Journal d'investigation en ligne et d'information‑hacking
par shaman

CyberDawn : Les États-Unis sur le chemin de la Cyber-Guéguerre

Les États-Unis, première puissance mondiale , la première armée du monde, se serait-elle laissée distancer dans la Cyber-Course vers la Cyber-War ? Quand on possède sept flottes de combat positionnées sur tous les océans du monde, que l'on mène une guerre sur quatre terrains d'intervention en même temps, on est peut-être un peu imbu de soi-même. Du coup, il est difficile d'imaginer être distancé militairement par qui que ce soit. Et, il faut bien le dire, on a aussi la tête occupée ailleurs.

Les États-Unis, première puissance mondiale , la première armée du monde, se serait-elle laissée distancer dans la Cyber-Course vers la Cyber-War ?

Quand on possède sept flottes de combat positionnées sur tous les océans du monde, que l'on mène une guerre sur quatre terrains d'intervention en même temps, on est peut-être un peu imbu de soi-même. Du coup, il est difficile d'imaginer être distancé militairement par qui que ce soit. Et, il faut bien le dire, on a aussi la tête occupée ailleurs. Puis, tout d'un coup on se rend compte que nos camarades de jeu semblent investir un nouveau terrain. Un terrain qui nous avait échappé. Presque sans nous prévenir. Ou en tout cas, sans avoir l’élémentaire décence de nous avertir et de nous attendre.

Mais qu'importe. Nous sommes plein de ressources. Nos guerriers sont forts et impitoyables. Et notre doctrine militaire nous met à l'abri des surprises. Depuis plusieurs années maintenant, nous nous sommes adaptés, transformés. Nous avons su nous débarrasser de la lourdeur de la machine étatique. Entreprises de sécurité, mercenaires étrangers, sous-traitance : ils veulent tous faire la guerre, alors pourquoi ne pas les utiliser ? Ils nous apportent la flexibilité nécessaire. Nous garantissent un haut degré d'adaptation.

Cette doctrine semble fonctionner pour les gros canons, alors pourquoi ne fonctionnerait-elle pas pour le CyberSpace ?

Le CSFI aux manettes

Le CSFI ( Cyber Security Forum Initiative) se définit lui même comme une "Non-Profit Organisation" vouée à garantir la cyber-liberté des États-Unis d'Amérique et de ses alliés. Elle compte plus de 5000 professionnels de la sécurité et de la guerre cybernétiques venant du secteur privé, des gouvernements, et du secteur académique.

Début avril, alors que la guerre contre Kadhafi bat son plein, et que l'OTAN effectue plus de 50 missions de bombardement au dessus de la Libye chaque jour, nos amis du CSFI préparent un rapport sur la Libye. Jeffrey Bardin, membre éminent du CSFI, ancien officier de l'US Air force, spécialiste du cyber-espionnage et du cyber-contre-espionnage dirige la rédaction de ce rapport, et s'assure la collaboration gracieuse de nombreux experts du secteur privé et d'entreprises comme Palantir (rapellez vous HBGary) ou Unveillance (spécialisée dans la surveillance des Bot Nets).

Le rapport "Project Cyber Dawn" sera présenté à la Maison Blanche le 26 avril dernier au soir, devant un parterre d'invités triés sur le volet.

 

 

Seront présents Paul De Souza, fondateur et directeur du CSFI, David Simpson, CTO du CSFI et cyber-security strategist pour le Departement Of Defense, ainsi que Roger Kuhn (Science Advisor, Fleet Cyber Command/Commander, 10th Fleet). Le rapport  Cyber Dawn sera enfin rendu public le 26 mai dernier, sur le site web de la société Unveillance. Il est en consultation libre.

De quoi ce rapport parle-t-il ?

Nous vous invitons à le consulter directement pour mieux appréhender le travail du CSFI. En résumé, vous y trouverez :

  • Un historique des investissements libyens dans l'IT, notamment aux États-Unis.
  • Un état des cyber-capacités offensives et défensives du gouvernement libyen.
  • L’état de l'activité Malware sur l'internet libyen.
  • Les possibilités et les risques d'une attaque sur les infrastructure pétrolières (vulnérabilités SCADA).

Tout ceci est fort alléchant sur le papier. Toutefois, la lecture du rapport peut sembler décevante.

Conclure ou ne pas conclure, telle est la question.

Notre article pourrait s’arrêter là. Des cyber mercenaires exposant à la Maison Blanche leur analyse sur la Libye... Un rapport public quelque peu décevant... Des d'acteur privés, prêts à mettre en avant des titres ronflants pour attirer le cyber-chaland et pour faire valoir leur expertise. Rien de bien surprenant.

Mais un grain de sable va venir s’immiscer dans cette machine capitalo-militariste bien huilée et qui avait déjà fait ses preuves avec l'interaction entre la société HBGary et de nombreuses branches gouvernementales américaines.

Un grain de sable qui fait de plus en plus parler de lui par les temps qui courent : le groupe LulzSec.

 

 

Mais qui m'as foutu une cyber-merde pareille  !!!

Suite aux déclaration de Barack Obama, annonçant que les actes de piratage pourraient être dorénavant considérés comme des actes de guerres, le groupe LulzSec déclenche le "Fuck FBI Friday". S'infiltrant dans un site affilié au FBI, le groupe dérobe plus de 180 comptes utilisateurs. Un des ces utilisateurs s’avérera relié à notre histoire. Karim Hijazi, patron de Unveillance, ex-hacker underground, qui a visiblement fait semblant de passer du bon côté de la force, a le malheur (ou l'imprudence) d'utiliser le même password pour ses différents comptes. Le groupe dérobera l'ensemble de ses e-mails et les divulguera au grand public.

Le groupe y associera une déclaration à l'adresse de la presse, qui n'a pas manqué d'éveiller notre curiosité.

"We call upon journalists and other writers to delve through the emails carefully, as we have uncovered  an operation orchestrated by Unveillance and others to control and  assess Libyan cyberspace through malicious means: the U.S. government is funding the CSFI to attack Libya's cyber infrastructure. You will find  the emails of all 23 people involved in the emails."

("Nous appelons les journalistes et autres écrivains à fouiller dans les e-mails avec soin, car nous avons mis à jour une opération orchestrée par Unveillance et d'autres pour contrôler et évaluer le cyberespace libyen par des moyens malicieux : le gouvernement américain finance le CSFI pour attaquer la cyber-infrastructure de la Libye. Vous trouverez les courriels des 23 personnes impliquées dans les mails.")

Qu'est ce qui a bien pu donner de tels soupçons au groupe LulzSec ?

 

Porter la guerre chez l'ennemi

Penchons-nous sur la rhétorique guerrière du CSFI pour planter le décor.

Jeffrey Bardin, un des principaux acteurs du projet Cyber Dawn est très explicite à ce sujet. Sur son compte Twitter il explique :

 

 

Les amateurs de Jason Bourne (l'original) apprécieront le nom du compte Twitter...

Sur le compte de Paul De Souza, impliqué, lui aussi, jusqu'au cyber-cou :

 

Ces cyber-spécialistes sont les têtes pensantes du CSFI, ils ont l'oreille des huiles à Washington. Leurs positionnements ne laissent rien au hasard et sont révélateurs de la dynamique à l’œuvre.

Et leurs actions sont en accord avec leurs prises de positions. Le 7 juin dernier, se tenait à Talinn (Estonie) la troisième "Conférence internationale sur les Cyber conflits". Le CSFI et l'OTAN y organisaient un workshop dont le titre se passe de tout commentaire "Recruiting cyber power workshop" . Paul de Souza a dirigé ce workshop. Et les deux amis de twitter allègrement :

 

 

ou encore

 

 

Les Etats-Unis semblent décidés à passer à l'offensive. Mais ne serait-il pas plus prudent de balayer devant sa porte avant d'aller voir devant celle des autres ?

 

Le Cyber Dawn Leak

Le décor étant maintenant planté, il est temps de cesser de faire durer le suspense et de reprendre notre histoire, là ou nous nous étions arrêtés. Car les mails de Karim Hijazi sont plein de surprises. Ils révèlent notamment que le rapport "Projet Cyber Dawn" a été proposé dans deux versions différentes :

"one version  is the public version with  certain information omitted or blacked out,  the other version will  contain more attribution and it is the version going to federal  agencies, COCOMS White House, etc..." (Une version est publique, certaines informations y ont été omises ou noircies, l'autre contiendra plus de références et sera la version destinée aux agences fédérales, COCOMS, Maison Blanche, etc.).

Et les mails de Hijazi contiennent cette version "privée".

Le 1er mai 2011, quelques jours après la présentation du projet à la Maison Blanche, Paul De Souza, fondateur du CSFI, recontacte la société Unveillance, de Karim Hijazi, pour lui demander quelques précisions. Une information remontée par cette société semble particulièrement l'intéresser. Unveillance a ainsi remarqué que même lors de la coupure de l'internet libyen, certains sous-réseaux semblaient rester actif, particulièrement autour de Tripoli. Et que les machines, appartenant à la LIA (Libyan Investment Authority)  semblaient fortement infestées par le botnet Mariposa.A.

 

 

"How can the mariposa bonet be _ exploited by the command and control _? In your opinion what would be the best way to _ hijack _ their infected machines? We need to give our government an idea of what another nation could do take advantage of this botnet."

(Comment le botnet Mariposa peut-il être exploité par le COCOM? Selon nous, quel serait le meilleur moyen de prendre le contrôle de leurs machines infectées ? Nous devons donner à notre gouvernement une idée de la manière dont une autre nation pourrait profiter de ce botnet).

Le gouvernement des Etats-Unis, connu pour ses actions désintéressées, tiendrait donc à s'assurer que les Chinois ne profitent pas du chaos libyen pour porter préjudice aux internautes libyens ? Possible. Mais peu probable. Le groupe LulzSec semble pencher pour une autre hypothèse. Le FBI a déjà eu maille à partir avec le botnet Mariposa. Et cette rencontre a dû faire frissonner les responsables, leur donner quelques idées pas très catholiques.

Lors de la décapitation du botnet Mariposa, le FBI a eu brièvement le contrôle sur des millions d'ordinateurs individuels de la même façon que les hackers, en violation avec les "federal hacking statutes". Dans le même article, Alex Cox, un chercheur en cyber-securité de NetWitness Corp précise : "“From an intelligence  standpoint, getting control of a botnet in a country an intelligence officer is interested in, would be a pretty good spying opportunity" (Du point de vue de l'officier de renseignement, prendre la main sur un botnet dans un pays serait une fantastique opportunité). Le chercheur précise neamoins qu'il n'as aucune information personnelle temoignant de l'utilisation par les services d'espionnage US de botnets. Ouf, nous voilà rassurés.

Cyber Dawn PUBLIC vs Cyber Dawn PRIVATE

L'analyse du rapport Cyber Dawn, dans sa version destinée aux agences de renseignements est beaucoup plus croustillante que celle destinée au public. Si les difference sont minimes dans le corps du document, les conclusions, elles, sont drastiquement différentes...

Dans le rapport public, on nous sert l’éternelle soupe. Veulent-ils nous convaincre que les dirigeants des Etats-Unis sont des anciens hippies, tous héritier des grandes heures de Woodstock ?

"By encouraging the 'local' neighbors of Libya to assist with updating, we as a country might very well show/indicate that we have confidence in our allies and friends in the region. This would hopefully be a significant move perceived, not only 'locally' within Libya and the Middle East, but around the world".

("En encourageant les voisins locaux de la libye à aider pour à la mise à jour, nous, en tant que pays, pourrions bien montrer  que nous avons confiance en nos alliés et amis dans la région. Cela  pourrait être une action significative perçue, pas seulement localement  en libye et au Moyen-Orient mais dans le monde entier".)

Le rapport interne lui ne s’embarrasse pas de réflexion mondialistes et humanistes :

"Taking over the command and control capabilities of the malicious traffic at any given times provides an opportunity for rerouting this traffic for potential active offensive actions. It also provides a view into the internal information technology weaknesses of Libya  allowing for further exploitation by U.S. Intelligence agencies. This  could be in the form of covert cyber exploitation or in the form of a third party consultancy service providing support to Libya to remediate the issues while establishing in country sensors on the affected devices."

"Prendre le contrôle du trafic malicieux a n'importe quel moment fournit une opportunité pour re-router le trafic à des fins d'actions offensives. Cela fournira aussi une vue sur les faiblesses des technologies internes de communication de la Libye, permettant une utilisation ultérieure par les agences de renseignement U.S. Cela pourrait prendre la forme d’opérations secrètes ou la forme de service de consultation "third-party" fournissant l'aide à la Lybie pour assainir les problèmes tout en établissant dans le pays des capteurs sur les appareils concernés."

Le rapport public affirme :

"Reconstruire leur infrastructure pour répondre à leur nouvelle ère de communication libre, de cette façon tous les plans d'infrastructure et les détails seront connus à l'avance."

Le rapport interne contient quelques suggestions supplementaire, qui ne devaient pas convenir aux spécialistes des "Public Relations" :

"... modifier ces plans ne sera pas un problème tant que les États-Unis seront le principal fournisseurtraitant de leur infrastructure."

 

 

Le rapport "privé" va plus loin :

"For governments - maintain a data base for countries of  interest that collects information about each piece of the critical infrastructure. Info should include locations of HQ, prominent  executives, US offices & key US executives. It would also be  appropriate to maintain a constant picture of the telecommunications  environment to include the market shares of the various mobile phone  manufacturers and services."

("Pour les gouvernements - Maintenir une base de donnée de pays "interressants" qui collecterait chaque elements des infrastructures critiques. Ces informations devraient inclure les quartiers généraux, les cadres de premier plan, les bureaux US et les les principaux dirigeants des États-Unis. Il serait aussi approprié de maintenir une image permanente de l'environnement des telecommunications pour inclure les parts de marché des différents fabricants de téléphone mobile et des services téléphoniques")

Enfin, trois autres conclusions qui n'apparaissaient pas dans le rapport public :

"If possible it would be useful to maintain comparative assessments of media penetration and influence and to tie any cyber planning in with information engagement planning. (Emphasis should be given to Africa, Asia and Latin America.)"

("Si possible, il serait utile de maintenir l'évaluation comparative de la pénétration et l'influence des médias et de lier toute cyber-planification avec les préparations des missions d'informations. (L'accent devrait être porté sur l'Afrique, l'Asie et l'Amérique latine.)")

ou encore :

"The United States has  many connections in the Middle East with which they cooperate with very well. One opinion is to encourage those 'local' connections to take an  active role in assisting Libya (the current version or however it ends  up.. ie. more than one country) in becoming the progressive  country/countries that it's potential implies."

"Les Etats-Unis ont de nombreuses connections au Moyen Orient avec lesquelles ils coopèrent très bien. Un point de vue serait d'encourager ces "connections locales" a prendre un role actif pour aider la libye (ou d'autres pays) à devenir un pays progressiste que son potentiel implique".

Et enfin, l'infiltration du cyberspace libyen fournirait  :

"These opportunities provide the U.S. with positive intelligence for future leverage such as the degradation of target  Internet, communications, and intelligence infrastructure. It could also provide opportunities for manipulation of traffic and traffic content  that could influence and/or undermine activities in Libya and beyond.  Trusted Libyan communication sources are fed misinformation or slightly deceptive information to affect and influence various outcomes by  manipulating regional and cultural biases and perceptions. This provides vertical integration of collection sensors.."

"Ces opportunités fournissent aux U.S. des capacités d'espionnage "positif" à utiliser comme levier dans le futur, comme la dégradation d'internet, des communications, ou une infrastructure de renseignements. Elles pourront aussi fournir des opportunitées de manipulation de traffic, et du contenu, qui pourraient influencer ou saper les activité en Libye et au delà. Les sources lybienne de confiance sont alimentées de désinformation ou d'informations légerement trompeuses pour affecter et influencer differents resultats en manipulant les perceptions et biais regionnaux et culturels. "

LulzSec a peut-être été un peu rapide dans ses conclusions. Rien ne permet de dire que le gouvernement américain s'est saisi de ce rapport et l'a mis en application.

Pour autant, il a existé, a été réalisé par des gens qui ont pignon sur rue dans le secteur de la sécurité informatique et a été présenté au plus haut niveau au gouvernement.

Il reste des pépites dans ce rapport, que nous traiterons dans d'autres articles. Stay tuned...

 

 

 

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée