Journal d'investigation en ligne et d'information‑hacking
par bluetouff

Opération Aurora post mortem

Peut-être vous souvenez vous de l'opération Aurora. Fin 2009, Google rendait partiellement publique une attaque menée contre ses infrastructures et celles de grosses sociétés américaines en Chine. Presque deux années après le début de cette cyber-escarmouche un peu plus appuyée que les précédentes, on apprend, cette fois de sources chinoises que les preuves numériques fournies par les spécialistes américains ne seraient pas en mesure de l'incriminer.

Peut-être vous souvenez vous de l'opération Aurora. Fin 2009, Google rendait partiellement publique une attaque menée contre ses infrastructures et celles de grosses sociétés américaines en Chine. Presque deux années après le début de cette cyber-escarmouche un peu plus appuyée que les précédentes, on apprend, cette fois de sources chinoises que les preuves numériques fournies par les spécialistes américains ne seraient pas en mesure de l'incriminer. Ça joue à la cyber guéguerre, ça se renvoi la cyber baballe, et tout le monde s'en cyber contrefiche parce que personne n'y cyber capte rien. Un article daté d'aujourd'hui fait état du manque total de stratégie des USA face aux attaques "peut-être chinoises". Mais du point de vue américain, notez que le "peut-être" n'existe pas. Ce manque de stratégie est décrié par Richard Clarke, l'une des têtes pensantes de la défense américaine, dans le Wall Street Journal. On y apprend que les USA mènent une défense proactive, comprenez offensive, mais que les autorités ont en revanche du mal se prémunir des attaques externes. Comme pour le Vietnam, les américains ne semblent pas vraiment équipés pour une cyberguérilla. Par contre pour la cyberguerre...

L'opération Aurora

En ciblant des outils de gestion de configuration logicielle, l'opération Aurora aurait permis, théoriquement, à l'assaillant, d'être en mesure modifier les sources de solutions très largement utilisées dans le monde entier, comme le service de messagerie Gmail, de Google. Les différentes attaques qui composent l'opération Aurora, comme ses cibles, ont apporté leur lot de nouveautés... certes. Mais peut-on cependant parler d'un acte de cyber guerre ?  Quels sont les mécanismes d'attaque qui ont si vivement fait réagir les autorités américaines ? Que cachaient ces attaques ? Les experts ont beau se pencher sur ce dossier, il n'en ressort finalement pas grand chose de probant. La question n'est jamais pourquoi... mais toujours comment. Les autorités chinoises continuent de réfuter les accusations américaines pointant du doigt une responsabilité de Pekin. Pekin se disant lui même victime d'attaques par innoculations massives de chevaux de Troie dont un gros pourcentage trouveraient leurs "puppetmasters" aux USA. Des câbles diplomatiques révélés par Wikileaks semblent pourtant bien confirmer l'implication de Pékin dans l'opération Aurora.

Les quelques ingrédients de la matrice

Les États-Unis, d'abord par la voix de Google ont crié à l'acte de cyberguerre, rien que ça. Qu'a t-il bien pu se passer, pour que Google, qui n'est pas réputé pour être frappé par le même syndrome que Sony, en vienne à une réaction si vive, qu'il décida même de réorienter le trafic chinois vers Google.hk, qui contrairement à Google.cn ne subissait pas les cyber coupes du système institutionnalisé de censure chinois ? Deux ans après, si Richard Clarke raconte au Wall Street Journal que «Pékin vole des téraoctets de données aux États-Unis» et  que les USA ont une doctrine offensive en matière de cyber conflits, on peut se douter que l'Opération Aurora n'y est pas franchement pour rien.

  • Le 12 janvier 2010, Google annonce via son blog, que ses sytèmes et ceux d'une vingtaine de poids lourds américains sont victimes, depuis plusieurs mois, d'une vague d'attaque particulièrement élaborée. Parmi ces entreprises, on compte des géants de la finance, de la Chine et des nouvelles technologies. Le gouvernement chinois, pointé du doigt, dément toute implication.
  • Pendant longtemps, plus rien ... du moins de visible.
  • Puis, Stuxnet fait son apparition sur les radars des traqueurs de malwares. On ne comprend pas trop au début, son code est extrêmement complexe, il embarque pas moins de 4 mécanismes d'exploitation de 0day... beaucoup trop pour une lolerie. Quand on s'en rendra compte, on soupçonnera qu'il est l'oeuvre d'un État, voir le fruit d'une collaboration entre plusieurs états.  On commence seulement à comprendre sa cible le jour où les autorités iraniennes font état d'une attaque sur leurs infrastructures nucléaires, plus particulièrement sur les centrifugeuses de la centrale nucléaire de Natanz dont les capacités en production d'Uranium enrichi ont de quoi faire craindre le développement d'un programme nucléaire militaire. Stuxnet aurait pour fonction de cibler la vitesse de rotation des centrifugeuses de ce type d'équipements SCADA. La sophistication de l'attaque, les moyens qu'elle implique, là encore, laissent planer le doute. On soupçonne naturellement un travail d'origine militaire. On ne saura pas non plus si l'attaque a réussi ou échoué puisqu'on ne connait pas l'objectif : une destruction physique ? Retarder le programme nucléaire iranien ?
  • Le cablegate de Wikileaks fait presque figure de trêve tant Stuxnet et l'opération Aurora ont été perçus comme des actes d'une violence inouïe et inédite à l'encontre d'états. Pourtant, Wikileaks aura bien un impact sur la cyber défense des nations, nous y reviendrons.
  • Tout récemment, c'est encore la Chine qui est soupçonnée d'attaques sur RSA/SecureID par la presse américaine. Les attaques visaient des grandes entreprises américaines du secteur de la défense. Lockheed Martin, un géant de l'armement, finira par avouer qu'il faisait partie du lot. Les intrus auraient exploité une brèche dans RSA pour obtenir un accès au système d'information de Lockheed. L'information sera confirmée au New York Time. Dans Wired c'est Kevin Poulsen qui rapporte que L-3 Communications serait lui aussi activement visé par l’attaque. L-3 est un acteur majeur des communications militaires américaines, elle est en charge du C3ISR (command-and-control, communications, intelligence, surveillance and reconnaissance) du Pentagon des agences de renseignement US. Bref on pouvait difficilement mieux cibler l'attaque pour crisper l'administration américaine. La pilule bleue ou la pilule rouge ?

Les évènements que nous venons de retracer ne sont de prime abord pas franchement liés. Mais un petit détail a de quoi inquiéter. A votre avis, qu'est-ce qui a réellement changé entre notre époque et celle de la guerre froide ? Combien d'actes au moins aussi importants que ceux qui ont été révélés au grand public. Même si ça fait quelques années que les sociétés sérieuses n'arguent pas que les attaques dont elles ont été victimes ne ciblaient que des "serveurs de test", on est en droit de se demander combien passent sous silence des intrusions très sérieuses dans des systèmes sensibles. Si les attaques que nous avons évoqué plus haut ne sont que l'arbre qui cache la forêt, alors oui, il va peut-être falloir commencer à parler de digital warfare un peu plus appuyé... mais pouvons nous, à ce stade, parler de cyber guerre ? Une guerre contre qui ? Qui fait combien de morts ?

T'inquiètes coco, on est français, on fait du DPI, on est sauvés

Quand on scrute un peu les brochures commerciales des entreprises françaises en pointe dans les technologies de Deep Packet Inspection, l'argument qui revient souvent, c'est celui de la sécurité des réseaux. Le Deep Packet Inspection permettrait de se prémunir d'attaques par la reconnaissance de protocoles. Si ceci peut s'avérer vrai pour des attaques virales "à la papa", nous pouvons émettre de sérieux doutes sur l’efficacité de ces équipements face à des attaques plus sérieuses, totalement distribuées et cachées dans du trafic légitime chiffré.

La nature du réseau Internet fait que nul état n'est sérieusement préparé aux attaques d'aujourd'hui. Et en dehors du "kill switch", aussi crétine semble cette solution, il faut bien admettre qu'aucune autre n'est en mesure de contrer les nations en pointes en offensif. Ceci pose un vrai problème. Si éteindre les systèmes les plus sensibles quand une attaque, pour peu qu'on parvienne à la détecter, s'avère la seule solution, c'est bien que nous avons un sérieux problème. Nous parlions plus haut d'une guerre froide ? La "cyber guerre" ne serait elle pas une nouvelle forme de guerre froide, l’atome en moins ? Une course à l'offensif, puisqu'il n'existe pas de bouclier pour se défendre. Pendant longtemps, la position officielle des autorités françaises était que nous n'avions pas de doctrine offensive sur les réseaux. Il faut pourtant se rendre à l'évidence, nous n'avons pas le choix. Comme pour le nucléaire, la dissuasion ne peut passer que par le développement d'une doctrine offensive forte. Et tant que nous n'aurons pas assisté à de réels actes d'agression conduisant à des pertes mesurables, nous ne saurons pas évaluer l'urgence d'un eg8 plus sérieux que celui qu'on nous a servi cette année mais dont la France pourra au moins se targuer d'être à l'origine... malgré son ridicule contenu affiché.

Aux USA, ce qu'on appelle du bout des lèvres des cyberguerriers, relève du fait de sociétés militaires privées, leurs noms sont bien connus, peut-être prendrons nous un jour le temps de vous dresser un petit panorama de ces acteurs de l'offensif, ils sont bien réels.

 

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée