les systèmes SCADA sont très onéreux et peu de chercheurs en sécurité informatique possèdent la capacité d’effectuer des tests d’intrusion en laboratoires afin de trouver des vulnérabilités exploitables dans le cadre d’une attaque – sans le soutien financier d’un Etat.
Enfin, le temps est la limite majeure des attaques contre les SCADA. En effet, comme nous l’avons vu, il faut plusieurs mois afin de développer et mettre en œuvre un programme d’attaque complexe (voir Stuxnet). Il est donc peu probable qu’un groupe de personnes soit dans la capacité – sans le soutien logistique et financier d’un Etat – de réaliser des opérations cybernétiques offensives d’envergure contre des systèmes industriels d’un pays (tel qu’on peut le voir dans certains films). Le plus simple serait encore d’aller directement, par une intrusion physique, à l’intérieur de ces systèmes en vue de leur sabotage. (Ah, et je ne vous ai pas parlé des sous-sols de Paris ? =)
On a évoqué les systèmes de communication, qu’en est-il de ce côté là ?
Les systèmes de communication sont aujourd’hui le talon d’Achille de nos sociétés. En effet, ces derniers sont très vulnérables car connectés à toutes sortes de réseaux et développés sur des architectures logicielles démocratisées. Une attaque cybernétique contre un système de communication relève plus de la guerre de l’information et peut avoir plusieurs buts tels que le sabotage du système (brouillage, DDoS), le relais de fausses informations (piratages de médias nationaux/agences de presse, injection d’informations, usurpation d’identité), l’espionnage (écoutes satellitaires, piratages de PABX/serveurs mails etc.).
Nous vivons dans une société de l’information : nous sommes constamment connectés. Ce type de piratage, suivant son ampleur (détournement de trafic à grande échelle, piratage de grands médias etc.) peut avoir des effets néfastes pour l’économie d’un pays et ne requiert, dans certains cas, pas de très grandes connaissances techniques de la part de l’attaquant, juste un peu de chance et un bon timing.
Une nation ou un groupe d’individu serait donc dans la capacité de paralyser certains systèmes d’information stratégiques ?
Peut-on paralyser les communications d’un pays ? A cette question, plusieurs réponses peuvent être formulées. Comme nous l’avons vu avec les affaires estoniennes et géorgiennes, la vulnérabilité d’une nation face à des cyber-attaques par saturation est possible. Toutefois, cela requiert une charge très conséquente, charge devant être répartie afin de cibler des centaines de serveurs clés. Les attaques géorgiennes et estoniennes ont touché principalement les sites internet du gouvernement, de certains médias et de certaines banques, mais pas de systèmes « stratégiques », limitant ainsi la portée d’une telle attaque. Ainsi, la médiatisation excessive de ces cyber-attaques résulte de l’effet de surprise lié à ces attaques : jamais auparavant un pays n’avait connu de telles attaques par saturation.
Aujourd’hui, certains réseaux d’ordinateurs zombies s’élèvent à plusieurs millions de machines infectées de part le monde (Confiker, Waledac), pouvant ainsi former un Botnet conséquent afin de paralyser certains organes de communication stratégiques pour un pays (serveurs DNS, gateways etc.). Toutefois, aucun état n’a reconnu officiellement être en la possession d’un Botnet de cette envergure.
La possibilité pour un état de créer un Botnet de quelques millions de machines a cependant été pensée plusieurs fois. L’une des meilleures présentations sur ce thème revient à Charlie Miller, mondialement connu pour son expertise en failles applicatives. Toutefois, sa présentation, intitulée “Kim Jong il and me how to build a cyber army to defeat the U.S.”, oublie un point crucial : la durée de vie des Botnets. Tenir un Botnet de plusieurs millions d’ordinateurs zombies pendant deux ans est une tache très périlleuse et plusieurs facteurs d’environnements sont à prendre en compte : durée de vie des serveurs de commande, load-balancing par FastFlux/P2P, désinfection, enquête internationale, reformatage des ordinateurs contaminés, évolutions logicielles etc.
S’il ne crait pas la mort, il risque d’être tué. (Sun Tzi)
Les cyber-conflits sont aujourd’hui un vaste sujet d’étude. La vision apocalyptique des films hollywoodiens tels que « Die Hard 4 » est très loin de la réalité, notamment technique et logistique. Toute fois, les forces étatiques en présence se mettent véritablement à développer des capacités offensives et défensives dans le domaine des conflits cybernétiques.
Plusieurs doctrines militaires répondant à cette problématique se présentent à travers le monde, reprenant largement les principes de la guerre du renseignement à l’ère d’internet. En parallèle de cela, plusieurs attaques sont perpétrées à travers le monde, ayant comme principal but l’espionnage de certains systèmes (incluant des systèmes civils). A ce jour, une seule attaque délibérée de sabotage hors conflit direct a été perpétrée (Stuxnet). Cependant, ce type d’attaque restera marginal dans le futur : les Etats s’orientant plus, comme dans les cas des « Informations Operations » à des opérations cybernétiques offensives ciblées en parallèle de conflits sur le terrain ou a des campagnes d’espionnage ciblées.
Nous verrons dans un prochain article sur quoi s’articulent principalement les doctrines militaires sur le sujet de la cyber-guerre. Nous permettant de définir en fin d’article un framework pouvant être appliqué par « défaut » dans le cadre de la protection, tant défensive qu’offensive d’un état contre certaines attaques cybernétiques.
[NOTE 1] Car elle permet aussi des manœuvres telles que le sabotage ou la télécommande de certains dispositifs à distance.
[NOTE 2] Une personne peut être extrêmement skillée en exploitation low-level et n’avoir que des bases théoriques dans les autres domaines et vice versa.
[NOTE 3] Une des vulnérabilités utilisées a été publiée en avril 2009 dans le magazine Hacking, mais n’a jamais été corrigée par Microsoft avant que l’attaque de Stuxnet remettre au jour cette vulnérabilité.
