Journal d'investigation en ligne
par Antoine Champagne - kitetoa

La cyberguerre : plus facile d’en parler que de la définir

Contrairement à ce que l'on peut lire, la cyberguerre, personne ne l'a vue et c'est tant mieux.

Elle va, elle vient, au gré des événements géopolitiques, surnage ici dans un article de presse, s’étale dans un autre, universitaire : la cyberguerre est partout. Mais d’où vient-elle ? Qui est-elle ? Le sujet est bien plus complexe qu’il n’y paraît. Tentons une définition… (spoiler, on n’y arrivera pas)

Rare photo du fameux Keyser Söze des Internets - Geek Meme Industries, Inc
Vous lisez un article réservé aux abonnés.

Science-fiction ? Réalité ? Nous avions posé la question à Fabrice Epelboin : la cyberguerre existe-t-elle ? . En fait, qui désire retracer les origines de la cyberguerre doit remonter le temps et revisiter la grande époque de l’espionnage, en pleine guerre froide. Novembre 1989, l’année se termine avec l’impensable : le mur de Berlin tombe. Avec lui, s’écroule un système sociétal qui a marqué le siècle : le communisme. Le bloc de l’Est qui s’est opposé violemment avec le camp occidental pendant près de soixante-douze ans va peu à peu s’effriter et se transformer. On connaît la suite de l’histoire qui culmine étrangement ces jours-ci avec la guerre déclenchée par la Russie en Ukraine.

Nous revoici donc à l’époque où les États-Unis et l’URSS s’échangeaient des espions sur des ponts, en Allemagne, au petit matin, dans la brume… Pour contrer l’URSS, les États-Unis disposent alors d’une foultitude d’agences, d’espions en tous genres. C’est ce que l’on appelle là-bas « la communauté du renseignement ». Comme l’indiquait en septembre 2009, le directeur du renseignement national Dennis Blair, les seize agences de l' « Intelligence Community » profitent d'un budget annuel de 75 milliards de dollars et emploient quelque 200.000 personnes dans le monde, y compris des entreprises privées. Si l’on considère le secteur privé qui travaille d’une manière ou d’une autre pour lesdites agences, les chiffres explosent littéralement : en 2010 le nombre de personnes disposant d’une accréditation « top secret » était alors estimée à près d’un million et demi de personnes...

Alors quand s’écroule le bloc de l’Est, cette « communauté du renseignement », ou plutôt ses patrons, ont soudain des sueurs froides. Comment justifier les milliards de dollars de budget annuel sans l’ennemi historique, le grand diable rouge, l’affreux péril bolchevique ? Un peu comme l’armée qui fait tourner des camions en rond pour dépenser le budget essence annuel, afin d’éviter une baisse dudit budget l’année suivante, la communauté du renseignement américaine va essayer de se trouver un nouvel ennemi, de préférence aussi dangereux, méritant un tel budget de fonctionnement.

La première idée qui vient à l’esprit des patrons de la communauté du renseignement est de diaboliser le personnage du hacker. Internet s’installe. Le film Hackers vient de sortir. War Games fait déjà partie depuis plusieurs années de l’imaginaire américain. Ouf, sauvés. Sur le papier, ça se présente bien. Un gamin solitaire, peut-être au service de puissances étrangères pourrait, depuis la cave de ses parents, mettre à mal les réseaux informatiques du gouvernement ou déclencher la troisième guerre mondiale en faisant décoller un missile nucléaire… Pas si simple. Très vite, tout le monde comprend que ça ne tient pas la route. Nous sommes bien loin de la réalité sordide du KGB ou de la menace réelle des bombes nucléaires de Moscou. Dans l’esprit des Américains, le hacker reste un gamin un peu asocial, rivé à son écran dans la pénombre, avalant des pizzas et ingérant des litres de Dr. Pepper ou de Coca. Alors, de là à redouter l'apocalypse...

Incoming : Pearl Harbor

Il faut donc affiner l’idée. Apparaît soudain dans la presse américaine le concept de « cyber Pearl Harbor » poussé par les militaires et les espions. Ils s’attendent, disent-ils, à une attaque massive paralysant les réseaux américains. L’idée commence à s’affiner. Mais cela reste un peu virtuel. Il faut encore préciser le concept. Vient alors l’idée d’une attaque sur les « infrastructures essentielles » du pays. Là, l’américain moyen commence à mieux comprendre : c’est à la distribution d’eau, d’électricité ou de pétrole que le nouvel ennemi va s’en prendre. Mais qui est-il, ce mystérieux ennemi qui se cache dans les réseaux informatiques ? C’est là que les gros cerveaux de la communauté du renseignement vont avoir l’idée ultime : reboucler sur le fameux ennemi rouge. Dans les faits, ils n’est plus vraiment rouge, mais ça, tout le monde s’en fiche. On voit alors apparaître dans la presse l’ombre terrifiante du fameux hacker russe, parfois nord-coréen, souvent chinois. Ils sont décrits comme particulièrement puissants, soutenus par leurs pays respectifs, et donc, bénéficiant de moyens faramineux. Voilà donc l’ennemi qui justifiera du besoin des budgets monumentaux. Parce qu’en s’appuyant sur ces hackers russes, chinois ou nord-coréens, selon les besoins de communication du moment, la communauté du renseignement va pousser son dernier pion : la cyberguerre. Ne fait-on pas la guerre sur terre, dans le ciel, sur la mer ? Pourquoi ne pourrait-on pas faire la guerre dans les réseaux informatiques, dans « l’espace cyber » ? Bingo ! Là, ça marche. Et tellement bien, que la plupart des grandes armées vont intégrer le cyber dans leurs stratégies, dans les espaces de bataille prévus en cas de conflit

On tient les acteurs, quel est le scénario ?

Quelque part à la fin du siècle dernier, lassé par les titres alarmistes de la presse américaine, j’inventais une phrase synthétisant mon agacement : « la cyberguerre, ça fait des cyber-morts ». Une manière de rappeler qu’un serveur détruit, des millions de dollars de manque à gagner pour une entreprise resteront toujours des faits moins graves que les conséquences d’une véritable guerre, avec son cortège de morts, de blessés, de veuves et d’orphelins, de corps calcinés et éventrés.

Soyons clairs, on peut tuer avec des ordinateurs et des réseaux. Notamment en perturbant un pacemaker, une pompe à insuline ou en prenant la main sur une voiture bardée d'électronique. Mais pas en masse comme lors d’un véritable conflit. Pas encore en tout cas et c’est heureux.

A quoi peut donc ressembler cette cyberguerre décrite et imposée par les têtes pensantes et fumantes de la communauté du renseignement américaine ? Et pourquoi l’écosystème de la sécurité informatique, a-t-il tant à gagner de l’établissement d’un sentiment de peur d’incertitude et de doute ? Une seule chose est sûre, dans l'absolu, personne n'est parvenu à définir cet ultime et nouveau péril avec précision.

Prenons le dernier conflit en date, l’Ukraine attaquée par Moscou. Ne nous avait-on pas bassiné pendant des années sur la (cyber) puissance de frappe des Russes ? Les hackers, liés aux services de renseignement, à l’armée, financés par un oligarque ou un autre, soutenus par Vladimir Poutine en personne, avaient les moyens de détruire l’économie occidentale. N’avions nous pas lu des articles catastrophistes sur les ransomwares ? Ne sont-ils pas quasiment tous opérés depuis le territoire russe ? Avec la bénédiction de Moscou tant que les groupes de ransomwares ne s’attaquent pas à des entreprises russes ? Ce qu’ils ne font en effet jamais. On pouvait s’attendre à une concrétisation de la cyberguerre dont on nous annonce l’imminence depuis plus de vingt ans maintenant. On allait voir ce que l’on allait voir et surtout, on pourrait en venir à se féliciter d'avoir dépensé tant d’argent pour se protéger de ces terrifiantes cyberattaques.

Il faut dire que l’OTAN dispose depuis mai 2008 d’un « Centre d'excellence pour la cyberdéfense en coopération ». La mise en place de ce centre est le résultat de ce qui a été décrit comme la première cyberguerre d’ampleur. Une attaque contre l’Estonie. C’est dire si l’on était prêts à faire face. Pour la petite histoire, il ne s’agissait absolument pas d’une cyber-guerre mais d’un simple DDoS (on vous explique plus bas de quoi il s’agit).

Que s’est-il passé en Ukraine sur le plan de la cyberguerre ? Pas grand-chose, finalement.

Essayons de voir concrètement à quoi pourrait ressembler une cyberguerre ou plutôt, une cyberattaque.

Le matériel et les réseaux…

Le côté sympa qui a été apporté à l’informatique par Internet, c’est la mise en réseau de « tout ça ». Tous les ordinateurs sont connectés les uns aux autres par ce « réseau de réseaux ». Tout est donc virtuellement « atteignable ».

On peut donc s’en prendre, si l’on se place dans la peau d’un cyber-attaquant, aux réseaux et aux ordinateurs.

Sur le papier, il est donc possible d'imaginer une cyber-attaque ou une cyberguerre qui aurait pour objectif de rendre inopérant des serveurs dont les tâches sont essentielles pour la bonne marche du pays ou de l’armée que l’on attaque par ailleurs avec des armes traditionnelles.

Il faudrait donc détruire ou paralyser, soit les réseaux qui véhiculent les informations, soit les serveurs qui les traitent.

Détruire ou paralyser un réseau est un peu aléatoire en termes de résultats. Pour le détruire véritablement, il faudrait physiquement le mettre à mal. Soit par des bombardements, soit en allant couper des câbles. Compliqué, bruyant et très visible. On s'éloigne déjà de la belle histoire d'une cyberguerre fomentée dans un bunker ou déclenchée depuis le garage de papa et maman. On peut néanmoins, avec un peu de préparation, paralyser ou déstabiliser un réseau pendant un temps, avec un peu de préparation. Par exemple, dans les années 90, un groupe de hackers avait découvert une faille dans le protocole de communication BGP, utilisé pour « router » les données sur le réseau. En très vulgarisé, ce protocole aide vos requêtes à trouver le chemin du serveur auquel vous voulez vous connecter. Il permet à des opérateurs et des fournisseurs d'accès à Internet d’échanger des routes. Bref… Ce groupe de hackers avait donc trouvé une faille qui permettait de faire écrouler le réseau d’un fournisseur d’accès à Internet en quelques heures via ce protocole. Prudents, ils ont donc enfermé l’arme numérique au fond d’un cyber-tiroir et ils ont jeté la clef au fond d’un cyber-puits. Quelques mois plus tard, on a pu lire dans la presse qu’un chercheur en cybersécurité avait découvert un bug qui permettait, via BGB, d’écrouler un réseau. Il avait prévenu les CERT et toutes les entités concernées avaient appliqué des mises à jour pendant quelques semaines pour que leurs systèmes de soient plus susceptibles d’être mis à mal. Cette « réparation » s’était faite dans le plus grand secret avant que la faille ne soit finalement rendue publique par l’expert qui l’avait découverte, lorsque tout risque avait été écarté. Deux méthodes différentes de gestion de la crise...

Tweet de \@Bortzmeyer il y a quelques années
Tweet de \@Bortzmeyer il y a quelques années

Mais même avec ce type de failles, le réseau Internet est résilient. Les données vont généralement toujours trouver une autre voie pour atteindre leur but. C’est un peu la raison d’être initiale et capitale de ce réseau.

Une autre option consiste donc à s’en prendre aux machines, aux serveurs. La manière la plus médiatisée consiste à réaliser un déni de service distribué ou DDoS. L’idée est de reproduire une manifestation. Si 1000 personnes se pressent à l’entrée d’un magasin qui ne peut en accueillir que 500, plus personne ne peut accéder à l’intérieur. Il en va de même avec un serveur Web. S’il est configuré pour répondre à 500 visiteurs en simultané, les suivants auront l’impression que le serveur ne fonctionne plus. Il suffit donc d’utiliser des milliers de machines piratées sur Internet et de leur demander de lancer des milliers de requêtes sur un même serveur en même temps. Cela ne dure généralement pas très longtemps et cela ne marche même plus sur certains serveurs qui sont protégés contre ces attaques. On est donc à des milliers d’années lumières d’une cyberguerre, n’en déplaise à certains journalistes et responsables de la communauté du renseignement qui ont longtemps tenté de nous vendre les DDoS comme des cyber-attaques alors qu’il s’agit, au mieux, d’une cyber-nuisance temporaire.

Dans la catégorie des blocages d’infrastructures, l’affaire Viasat est intéressante. Alors que débute l’invasion de l’Ukraine le 24 février, la société Viasat qui fournit un accès à Internet via satellite est victime d’une attaque un peu particulière. Viasat est utilisée par les autorités ukrainiennes et tout le monde conclut un peu vite qu’il s’agit d’une cyber-attaque russe pour compliquer les communications ukrainiennes.

Certains journalistes pensent alors que les satellites ont été piratés alors qu’en fait, l’attaque visait les modems, l’équivalent des box des fournisseurs d’accès classiques. Selon les premières constatations, les attaquants ont poussé une version logicielle vérolée lors d’une mise à jour, ce qui permis de détruire de nombreux appareils. Si l’attaque visait l’Ukraine, c’est un semi-échec. D’une part, la chaîne de commandement n’a pas été affectée, d’autre part, l’attaque a rapidement débordé puisque de nombreux utilisateurs dans d’autres pays ont été touchés. En France par exemple mais aussi dans plusieurs pays européens.

De cette affaire, il faut tirer trois enseignements.

Le premier est que l’attribution d’une cyber-attaque, c’est compliqué et même, périlleux. Alors que tout le monde pointait l’index vers le Kremlin fin février, chacun explique aujourd’hui, les patrons de Viasat en tête, qu'il est bien trop tôt pour désigner la Russie .

Le deuxième, est que la cyberguerre, ne peut être circonscrite à une zone précise. Elle va fatalement déborder et même, probablement, revenir dans la gueule de ceux qui ont lancé les premières attaques. Si leurs armes numériques marchent contre certaines machines ennemies, elles vont aussi (souvent) marcher contre les leurs. Par exemple, Stuxnet, une arme numérique probablement dessinée par les États-Unis et Israël et qui visait probablement à ralentir le programme nucléaire iranien a fini par infecter des usines chez des alliés des États-Unis.

Troisième enseignement, une cyber-attaque, cela prend beaucoup de temps à préparer pour avoir une véritable efficacité. Et même bien préparée, elle aura des effets réduits (l’attaque contre Viasat n’a pas brisé la chaîne de commandement ukrainienne). Et une cyber-attaque seule, c’est une cyber-attaque qui fait pshiiit. Pour être véritablement efficace, la cyberguerre, doit probablement être un mélange de beaucoup de choses. 

Eh ! Tu oublies les SCADA !

C’est bien beau de dire que les cyberattaques font pshiiit, mais il y a des exemples frappants, vont nous rétorquer les experts du domaine. Ne perdons pas de vue que la plupart de ces experts, qu’ils soient militaires, journalistes, salariés de sociétés de sécurité informatiques, ont quasiment tous un intérêt à dramatiser les effets possibles de la cyberguerre. Les militaires parce qu’ils ont un poste qui n’existe que par la magie de la dangerosité supposée de la cyberguerre, les journalistes parce que c’est un sujet vendeur, qu’ils sont reconnus par leur rédaction en chef (qui n'y comprend rien) comme experts sur ce sujet et que cela leur donne du travail. Le cas des sociétés de sécurité informatique est un peu particulier. Habituées du F.U.D. depuis toujours, celles-ci ont tout intérêt à faire trembler les militaires les plus aguerris à l’idée que tous leurs beaux jouets (comprendre leurs armements) vont cesser de fonctionner avant même le début du combat, désactivés à distance par l’ennemi. Si l’on arrive à faire croire que dans un monde totalement dépendant de l’infrastructure informatique, tout est vérolé et peut être détruit à distance (ce qui n’est pas complètement faux…) alors les entreprises pouvant sécuriser « tout cela » seront reines.

[BOX]

La drôle d’histoire des hackers et des jets américains

Au cours d’un débat en 2020 sur la cyberguerre, un militaire français explique sans rire que l’armée américaine a demandé à des hackers d’un niveau moyen (merci pour eux) de tenter leur chance sur un avion de chasse. Paf ! Ça n’a pas loupé, ils ont pris, dit-il le contrôle de l’avion. Imaginez… Oui, imaginez si des pirates peuvent contrôler un jet !

Vu sous cet angle, ça fout la trouille. En réalité, s’il s’agit bien de cet épisode, l’histoire est un peu moins vendeuse. En 2019, le Washington Post raconte un hackaton qui a eu lieu pendant Defcon. Les hackers ont trouvé des tonnes de vulnérabilités dans un « Trusted Aircraft Information Program Download Station » (TADS). Mais ils l’avaient physiquement sous la main (ça aide beaucoup). Il ne s’agit pas d’une prise de contrôle à distance de l’avion. Les fameux hackers « assez moyens » qui ont réalisé cet audit font en fait partie de Synack, une société américaine de sécurité informatique ayant pignon sur rue et plutôt bien cotée dans le monde de la sécurité.

[/BOX]

Revenons à nos exemples de cyber-attaque (ça ne fait toujours pas une cyberguerre) réussies. Il y a bien Stuxnet et quelques autres blagues concernant des Scada qui peuvent faire réfléchir.

Les Scada sont des systèmes informatiques qui permettent d’administrer des systèmes industriels. Des machines dans des usines, des systèmes de ventilation, de chauffage, de domotique. Bref, ces systèmes sont généralement de facture assez ancienne, utilisant des versions complètement périmées de logiciels parfois grand public. Ils sont des nids à failles. Ici aussi il faudrait constituer une sorte de « réserve » de Scada vulnérables, les pirater, se maintenir ad vitam æternam dedans et, le jour du déclenchement d’une cyberguerre, les planter tous en même temps. Compliqué.

L’information, l’autre terrain d’affrontements

Une chose est sûre, Internet a donné un coup de fouet à la guerre de l’information. Elle n’est évidemment pas née avec le réseau des réseaux. Prenons un exemple un peu simple : depuis des lustres, la CIA est active dans la promotion des intérêts des États-Unis au travers du cinéma. Au registre des frappes chirurgicales (de l’information), on peut relever l’affaire des couveuses au Koweït ou celle de Colin Powell brandissant une fiole contenant de la poudre blanche au Conseil de sécurité des Nations Unies. Plus loin dans le temps, les Alliés avaient déployé des trésors d’inventivité pour leurrer l’Allemagne sur le lieu du débarquement. Avant de parler de guerre de l’information, on parlait souvent de « guerre psychologique ». Les temps changent, les moyens et les contenus évoluent, mais le but reste le même, créer le chaos chez l’ennemi.

Bien entendu, Internet, comme pour le reste, a permis de donner un coup d’accélérateur. Une information sera diffusée à bien plus de monde et bien plus rapidement aujourd’hui via les réseaux sociaux et une bonne opération d’astroturfing.

Une bonne guerre de l’information permet d’affaiblir les opinion publiques. Le soutien de la Russie au délire des QAnons, à des mouvements aussi opposés les uns aux autres que Black Lives Matter et les Proud Boys montre que le but recherché est de créer l’affrontement et de cliver les populations. Le soutien financier de la Russie à divers mouvements d’extrême-droite en Europe ces dernières années participe du même objectif.

Comme pour les attaques contre des infrastructures informatiques, la guerre de l’information se prépare bien en amont du déclenchement des hostilités mais elle fait appel à des compétences très différentes. Dans l’absolu, elle ne devrait pas être confiée à des idéologues ni à des agences de communication (comme dans l’affaire des couveuses du Koweït).

Si une opération de guerre de l’information peut affaiblir la détermination de la population dans le camp ennemi, elle ne permet pas de remporter de victoire sur le terrain.

Allez, on casse tout avec des ordinateurs

Détruire le système capitaliste, à l’échelle de la planète, avec des ordinateurs ? C’est possible ? Oui, probablement. Mais cela demande une telle infrastructure que cela n’arrivera probablement pas. L’auteur de ces lignes avait publié un manuel, en ce sens, un roman, au début des années 2000.

Manipuler l’information, pirater des systèmes d’information, détruire la confiance, la matière première des institutions financières, créer des armes numériques, tout cela est possible.

Mais mettre en place les moyens nécessaires à une cyberguerre réussie et efficace demande un certain nombre de talents que ne possèdent pas les responsables militaires en place. Encore moins les politiques qui leur donnent les ordres d’agir. Sans quoi, on aurait déjà vu la cyberguerre que l’on nous annonce depuis une vingtaine d’année. Dans les faits, il ne s'agit pour l’instant que quelques cyberattaques éparses et plus ou moins pénalisantes.

Il faudrait penser global et non plus attaques ciblées. Il faudrait des moyens techniques et d’infrastructure immenses. Il faudrait des équipes très importantes et comme on ne pourrait pas recruter que des militaires sachant respecter le secret, cela se saurait rapidement, minant un peu l’effet de surprise.

Créer quelques cyber-nuisance est toujours possible et les pays se sont « armés » au fil des ans pour être prêts à le faire. Mais tout cela est « temporaire ». Les serveurs sont rétablis, reviennent en ligne après un DDoS, les backups sont rétablis lorsque les données ont été effacées… Existe-t-il un exemple d’un seul réseau électrique à l'échelle d'un pays, un seul opérateur téléphonique dont l'infrastructure (forcément vitale, hein...) a été définitivement détruit par des cyber-terroristes ou des cyber-combattants... Une centrale nucléaire qui a explosé après le piratage de haut vol des « pirates chinois » ou nord-coréens peut-être ? Non. Bien sûr, il n’est pas impossible d’imaginer une attaque cyber plus globale, qui ne se contente pas de quelques attaques en mode cyber-nuisances. Mais c’est peu probable.

A quoi doit ressembler une cyber-armée ?

Pourquoi tant de « pessimisme » ? Parce que les experts qui devraient constituer une cyber-armée digne de ce nom et pouvant déclencher une cyberguerre d’envergure, il n’y en a pas des masses et les réunir dans un but commun, cela serait compliqué.

Au début des Internets, plusieurs équipes de hackers se sont formées en agglomérant des compétences variées. Parce que pour bien trouer un système, il est utile d’avoir sous la main un expert réseau, un expert logiciel, un expert en social engineering, un expert en lockpicking, un expert en téléphonie, on en passe. Pour préparer une cyberguerre digne de ce nom, il faudrait donc agréger des multitudes de compétences. Cette cyber-armée serait forcément pléthorique et il est souvent difficile de faire travailler ensemble, des personnes aussi différentes, parfois solitaires, n’ayant pas forcément un sens patriotique très développé ou l’envie d’aller s’égarer à nouveau dans les délire post 11 septembre 2001. Les États-Unis avaient, après le choc des attentats, réussi à s’allier les compétences de personnes particulièrement douées et pas forcément vouées à développer des outils pour les militaires ou les services de renseignement. En tout cas, pas à voir leurs outils détournés par la suite comme l’ont montré les documents révélés par Edward Snowden. Le droit à la vie privée est un principe communément partagé dans ce milieu, les experts en sécurité informatique sachant trop bien quels sont les risques lorsque les données personnelles ne sont pas protégées. Il est donc peu probable que ces personnes se fassent embarquer à nouveau, tant il a dû être difficile pour certain de surmonter le choc de constater ce qui avait été fait de leur travail. En outre, les experts en sécurité informatique ont généralement plutôt envie de réparer que de détruire.

Bien sûr, il est toujours possible de former des « armées » de techniciens dévoués à la cause. Reste le problème du chasseur qui brûle la forêt…

Lorsque vous déclenchez une cyberguerre, il y a des chances pour que vous engendriez une réponse. De nombreux États ont désormais des capacités offensives (comprendre des moyens de lancer des cyber-attaques variées). A ce stade on se retrouve un peu dans la position du chasseur qui a cramé la forêt : il n’y a plus de gibier, qui est bien grillé, mais du coup, on ne pourra plus venir chasser pendant très longtemps. De fait, il est certainement bien plus intéressant de s’enterrer dans les réseaux des adversaires et d’en extraire de l’information que de détruire les serveurs et se priver d’une source très intéressante et utile pour mener une vraie guerre sur le terrain…

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée