S'abonner Se connecter
Journal d'investigation en ligne et d'information‑hacking
À la Une
Technos
par Eric Bouliere

Cyberguerre totale : de la science-fiction à la réalité

Quand l'intelligence informatique se transforme en arme nucléaire

Soudain une entreprise devient aveugle et sourde : plus de radars, plus de communications, plus d'économie, plus de savoir. Les cyberattaques constituent-elles les prémices d'une cyberguerre ultime à venir, et allons-nous bientôt devoir compter les cybermorts sur des champs de bataille 2.0 ?

Un grand cyber-boum ?

Bonne conscience et sales guerres aidant, l'humanité à cru pouvoir éviter le pire sous couvert de l'arbitrage du bouton rouge. Cette apparence de paix sur toile de fond d'apocalypse vient une nouvelle fois de perdre de son sens avec le conflit Russo-Ukrainien. Alliances d'autrefois, accords de demain, certitudes d'aujourd'hui, convictions d'avenir, origine des attaques, bien-fondé de la défense, tout vient de voler en éclat dans ce déferlement de haine aux relents de guerre froide. Et si sur le terrain on se bat toujours à l'ancienne, cocktails Molotov contre obus des blindés, en hauts lieux, l'ombre d'une cyberguerre totale semble prendre valeur de feu nucléaire. Reste à définir de la réalité d'une cyberguerre...

La fission nucléo-Swift

Ainsi le monde s'est brusquement figé, de peur de ne pas faire assez, ou à contrario par crainte de trop s'engager. Passablement perdue dans son histoire et ses frontières, l'Europe a dégainé une arme qualifiée de létale, Swift, comme pour appuyer sur le terrible bouton mais pour de faux seulement.

A l'évidence, les retombées mondiales de ce champignon-là ne semblent pas parfaitement maîtrisées. Tout comme ne le sont pas certaines déclarations brutes de forme, notamment celle de Bruno Le Maire qui affirmera vouloir: « livrer une guerre économique et financière totale à la Russie _» afin de provoquer « _l'effondrement de l'économie russe ». Le retour de com' du ministre russe, Dmitri Medvedev, sera immédiat « Faites attention à vos discours messieurs ! N'oubliez pas que les guerres économiques de l'humanité se sont souvent transformées en guerres réelle ».

Vers une déclaration digitalisée?

Qu'elle soit réelle ou fausse, la guerre est donc déjà déclarée. Mais de quoi parle-t-on en évoquant ce type d'effondrement économico-numérique : s'agit-il de paquebots qui n'arrivent pas à bon port, de trains de marchandises qui n'entreront plus en gare, de banques qui ne joueraient plus le jeu du capital? Ou bien faut-il entendre dans ces discours brumeux quelque chose de plus infernal, de plus dévastateur, de moins avouable…

Évitons les conclusions à l'emporte-pièce tant ces affaires là méritent d’être approchées et explicitées sans déraison; la fascination du genre prenant trop souvent l’aval sur l'exacte réalité des choses. La presse dans son ensemble se charge régulièrement de relayer le concept de cyberguerre, sans d’ailleurs savoir vraiment ce qu’il recoupe exactement. Pour le grand public, insuffisamment renseigné de la matérialité du cyber, les manifestations les plus coupables s’argumentent autour du récit d’actes de pirateries qui font plus ou moins long feu. Ainsi la CNAM à récemment signalé une intrusion dans le compte Amélie d'une vingtaine de professionnels de santé qui aurait donné accès aux données personnelles de plus de 500 000 assurés. Idem du côté de L'ENAC (École nationale de l'aviation civile) obligée de suspendre ponctuellement son enseignement, mais qui s'est aussi vue contrainte à devoir bloquer au sol tous les avions civils de la flotte destinée aux élèves pilotes. Mais peut-on pour autant parler de fin du monde..?

Les tranchées sont en effet très profondes entre un déni de service (DDoS) organisé par les Anonymous qui empêcherait l’accès normal à un site pendant quelques heures, le simple barbouillage des pages Web de sites gouvernementaux, la paralysie d’infrastructures vitales via des Scada, ou bien des actions plus informelles qui pourraient déboucher sur une meurtrière bataille numérique de l’information. Quoiqu’il en soit n’oublions jamais que l’horreur des combats se décline encore et toujours de la plus sinistre des manières.

Pour mieux comprendre de quelle violence se nourrit une Cyberguerre, Reflets s'est tourné vers Fabrice Epelboin, ancien contributeur de la rédaction, aujourd’hui actionnaire du journal. Cet enseignant passé par le CELSA, Sciences-Po. Paris ou encore l’IAE de Poitiers, fut l'un des startuppers de la première heure. Il nous livre ici un témoignage précis et circonstancié sur l'instabilité de l'ordin-atome et sur les possibles conséquences d’une cyber-déflagration. Sa description de la réalité des problèmes s'avère suffisamment claire pour être entendue par les non initiés, et suffisamment complète pour intéresser les plus endurcis vétérans du net. Alors comme au cinéma, préparez-vous à changer de dimension en revisitant votre grille de lecture...

La cyberguerre, ça fait des cybermorts ?

Les batailles du cyber auront-elles leurs monuments... - Reflets
Les batailles du cyber auront-elles leurs monuments... - Reflets

Reflets: Une cyberguerre, concrètement, c'est quoi au juste?

Fabrice Epelboin : Méfions nous des problèmes de sémantique. Le sens même de ce mot, guerre, qui arrive lourdement chargé dans un univers qui change tellement les règles, devient un handicap pour la compréhension de ce qu'il advient aujourd'hui ou pourrait se passer demain.

Le cadre, les effets et les répercussions d’une cyberguerre sont multiples et multifactoriels. On peut cependant en distinguer deux dimensions distinctes, celle dans le cyber et celle sur les réseaux sociaux, même si l'une et l'autre peuvent se combiner. Et bien évidemment les choses s'entrelacent adroitement puisqu'on retrouve des dirigeants communs dans le groupe de miliciens Wagner et dans le staff de l'Internet Research Agency. L'IRA est une sorte d'armée de trolls russes qui, selon le rapport de Graphika ont été localisé un peu partout en Afrique francophone.

Pour tenter d'être le plus précis possible, je dirais que la cyberguerre est un champ supplémentaire offert aux militaires et aux politiques pour faciliter leurs interventions. Il y a un siècle l’aviation militaire faisait son apparition, aujourd’hui, c’est le cyber qui offre une dimension supplémentaire aux confrontations armées entre les nations et créé un rapports de force entre des dirigeants politiques et leurs populations. Le terrain du cyber peut apporter une aide décisive dans une opération militaire, soit en sabotant les moyens de l’ennemi pour l’empêcher d’opérer, soit en incapacitant des populations civiles qu’on cherche à terroriser. Ces opérations de déstabilisation sont extrêmement diverses et plus ou moins sophistiquées.

Ces dernières années les réseaux sociaux ont également pris une place décisive pour une toute autre forme de la guerre, celle que l'on pourrait qualifier de psychologique et qui consiste à frapper - ou conquérir - les cœurs et les esprits. Ce n’est pas la moindre en terme d'efficacité sur le court et moyen terme.

Une cyberguerre façon blitzkrieg est-ce possible?

Pour se rapprocher de l'actualité en l’Ukraine, et d'un point de vue cyber, on a tendance à oublier que l’agression russe a commencé dès les lendemains de la révolution du Maïdan, bien avant Solarwinds et Microsoft Exchange, ils ont donc eu tout leur temps pour se positionner, se préparer, et étudier les options qu'ils avaient entre les mains.

Je ne suis pas convaincu par une blitzkrieg cyber, j'anticipe plus le cyber comme le territoire privilégié d'une guerre froide qui a de bonnes chances de s'installer une fois le conflit stabilisé, et si tant est que Poutine n'aille pas plus loin.

Établir un plan de bataille fermé dans le seul but de frapper fort et rapidement, pourquoi pas, mais ça sent la manœuvre 1.0 qui manquerait sérieusement d'agilité dans un environnement cyber. Ce qui serait pour le coup parfaitement contradictoire aux habitudes prises. La meilleure préparation connue à l'heure actuelle consiste à explorer le champ de tous les possibles et à ouvrir le plus d'options afin d'être prêt à tout et n'importe quoi à tous les instants.

Certaines nations sont-elles mieux armées que d'autres pour cyberattaquer ?

Il faut visualiser le concept de surface d'attaque pour s'imprégner de la différence entre une guerre conventionnelle et une cyberguerre. Et puis il est bon d’évoquer le manque flagrant de ressources humaines coté Cybersec, ou le hacker bashing organisé qui, durant des décennies, aura pas mal contrarié les vocations...

La surface d'attaque, pour reprendre Wikipedia, c'est la quantité de dispositifs techniques exposés sur internet susceptible de constituer des points faibles à partir desquels un attaquant hostile peut s'introduire pour dérober des documents et s'en servir à des fins de guerre informationelle (les emails de Clinton), voire pour saboter et paralyser un système plus ou moins critique. Étant donné l'ubiquité d'internet dans les entreprises et les administrations, cette surface est considérable dans le monde occidental et impossible à défendre tant elle est vaste.

Une fois intégré cette notion, qui change radicalement par rapport à l'art de la guerre tel qu'on l'envisageait au XXe siècle, on comprend que l'Occident, l'Amérique du nord et l'Europe, ne sont pas du tout en situation de sortir vainqueur d'un conflit cyber de haute intensité. Au mieux on peut espérer s'en sortir vivant, contrairement à une menace nucléaire. Ajoutez à cela des épisodes récents tels Solarwind ou MS Exhange, qui font que les Chinois et les Russes disposent désormais d'une capacité offensive redoutable, et on en arrive à une situation qui n'est pas sans rappeler l'équilibre de la terreur qui était le climat géopolitique dans lequel j'ai passé mon enfance.

Car pour ce qui est des capacités offensives, certes la NSA est partie avec trois longueurs d'avance, mais les découvertes successives de failles spectaculaires ouvrant les portes de quantités d'entreprises laissent à penser que nous sommes arrivés, ou en passe d'arriver, à une situation où la capacité destructrice du camp d'en face est dissuasive. Vraisemblablement, nous ne sommes pas du tout dans une situation où la NSA aurait l'arme nucléaire face à des nations tout juste bonnes à se faire cyber-vitrifier.

Dans l'hypothèse d'un conflit de haute intensité, le monde entier serait cyber-touché. N'oublions pas Kim Jong-un qui pourrait à lui seul semer le chaos dans la finance: autant dire terrasser le capitalisme, un système global dont il est le seul à pouvoir envisager la chute avec une relative sérénité.

On entend parler de sabotage de câbles terrestres ou sous-marins…

Nous sommes très loin du risque d'interruption de l'image et du son à la suite d’un sabotage des câbles de fibre optique terrestres. Si l'opération n’est pas bien compliquée à réaliser pour qui sait ce qu’il fait, le scénario d’un sabotage de grande ampleur réalisé par un commando d’une armée étrangère semble assez peu probable. Pour avoir un réel effet dévastateur, il faudrait en effet parvenir à sectionner énormément de câbles sur une courte période. D’un point de vue militaire, cela paraît être un plan impossible à tenir derrière des lignes ennemies.

Autant saboter un réseau électrique s’avère faisable, autant s'attaquer au réseau internet terrestre me semble ambitieux du fait même de la nature résiliente du protocole de communication de la toile. Les informations qui transitent par internet retrouvent vite et de façon autonome leur chemin pour passer par ici quand on leur interdit de passer par là... Souvenez vous de l'histoire qui veut que le système ait été conçu pour résister à une attaque nucléaire, qui même si elle relève du storytelling, n'en est pas moins une réalité technique.

Quant à tronçonner les voies d'informations sous-marines, c'est potentiellement réalisable en amateur. Il suffit de transformer un chalutier en navire de guerre et de laisser traîner son ancre sur le fond des mers. C’est ainsi que la plupart des câbles immergés sont régulièrement endommagés et c'est aussi un accident de pêche assez fréquent. Mais encore une fois la résilience d'internet permet de ne pas trop souffrir de la coupure intermittente d'un câble ou d'un autre.

Il en serait tout autrement si la totalité des câbles reliant les continents venaient à cesser de transmettre des informations. On retournerait sans doute à une forme de moyen âge d’internet qui n’a même jamais réellement existé. A défaut d'avoir une autonomie stratégique, nous serions en Europe dans la même situation que la Russie sous peu : obligés de reconstruire à la hâte des système lourdement dépendant de datacenters et d'entreprises américaines.

La toile existerait toujours, mais ce serait autre chose, de très différent, quelque chose de très dégradé par rapport aux usages et aux besoins d'aujourd’hui. Économiquement parlant, ce serait un véritable désastre mondial. Est-ce la raison pour laquelle ce genre d'action suicide est jusqu'à présent réfutée par toutes les grandes puissances, y compris par la Chine qui ne laisserait personne, pas même un allié, couper la branche sur laquelle elle est assise.

Une cyberguerre peut-elle être satellitaire

Coupons de suite court avec la puissance de l'imaginaire… Plus qu'une projection d'avenir offrant de multiples possibilités venant du très haut, le miracle du projet –Save the World- porté par Elon Musk tient surtout à l'excellence du coup marketing.

En fonction des usages d’internet et en l'état actuel de la science, il s'avère techniquement impossible de remplacer les câbles sous-marins par des satellites, dont le "débit" serait totalement insuffisant pour pallier un sabotage des câbles. Qui plus est, si un satellite est bien plus difficile à saboter qu'un câble, le risque de sabotage ne serait pourtant pas moindre en cas de cyberguerre; vous avez sans doute entendu parler de la militarisation de l'espace. Le problème de Viasat au début de l'invasion montre cependant qu'il faut être prudents. Des attaques ponctuelles peuvent survenir, notamment sur les matériels au sol.

Le réseau satellitaire est certes précieux pour couvrir les zones blanches d'un territoire. Mais si l'on parle d’équiper une nation toute entière durant un conflit, les satellites ne sont aucunement une solution alternative aux câbles fibre optique qui transportent internet aujourd’hui.

Entre les avancées de l’armement spatial et l'importance de sa flotte de sous-marins, la Russie pourrait sans nul doute casser internet si elle le désirait. Nous n'en sommes heureusement pas là, on en est même très loin. Quitte à se faire peur pour de bon, mieux vaut se replonger dans quelques excellents romans pour se remettre dans l’ambiance guerre froide. C’est peut-être le moment de relire Malevil de Robert Merle

La bataille du Cloud…

Bienvenue au Cloud : un gros nuage, de grosses batailles ? - Reflets
Bienvenue au Cloud : un gros nuage, de grosses batailles ? - Reflets

Le Cloud est-il devenu un territoire à conquérir ?

Ce qui s'énonce comme une évidence pour les lecteurs de Reflets, réclame quelques explications pour un public moins averti : le Cloud , ce n'est plus, ou ce n'est pas seulement, un ordinateur dans un gros datacenter situé quelque part dans le monde avec lequel on fait ce que l'on veut. Le grand méchant motto -le Cloud, c'est l'ordinateur de quelqu'un d'autre- est devenu trompeur et nuit à la compréhension de ce qui est à l'œuvre.

Le Cloud permet de délocaliser des fonctions entières de l'entreprise, sa relation clientèle, sa gestion logistique ou financière, ses services comptabilité, toutes les fonctions vitales qui font l'intelligence d'une organisation ont été outsourcées en grande partie chez Microsoft, Google, Oracle, Amazon... La liste est longue, très longue, mais elle est dans son écrasante majorité américaine. Parfois, bien plus rarement, européenne comme avec SAP. SAP est l'une des plus grosses entreprises fournissant des outils de gestion pour les entreprises. On parle d'ERP, en français, de progiciel de gestion intégré. Désormais, SAP fournit sa suite logicielle en Saas, c'est à dire via le cloud, mais reste l'un des rares acteurs non américain qui pèse dans la monde du cloud.

On a ainsi externalisé l'essentiel de ce qui est susceptible d'amener de la valeur ajoutée dans l'entreprise, du fait des gains de productivité promis par les technologies, ce qui représente une large partie des potentiels gains de productivité de l'économie dans les décennies à venir. Il semble raisonnable d'imaginer qu'une très large partie de cette valeur ajoutée partira dans le coût des licences, et donc vers les USA, provoquant de facto un appauvrissement systémique du continent européen.

Le véritable enjeu, du point de vue politique et économique, est là. Nous nous sommes laissé embarquer dans une vision technique des choses qui a consisté à parler chinois à des décideurs, là où les offres cloud leur vantaient des mérites business à court terme, qui sont indiscutables, tout en se gardant bien d'aborder les conséquences à long terme d'un point de vue macro économique. Et cela bien sûr sans que le personnel politique, largement inculte pour ce qui est des technologies, ne réagisse. Car si une poignée de politiques est en mesure de comprendre de quoi il retourne vraiment, la plupart d'entre eux sont tout simplement inaptes à prendre des décisions dans un monde surdéterminé par les technologies et dans lequel le droit, leur levier habituel, est le plus souvent hors jeu.

Il serait bien utile de changer de discours. Oracle ou MongoDB commencent à couper les ponts avec la Russie, ce qui revient à tuer quantité d'entreprises qui s'étaient appuyés sur leurs services. Ils ont été rejoint par Microsoft ou Amazon, qui comme Décathlon ont fini par ressentir une forme de pression populaire. Cela va obliger pas mal de décideurs en France à se questionner : que feraient-ils si de telles sanctions venaient à toucher la France. L'éventualité d'un profond désaccord avec une future administration Trumpiste n'est pas à considérer comme un scénario de science fiction.

Le réveil risque d'être douloureux pour le CAC40, et les choix faits jusqu'ici par les entreprises et par l’État pourraient être questionnés de façon plus... pressante. A minima, les plus atlantistes d'entre eux devraient regarder avec angoisse la très forte dégradation que connaissent des marques comme Décathlon et la pression grandissante qui s'exercent sur ces entreprises pour se retirer du marché russe, et anticiper moultes gestions de crise, car elles surviendront, du fait que leurs choix techniques d'hier sont des choix géopolitique aujourd'hui. Choix qu'il va bien falloir assumer, car sans être définitifs, ils sont très complexes et parfois impossibles à changer en cours de route.

Pour ce qui est des cloud américains opérant encore en Russie, même si la plupart ont stoppé leurs activités commerciale, ils ont encore pour beaucoup une très forte présence en Russie. Ces cloud-ci demeurent indispensables au tissu économique local, et contrairement à Décathlon qui n'est pas coté en bourse, ils risquent bien plus gros.

La guerre des trolls aura-t-elle lieu ?

Les trolls : de tout, et aussi du n'importe quoi.... - Reflets
Les trolls : de tout, et aussi du n'importe quoi.... - Reflets

Les influenceurs des réseaux sociaux ont-ils réellement un rôle important ?

Les armées de trolls ont été récemment popularisées par Poutine qui les a fait déferler, sans doute aux côtés d'entités israéliennes, sur l’élection emportée par Trump en 2017. L'existence de ces forces venues de l'Est remonte pourtant à bien avant cette soudaine célébrité. Il s'agit en réalité de l'évolution d’un dispositif initial destiné à influencer l’opinion publique russe.

Dès 2008, au Yémen, on retrouve des opérations d’influence opérées par l’anglais SCL, la maison mère de Cambridge Analytica. Le département de la Défense Britannique s'étant lui-même intéressé aux technologies mises au point par Cambridge Analytica à partir de 2015. A titre de comparaison, les forces françaises s’y sont mises, timidement, et vers 2018 seulement. C’est dire le retard pris par la France dans ce domaine.

Ces dix dernières années, l’Afrique est devenue un terrain de jeu privilégié pour le déploiement d'opérations de ce type. Les compétences sont disponibles en quantité. Inventorier les officines proposant ce genre de services dans des pays comme Israël relève de la gageure. La société anglaise SCL, fondée par Steve Bannon et financée par le milliardaire pro Trump, Robert Mercer, est à elle seule soupçonnée d’avoir interféré dans plus d’une centaine d’élections, et ce principalement sur le continent africain.

Bref, en 2022, il était grand temps de découvrir la Lune. Les lecteurs de Reflets l'ont sans doute découverte en avant première dès 2011, à l’occasion de l’affaire Cyber Dawn. De mon côté, j'enseignais déjà tout cela à Sciences Po il y a dix ans. La première conclusion à tirer, c’est que la partie a débuté il y a fort longtemps et que les jeux sont quasi-faits. A l'évidence nombre d’acteurs se sont pré-positionnés en Afrique comme, vraisemblablement, en France.

On peut s'interroger sur l'efficacité de contre-attaques basées sur le débunking de fake news… A mon sens, cette façon de procéder mène à l'impasse. En témoignent les faits qui se sont déroulés au Mali où l’on dispose d’un post-mortem significatif à travers le rapport publié par Graphika. Le principe du debunking à la française ne recueille pas davantage de confiance de la part d'un public qui se déclare tout aussi méfiant envers les médias soutenant ce genre d’initiatives.

Les fake news ne sont que l'écume des vagues, et cela enferme les protagonistes dans une confrontation dialectique qui consiste à se renvoyer la balle de la désinformation, c'est le jeu du camembert qui dit au roquefort qu'il sent mauvais. C'est sans fin. S’imaginer que les fake news sont l’apanage des médias ou d’un camp plutôt qu’un autre, c’est faire preuve d’une naïveté confondante ou d’un fanatisme aveugle. Dans les deux cas, impossible d'y voir clair et de comprendre ce qui est réellement à l’œuvre.

La stratégie des trolls, russes ou autres, se résume souvent à la tactique du « poison the well »: s'immiscer dans toutes les fractures de la société et souffler sur les braises pour mieux la faire exploser. Parfois, comme c’est le cas au Mali et dans l’Afrique francophone en général, ils ciblent une fracture spécifique pour appuyer bien fort sur la plaie. Reste à souffler sur les braises du ressentiment néo-colonial envers la France pour finir le boulot…

Sur d'autres terrain, comme celui des élections américaines de 2017, tout est bon à prendre, et les trolls russes se sont immiscées aussi bien au sein des communautés en lignes comme les LGBTQ+, BLM ou les Proud Boys (une milice fasciste), l'objectif étant de pousser tout ce petit monde à la confrontation et de pourrir le climat social.

Ce type de stratégie était impensable pour les équipes de trolls de la Macronie, parties sur un mot d'ordre de bienveillance au début du premier mandat d'Emmanuel Macron, et portées par une positive attitude gouvernementale qui était encore de mise. L’idée consistait sans doute alors à s’attirer les faveurs de la plus grosse partie d’un pays fracturé. Mais laissées en large partie à l'abandon, à l'image du parti que LREM n'a jamais réussi à devenir, les dérapages se sont multipliés, aussi bien quand elles ont improvisé des "ripostes" sur des journalistes comme Samuel Laurent du Monde, afin de les faire taire, que quand elle se sont aventurées par la suite à faire de la contre insurrection à l'occasion des Gilets Jaunes, et plus encore avec les « antivax » (devenus entre temps des « pro-Poutine »).

On a donc joué ici sur une partition réduite par rapport à la carte des douleurs profondes et historiques qui ont recomposé la société française ces dernières années, et déjà les effets sont toxiques. C'était toutefois oublier que les réseaux sociaux effacent les frontières. Aussi le risque est grand de faire ressurgir de méchantes fièvres sur le territoire national, amenées par un acteur étranger profitant d'un terrain de bataille facile à embraser. Un phénomène qui s'observe de façon flagrante à l’étranger, le Mali est un bon exemple.

Ainsi, des trolls russes, dont on a observé un net regain d’activité au début de l’année 2020, ont été identifiés en Centrafrique, en Libye, au Niger et en Guinée Equatoriale. Des trolls français, qui ont fait leur entrée en scène en 2018, ont été repérés en Centrafrique, et dans une moindre mesure au Niger, au Burkina Faso, en Algérie, en Côte d’Ivoire et au Tchad. Par ailleurs, des opérations mandatées par l’Iran ou l’Egypte ont été repérées au Soudan ou bien encore en Syrie.

Les armées de trolls russes sont souvent utilisées en Afrique dans le cadre d’opérations militaires destinées à faire basculer un état dans le camp de la Russie. Le Mali doit s'appréhender aussi comme un signal faible d'une opération bien plus vaste. On peut considérer leur présence comme un signe de bouleversements prévisibles au sein de l'Afrique francophone. Il ne faut jamais perdre de vue que ces opérations de cyber-influence s'intègrent, si besoin, dans un dispositif militaire plus musclé. Souvenez-vous qu'Evgueni Prigojine, un oligarque proche de Vladimir Poutine, dirige à la fois le groupe Wagner et une partie de l’armée des trolls russe localisée à Saint Petersbourg.

On pourrait espérer voir se dessiner en Afrique le second temps d'une décolonisation entamée il y a bien longtemps par la France. Mais il s'agit plus vraisemblablement d’une nouvelle forme de colonisation, organisée par des néo-colons qui cherchent à s'installer en délogeant les précédents. A ce titre, le départ de Bolloré du continent africain serait à considérer sous cet angle.

Pour ce qui est de la situation sur le territoire français, la guerre des trolls sera sans doute multiforme tant il existe des distorsions sociétales qui ne demandent qu'à s'envenimer. Qu'il s'agisse d'un conflit informationnel né à l’étranger ou d'une appétence nationale à voir se disloquer tout espoir d’unité, les lignes de fractures ne manquent pas. Toutes peuvent être infiltrées, et toutes peuvent être instrumentalisée par des armées de trolls venues d'ici ou d’ailleurs.

Comme je vous le disait, aux USA, durant la première campagne présidentielle de Trump, des armées de trolls, à priori russes, sont venues infiltrer indifféremment les mouvements Black Life Matters ou LGBTQ+. Des milices fascistes comme les Proud Boys ont également été visées dans le simple but d'attiser le feu, non sans un certain succès du reste.

Il n'y a aucune raison pour qu'une telle tactique ne soit pas déployée en France, tant le terrain social et politique s'y prête. Si la présidentielle qui vient ne devrait pas voir son résultat affecté de façon significative par ces guerres d’influence, les inévitables remous sociaux liés à l’augmentation du prix de l’énergie, des matières premières, ou à la possible reprise de l’épidémie de Covid, donneront aux trolls les plus enragés de multiples occasions d'ouvrir les hostilités.

Les pirates des Ransomwares

Les Black Hat ont une vison très précise de l'utilité du cyber.... - Reflets
Les Black Hat ont une vison très précise de l'utilité du cyber.... - Reflets

Le ransomware est-il l'arme favorite du soldat des cyberarmées ?

Une attaque de ransomwares c'est comme un casse dans une banque ou un braquage de fourgon blindé. Cela arrive, mais ce n'est pas du tout le modus operandi d'une armée en ordre de marche. Certains y voient malgré tout le moyen de financer sinon l'entièreté des combats, du moins une résistance ponctuelle. Le piratage par ransomwares est en quelque sorte l'activité cybercriminelle de base, le modèle économique le plus évident et le plus simple pour un Black hat en quête de fortune.

Il faut vraiment appréhender le ransomware comme une délinquance 2.0, qui certes se structure et commence à devenir un gros business, mais dont le seul véritable objectif est de réaliser des profits immédiats (lire nos articles sur ce sujet ici). Les équipes sont très internationales et l'on assiste parfois à des règlements de comptes façon guerre des gangs. Ce fut le cas pour Conti, l’un des groupes les plus redoutés du moment, qui a soutenu publiquement la Russie dès le début de l'invasion de l’Ukraine, avant d’être touché par un méga leak venu d'un membre ukrainien de la bande. L'affaire n'a sans doute pas encore révélé tous ses secrets. Et comme il s'avère essentiel d'analyser objectivement les formes d'une délinquance traditionnelle pour en comprendre la nature profonde, il demeure tout aussi important d'avoir une lecture sociale de cette cyberdélinquance.

S'il est envisageable de concevoir qu'un individu en perte de repères soit davantage tenté par une brillante carrière de trafiquant de drogue plutôt qu'une place en CDI chez McDonald, on peut tout aussi bien entendre qu'un passionné de cyber soit attiré par les sirènes du cybercrime. Plutôt qu'un boulot « à la con » mal rémunéré, le cybercrime apparait comme un job très rémunérateur qui fait vibrer l'égo et les passions et fait appel à des compétences premières… On trouve ce genre de situation d’impasse sociale dans tous les pays qui produisent plus d'ingénieurs que d'emplois d'ingénieurs. Un certain nombre de ces ingénieurs informaticien restent sur le carreau ou s'exilent, quand d'autres s'en sortent comme ils le peuvent, bien souvent sous une pression liée au chômage et à son cortège de conditions de travail abrutissantes.

Beaucoup de pays dans le monde sont dans cette situation, souvent ceux qui sont passés par l'expérience du socialisme ou du communisme, là où l’on ne plaisante pas avec l'éducation et où l'expertise technique est perçue comme une inestimable valorisation sociale. À ce titre, l'exemple de la Tunisie est caricatural : beaucoup d'universités de haut niveau héritées d'une dictature socialiste, d'où sortent des bataillons d'informaticiens qualifiés et passionnés, mais pas suffisamment de débouchés intéressants sur le marché du travail local. Le rapport « boulots passionnants » sur « nombre de passionnés » est exécrable. Ces talents et cette réserve d'intelligence sont alors mécaniquement poussés vers l'exil ou la délinquance. La Russie, et plus encore la Chine qui produit un million d'ingénieurs par an, connaissent une situation similaire.

Et force est de reconnaître que ces deux empires, Russe ou Chinois, laissent faire avec une relative bienveillance, pour peu que cette délinquance ne dérange ni son économie nationale, ni celle de leurs alliés. Et tout va plutôt bien tant que ces pirates se contentent d’aller piller des nations rivales. Mais n'avons-nous pas accepté, en France, d'autres formes de délinquance en échange d’une relative paix sociale, voire, de petits services rendus de temps à autre ? La cyber réalité en géopolitique n'est pas si éloignée qu'on ne le pense de notre politique intérieure, et des compromis qu'une nation approuve implicitement derrière le rideau.

Cela donne un angle géopolitique à cette lecture sociale, qu'il est très important de saisir, même si le discours semble issu d'une culture gauchiste de « base ». C'est entre autres sur la prise en compte de cet angle sociologique qu'est né la mouvance du Bug-Bounty qui ambitionnait d’attirer des talents du bon côté de la force. Mais les entreprises comme les administrations n’ont pas vraiment joué le jeu, et ceux qui se sont aventurés dans le Bug Bounty l’ont fait avec timidité, ce qui au final aura engendré pas mal de frustrations du côté des hackers, le marchandage à la baisse du prix d’une faille en amenant beaucoup à se décourager. Bref, comme dirait Macron, ça n'a pas marché !

D’autant que le marché noir des zero days, ces failles inconnues qui peuvent être utilisés pour vous pirater, se porte lui à merveille. Il a fait naître ces dernières années une piraterie organisée, dont le ransomware est la partie la plus visible, sur laquelle les entreprises et les administrations restent évidemment très discrètes.

Prenons également de la distance avec l’image de la criminalité organisée « traditionnelle », celle qui fait souvent les gros titres à Marseille, et qui en dehors du crime n’a pas grand chose à voir avec les cybercriminels. Nous avons à faire, dans la cybercriminalité, à des individus d’un haut niveau technique, qui construisent une véritable petite industrie dont le chiffre d'affaires explose. On parle de plusieurs dizaines de milliards de dollars par an, avec des perspectives estimées à 250 milliards d’ici dix ans. Tous les Gartner et autres E&Y sont unanimes pour leur prédire une très forte croissance dans la décennie à venir.

Mais s’ils peuvent espérer dépasser rapidement le chiffre d’affaires des cartels de drogue, la formation initiale n’a strictement rien à voir. On retrouve du coup des méthodes de travail héritées de l’informatique et des individus qui se structurent efficacement et créent des écosystèmes variés, orchestrant de véritables pôles de compétences : créer et maintenir un ransomware, identifier des failles, mener à bien des attaques, harceler les victimes, les rançonner, puis enfin blanchir les fonds…

C’est une chaîne de valeur complexe qui impose de réfléchir à la structuration du business. On trouve des écosystèmes qui intègrent toutes ces compétences en leur sein ou des écosystèmes faits d’équipes spécialisées, qui mettent en place différentes modalités de partage des revenus. On y expérimente des modèles d’affiliation et de plateformes, le Ransomware As-A-Service est une proposition très créative et pas si différente de ce qu’il s’est passé dans le business du numérique. Quand on parcourt les leaks de Conti, on ne peut s’empêcher penser que certains de ces échanges pourraient être tenus dans n'importe quelle startup en phase de croissance. Leur qualité première : ils sont agiles.

On constate malgré tout que la compréhension de cette criminalité et de son impact est rendue très difficile par le manque absolu de données fiables : un grand nombre d'attaques passent sous les écrans radar des autorités, et les entreprises ne remontent pas systématiquement, loin s'en faut, les incidents à la police.

Ces forces obscures existent et ne sont pas à prendre à la légère sous prétexte qu'elles ne rentrent pas dans le champ de ce qui est généralement désigné par le terme de cyberguerre. Mais à ce jour, et sauf à vouloir faire de l'esbroufe avec des titres « putaclic », ce que nous voyons naître à grande échelle depuis cinq ans est plus comparable aux pirates du XVIIe siècle qu’à une guerre. Des équipages faits d’aventuriers et de brigands, qui naviguent dans le cyberespace, attaquant et pillant les navires marchands que sont les entreprises.

Évidemment cela pourrait dégénérer à tout instant, si certains de ces équipages devenaient des corsaires au service d’une nation. Cette subordination donnerait un avantage stratégique majeur à la Chine et à la Russie, alors que d'autres nations pourraient tenir des seconds rôles, comme la Corée du Nord ou l’Iran. Mais nous n'en sommes pas encore là, et je doute que cette évolution soit, du point de vue des pirates, perçue comme une piste à suivre pour faire un meilleur business ».

Et une entreprise frappée par un ransomware, ça se passe comment pour elle ?

Il faut bien réaliser que du côté des victimes, entreprise ou administration, un ransomware est une crise majeure dont le coût dépasse largement le montant de la rançon. Les pertes liées à l’arrêt de tout ou partie de l’organisation s'avèrent parfois extrêmement lourdes à supporter. Un chiffre révélé par le CESIN fait à lui seul froid dans le dos: une PME sur trois victimes de ransomware coule dans les années qui suivent !

Le scénario est toujours le même. Vous arrivez au boulot un matin et vous découvrez que tous les fichiers d’un système ont été chiffrés, et sont de facto inutilisables. Démarre alors une gestion de crise, plus ou moins complexe à mener, où il convient en principe de mettre en place une interaction constructive entre expertise technique et expertise business. C'est hélas souvent à cause d’un -illectronisme- chronique du côté du business, cumulé avec la fâcheuse habitude pour les dirigeants de considérer l’expertise technique, qu'elle vienne de l’interne ou de l’externe, comme un simple prestataire, que la crise peut virer au cauchemar.

Une entreprise pour qui c'est la première attaque par ransomware peut à l’occasion regretter amèrement de ne pas s’y être préparée en profondeur. Les dommages varient énormément selon le type de victime. En bas de la chaîne alimentaire des pirates, on trouve par exemple de petits sites de eCommerce, eux se voient racketter de quelques milliers d’euros. Cela arrive souvent à l’occasion de vastes campagnes d’attaques car un grand nombre de ces plateformes commerciales présentent des failles de sécurité similaires, et sont faciles à identifier pour les pirates. Souvent, il suffit qu'une mise à jour n'ait pas été faite à temps pour se faire attaquer. La rançon plombera les résultats d’une petite PME, et l’attaque peut aller jusqu’à détruire une réputation si des données sensibles ont été dérobées et sont publiées, ce qui peut arriver si les échanges avec le rançonneur dégénèrent.

Il faut aussi savoir qu’à partir du moment où un gang découvre une faille 0day sur une technologie eCommerce, se met immédiatement en place en place un Sprint informatique. Ce mode de travail en équipe, souvent utilisé dans l’informatique, va identifier en quelques heures toutes les installations souffrant du même point faible et constituer une liste de cibles à attaquer. Dans les jours qui suivent les attaques au ransomware vont se déployer de façon industrielle; des dizaines de milliers de sites sont alors touchés.

Il n'existe pas trente six façons pour s'en sortir. Ou vous disposez d’un backup frais et vous pouvez tenter de tout remettre en place après avoir patché correctement votre système. Si tant est que les pirates n’aient pas exfiltré vos données, vous en serez quitte pour une grosse frayeur et quelques petites pertes de données sans grande importance. Ou bien vous n’avez pas fait correctement vos backups, et dans ce cas il vous faut reconstruire votre système, ce qui peut s’avérer très compliqué et particulièrement coûteux.

Reste bien sûr la solution de payer la rançon pour récupérer ses données. Vous aurez alors à interagir avec une espèce de SAV, qui prend la forme d’un chat hébergé dans le célèbre Dark Ouèbe, où vous recevrez des instructions fracassantes dans un mauvais anglais. Imaginez l'accueil du service après-vente de SFR, mais en mode agressif et hostile…

Ce n'est bien souvent qu'après avoir vécu ce genre d'expérience que les entreprises pensent à faire des backups propres et à patcher dès que nécessaire. C'est l'occasion pour beaucoup de réaliser qu'on peut dépenser jusqu'à 20% de son budget IT en cybersécurité. Mais les rançons demandées restent en général bien en deçà des nécessaires et utiles préconisations budgétaires, et beaucoup de victimes préfèrent souscrire au racket plutôt que de se résoudre à devoir gonfler le budget IT de leur entreprise. Cet équilibre de marché semble de mise pour l’ensemble des victimes de ransomware, petits sites eCommerce ou multinationales du CAC 40 confondus.

Mais la crise s'avère toujours infiniment plus compliquée à gérer avec une attaque portée sur de grosses structures. C’est typiquement le genre de cible visée le groupe Conti dont je vous ai précédemment conté les exploits. Selon l'imparable logique du –avec des Si-, les dégâts seront moindres: Si des backups ont été proprement effectués; Si ces derniers n’ont pas été chiffrés eux aussi (ça arrive); si une exfiltration des données n'a pas été réalisée préalablement à leur chiffrement (c’est souvent le cas), si la porte d'entrée des pirates est connue, si vous parvenez à la refermer avant une seconde intrusion, et si un visiteur ne s'est pas confortablement installé à demeure dans votre système (c’est l’occasion pour les C-level (les cadres supérieurs) de découvrir ce qu'est une APT…).

Il est aussi très important d'identifier précisément le profil de l'agresseur. Les acteurs de la cybersécurité ont parfois des solutions après une attaque, bien que cela relève souvent de la chance. Dans la moitié des cas, on peut remettre le système en place, mais dans l’autre la situation est irrécupérable et l’entreprise se résout à payer. Les rançons réclamées aux très grosses sociétés et autres OIV (opérateurs d'importance vitale) qui se font attaquer par des groupes comme Conti se chiffrent en millions. Mais pour beaucoup d'entreprises, le simple fait d'acheter du bitcoin pour s'acquitter de la rançon est déjà un challenge. Il faut pourtant répondre à la demande des pirates dans les plus courts délais sous peine de voir le montant de la rançon augmenter.

Il existe des entreprises qui aident à gérer la négociation avec les pirates, façon GIGN, mais on entre là dans un territoire totalement opaque. Les fameux leaks de Conti révèlent que non seulement le groupe était en relation avec telle ou telle entreprise, mais qu’il s’offrait les services d’un journaliste pour rendre public l’incident. Une façon bien élégante de mettre une grosse pression sur les épaules des victimes…

En interne, le stress lié à l'attaque se combine généralement au mieux avec le vénérable b….. organisationnel propre aux services. Après le catalogue des –Si-, je peux maintenant vous parler de la liste des -Pourquoi- dont s'étonnent tous les DSI et autres responsables de la sécurité des systèmes de l'information : Pourquoi n'ai-je pas obtenu cette augmentation des budgets réclamée depuis cinq ans; pourquoi la direction financière n'est pas foutue d'apprendre à compter en Bitcoin, pourquoi la direction juridique semble soudain découvrir les contraintes réglementaires du RGPD (Règlement général sur la protection des données); pourquoi le service de communication, si bavard à l'ordinaire, fait maintenant montre d'un inquiétant silence en espérant ne pas avoir à se mêler de tout cela; pourquoi les outils du service marketing et des commerciaux sont-ils tous à l'arrêt… La confusion vire souvent à la panique totale. Dans la plupart des cas, l'entreprise se retrouve coupée du monde car rien n’a été prévu pour assurer un semblant d’activité sans l'aide des services informatiques conventionnels.

Ceux qui finissent par se résoudre à payer ne sont pas pour autant à l'abri d'une catastrophe. Les pirates ne restituent pas toujours en retour la clé de déchiffrement permettant de récupérer les données. A croire qu'il n'y aurait plus un seul voleur honnête dans ce bas-cybermonde… C’est en partie l’un des arguments avancés par l’Anssi (Agence nationale de la sécurité des systèmes d'information) qui n'hésite pas à faire valoir cette évidence pour inciter les victimes à ne pas régler l'addition. Facile à entendre et à comprendre, le conseil est moins évident à suivre lorsque la sauvegarde de sa propre boite et des emplois qui vont avec sont en jeu.

Ceci dit, il est aussi vrai que les choses ne s'arrangent pas toujours quand bien même l'entreprise se plie aux exigences des pirates. Il arrive qu'ils reviennent à la charge en exigeant une seconde rançon en échange de la promesse de ne pas publier les données qu’ils ont exfiltrées. Et ce n’est hélas pas une menace en l’air. Les pirates ont des greniers où ils mettent à disposition les entrailles de toutes leurs victimes qui se comptent par milliers. Des leaks à foison où se nichent des trésors pour qui souhaite, et qui sait y chercher.

Face à la hauteur du risque, il est évident qu'il convient d'anticiper l'attaque en apprenant à se protéger plus efficacement. La gestion de la crise prend souvent des tours et des détours insoupçonnés. Comment imaginer que le fameux RGPD, originellement destiné à protéger le brave citoyen de tous les excès du net, puisse devenir un douloureux moyen de pression et de chantage. Car une fois la fuite avérée, toute organisation sincère doit se conformer au RGPD, à savoir : communiquer publiquement et contacter chaque personne dont les données personnelles auraient fuité ici ou là. Et gare à celui qui ne s'exécute pas en ce sens. Un cauchemar en termes de gestion d’image pour toutes les entreprises, et plus encore dans l'univers du B2C.

Cela peut s’avérer bien pire qu’une simple crise de com' lorsque les données dérobées tombent dans les mains des plus mafieux. Mieux vaut mieux réfléchir aux conséquences, froidement et au calme, bien avant qu'une attaque ne survienne. Or on constate qu'en dépit de l'arrivée massive de ces attaques du troisième type, nombre de « décideurs » ont la fâcheuse tendance à classer en spam mental les demandes d’augmentation budgétaire de leur RSSI

D’un point de vue économique, les ransomwares sont aujourd’hui une vraie nuisance. Mais qui sait si demain cela ne pourrait pas carrément devenir un handicap pour l'économie toute entière. Surtout dans la perspective de fortes turbulences dues à la guerre en Ukraine qui ne manqueront pas d'apparaître dans les mois et les années à venir, avec leur dimension cyber.

Le piratage parfait passe-t-il systématiquement par une demande rançon ?

Pas du tout, c’est même carrément l’opposé! Plus l'attaque est discrète, plus le crime est parfait. Pour rester sur le domaine du cybercrime pur, le jeu consiste à dérober discrètement des tonnes de R&D chez un concurrent pour le doubler sur la ligne d’arrivée des brevets. C'est précisément le genre de menaces qui fait trembler la planète BigPharma.

Avec une seule attaque, persistante tant qu’à faire, on peut avantager un acteur économique majeur et lui permettre de générer des milliards de chiffre d'affaires. C’est un retour sur investissement qui est sans commune mesure avec les plus impressionnantes attaques de ransomware de Black Hat. Dans le genre piratage exceptionnel, on peut aussi regarder du côté de LulzSec et de l'intrusion informatique chez Sony. Si ces attaques n'étaient pas ici vraiment confidentielles, la façon dont LulzSec (lire nos articles sur LulzSec ici) a su faire résonner des communautés en mode pirate autour de ce qui s’apparente à un pillage en règle d’une entreprise désignée à la cyber-vindicte populaire, était franchement fascinante.

En dehors d'actes relevant de l’hacktivisme ou du crime, le piratage le plus efficace reste sans nul doute celui dont vous n’entendrez jamais parler. Mais on s'approche ici de l’espionnage étatique. Pour toucher à la perfection du genre il faut plonger dans les profondeurs des services de renseignement. Les multiples révélations de Snowden à propos de la NSA, ou les révélations de Wikileaks sur les armes de cyberguerre de la CIA, sont autant d'histoires de piratage dont certaines sont simplement sidérantes. Bonne, ou mauvaise nouvelle, les américains ne sont pas, loin s’en faut, les seuls à réaliser de telles prouesses...

3 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée