Prononcez le mot cyberguerre. Attendez un peu. Un débat enflammé ne devrait pas tarder. La dernière couverture de L’Express (à l’iconographie soignée) n’a pas manqué de souffler sur les cybertisons, jamais vraiment éteints.

Révélant le modus operandi de l’attaque qui a touché l’Élysée en mai dernier, l’hebdomadaire surtitrait sa première page “CYBERGUERRE” en lettres capitales. L’Express affirme aussi que l’attaque a été menée par les États-Unis. Depuis les réactions ont fusé. Sur les faits décrits et sur le fond : est-ce là “le futur des conflits” comme l’affirme Christophe Barbier, le directeur du journal ?

Thomas Rid, chercheur au King’s College de Londres, a décortiqué tous les exemples de la prétendue cyberguerre. Aucun ne passe à l’examen des faits selon lui. D’autres adressent une critique structurelle au concept. Puisqu’elle est cyber, elle ne peut être guerre. Pour l’instant ou pour toujours.

Les observateurs sont pour le moins clivés, et la rédaction d’Owni n’échappe pas à la règle. Pour y voir plus clair, nous avons voulu laisser le “cyber” de côté pour se concentrer sur l’objet du litige : la “guerre”.

Cybermorts

Dans son édito vidéo, Christophe Barbier reconnaît le caractère spécifique de la cyberguerre : “une guerre qui fait peu ou pas de dégâts humains”. Un oxymore selon plusieurs politologues que nous avons interrogés.

Jean-Vincent Holeindre, maître de conférence en sciences politiques à Paris II, travaille sur la pensée militaire. Il rappelle que chez Clausewitz, la guerre est d’abord “un duel des volontés”. C’est la définition minimaliste. Deux piliers viennent l’enrichir : l’usage de la violence et le motif politique.

Régis Lanno, doctorant en sociologie à l’université de Strasbourg, précise :

Même s’il est difficile de définir de façon essentialiste la guerre, en raison des changements de moyens et d’outils dans l’histoire, des invariants demeurent. La guerre correspond à l’administration de la mort à l’extérieur d’un groupe (famille, communauté, clan et plus tard la Nation).

Point de guerre sans mort violente : deux volontés contradictoires s’opposent en mobilisant la violence armée. Mais l’administration de la mort doit répondre à une volonté politique. La criminalité, même violente, n’est pas la guerre. “La guerre consister à utiliser la violence ou la menace de la violence pour contraindre l’ennemi à se plier à sa volonté. Pour reprendre la définition de Clausewitz, la guerre est un acte de violence politique pour faire triompher sa volonté” ajoute Régis Lanno.

La définition restrictive utilisée en sciences sociales se distingue de l’emploi familier, de l’imaginaire collectif. Jean-Vincent Holeindre rappelle que “la perception de la guerre selon le sens commun est façonnée par la mémoire des guerres du XXe siècle, surtout les deux guerres mondiales.” Des guerres entre des États, entre des puissances industrielles, utilisant des armes sophistiquées. D’autres formes de guerre existent, nuance Jean-Vincent Holeindre. Les guerres asymétriques par exemple, qui opposent un groupe (des insurgés) à un pouvoir central.

Cyberconflit

“La guerre est le paroxysme du conflit” précise le chercheur. Le conflit comprend des gradations : de la dispute familiale à la grève de salariés. C’est plutôt quelque part dans ce panel que devrait figurer la cyberguerre, le cyberconflit donc.

Pour Régis Lanno, les victimes physiques sont cruciales pour employer le terme guerre : “En l’absence de mort dans le camp ennemi, la cyberguerre relève du conflit. L’objectif est plus de neutraliser l’ennemi que de l’anéantir physiquement.”

Du sabotage. Jean-Vincent Holeindre insiste :

Le sabotage est une stratégie militaire, un élément particulier d’un ensemble plus large qui relève du renseignement. Tout en se protégeant des attaques de l’adversaire, la partie au combat essaie de saboter l’arsenal ennemi pour le désorganiser et faciliter l’usage de la force.

Les exemples sont légions de cybersabotage et d’utilisations tactiques de cyberattaques : contre la Géorgie en 2008, la Russie a ciblé des sites internet officiels avant de mener sa campagne au sol. Stuxnet, le logiciel malveillant fabriqué par les États-Unis et Israël dans le cadre du programme “Olympic Games”, a permis de retarder le programme nucléaire iranien. Mais l’acte de sabotage ne suffit pas à lui seul pour qualifier l’acte de “cyberguerre”. Sauf si la cible de l’attaque s’estime victime d’une agression.

Cyber Lex, Sed Lex

On quitte alors l’univers théorique de la pensée politique pour entrer dans le domaine du droit. Yves Sandoz est professeur retraité de droit international humanitaire à Genève et Fribourg. Il rappelle “[qu']une définition a contrario de la guerre est posée dans la charte des Nations Unies adoptée en 1947″. La charte proscrit le recours à la violence pour régler des différends : fini les guerres d’agression (en principe), fini les déclarations de guerre en bonne et due forme.

À côté de l’évolution normative, Yves Sandoz note un changement de la nature des guerres aujourd’hui :

Les conflits internes de très haute intensité augmentent, comme au Mexique par exemple. Il s’agit d’un conflit criminel très violent. L’utilisation du terme “guerre” a aussi été dévoyée dans des expressions comme la “guerre contre la terreur” ou “la guerre contre la pauvreté”.

Juridiquement, une cyberattaque peut être considérée comme un acte d’hostilité, donc enclencher les mécanismes de légitime défense encadrés par la charte des Nations unies. “Mais il faut respecter le principe de proportionnalité” modère Yves Sandoz.

En somme, le piratage d’un site officiel peut difficilement entraîner un bombardement aérien en riposte… Les États-Unis l’ont annoncé l’année dernière : ils se réservent le droit de considérer une cyberattaque comme un acte de guerre, et d’y répondre par des moyens conventionnels.

Cyberrégulation

La cyberguerre froide

Les États-Unis gardent aujourd'hui la main sur certaines fonctions essentielles du Net. Au grand dam de quelques nations, ...

L’idée d’un traité sur la cyberguerre progresse. La Russie plaide depuis 1998 en faveur d’un traité international interdisant l’utilisation du cyberespace à des fins militaires. Mais obéissant à une logique de rapport de force. Moscou ne pense pas pouvoir rivaliser avec les autres États dans le cyberespace, dès lors mieux vaut que le cyberespace soit pacifié…

Champ de bataille, le cyberespace ne peut échapper aux garanties prévues par le droit. Caractériser une cyberattaque entraîne l’application du droit international humanitaire, plaide le Comité international de la Croix Rouge. La question n’est alors plus de savoir si la cyberguerre est possible, mais d’admettre qu’elle l’est pour éviter une zone grise non-codifiée, dans laquelle les belligérants pourraient nier l’existence de toutes règles et inventer un cyber-far-west.

Responsable des recherches sur les question cyber au CICR, Cordula Droege considère les cyberattaques comme “des moyens et des méthodes de guerre qui reposent sur les technologies de l’information et sont utilisées dans un contexte de conflit armé au sens du droit humanitaire”.

Cordula Droege émet des réserves sur la possibilité d’attribuer une cyberattaque et sur la nature des objectifs visés, qui ne doivent pas être civils conformément au droit international humanitaire. Ces nuances posées, elle écrit :

Si les moyens et les méthodes de la cyberguerre produisent les mêmes effets dans le monde réel que les armes conventionnelles (destruction, perturbation, dégâts/dommages, blessé, morts), ils doivent être gouvernés par les mêmes règles que les armes conventionnelles.

Rarement, la Défense n’a eu autant tremblé d’être réduite à “une armée de confetti” en attendant son budget de l’année. Il est finalement stable, avec une dotation de 31,4 milliards d’euros. Un budget de continuité, en attendant les conclusion du Livre blanc sur la Défense dont le rendu est attendu pour le mois de janvier. Le grand rendez-vous sera 2014, avec l’adoption du projet quinquennal de la loi de programmation militaire.

Dans cette atmosphère grise, il y a bien un secteur qui arbore des couleurs flamboyantes : la cyberdéfense. Tous les corps sont concernés, civil et militaire, services de renseignement et forces conventionnelles.

Des effectifs triplés

Rattachée directement au Premier ministre, l’Agence nationale de la sécurité des systèmes d’information (Anssi) est en charge de la cybersécurité en France depuis sa création en 2008. Elle recrutera 75 postes en 2013 a annoncé Kader Arif, ministre délégué auprès du ministre de la Défense.

Son directeur, Patrick Pailloux s’en félicitait lors d’une intervention à l’École militaire fin octobre :

L’Anssi est la seule administration à recruter, y compris depuis le nouveau gouvernement.

Les chiffres parlent d’eux-mêmes : l’agence comptait 120 agents en 2009, leur nombre devrait tripler pour atteindre 360 agents en 2013. L’effort budgétaire a suivi, passant de 45 millions d’euros en 2009 à 75 millions en 2012 selon le rapport Bockel sur la cyberdéfense.

Le Calid (Centre d’analyse en lutte informatique défensive) occupe des fonctions complémentaires à celles de l’Anssi. C’est à sa tête que se trouve l’officier général à la cyberdéfense, le contre-amiral Arnaud Coustillière. Lui aussi peut avoir le sourire. Ses effectifs vont doubler. Il compte aujourd’hui 20 personnes qui atteindront 40 l’année prochaine “afin d’être opérationnel vingt-quatre heures sur vingt-quatre et sept jours sur sept” selon le ministère de la Défense. Un souhait émis par le sénateur Bockel dans son rapport.

Autre structure du ministère, les équipes de la Direction générale de l’armement (DGA) devraient être largement renforcées. Lors d’un déplacement début septembre sur l’un des principaux sites de la cyberdéfense, à Bruz (Ille-et-Vilaine), le ministre Jean-Yves Le Drian, a annoncé la création de 200 emplois pour la cyberdéfense d’ici à 2015.

Les peurs des cyberdéfenseurs

Les responsables français de la cyberdéfense ont parfois des sueurs froides. Le contre-amiral Coustillière et le directeur ...

La DGSE, grand gagnante

Les services de renseignement ne sont pas en reste. La DPSD (Direction de la protection et de la sécurité de la défense) le service maison de l’hôtel de Brienne, va recevoir des moyens pour assurer son mandat élargi.

Il comprend des missions de contre-ingérence et de contrôle ainsi que d’assistance dans le champ de la cybersécurité, a expliqué le contre-amiral Arnaud Coustillière, invité par le groupe Défense & Stratégie, proche des milieux de la Défense. En cas d’attaque informatique, les rôles sont répartis selon l’intensité : ministère de la Défense seul (DPSD et Calid) pour les attaques de moyenne intensité, Anssi et Calid pour les attaques plus solides, a détaillé le cyberofficier. Malgré un budget globalement en baisse, la DPSD poursuit les investissements dans “[les] activités de cyberdéfense.”

Les services extérieurs, la Direction générale de la sécurité extérieure (DGSE), bénéficient pleinement du nouvel élan. Les services du boulevard Mortier disposaient déjà de moyens en augmentation, du fait “de la priorité donnée à la fonction ‘connaissance et anticipation’”, note le rapport sur la Défense de la commission des finances. Avec la cyberdéfense apparaît “une nouvelle priorité, compte tenu de l’évolution des menaces en la matière”. Sur les 95 emplois, 18 seront dédiés à la cyberdéfense.

Pour rester attractif, et offrir mieux “[qu'] un traitement de fonctionnaire ordinaire”, la DGSE utilise un tour de passe-passe administratif, décrit par La Tribune. Le patron des services peut “procéder à la fusion de plusieurs ETPT (équivalent temps plein annuel travaillé)” selon un représentant du ministère de la Défense auditionné à la commission de la défense de l’Assemblée. En clair, proposer l’enveloppe de plusieurs salaires sur un seul poste.

Le tabou offensif

Offrir des salaires attractifs a partiellement pallié les difficultés de recrutement. Devant les députés, le chef d’État-major des armées, l’amiral Guillaud, avait expliqué qu’en matière de sécurité des systèmes d’information, “[la DGSE] ne pouvait recruter davantage, tant le vivier – où puisent Thales, Areva ou d’autres administrations – est réduit’”, rappelle La Tribune.

Le cyberbluff a commencé

Le sénateur Jean-Marie Bockel a rendu public le 19 juillet un rapport sur la cyberdéfense. Le volet offensif y occupe une ...

Autre solution en voie d’expérimentation : une réserve cyber-citoyenne. Arnaud Coustillière a évoqué 50 volontaires en voie de recrutement lors de son intervention devant Défense & Stratégie. Sans aller dans l’opérationnel, ces volontaires auront pour fonction de faire de la sensibilisation, “[d']améliorer la résilience de la société” selon les termes de l’amiral.

Ces recrutements confirment l’importance accordée à la cyberdéfense. Et aux capacités offensives ? Dans son rapport, le sénateur Bockel invitait l’exécutif à clarifier sa doctrine. L’épisode Stuxnet, et celui plus récent d’Aramco – la compagnie pétrolière saoudienne victime d’une grave cyberattaque cet été – ont ravivé les craintes autant qu’elles ont aiguisé les envies. Les responsables de la cyberdéfense se murent dans le silence dès qu’il s’agit de capacités offensives. Le contre-amiral Coustillière renvoie vers le livre blanc, quant à Patrick Pailloux, de l’Anssi, il répondait à l’École de guerre “ne rien penser” à ce sujet.

Un “Pearl harbor numérique” ? À intervalles réguliers, l’expression revient dans le bouche de responsables de la cyberdéfense, surtout américains. Le sécretaire de la Défense, Léon Panetta, a exprimé ses craintes d’une telle cybercatastrophe lors d’un discours à New York le 11 octobre dernier.

En France, l’expression n’est pas employée en l’état, mais les craintes existent. Elles ont été exprimées publiquement la semaine dernière par les deux principaux responsables de la cyberdéfense. Le contre-amiral Coustillière a été nommé officier général à la cyberdéfense le 1er juillet 2011. Il est entre autres à la tête du centre d’analyse en lutte informatique défensive, le Calid.

“Un espace de confrontation”

Dans son intervention organisée par le cercle Défense et Stratégie mercredi, il a décrit son cauchemar. Un plan simple, en plusieurs temps, qui pourrait aboutir à des dommages irréversibles. Et de rappeler qu’un “changement de dimension” s’est produit depuis quelques années, faisant du cyberespace “un espace de confrontation, quelque soit le nom qu’on lui donne”. Une précaution oratoire pour éviter le terme contesté de cyberguerre…

Le contre-amiral Coustillière a évoqué un plan en trois temps, trois phases distinctes qui ne peuvent être menées que par “une structure” importante, avec un niveau élevé de renseignement. Comprendre, plutôt par un État que par un petit groupe de pirates informatiques.

La première phase vise à désorganiser la cible (là encore un État) : fausses rumeurs et mouvements de protestations sur les réseaux sociaux, attaques par dénis de service (DDoS) sur les sites institutionnels (les sites de députés par exemple), puis attaques de réseaux locaux peu protégés. La seconde phase vise à “désorganiser la société”. Les services de sécurités sont monopolisés, leurs moyens saturés.

En cause : des attaques sur installations vitales, en cherchant “le maillon faible” sur ces systèmes déjà bien protégés, ainsi que de nouvelles attaques par dénis de service ciblant des banques. Le climat est alors propice pour lancer des actions offensives plus complexes, avec des répercussions potentiellement mortelles. Sur les infrastructures de transport par exemple.

L’âge du cyberespionnage

Ainsi dépeint, le tableau ressemble à une dystopie cyberpunk. Un scénario catastrophe plus lointain que l’espionnage via Internet, grande préoccupation du moment :

Des gigas [octets] de données s’échappent de nos industries.

Bercy, le piratage qui tombe à pic

Faut-il avoir peur du piratage de 150 ordinateurs au ministère de l'Economie et des Finances? C'est surtout l'occasion pour ...

Préoccupation largement partagée par Patrick Pailloux, le directeur de l’Agence nationale de la sécurité des systèmes d’informations (ANSSI), second bras armé de la cyberdéfense. Quatre sujets l’empêchent, plus ou moins, de dormir, a-t-il expliqué à l’institut des hautes études de la défense nationale : la cybercriminalité, les tentatives de déstabilisation, le sabotage et le cyberespionnage donc.

“À côté de ce qui se passe aujourd’hui, c’était de la gnognote la guerre froide” attaque-t-il. Un modus operandi basique par exemple, disponible au patron un peu dégourdi qui traîne “sur des forums underground”, parle anglais et dispose de quelques centaines d’euros. Usurper l’identité d’un proche de la cible (au hasard, un concurrent), envoyer un email depuis cette fausse identité à la cible.

Au mail est attaché une pièce jointe, un cheval de Troie, acheté sur Internet. “Des usines à fabriquer des virus” permettent de changer les signatures chiffrées des logiciels malveillants. En somme, d’empêcher les antivirus de les identifier et donc de les rendre inopérants. Un peu de débrouillardise, quelques poignées d’euros et un zeste de renseignements suffisent pour obtenir des informations confidentielles sur ses concurrents. Des pratiques interdites, mais courantes.

Conclusions communes des deux hauts responsables : améliorer l’hygiène informatique et préparer la résilience des citoyens. A cette fin, une réserve citoyenne pour la cyberdéfense est en cours de création et les cyberdéfenseurs se chargent de faire passer le message.

Au profane, Zero Day ne dira rien. Un titre de film ou de roman d’espionnage tout au plus. L’expression est bien connue des experts en sécurité informatique, source d’adrénaline ou de sueurs froides. Un Zero Day désigne une faille encore inconnue dans un logiciel. Stuxnet, le virus fabriqué par les États-Unis et Israël pour saboter le programme nucléaire iranien, s’est appuyé sur au moins quatre failles de ce type.

Le Washington Post a plongé dans l’univers feutré et méconnu du marché de ces failles, entre acheteurs privés et publics et vendeurs de tous horizons. “Tout le monde en veut” a déclaré Chris Soghoian, un chercheur en sécurité informatique basé à Washington. Mais le fructueux business reste secret. Qui achète, qui vend ? La plupart des entreprises affirment limiter les ventes de failles à des agences de renseignement ou à des sous-traitants de l’armée.

60 000 dollars la faille

Une boite française, Vupen, est parvenue à se faire une réputation dans ce milieu interlope. En janvier 2012, une équipe de cinq experts de l’entreprise – dont le co-fondateur Chaouki Bekrar – avait découvert l’une de ces failles dans le navigateur Google Chrome au Pwn2Own Contest. Récompense pour la découverte : 60 000 dollars. Une autre découverte pour la même compétition n’a pas été rendue publique par Vupen qui a préféré la garder pour ses clients. Hors compétitions officielles, les chiffres donnent le tournis, “parfois des centaines de milliers de dollars la faille” selon le quotidien américain.

La très grande discrétion de Vupen lui a valu de vertes critiques. Irresponsable, coupable de donner une mauvaise réputation à l’ensemble des acteurs du marché… Chaouki Bekrar s’en est défendu auprès du Washington Post, affirmant ne vendre qu’“aux agences de renseignement des pays membre de l’OTAN”, en écho à la présentation officielle de Vupen sur son site.

D’autres entreprises se disent plus scrupuleuses, comme l’américaine Netragard, qui affirme ne vendre qu’à ses alter-ego américains et seulement en connaissant l’utilisation finale. Charlie Miller, consultant dans le privé après une carrière à la NSA invoque une équation insoluble pour les découvreurs de Zero Day :

Dois-je faire ce qui est bon pour la plupart des gens et ne pas toucher d’argent du tout, ou dois-je vendre au gouvernement américaine et gagner 50 000 dollars ?

L’Allemagne a tranché, avec fermeté : le commerce de Zero Day est interdit, de même que leur publication sans rémunération et même le simple fait de les chercher. Au États-Unis, il reviendra au département du Commerce de décider du sort de ces précieuses failleurs, notamment pour l’exportation.

Le Washington Post a consacré une série d’articles sur les Zero Day, à retrouver en suivant ce lien.

Illustration photo CC by-nc-nd ANTPhotos

Mise à jour le 3 septembre à 19h45 : correction d’une coquille sur une occurence du nom de Chaouki Bekrar.

N’insistez pas, les États-Unis ne lâcheront pas le contrôle du Net. Ou plus précisément, la gestion de quelques-unes de ses fonctions essentielles, comme la gestion du fichier racine, coordonnée au sein d’institutions made in USA comme l’ICANN ou Verisign, qui (en gros) créent ou suppriment de nouveaux “.quelquechose”.

Pas faute d’avoir essayé de changer les choses depuis de nombreuses années. La dernière tentative en date, toujours en cours, s’appuie sur la prochaine Conférence mondiale des télécommunications internationales (WCIT-12). Attendu à Dubai en décembre prochain, cet évènement placé sous la coupe des Nations Unies et de l’une de ses agences, l’Union internationale des télécommunications (UIT), sera en effet l’occasion de réviser le “Règlement des télécommunications internationales” (RTI ou ITRs en anglais), qui “régit la façon dont les pays relient entre eux toutes sortes de réseaux d’information et de communication”, et dont la dernière version remonte à… 1988. Une éternité à l’échelle du Net.

Internet par la racine

Racine d'Internet par-ci, racine d'Internet par-là : mais c'est quoi ce bulbe magique générateur de réseau ?! Et pourquoi ...

Certains pays voient en cet amendement l’occasion idéale pour bousculer les règles du jeu sur Internet. Et souhaitent en profiter pour confier à l’ONU et son UIT de nouvelles compétences en matière de gouvernance du réseau. Une organisation aujourd’hui en charge de “l’interconnexion harmonieuse des réseaux et des technologies” ou bien encore d’un meilleur “accès des communautés défavorisées aux TIC”. Mais en rien de dossiers plus sensibles comme la régulation du Net.

Pas question d’une telle révolution, ont d’ores et déjà répliqué les États-Unis, prétextant qu’elle serait l’occasion “de placer des contraintes réglementaires plus fortes dans le secteur des télécommunications mondiales, voire dans le secteur d’Internet.”

Nettoyer, balayer, contrôler

Il faut dire que les porte-étendards de la réforme sont la Chine et la Russie, peu réputées pour leur permissivité sur Internet. Et à voir le contenu de leurs premières propositions, difficile de croire en de saintes intentions. Outre la remise en question de la gouvernance du réseau, ces pays militent également pour une prise en compte des questions de cyber-sécurité au sein du Règlement des télécommunications internationales, jusque-là tenu à l’écart de ces problématiques traditionnellement souveraines.

Pour la Russie, “l’introduction de mesures spéciales portant sur la sécurité des services de télécommunications internationales” est nécessaire, dans la mesure où le développement du secteur est plus rapide que celui des lois et de la régulation, peut-on lire à la page 25 d’une compilation des propositions rendue publique fin juin. Une divulgation allant à l’encontre de la politique de confidentialité de l’UIT et rompue par un site, http://wcitleaks.org/, qui a organisé la fuite de nombreuses contributions au nom d’une plus grande “transparence”.

L’idée est donc d’ajouter un nouveau volet au RTI, intitulé “Confiance et Sécurité des Télécommunications et TIC” (voir page 181), qui couvre en vrac :

Sécurité physique et opérationnelle, cyber-sécurité, cybercriminalité et cyber-attaques, attaques de déni de service, autre criminalité en ligne, contrôle et riposte contre des communications électroniques indésirables (ie spam), et protection des informations et données personnelles (ie phishing).

Soutenue par Cuba, le Qatar, les Émirats arabes unis ou encore l’Égypte, cette éventualité est rejetée en bloc par le Royaume-Uni, le Canada ou bien encore la France, qui estiment que ces questions doivent rester dans le scope national.

Fer de lance de cette bataille aux cyber-intérêts, les États-Unis ne se sont pas contentés d’une simple opposition de principe. Le 2 août, la Chambre des Représentants a adopté une résolution pressant la Maison-Blanche à agir pour mettre un coup d’arrêt à ces velléités de changement sur Internet :

[...] Les propositions, au sein d’institutions internationales telles que l’Assemblée Générale des Nations Unies [...] et l’Union internationale des télécommunications, justifieraient par une législation internationale un contrôle renforcé d’Internet par les gouvernements et rejetteraient le modèle actuel multipartite qui a rendu possible le développement d’Internet et grâce auquel le secteur privé, la société civile, les chercheurs et les utilisateurs jouent un rôle important dans la définition de sa direction.

Danger imminent

Si le texte n’a pas valeur de loi, il n’en a pas moins été disséqué et commenté par de nombreux observateurs. Beaucoup sont sur la même ligne que les autorités officielles : mettre la gouvernance et la sécurité du réseau entre les mains des Nations Unies est synonyme d’un danger imminent. “Donner carte blanche aux pays qui s’efforcent aujourd’hui de construire leur propre Internet 3.0 national, fermé et contrôlé serait un coup de tonnerre dévastateur pour Internet”, annonce sur son blog un chercheur canadien, Dwayne Winseck, spécialiste des médias et des télécommunications.

L’acte d’accusation contre un Internet libre

Acta dans l'Union européenne et Sopa aux États-Unis. Ces deux textes, en cours d'adoption, autorisent l'administration et ...

D’autres se veulent moins radicaux. Rappelant que le modèle actuel n’est pas si multipartite que cela. Ainsi, si l’Icann s’ouvre à des horizons divers, vantant ses qualités d’organisation indépendante constituée de FAI, “d’intérêts commerciaux et à but non lucratif” ou bien encore de“représentants de plus de 100 gouvernements”, elle n’en reste pas moins rattachée au Département du Commerce américain. En outre, “même si la participation [à des institutions telles que l'ICANN] est en théorie ouverte à tout le monde, en pratique seul un nombre limité de groupes ne provenant pas du monde occidental développé a le temps, l’expertise technique, les compétences en anglais, et les fonds pour envoyer des gens autour du monde pour participer à [leurs] réunions régulières”, souligne Foreign Policy.

D’autres encore se montrent plus corrosifs, et invitent les États-Unis à balayer devant leur porte avant d’ouvrir une chasse aux sorcières onusiennes. “Note au Congrès : les Nations Unies ne forment pas une sérieuse menace pour la liberté sur Internet – mais vous, si”, ont lancé deux chercheurs de Washington dans une tribune sur The Atlantic. Selon Jerry Brito and Adam Thierer, les élus américains “se trompent de cible”. Et de rappeler les délires sécuritaires de l’année passée, l’essai Sopa, le blocage de WikiLeaks, révélateurs d’une tendance au flicage du Net outre-Atlantique bien plus forte, et surtout bien plus réelle, que celle projetée sur l’ONU :

La menace la plus sérieuse pour la liberté sur Internet n’est pas l’hypothétique spectre d’un contrôle des Nations Unies, mais le cyber-étatisme rampant bien réel à l’œuvre dans les législatures des États-Unis et d’autres nations.

Même son de cloche du côté de Milton Mueller, spécialiste américain des questions de gouvernance, que nous avions interrogé à l’occasion d’un article expliquant la fameuse racine d’Internet :

Les menaces les plus grandes se situent à l’échelon national. Les États (pas simplement l’Inde, la Chine et la Russie, mais aussi les États-Unis, la Grande-Bretagne et d’autres démocraties occidentales) imposent toujours plus de régulations et de contrôles sur Internet dans la mesure où ils le peuvent au sein de leur juridiction nationale.

Les États-Unis, la pire des solutions (à l’exception de toutes les autres)

Le chercheur affirme néanmoins qu’un contrôle onusien ne serait pas moins nocif :

Si les gouvernements du monde verrouillaient Internet au niveau de chaque nation pour ensuite s’accorder sur la façon de le contrôler de manière globale, cela serait également dangereux.

Or à en croire Milton Mueller, c’est précisément ce que cherchent à faire des États comme la Chine ou la Russie, qui entendent peser dans la cyber-balance. Le lobbying pro-ONU sert moins les intérêts d’une gouvernance réellement multiple et équilibrée, que ceux de nations cherchant à assurer leurs arrières sur les réseaux, face au titan américain. “Depuis 1998, la Russie a soutenu -et les États-Unis s’y sont opposés- le développement d’un traité qui interdirait l’utilisation du cyberespace à des fins militaires, explique encore le professeur de l’université de Syracuse. [...] Les Russes se voient encore comme le plus faible dans le jeu de la cyber-lutte et aimerait un traité similaire aux accords sur les armes chimiques, interdisant l’utilisation de certains technologies comme armes”. Et Mueller de conclure :

Les récentes fuites concernant le rôle des États-Unis dans le développement de Flame et Stuxnet [NDLA : deux virus informatiques] ont dû rendre claires les raisons pour lesquelles les États-Unis ne semblent pas vouloir être tenus par de telles limitations.

Face au scénario des Nations Unies phagocytées par des intérêts nationaux, beaucoup optent donc pour le statu quo : une mainmise des États-Unis sur quelques-unes des fonctions fondamentales d’Internet. Faute de mieux. Parce qu’en l’état, cette situation est la moins pire des solutions. “Jusqu’à présent, les États-Unis n’ont pas eu de gestion scandaleuse de la racine”, nous expliquait ainsi début juillet l’ingénieur français Stéphane Bortzmeyer. Avant de concéder :

Sur Internet, c’est un peu l’équilibre de la terreur.

Illustration CC FlickR : heretakis (CC by-nc)

hacker : pirate informatique.

Avec l’essor de l’internet s’est développée une nouvelle catégorie de pirates (hackers) agissant en groupes et essentiellement motivés par l’appât du gain. Ces groupes mettent au point des outils qu’ils peuvent exploiter directement ou offrir sur le marché à des clients tels que des organisations criminelles ou mafieuses, des officines d’espionnage économique, des entreprises ou des services de renseignement.

En 2008 comme en 2012, le rapport du Sénat sur la cyberdéfense, dont la dernière mouture vient d’être remise par Jean-Marie Bockel, témoigne que le milieu des hackers semble toujours un peu mystérieux à nos parlementaires. Pourtant, en fouillant dans le détail de ses 158 pages, on constate enfin une nette évolution positive dans la façon dont les hackers sont perçus, alors qu’ils font bénéficier de leurs talents nos réseaux depuis plus d’un quart de siècle. On note aussi au passage que le copié-collé si critiqué quand il s’agit d’élèves pompant Wikipedia semble ici une pratique tolérée.

Le point vocabulaire

En 2008, c’est bien simple, les rares occurrences du terme hacker sont synonymes de pirate informatique mercenaire. Quatre ans plus tard, si la définition dans le glossaire est la même, les occurrences sont plus nombreuses et nuancées, quitte à contre-employer le terme hacker.

Premier grand pas en avant, la sémantique s’étoffe, même si sa précision reste relative :

On peut distinguer trois catégories de « hackers » selon leurs motivations :
- Les « chapeaux blancs » (« white hats ») : Il s’agit souvent de consultants en sécurité informatique, d’administrateurs réseaux ou de cyberpoliciers, qui se caractérisent par leur sens de l’éthique et de la déontologie ;
- Les « chapeaux gris » (« grey hats ») pénètrent dans les systèmes sans y être autorisés, pour faire la preuve de leur habileté ou pour alerter l’organisme visé des vulnérabilités de ses systèmes, mais ils ne sont pas animés par des intentions malveillantes ou criminelles ;
- Enfin, les « chapeaux noirs » (« black hats ») regroupent les cybercriminels, les cyberespions ou les cyberterroristes. [...]

Ce qui n’empêche pas le rapport de dire qu’“il existe d’autres groupes de « pirates informatiques », comme « telecomix.com » qui défend la liberté d’expression sur Internet” Telecomix.org a dû bien s’amuser de découvrir que leur cluster était en fait une société commerciale. Le texte évoque aussi des “attaques informatiques ont été ouvertement revendiquées par des groupes de « hackers » patriotiques turcs, à l’image des groupes « GrayHatz » et « Millikuvvetler », et par d’autres « hackers » indépendants.” On n’abandonne pas facilement vingt ans de clichés.

Retard français

Ce soin nouveau apporté à la définition témoigne d’un changement net de regard sur la communauté des hackers. “L’État doit s’appuyer sur les hackers” : le credo d’Éric Filiol est enfin arrivé aux oreilles du Sénat. Si le directeur du laboratoire de sécurité informatique de l’École Supérieure d’Informatique Electronique Automatique (ESIEA) n’a pas été auditionné directement, il est cité à plusieurs reprises :

Il faut chercher les ressources là où elles sont. Chez les hackers que l’on a tendance à diaboliser à l’excès.

Plus loin, ses propos sont encore repris pour souligner le paradoxe juridique français. La loi Godfrain de 1988 puis la Loi pour la confiance dans l’économie numérique (LCEN) de 2004 ont en effet mis de gros bâtons législatifs dans les roues des hackers :

Or, actuellement, notre législation ne permet pas la publication, même à des fins scientifiques, de vulnérabilités décelées à la suite d’intrusions dans les systèmes informatiques, ce qui oblige les « pirates informatiques » français à publier le résultat de leurs recherches dans les revues d’autres pays, notamment aux États-Unis, ou lors de conférences de « hackers ».

Depuis quatre ans, les avancées majeures en matière de cryptanalyse ne sont plus publiées dans les conférences académiques mais dans les conférences de hackers ». [Aux yeux d'Éric Filiol], il existe une véritable fracture en France entre « un monde d’anciens qui administrent mais qui ne comprennent rien à la technique et de jeunes hackers qui maîtrisent mais qui n’administrent pas ».

Cruel miroir que tend cette dernière phrase au Sénat, entre autres… Mieux vaux tard que jamais, la main est tendue envers cette communauté avec qui une collaboration officielle serait fructueuse :

A cet égard, pourquoi ne pas renforcer aussi les liens avec la « communauté de hackers » français, dont la plupart sont désireux de mettre leurs compétences et leurs talents au service de leur pays ?

Dangereux hackers d’intérêt public

Depuis jeudi et jusqu'à samedi soir, en plein Paris, le festival Hackito Ergo Sum réunit la crème des hackers sur les ...

Une communauté fournie et patriote

Le rapport se montre optimiste sur l’avenir de cette collaboration, en s’appuyant sur des données au doigt mouillé, dont la source n’est pas précisée. Le texte dessine une communauté fournie et patriote, sans qu’on en sache plus sur ce qui leur permet d’affirmer cela  :

D’après les informations recueillies par votre rapporteur, la « communauté des hackers » serait estimée en France à environ 4 000 personnes. Nombre d’entre eux seraient désireux de mettre leurs compétences et leurs talents au service de notre pays.

Les États-Unis sont cités comme un exemple d’écosystème favorable à l’émergence de “sociétés privées de conseil et d’assistance en matière de sécurité informatique”. Où la présence de guillemets autour de certains termes montre que la maitrise du sujet peut encore être améliorée :

D’ailleurs, certaines entreprises américaines, à l’image de Microsoft ou de Facebook, ne s’y sont pas trompées, en lançant un appel public à tous les « hackers » pour déceler les vulnérabilités de leurs systèmes informatiques, réalisant ainsi gratuitement et à l’échelle mondiale un audit de leur sécurité informatique. [...]

Aux États-Unis, les « communautés de hackers » sont d’ailleurs largement reconnues et entretiennent des relations étroites avec les autorités chargées de la sécurité des systèmes d’information. On peut ainsi mentionner la communauté de « hackers » « Defcon », qui compte plus de 12 000 membres aux États-Unis et qui entretient des relations avec le département de la défense et l’agence de sécurité nationale (NSA).

Pourtant l’évolution législative européenne va à l’encontre de ces recommandations de bon sens. Un projet de directive prévoit de pénaliser la possession et la distribution d’outils de hacking pour lutter contre la cybercriminalité, dans la lignée de la LCEN.

À lire aussi sur Reflets.info :

Rapport Bockel : un point sur la cyberdéfense française

Tu t’es vu quand tu parles des pirates chinois ?

Et à revoir sur Owni, l’interview de Stéphane Bortzmeyer, ingénieur à l’Afnic (l’association en charge d’attribuer les noms de domaine en .fr), engagé dans l’équipe de campagne du Front de gauche. Il avait donné lors du festival de hackers Pas sage en Seine une conférence intitulée “Le technocrate, le geek et le politique ignorant”.

Cliquer ici pour voir la vidéo.

En dire un peu, mais pas trop. L’exercice avait des airs de numéro impressionniste. Le sénateur Jean-Marie Bockel a présenté ce 19 juillet son rapport sur la cyberdéfense. En tête des priorités et en bonne place des recommandations figurent les capacités offensives :

Priorité n°1 : (…) : S’interroger sur la pertinence de formuler une doctrine publique sur les capacités offensives. (…)
Recommandation n° 10 : poursuivre le développement de capacités offensives au sein des armées et des services spécialisés.

Le sujet n’est pas nouveau ; il n’est plus du tout tabou. Ces dernières années, les grands-messes ont régulièrement évoqué ce “cinquième champ de bataille” qu’est le cyberespace. En premier lieu parce que les États entendent se protéger contre cette nouvelle menace, mais pas seulement. Le Livre blanc sur la Défense et la sécurité nationale, rédigé en 2008, notait que “dans le domaine informatique plus que dans tout autre milieu, il faudra, pour se défendre, savoir attaquer.”

Doctrine

La même année, un rapport du Sénat reprenait cet argument “technique” et en ajoutait deux autres en faveur du développement des capacités offensives à “des fins spécifiquement militaires” :

(…) Une telle capacité est très certainement de nature à jouer un rôle dissuasif vis-à-vis d’agresseurs potentiels ;
(…) Enfin, le cyberespace paraît inévitablement voué à devenir un domaine de lutte, au même type que les autres milieux dans lesquels interviennent nos forces armées ; il est légitime d’en tirer les conséquences.

Jean-Marie Bockel les reprend dans son rapport et s’interroge sur la nécessité de rendre public l’utilisation de ces capacités. “Le silence des autorités française sur cette questions depuis (…) 2008 paraît quelque peu en décalage avec l’évolution de la menace (…), et il pourrait même être de nature à entretenir des fantasmes dans l’opinion publique” écrit-il.

Lors de la présentation, il a invité le nouveau président de la République à prendre officiellement position. Les incantations de Nicolas Sarkozy de 2008 pour que la France se dote de “capacités défensives et offensives” doivent maintenant être formalisée sous la forme d’une doctrine :

Il faut progresser sur le plan doctrinal d’emploi de cette force. Des discussions théoriques doivent être conduites, la défense nationale est toujours le fruit de débats doctrinaux.

Et d’ajouter sur-le-champ : “Tout ne doit pas être sur la place publique”. Par allusions sibyllines, Jean-Marc Bockel a évoqué ces fameuses capacités, dont l’étendue et la nature ne sont pas connue. “La France n’est pas manchot dans ce domaine” a-t-il répété.

Industriels

L’État travaille-t-il d’ores et déjà avec des industriels ? Pour la rédaction de son rapport, le sénateur a consulté deux poids lourds du secteur : Thalès et Cassidian, la filiale défense d’EADS. Devant les journalistes, il n’a pas démenti leur participation :

Dans la pratique, oui, il jouent un rôle. Sur le papier, non.

Au sein de l’édifice militaire français, c’est le chef de l’État major particulier, le général Benoît Puga, qui “pilote” le volet offensif. Des attaques ? Prudent, Jean-Marie Bockel n’a pas répondu. Sollicités par Owni, ni l’État major particulier, intégré à l’Élysée, ni le ministère de la Défense n’ont souhaité commenter.

[Mise à jour, le 20 juillet à 12h : L’État major des armées nous a répondu dans la soirée et renvoyé vers le Secrétariat général de la défense et sécurité nationale (SGDSN), sous l'autorité du Premier ministre. L'Élysée nous a rappelé en fin de matinée le 20 juillet, affirmant que "les conclusions et propositions du Livre blanc étaient prises en compte" , y compris dans le domaine offensif, même si aucun "détail" ne pouvait être fourni sur ce point. "La phase de décision finale est un sujet présidentiel" dans le domaine des cyberattaques comme "dans les autres domaines, surtout offensifs" a précisé la présidence par téléphone :

La mise en œuvre revient au SGDSN et à l'Agence nationale de la sécurité des systèmes d'informations (ANSSI).

Sur la doctrine, l'Élysée explique qu'un "travail en continu a été mené depuis le Livre blanc" et qu'elle doit faire la part belle à "l'anticipation".]

État de l’art mondial

Le sénateur et ancien secrétaire d’État à la Défense et aux Anciens combattants fait un état du monde, citant notamment un rapport de Center for Strategic and International Studies. 35 pays seraient dotés “d’une doctrine militaire en matière de ‘cyberguerre’” à l’instar d’Israël où le ministère de la défense l’a rendue publique. Jean-Marie Bockel a pris ses distances avec l’expression cyberguerre, reconnaissant que ces attaques, “déstabilisatrices”, pouvaient constituer “un élément des conflits, comme lors de la guerre entre la Géorgie et la Russie”. En tout cas pour l’heure.

Les États-Unis précisent de plus en plus les conditions d’emploi de la force dans le cyberespace. L’année dernière, le plan de lutte contre la cybercriminalité publié par la Maison Blanche laissait la porte ouverte à des représailles conventionnelles après une cyberattaque. Cette année, les révélations du New York Times sur Olympic Games, le programme secret qui a permis le développement des virus Stuxnet et Flame, ont achevé de convaincre de l’intérêt de Washington pour les dispositifs offensifs, et mordants. Ces deux logiciels malveillants ont ralenti le programme nucléaire iranien en endommageant physiquement les centrifugeuses.

Jean-Marie Bockel était aux États-Unis juste après ces révélations. Une seule question demeurait en suspens : au-delà de la véracité des faits, qui avait intérêt à diffuser ce genre d’informations quelques mois avant l’élection présidentielle, a-t-il rappelé jeudi matin ? Washington a sorti ses muscles. Et il invite la France à faire de même.

Complexité jugée sans pareille, nom flamboyant, attaques ciblées contre certains intérêts gouvernementaux, Flame a tout d’une cyberarme nouvelle génération. Mais à y regarder de plus près, Flame pourrait ne pas être aussi révolutionnaire que certains médias et entreprises voudraient bien le laisser entendre.

L’alerte a été donnée par Kaspersky, un éditeur d’antivirus à la réputation extrêmement solide. Flame serait le logiciel malveillant le plus complexe découvert à ce jour. L’éditeur affirme :

Sa taille est importante, et il est incroyablement sophistiqué. Il redéfinit jusqu’à la notion même de cyberguerre et de cyberespionnage.

Ses caractéristiques si exceptionnelles… ne le sont cependant pas tant que ça. Flame est un cheval de Troie, à savoir un logiciel permettant à un attaquant de contrôler un système à l’insu de son utilisateur légitime via l’exécution d’un code malveillant. Quelles sont les fonctionnalités de Flame, selon Kaspersky ? Tout de ce qu’il y a de plus commun pour un malware que l’on trouve habituellement dans les milieux cybercriminels.

Dissection d’une nouvelle cyberarme

En 2010, la découverte de Stuxnet changeait la donne en matière de cyberarme. Son perfectionnement dépassait les attentes. ...

A savoir : la lecture, écriture et suppression de données ; l’exécution de binaires ; la possibilité de prendre des captures d’écran ; l’enregistrement des frappes de clavier (keylogging) et la récupération et l’envoi de fichiers. D’autres fonctionnalités sont un peu plus recherchées telles que l’enregistrement de données audio (si microphone présent) ou la possibilité d’utiliser le bluetooth et le trafic réseau pour récupérer certaines informations sur l’environnement dans lequel est présent l’ordinateur infecté.

Des fonctionnalités, surprenantes et inquiétantes pour un utilisateur lambda, en réalité extrêmement répandues depuis plus d’une dizaine d’années. A titre d’exemple, le troyen Poison Ivy, dont la première version date de 2005 et qui est toujours librement accessible sur Internet, offre la plupart des fonctionnalités de Flame, décrites par Kaspersky comme constitutives de son originalité ; et bien d’autres encore.

A nos yeux, la seule originalité de Flame, outre l’utilisation du Lua [Un langage de script, NDLR] restreinte à une micro partie du corps du programme, concerne sa capacité à utiliser le Bluetooth, bien qu’il ne soit fait mention nulle part de la possibilité de se répandre via ce protocole. Même ce qui est présenté par Kaspersky comme la grande spécificité de Flame, à savoir son fonctionnement en modules, n’est pas novatrice.

De très vieux troyens comme MiniMo, NuclearRAT, et bien sûr Poison Ivy fonctionnaient déjà à partir d’un module principal d’infection auquel il était possible, une fois l’accès au système effectif, d’ajouter différents plug-ins selon l’utilisation que l’attaquant souhaitait faire de celui-ci (scanner distant, attaques DDoS, enregistrement de webcam, keylogging, etc.)… Flame, un pétard mouillé ?

Dans un article publié sur le site Atlantico, l’expert en sécurité informatique Eric Filiol dénonce le comportement de Kaspersky, et des éditeurs d’antivirus en général, coupables à ses yeux de grossir certaines menaces dans le seul but de faire gonfler leur chiffre d’affaires.

En soi, cette thèse est recevable, et d’autant plus d’actualité que les antivirus ont la très mauvaise habitude de ne pas mettre à disposition les sources de leurs analyses. Cependant, trop occupé à éviter d’avaler la couleuvre de ce très bel exemple d’utilisation marketing de la peur, M. Filiol tombe dans l’excès inverse, celui de la sous-estimation d’une menace peut-être réelle. Les fonctionnalités de Flame que présente Kaspersky ne sont pas nouvelles, et l’éditeur d’antivirus instrumentalise manifestement à son profit la faible connaissance qu’a l’utilisateur lambda de ce qui le menace sur Internet.

Vieilles recettes

Que les fonctionnalités supposées de Flame soient classiques ne remet pas en question leur efficacité ; les États utilisent des espions depuis la nuit des temps. Ce même schéma se retrouve dans le domaine du cyber-espionnage, des recettes identiques sont utilisées depuis des années (emails piégés, récole d’information, pivot etc.) sans qu’il y ait de véritable révolution. La société de sécurité RSA avait été piratée en 2011 à l’aide de Poison Ivy, un RAT disponible sur Internet depuis plus d’une demi-décennie.

Par ailleurs, nombreux ont été les experts informatiques à se gausser de la menace Flame en raison de sa taille importante (environ 20 Mo, tous plug-ins compris) ; même les plus vieux troyens généraient des modules d’infection de quelques centaines de kilo-octets maximum, certains se contentant même avoisiner quelques Ko. Les développeurs de Flame seraient-il donc des “amateurs” ?

Pas nécessairement. Tout d’abord, car rien n’est dit de la possibilité – très probable – que Flame dispose, si ce n’est à la base, au moins d’un module rootkit. Les rootkits ont la particularité de pouvoir cacher à peu près tout ce qui se trouve sur un système, des fichiers/dossiers aux processus, clés de registre et même le trafic passant par certains ports, qui pourrait indiquer à un observateur avisé que l’ordinateur se comporte d’une façon étrange. Or, si Flame est si complexe, et si, comme Kaspersky en fait mention, il a été capable d’infecter des systèmes Windows 7 entièrement patchés, il est très probable qu’il embarque des fonctionnalités de type Rootkit ou d’élévation de privilèges non-connues publiquement. De plus, comme le dit très justement Félix Aimé, expert en sécurité de l’information [Également auteur sur Intel Strat, NDLR] :

Qui donc vérifie la taille des fichiers sur son disque dur pour en déduire la présence de virus ? La taille d’un virus n’a jamais été un indice de poids dans sa détection, c’est un mythe.

[Vidéo] Stuxnet en trois minutes chrono

Qui a tout compris à Stuxnet? Pour ceux qui ont encore besoin d'explications, une petite vidéo en motion design devrait ...

Enfin, le dernier argument des experts sceptiques sur le cas Flame concerne la soi-disante violation d’un principe de base : “un code, une cible”. Bien évidemment, la réussite d’une attaque dépend de sa planification et des informations qu’il a été possible de recueillir sur le système-cible. Mais il est faux de penser qu’un attaquant va coder de A à Z un programme unique, exclusivement adapté à une cible. S’il est vrai qu’un code malveillant se doit d’être adapté aux spécificités du système qu’il vise, un attaquant se contente généralement de moduler un code déjà existant.

Coder à usage unique n’est pas une pratique réaliste et encore moins financièrement viable. En fait, la structure en modules de Flame serait plutôt un argument appuyant sa dangerosité ; peut-être même certains modules ont-ils été codés, à la base, pour une cible en particulier, et ont-ils été au fur et à mesure intégrés au fonctionnement global du malware.

Flame ne rédéfinit pas la notion de cyberguerre, comme cela avait été pompeusement annoncé. La menace, en admettant qu’elle soit réelle, n’en est pas pour autant dangereuse pour l’internaute lambda ; il est ici question d’un cheval de Troie, à la diffusion localisée, et qui ne cible que des systèmes appartenant à des personnalités stratégiques. Cependant, la multiplication de malwares si complexes qu’ils peuvent être considérés comme de véritables cyberarmes confirme bien que les États investissent de plus en plus le cyberespace. Et prennent la mesure de son importance stratégique.

Les exemples belges et néerlandais font craindre le pire: DigiNotar, la société qui certifiait les sites officiels des autorités des Pays-Bas a été piratée par un hacker iranien. Et le « Comité R » (la commission du Sénat chargée de la surveillance des services belges de sécurité) vient de remettre un rapport dont la conclusion a fait l’effet d’une bombe: la Belgique constitue la cible idéale pour les attaques informatiques !

Les sites officiels n’auraient subi aucun dommage. Pour l’instant, les autorités travaillent à leur sécurisation avec une nouvelle entreprise. Mais pendant quelques heures, les sites publics (gouvernementaux, mais aussi municipaux) seront inutilisables. En réalité, la mise à niveau de la sécurisation prendra plusieurs jours.

Le eGov hollandais : exemplaire mais fragile

De quoi ébranler la confiance des citoyens dans la sécurité informatique. Qu’en est-il de la fiabilité des moyens de paiement en ligne ou la protection de leurs données privées quand « DigiB », le certificat personnel qui atteste de l’identité des internautes, ne vaut plus rien?

Il faut dire que les Pays-Bas ont poussé l’informatisation de leurs services à un point rarement vu ailleurs: déclaration fiscale, extrait de naissance, documents officiels en tous genres peuvent s’obtenir via Internet… Dans les affaires, les factures papier tendent à disparaître. Quant au chèque bancaire, si courant dans les transactions françaises, il a tout simplement disparu des banques hollandaises depuis 15 ans. Les écoles primaires remettent certains devoirs aux écoliers sur clé USB…

Cela s’explique sans doute par le très haut degré d’équipement des foyers néerlandais : les derniers chiffres (2009) évoquent un taux d’équipement de 90 % des ménages tandis que 82 % d’entre eux surfent régulièrement. C’est, avec l’Islande, le taux le plus élevé d’Europe. Par comparaison, la France, en 2009, comptait 63 % de foyers équipés…

Le nombre de détenteurs de tablette numériques a doublé dans les 6 premiers mois de cette année et ce sont pas moins de 8 % des Néerlandais qui disposent de ce type d’équipement au mois d’août 2011

L’action des pirates iraniens ne visaient pas directement les sites internet des autorités néerlandaise. Il s’agit d’une nouvelle forme de piratage qui a fait une récente apparition et qui est beaucoup plus subtile.

Comment savoir si le site sur lequel vous surfez actuellement est bien celui que vous croyez? Qui garantit que le site bancaire auquel vous venez de vous connecter est bien le vôtre? Que vous n’êtes pas occupé à donner vos numéros de compte, votre nom d’utilisateur et votre mot de passe à un faussaire?

Détournement de certificats

Très tôt lors de la naissance du réseau des réseaux, la question s’est posée. Et l’une des solutions trouvées est celles des « certificats »: ceux-ci, émis par quelques société hautement spécialisées, garantissent à l’internaute la validité d’un site. Ils sont en quelque sorte la « carte d’identité » d’un site Internet. C’est une opération dite « transparente ».

C’est votre navigateur – Explorer, Chrome, Firefox, Safari, Opera, etc. – qui vérifie le certificat avant de vous donner accès à un site. S’il n’y a pas de certificat ou si les données du certificats ne sont pas fiables, votre navigateur vous avertit par un message : cette connexion n’est pas fiable. « This connection is untrusted », dans la langue de Shakespeare.

Si le certificat est un faux, vous n’avez plus aucune garantie de sécurité. Comme une fausse carte d’identité. Ce monsieur qui vous montre une carte d’inspecteur des finances est en fait un fraudeur qui veut avoir accès à vos données bancaires. Ce site qui ressemble trait pour trait à celui de votre banque est l’œuvre d’un hacker…

Dans un premier temps, l’identification de la provenance du pirate, l’Iran, a fait croire à une attaque du gouvernement. Ce dernier est devenu un acteur actif autant que la cible d’attaques du type « cyberguerre » : les Américains et les Israéliens ont tenté de saboter le programme de développement nucléaire iranien à l’aide d’un virus particulièrement sophistiqué, le Stuxnet.

L’Iran a également attaqué diverses cibles européennes ou américaines. Et notamment, une société américaine émettrice de certificats : Comodo. Cette entreprise a perdu tout crédit en étant attaquée deux fois cette année. Une première fois en mars et une seconde, à la fin du mois d’août. Les spécialistes sont formels : l’attaque est d’origine iranienne.

Dans le cas de l’attaque du mois d’août, ce sont des certificats de services Google qui ont été attaqués. Les opposants iraniens craignent le pire. Le gouvernement a donc pu avoir accès à leurs courriels et ils peuvent s’attendre à des représailles. On sait que l’Iran est particulièrement dur à l’égard des blogueurs, comme Hossein Derakshan, dit Hoder, condamné à 19 ans et demi de prison pour « entente avec des gouvernement hostiles à la République Islamique, diffusion de propagande anti-islamique et anti-révolutionnaire, blasphème et exploitation et gestion de sites pornographiques ».

L’attaque de DigiNotar a été signée. Le hacker a laissé des messages en anglais. Il se présente comme le ComodoHacker. Autrement dit, celui qui a piraté l’entreprise Comodo…

Vengeance contre les bataillons hollandais de Srebreanica

Il se décrit comme un « jeune homme de 21 ans » avec les « compétences de 1 000 pirates, l’expérience de 1 000 programmeurs ».

Est-ce vrai ? Ou s’agit-il d’une « personna » – une fausse personnalité Internet – empruntée par le gouvernement iranien ? En tout cas, l’égo surdimensionné, l’envie de publicité tout en gardant l’anonymat, le besoin de prouver ses compétences hors-pair, tout cela cadre avec la personnalité du hacker de base…

Vrai ou pas, le pirate insiste lourdement sur le fait qu’il a agi seul et qu’il n’a rien à voir avec les autorités de Téhéran:

Je suis une personne seule, n’essayez pas ENCORE de me faire passer pour une ARMEE iranienne. Si quelqu’un a utilisé les certificats que j’ai créés, je ne suis pas celui qui doit fournir une explication.

Il se vante également d’avoir piraté d’autres entreprises de certification – GlobalSign, StartCom – ainsi que WinVerifyTrust de Microsoft…
Quelles sont donc les motivations de ce pirate ? En-dehors de l’énorme besoin de reconnaissance qui éclate à chaque phrase de ses messages ou presque, le hacker déclare :

Le gouvernement néerlandais paie pour ce qu’il a fait à Srebrenica, il y a 16 ans. Vous n’avez plus de e-government, hein ? Vous êtes retourné à l’âge du papier et des photocopieuses et des signatures manuelles et des sceaux ? Oh, excusez-moi ! Mais avez-vous jamais pensé à Srebrenica ? 8.000 morts [d'un côté, contre] 30 ? Impardonnable ! Jamais ! J’entends que le gouvernement néerlandais est en train de rassembler des documents et se prépare à déposer plainte contre l’Iran, vraiment ? Honte sur vous, les gars ! Avez-vous été jugé pour Srebrenica ? Qui devrait déposer plainte pour Srebrénica ? Vous deviez payer: voilà les conséquences de Srebrenica, sachez le ! Ceci est la conséquence du combat de votre parlement contre l’Islam et les Musulmans.

Pourquoi Srebrenica ? Srebrenica est la ville où 8 000 musulmans bosniaques ont été massacrés en juillet 1995, en pleine guerre yougoslave. La population musulmane de Bosnie était alors sous la protection des forces de l’ONU. En l’occurrence, les Dutchbats ou bataillons néerlandais, accusés depuis par les familles des victimes d’être responsables du massacre. Ou en tout cas, d’avoir laissé l’armée serbe d’avoir massacré des civils – hommes, femmes et enfants – sans avoir réagi.

Voilà qui déplace le débat néerlandais à propos de l’islam sur un nouveau champ de bataille, celui de la cyber-guerre…

Le ministre Donner a annoncé qu’une enquête était en cours et que les certificats sont restaurés par d’autres entreprises. Getronics, une filiale de la société de Télécoms néerlandaise, engrange des dizaines de clients depuis trois jours, parait-il: Le malheur des uns…

La Belgique « cible idéale » selon un rapport sénatorial

Et en Belgique, qu’en est-il de la sécurité informatique ? La situation n’est guère plus enviable. Le Comité R (Comité Permanent de Contrôle des Services de Renseignement et de Sécurité) est une commission spéciale du Sénat belge. Comme son nom l’indique, sa première mission et de contrôler le travail des services de renseignement et de sécurité, mais aussi de se livrer à un travail d’analyse et de prospective en la matière.

C’est dans ce cadre, que le Sénat lui avait confié, en 2007, une « enquête sur la manière dont les services belges de renseignement envisagent la nécessité de protéger les systèmes d’information contre des interceptions et cyberattaques d’origine étrangère ».

Malgré son titre interminable, le rapport consiste en 5 pages claires, concises et lisibles pour le commun des mortels. Mais ses conclusions sont alarmantes:

La Belgique constitue une cible idéale pour les attaques informatiques.

Ce qui est mis en cause, ce n’est pas l’absence de services consacrés à la protection informatique. Ce qui pose problème, c’est au contraire la multiplicité des services en charge de cette matière et leur manque de coordination. Pas moins de 6 institutions ont dans leur missions la protection de données ou de systèmes informatiques :

• l’Autorité Nationale de Sécurité (ANS) ;
• la Sûreté de l’Etat (service de renseignement civil) ;
• le SGRS (service de renseignement militaire) ;
• le FEDICT (Service public fédéral de l’Information et de la Communication) ;
• BELNET (le fournisseur de services Internet des autorités belges) ;
• l’IBPT (Institut Belge des Services Postaux et des Télécommunications)

Le résultat de cette dispersion est évident: plus personne n’a donc une vue d’ensemble de la situation ! Et les auteurs du rapport précisent:

L’absence d’une politique fédérale globale en matière de sécurité de l’information (et de réelle autorité en la matière) entraîne une très grande vulnérabilité du pays en cas d’agression sur ses systèmes et réseaux vitaux d’information.

Ils ne laissent planer aucun doute sur la gravité de la menace:

Les menaces qui pèsent sur ces systèmes d’information sont susceptibles de porter atteinte à la sécurité et aux intérêts fondamentaux de l’Etat.

Mise en garde globale

Mais le pire est à venir: l’Autorité Nationale de Sécurité est l’organisme qui serait le mieux placé pour assurer cette coordination. Or, le rapport précise que « les moyens techniques mis à [sa] disposition sont nettement insuffisants ».

Le rapport pointe aussi du doigt l’importance des certificats et recommande la création d’une instance nationale de certification afin de ne plus dépendre de l’étranger. Mais le cas hollandais démontre malheureusement, que cela ne constitue pas une garantie de sécurité…

Les auteurs recommandent « la plus grande prudence dans le choix des équipements techniques sécurisés » ainsi que dans celui « des fournisseurs de ce matériel ».

Enfin, le rapport insiste sur la nécessité de protéger les sites des ministères autres que celui de la Défense ou « ceux d’infrastructures critiques pour le fonctionnement du pays ». Autrement dit, ils sont pour l’instant exposés aux menaces les plus diverses. Et il recommande de confier cette mission à la Sûreté de l’Etat (VSSE).

Le mot de la fin appartient sans doute à l’association Bits of Freedom, une organisation de défense des données privées des citoyens qui considère que l’attaque de DigiNotar, devrait constituer « un ‘wake-up call [un coup de smeonce] pour les autorités du monde entier ».

Alors que la sécurité informatique reste une prérogative nationale jalousement gardée, l’attaque des certificats publics néerlandais tout comme le rapport belge incitent à se demander si les Etats sont vraiment prêts à faire face à une des dimensions les plus subtiles et pourtant les plus dangereuses de la guerre post-moderne : la cyberguerre ? La réponse, pour ces deux pays au moins, est clairement: Non !

__

Article initialement publié sur MyEurop sous le titre Belgique et Pays-Bas : la cyberguerre a commencé !

FlickR ;   Christopher Schirner ; Gianni Dominici ; FaceMePLS; romainguy ;

Mise au jour par l’éditeur de logiciels de sécurité américain McAfee, l’opération “Shady RAT” (“outil louche de contrôle à distance” en bon français, ou “Mouchard Ténébreux”, dixit RFI) aurait pillé les informations de plus de 70 gouvernements, entreprises ou organisations pendant cinq ans. Pourtant, Dmitri Alperovitch, le directeur de recherche qui a identifié la cellule souche et la décrypte sur son blog et dans un rapport de 15 pages (PDF, en), se garde bien d’accuser ouvertement Pékin. En revanche, il dédouane “les mouvements activistes vaguement organisés” (des Anonymous à LulzSec), pour évoquer un commanditaire autrement plus coordonné:

Même si l’ampleur et la durée de Shady RAT peuvent choquer ceux qui n’ont pas été intimement impliqués dans les investigations sur ces opérations précises d’espionnage, j’aimerais vous prévenir que ce que je décris ici a été une opération spécifique conduite par un seul acteur.

La muleta chinoise

Parmi les victimes de ce grand détroussage dont les conséquences immédiates restent assez floues, les États-Unis sont les plus touchés: sur 72 cibles, 49 sont américaines. Et pas n’importe lesquelles, puisque 13 entreprises d’armement et plusieurs agences gouvernementales figurent dans la liste. Concomitance ou signe avant-coureur, plusieurs mastodontes du complexe militaro-industriel avaient été dépouillés il y a quelques semaines. Parmi eux, Lockheed Martin, L-3 Communications et Northrop Grumman, tous pesant des dizaines de milliards de dollars.

Aux côtés des États-Unis, on retrouve une douzaine d’autres pays, dont le Canada, le Japon, la Corée du Sud, l’Allemagne, le Royaume-Uni ou l’Inde. La présence de Taïwan serait quant à elle la preuve formelle de l’implication chinoise. C’est en tout cas l’avis de James Lewis, un analyste du Center for Strategic and International Studies (CSIS), un think tank bipartisan de Washington D.C. :

Tous les signes pointent vers la Chine… Qui d’autre espionne Taïwan?

La conclusion peut sembler hâtive, toujours est-il qu’elle a été relayée par bon nombre d’experts, y compris chez Microsoft. Toujours prompts à pointer du doigt un Empire du milieu décidément bien encombrant, ceux-ci s’en donnent à cœur joie. Très à la mode dans les milieux de l’intelligence économique – le précédent Renault suffit pour s’en convaincre – le chiffon rouge chinois n’est pas non plus une muleta créée ex nihilo et agitée par des pays occidentaux empêtrés dans une révolution numérique qui les submerge. En 2010 aux Etats-Unis, 11 citoyens chinois ont été poursuivis pour espionnage. Dix d’entre eux s’intéressaient à des objectifs de haute technologie.

Course aux cyber-armements

Même si les autorités chinoises passent leur temps à disqualifier les accusations américaines en réclamant des preuves que le camp d’en face est incapable de fournir, les bataillons de honkers (ces hackers patriotes formés aux frais du Parti) et l’attaque surmédiatisée contre Google début 2010 ont définitivement changé la donne géopolitique.

Désormais, selon une rhétorique post-Guerre froide largement alimentée par les deux discours d’Hillary Clinton sur la liberté d’Internet, les éditorialistes évoquent une “course aux cyber-armements” où les capacités de réactions aux virus remplacent la bombe H et les fusées. S’adressant à un parterre de spécialistes de la sécurité informatique lors de la conférence Black Hat à Las Vegas, un vétéran de la CIA, Cofer Black, a affirmé que “la guerre des codes” était sur le point d’éclater (une terminologie que nous utilisions déjà début juin, avec une lecture sensiblement différente).

Auditer le matériel

Problème, ce nouveau terrain de jeu, doublé d’un paradigme stratégique aux contours pas très nets, vient se juxtaposer à une réalité quelque peu déconcertante. Faites donc le test: regardez derrière vos unités centrales, sous vos ordinateurs portables, et comptez le nombre de produits estampillés “Made in China” (en réalité, le bout de la chaîne, comme l’expliquait le New York Times dès 2006). Tant et si bien que le Congrès américain commence à auditionner des spécialistes inquiets. L’un d’entre eux, Kevin Coleman, estime qu’il vaudrait mieux auditer le matériel du Pentagone ou des agences fédérales avant de jouer les vierges effarouchées:

Si nous ne décidons pas de tout fabriquer chez nous, alors il faut améliorer les outils et les techniques de validation.

Si demain, Foxconn, le sous-traitant chinois d’Apple, décide de programmer ses robots pour qu’ils implémentent des malwares dans des iPhone destinés à la vente mondiale, les États-Unis risquent fort d’être pris au dépourvu. Et ce n’est pas tout. Il y a un peu plus d’un an, 600 responsables de la sécurité informatique de grandes entreprises répondaient à un sondage et établissaient le palmarès des pays les plus perméables aux attaques informatiques. Les États-Unis arrivaient en tête, avec 36% des suffrages, devant la Chine. L’étude était commissionnée par… McAfee.