Opération Aurora post mortem

end of the worldPeut-être vous souvenez vous de l’opération Aurora. Fin 2009, Google rendait partiellement publique une attaque menée contre ses infrastructures et celles de grosses sociétés américaines en Chine. Presque deux années après le début de cette cyber-escarmouche un peu plus appuyée que les précédentes, on apprend, cette fois de sources chinoises que les preuves numériques fournies par les spécialistes américains ne seraient pas en mesure de l’incriminer. Ça joue à la cyber guéguerre, ça se renvoi la cyber baballe, et tout le monde s’en cyber contrefiche parce que personne n’y cyber capte rien. Un article daté d’aujourd’hui fait état du manque total de stratégie des USA face aux attaques « peut-être chinoises ». Mais du point de vue américain, notez que le « peut-être » n’existe pas. Ce manque de stratégie est décrié par Richard Clarke, l’une des têtes pensantes de la défense américaine, dans le Wall Street Journal. On y apprend que les USA mènent une défense proactive, comprenez offensive, mais que les autorités ont en revanche du mal se prémunir des attaques externes. Comme pour le Vietnam, les américains ne semblent pas vraiment équipés pour une cyberguérilla. Par contre pour la cyberguerre…

L’opération Aurora

En ciblant des outils de gestion de configuration logicielle, l’opération Aurora aurait permis, théoriquement, à l’assaillant, d’être en mesure modifier les sources de solutions très largement utilisées dans le monde entier, comme le service de messagerie Gmail, de Google. Les différentes attaques qui composent l’opération Aurora, comme ses cibles, ont apporté leur lot de nouveautés… certes. Mais peut-on cependant parler d’un acte de cyber guerre ?  Quels sont les mécanismes d’attaque qui ont si vivement fait réagir les autorités américaines ? Que cachaient ces attaques ? Les experts ont beau se pencher sur ce dossier, il n’en ressort finalement pas grand chose de probant. La question n’est jamais pourquoi… mais toujours comment. Les autorités chinoises continuent de réfuter les accusations américaines pointant du doigt une responsabilité de Pekin. Pekin se disant lui même victime d’attaques par innoculations massives de chevaux de Troie dont un gros pourcentage trouveraient leurs « puppetmasters » aux USA. Des câbles diplomatiques révélés par Wikileaks semblent pourtant bien confirmer l’implication de Pékin dans l’opération Aurora.

cyberwar button

Les quelques ingrédients de la matrice

Les États-Unis, d’abord par la voix de Google ont crié à l’acte de cyberguerre, rien que ça. Qu’a t-il bien pu se passer, pour que Google, qui n’est pas réputé pour être frappé par le même syndrome que Sony, en vienne à une réaction si vive, qu’il décida même de réorienter le trafic chinois vers Google.hk, qui contrairement à Google.cn ne subissait pas les cyber coupes du système institutionnalisé de censure chinois ? Deux ans après, si Richard Clarke raconte au Wall Street Journal que «Pékin vole des téraoctets de données aux États-Unis» et  que les USA ont une doctrine offensive en matière de cyber conflits, on peut se douter que l’Opération Aurora n’y est pas franchement pour rien.

  • Le 12 janvier 2010, Google annonce via son blog, que ses sytèmes et ceux d’une vingtaine de poids lourds américains sont victimes, depuis plusieurs mois, d’une vague d’attaque particulièrement élaborée. Parmi ces entreprises, on compte des géants de la finance, de la Chine et des nouvelles technologies. Le gouvernement chinois, pointé du doigt, dément toute implication.
  • Pendant longtemps, plus rien … du moins de visible.
  • Puis, Stuxnet fait son apparition sur les radars des traqueurs de malwares. On ne comprend pas trop au début, son code est extrêmement complexe, il embarque pas moins de 4 mécanismes d’exploitation de 0day… beaucoup trop pour une lolerie. Quand on s’en rendra compte, on soupçonnera qu’il est l’oeuvre d’un État, voir le fruit d’une collaboration entre plusieurs états.  On commence seulement à comprendre sa cible le jour où les autorités iraniennes font état d’une attaque sur leurs infrastructures nucléaires, plus particulièrement sur les centrifugeuses de la centrale nucléaire de Natanz dont les capacités en production d’Uranium enrichi ont de quoi faire craindre le développement d’un programme nucléaire militaire. Stuxnet aurait pour fonction de cibler la vitesse de rotation des centrifugeuses de ce type d’équipements SCADA. La sophistication de l’attaque, les moyens qu’elle implique, là encore, laissent planer le doute. On soupçonne naturellement un travail d’origine militaire. On ne saura pas non plus si l’attaque a réussi ou échoué puisqu’on ne connait pas l’objectif : une destruction physique ? Retarder le programme nucléaire iranien ?
  • Le cablegate de Wikileaks fait presque figure de trêve tant Stuxnet et l’opération Aurora ont été perçus comme des actes d’une violence inouïe et inédite à l’encontre d’états. Pourtant, Wikileaks aura bien un impact sur la cyber défense des nations, nous y reviendrons.
  • Tout récemment, c’est encore la Chine qui est soupçonnée d’attaques sur RSA/SecureID par la presse américaine. Les attaques visaient des grandes entreprises américaines du secteur de la défense. Lockheed Martin, un géant de l’armement, finira par avouer qu’il faisait partie du lot. Les intrus auraient exploité une brèche dans RSA pour obtenir un accès au système d’information de Lockheed. L’information sera confirmée au New York Time. Dans Wired c’est Kevin Poulsen qui rapporte que L-3 Communications serait lui aussi activement visé par l’attaque. L-3 est un acteur majeur des communications militaires américaines, elle est en charge du C3ISR (command-and-control, communications, intelligence, surveillance and reconnaissance) du Pentagon des agences de renseignement US. Bref on pouvait difficilement mieux cibler l’attaque pour crisper l’administration américaine.

La pilule bleue ou la pilule rouge ?

Les évènements que nous venons de retracer ne sont de prime abord pas franchement liés. Mais un petit détail a de quoi inquiéter. A votre avis, qu’est-ce qui a réellement changé entre notre époque et celle de la guerre froide ? Combien d’actes au moins aussi importants que ceux qui ont été révélés au grand public. Même si ça fait quelques années que les sociétés sérieuses n’arguent pas que les attaques dont elles ont été victimes ne ciblaient que des « serveurs de test », on est en droit de se demander combien passent sous silence des intrusions très sérieuses dans des systèmes sensibles. Si les attaques que nous avons évoqué plus haut ne sont que l’arbre qui cache la forêt, alors oui, il va peut-être falloir commencer à parler de digital warfare un peu plus appuyé… mais pouvons nous, à ce stade, parler de cyber guerre ? Une guerre contre qui ? Qui fait combien de morts ?

T’inquiètes coco, on est français, on fait du DPI, on est sauvés

Quand on scrute un peu les brochures commerciales des entreprises françaises en pointe dans les technologies de Deep Packet Inspection, l’argument qui revient souvent, c’est celui de la sécurité des réseaux. Le Deep Packet Inspection permettrait de se prémunir d’attaques par la reconnaissance de protocoles. Si ceci peut s’avérer vrai pour des attaques virales « à la papa », nous pouvons émettre de sérieux doutes sur l’efficacité de ces équipements face à des attaques plus sérieuses, totalement distribuées et cachées dans du trafic légitime chiffré.

La nature du réseau Internet fait que nul état n’est sérieusement préparé aux attaques d’aujourd’hui. Et en dehors du « kill switch », aussi crétine semble cette solution, il faut bien admettre qu’aucune autre n’est en mesure de contrer les nations en pointes en offensif. Ceci pose un vrai problème. Si éteindre les systèmes les plus sensibles quand une attaque, pour peu qu’on parvienne à la détecter, s’avère la seule solution, c’est bien que nous avons un sérieux problème. Nous parlions plus haut d’une guerre froide ? La « cyber guerre » ne serait elle pas une nouvelle forme de guerre froide, l’atome en moins ? Une course à l’offensif, puisqu’il n’existe pas de bouclier pour se défendre. Pendant longtemps, la position officielle des autorités françaises était que nous n’avions pas de doctrine offensive sur les réseaux. Il faut pourtant se rendre à l’évidence, nous n’avons pas le choix. Comme pour le nucléaire, la dissuasion ne peut passer que par le développement d’une doctrine offensive forte. Et tant que nous n’aurons pas assisté à de réels actes d’agression conduisant à des pertes mesurables, nous ne saurons pas évaluer l’urgence d’un eg8 plus sérieux que celui qu’on nous a servi cette année mais dont la France pourra au moins se targuer d’être à l’origine… malgré son ridicule contenu affiché.

Aux USA, ce qu’on appelle du bout des lèvres des cyberguerriers, relève du fait de sociétés militaires privées, leurs noms sont bien connus, peut-être prendrons nous un jour le temps de vous dresser un petit panorama de ces acteurs de l’offensif, ils sont bien réels.

 

Twitter Facebook Google Plus email


16 thoughts on “Opération Aurora post mortem”

  1. Pour information, un général israëlien, à la retraite, revendique la paternité du ver stuxnet. (http://www.google.fr/search?q=stuxnet+g%C3%A9n%C3%A9ral+israelien+a+la+retraite).

    Je ne sais pas si l’information vous a échappée ou bien si vous classez quelque part entre désinformation et bruit de fond.

    Petite devinette en passant: les stress test sur les centrales nucléaires françaises incluent-elles la possibilité d’une attaque sur les équipements SCADA?

    La réponse est facile, mais un peu flippante.

  2. « peut-être prendrons nous un jour le temps de vous dresser un petit panorama de ces acteurs de l’offensif, ils sont bien réels. »

    Je suis plutôt intéressé par ce genre d’info, surtout en France

  3. Il y a quand même de grosses différences avec la guerre froide.
    Premièrement, quand on est attaqué, on ne sait pas forcément par qui… Ce qui pose quand même des problèmes pour riposter… Ceci pourrait donc invalider le principe de « j’en ai une plus grosse que toi donc tu ne m’attaques pas » !!!
    D’autre part, les attaques peuvent avoir tout une gamme de puissance différente alors qu’un bombe H était directement très puissant.
    Enfin, les cibles principales ne sont plus uniquement les états mais bien les entreprises privées ou publiques. On change donc beaucoup de paradigme. Par exemple si quelqu’un attaque Google en France, c’est la France ou les états unis qui sont attaqués, ou aucun des deux ou les deux ?

    Tout devient très compliqué de par l’anonymat et la multitude d’interconnexions…

  4. Cher Loic.

    Si je peux me permettre, tu te trompes sur la nature de la guerre froide. La guerre froide n’est pas une avant-guerre, ni une après-guerre, c’est bel et bien une guerre (mondiale), mais menée de toutes les manière non-conventionnelles possibles. Autrement dit : on se fait tout le mal possible l’un à l’autre, mais sans jamais nous affronter en face-à-face « à l’ancienne » sur le champ de bataille (car nous avons désormais trop d’armement nucléaire pour survivre à son utilisation).

    Les deux empires ouvraient cinquante fronts différents (espionnage, diplomatie, désinformation, propagande, guerillas et contre-guerillas, colonialismes et contre-colonialismes, course aux armements, etc) pour ne pas avoir à ouvrir LE front. Ce qui n’empêcha pas le monde entier de souffrir de la présence de cette guerre bouillante invisible. La guerre froide n’était pas « froide » (l’Extrême-Orient en sait quelque chose) : elle était simplement officieuse.

    En cela, le parallèle entre la cyberwar et la guerre froide est tout à fait justifié. Il s’agit bien d’une guerre officieuse, avec un axe central « Washington vs Pékin » et une myriade d’autres axes, constituant un front à la fois permanent, mouvant, et qui va crescendo.

  5. Par ailleurs, ces gros benêts d’américains ont besoin d’ennemis clairement définis (ou ils font bien semblant, pour les Mmes Michu devant leurs télés.
    Après les « bolcheviks », ils ont désigné les chinois pour la menace générale et notamment économique, et « al quaïda » contre le terrorisme (c’est tellement pratique, al quaida… tout le monde et personne, ici et nulle part…)

    The show must go on

  6. « Les intrus auraient exploité une brèche dans RSA […] »
    Ce ne serait pas plutôt une brèche dans l’application du RSA?
    Parce que le RSA n’est qu’un algorithme, une suite de calcul qui est à sens unique pour autant que l’on remplisse certaines conditions (choix des nombres premiers, taille des clés, autorité de certification, etc.)

  7. Sur le coup du RSA SecureID, je n’etais pas au courant.
    Par contre si on regarde toujours du cote des fails sur SCADA: http://www.forexyard.com/en/news/EXCLUSIVE-China-software-bug-makes-infrastructure-vulnerable-2011-06-17T010903Z-US il semble que les outils de gestion d’infrastructure (SunWay pour le power grid) soient aussi definient comme contenant des failles.
    Avant de couper l’internet, on peu toujours couper l’electricite…

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *