http://www.knowckers.org/content/view/218/1/ Focus de Knowckers : la guerre électronique n’aura pas lieu
Appréciation des utilisateurs: / 12FaibleMeilleur 04-12-2006
La presse s’intéresse particulièrement, ces derniers mois, à une menace
émergente et polymorphe : à grand renfort de maximes de Sun Tzu, la guerre
électronique y est décrite tantôt comme une alternative non violente aux
opérations militaires, tantôt comme un prolongement de l’action terroriste
traditionnelle, et tantôt comme un nouveau moyen de conduite de la guerre
économique. Face à la confusion régnant autour de ces définitions,
l’équipe de Knowckers.org tente un décryptage du phénomène.
La difficulté dans la compréhension de la guerre électronique réside
principalement dans l’incertitude sur la nature de l’agression elle-même.
Des questions aussi fondamentales que « qui m’agresse ? » ou « s’agit-il
d’un acte de guerre ? » deviennent particulièrement difficiles car,
contrairement aux conflits militaires classiques, y répondre relève d’un
véritable défi technique qu’il n’est pas toujours possible de relever.
Nous allons voir comment, sous l’étiquette « guerre électronique », sont
trop souvent classés des actes de piratage dont le seul point commun est
l’incertitude quant à leur origine et leur objectif.
TERRITORIALITE. Il devient évident, avec la généralisation d’Internet, que
la notion de territoire, qui était prépondérante dans les guerres
classiques, s’estompe complètement. Une attaque informatique ne nécessite
aucune présence physique particulière, et peut donc être conduite
indifféremment d’un pays ou d’un autre sans que ce dernier soit réellement
impliqué dans l’attaque. Il suffit à cet effet de relayer l’attaque à
travers des réseaux de proxies ou de machines compromises. C’est, par
exemple, la question posée par la très médiatisée « opération Titan Rain »
(pour rappel, il s’agit du nom donné à une opération de piratage massif en
provenance de Chine ciblant des réseaux d’entreprises du Commonwealth, et
qui a duré près d’un an) : comment lever l’incertitude sur l’implication
du gouvernement chinois ? Comment établir la nationalité réelle des
agresseurs, et comment prouver qu’ils prenaient bien leurs ordres d’une
agence étatique ? Et cette opération est-elle réellement liée – comme cela
a été évoqué par la presse – aux récentes tentatives de piratage dont ont
été victimes des parlementaires anglais ? Par analogie, considérons les
flux de spam sur la planète : en bout de chaîne, ils proviennent en grande
majorité des Etats-Unis ; mais en amont, ils sont relayés par des réseaux
de machines de particuliers infectées par des virus (ou « réseaux zombies
»), qui prennent leurs ordres depuis des serveurs en majorité hébergés à
Taiwan ; serveurs eux-mêmes contrôlés par des individus de diverses
nationalités (américaine, russe, ukrainienne, israélienne…) aux
motivations particulièrement hétérogènes (contrefaçon pharmaceutique,
escroqueries, phishing…). Il devient ainsi clair, au regard de ces
incertitudes, qu’il n’est plus possible d’analyser ces phénomènes sous
l’angle de la territorialité. Pire encore, en matière d’hacktivisme, on
constate que les attaques échappent totalement au contrôle des états d’où
elles émanent : les défacements massifs et répétés de sites web par des
groupes de pirates aux revendications politiques – notamment dans le monde
arabe et au Proche Orient, pendant l’affaire des caricatures de Mahomet,
et en réaction aux politiques du Vatican et d’Israël – ne peuvent être ni
jugulés, ni dirigées par les autorités locales qui se révèlent totalement
dépassées par les évènements.
ACTE DE GUERRE. Le concept d’acte de guerre, relativement simple à
appréhender dans le domaine militaire classique (espionnage, sabotage,
frappe militaire…), devient en revanche extrêmement problématique
lorsqu’il est transposé au domaine électronique. Prenons l’exemple de
l’attaque récente des fournisseurs d’accès à Internet du Kirghizstan qui a
coupé le pays du monde pendant plusieurs heures : s’agit-il, comme
certains journaux l’affirment, d’une opération menée par les services
secrets afin de stopper la propagande pro-démocratique, ou bien
d’ingérence d’un état extérieur dans le but de soutenir le pouvoir en
place ? Penchons-nous également sur l’attaque qu’ont subit pendant
plusieurs heures les serveurs DNS racine en 2002 : cette tentative, qui
aurait pu rendre hors service Internet dans son ensemble, et qui a été
conduite depuis plusieurs milliers de machines piratées servant de caisse
de résonnance réparties dans de nombreux pays, a-t-elle été commanditée et
relève-t-elle d’un agenda politique, ou est-elle le fruit d’un individu ou
d’un groupe isolé en quête de gloire ? Considérons enfin le piratage
récent des serveurs de la société Swift par la CIA ; ici encore, la
question se pose de savoir s’il s’agit, comme le prétend l’administration
Bush, d’une question opportuniste de politique intérieure – lutter contre
le terrorisme – ou d’un acte de guerre dirigé contre l’Europe permettant
de capter un trésor inestimable d’informations financières confidentielles
; la question n’étant toujours pas tranchée par les européens. Et on le
voit à travers ces exemples, ce n’est pourtant pas faute de se poser les
bonnes questions : mais de fait, il est souvent impossible de trancher
entre acte de guerre et opportunisme non commandité.
MOYENS OPERATIONNELS. Les opérations électroniques de grande ampleur
requièrent la présence simultanée de compétences informatiques très
pointues, d’une organisation parfaitement rôdée et d’outils évolués. Des
analogies avec les forces armées classiques sautent aux yeux : d’une part,
la spécialisation des individus en fonction des besoins des opérations ;
d’autre part, la nécessité d’externaliser l’élaboration des armes et des
technologies. En effet, à l’instar du marché de la défense, il existe dans
la sphère électronique un véritable réseau de sous-traitance technologique
souterrain et de mercenariat, permettant de couvrir les différents besoins
liés à la conduite des opérations électroniques : la conception des virus
et chevaux de Troie est prise en charge par des développeurs en freelance
qui proposent leurs services moyennant rémunération, voire par des
sociétés spécialisées – souvenons-nous de l’affaire Haephrati, ce couple
de concepteurs de chevaux de Troie, qui avait fait trembler les plus
grandes entreprises israéliennes ; la logistique est assurée par des
spécialistes qui offrent à la location pour quelques dizaines de dollars
des armées de machines piratées et pilotées par des virus, permettant de
relayer et d’amplifier les attaques – l’an dernier, la police néerlandaise
a démantelé un réseau d’un million et demi de ces machines ; les failles
de sécurité, équivalent électronique des armes à feu, font l’objet d’un
commerce particulièrement actif : des sociétés et agences gouvernementales
rémunèrent en effet des chercheurs afin d’identifier des vulnérabilités
inédites dans des composants logiciels ou réseaux, s’assurant ainsi
l’exclusivité de la connaissance des moyens de leur exploitation. On
trouve même à la vente des kits d’identité complets, incluant état civil,
numéro de sécurité sociale et de cartes de crédit, permettant de s’assurer
une couverture optimale. Autant de moyens techniques dont on ne peut pas
dire qu’ils soient difficiles à réunir, puisque leurs détenteurs
s’affichent en toute impunité sur des forums hébergés en Europe de l’Est,
aux Etats-Unis ou parfois même en Iran. C’est ce qui alimente l’hypothèse
très accrocheuse d’un « cyber-terrorisme » : on voyait mal, jusqu’ici, des
terroristes se convertir aux nouvelles technologies et développer une
expertise en informatique sans être financés et équipés par des états ;
mais aujourd’hui, le marché de la cybercriminalité se professionnalisant,
il devient extrêmement simple de réunir ces moyens d’attaque à moindre
coût pour monter une opération terroriste.
RENTABILITE. C’est peut-être le facteur le plus critique dont dépend à
long terme la viabilité de la guerre électronique – le facteur qui rend
aujourd’hui si peu probable un « cyber-jihad » global. La rentabilité
d’une attaque électronique est extrêmement faible, non seulement en termes
de pertes humaines, mais aussi en termes d’impact psychologique sur les
populations : une telle attaque, à elle seule, est très peu susceptible de
provoquer une terreur comparable à un attentat classique. D’ailleurs, le
récent appel d’Al-Qaeda – se succédant à de nombreux autres – appelant les
djihadistes à l’attaque des réseaux bancaires américains sonne faux par
bien des aspects : si les attaques de déni de service peuvent
occasionnellement fonctionner lorsqu’elles se concentrent sur des cibles
uniques, en revanche la dispersion des sites ciblés et l’absence de
coordination logistique centrale laisse prévoir un très faible « retour
sur investissement » de cet appel. De plus, les banques sont parmi les
rares organisations capables de repousser de telles attaques et de
préserver leur activité économique. De nombreux conflits dans le monde
offrent d’autres exemples frappants : en Palestine et en Israël, des
pirates des deux camps s’attaquent aux systèmes d’information
gouvernementaux de l’adversaire, défigurent leurs sites web et tentent de
perturber leurs télécommunications ; c’est également le cas entre l’Inde
et le Pakistan où aux incidents frontaliers s’ajoutent des opérations de
piratage de réseaux gouvernementaux parfois très sensibles. Mais, malgré
le fait qu’au moins deux des états mentionnés aient déjà intégré dans
leurs doctrines militaires la guerre électronique, force est de constater
que ces opérations n’ont jamais à elles été seules décisives, n’ont jamais
réussi à donner l’avantage à l’un des deux côtés sans qu’il soit fait
appel à la force militaire classique. Même dans la sphère économique, la
spectaculaire attaque informatique contre la bourse de Moscou en début
d’année a eu des répercussions mineures, puisque l’intrusion fut détectée
et les systèmes réparés en à peine une heure. Ainsi, si la fameuse maxime
« vaincre sans combattre » reste un objectif stratégique séduisant et loué
par l’opinion publique, en revanche gagner une guerre à coups de virus
informatiques relève du domaine de la science-fiction.
REACTION A L’AGRESSION. Dès lors que l’on ne sait ni qui nous agresse, ni
dans quel but, il devient impossible d’adopter une attitude cohérente face
à l’agresseur : les clients du couple Haephrati n’ont jamais été inquiétés
; l’opération Titan Rain a été classée sans suite, côté anglo-saxon ;
l’affaire de l’interception des transactions financières Swift n’a
entraîné qu’une vague protestation de l’Union Européenne. Ces réactions
hasardeuses témoignent d’un manque de préparation chronique des autorités
face à ce type d’attaques : personne n’est en mesure d’obtenir une vision
claire de ce qui fait l’essence même de la conduite de la guerre, à savoir
la configuration du champ de bataille. C’est d’ailleurs l’aveu du
Department of Homeland Security américain, qui déclarait à l’issue de
l’exercice Cyberstorm que le principal échec de cette simulation de crise
informatique était précisément l’incapacité totale des organisations
publiques et privées à coordonner leurs diagnostics pour obtenir une image
claire des évènements à l’échelle nationale – les tentatives d’intrusion
successives de l’exercice ayant été perçues comme des incidents isolés et
non corrélés.
En résumé, la guerre électronique se caractérise donc par une absence de
territorialité, une ambiguïté chronique sur la notion d’acte de guerre,
une efficacité opérationnelle discutable lorsqu’elle n’est pas complétée
par d’autres formes de guerre, et une impossibilité à être appréhendée à
un niveau stratégique. Dans ces conditions, on ne peut considérer ce
phénomène que comme une succession d’opérations ponctuelles, qui n’ont
aucunement vocation à se substituer aux autres formes de guerre
(militaire, économique, terrorisme…) mais bien plutôt de leur apporter un
soutien. C’est peut-être la guerre de l’information, et par extension la
guerre économique, qui seuls peuvent apporter un véritable sens à la
notion de « guerre électronique ».
Pierre Caron
Références :
http://www.infosecnews.org/pipermail/isn/2006-November/013931.html
http://www.zone-h.org/content/view/14391/30/
http://www.zataz.com/news/12729/Decouverte-de-la-Centrale-d_enregistr...
http://www.zone-h.org/content/view/14369/30/
http://feeds.feedburner.com/~r/DanchoDanchevOnSecurityAndNewMedia/~3/...
http://news.com.com/2061-10789_3-6131302.html?part=rss&tag=6131302&su...
http://www.zataz.com/news/12749/Des-pirates-informatiques-modifient-l...
http://www.scmagazine.com/uk/news/article/539631/russian-stock-exchange
http://www.sigint.fr/news/affrontements/approches-et-exercices-sur-la...
Approches et exercices sur la guerre électronique
La guerre électronique reste un sujet très à la mode, qui fait couler
beaucoup d’encre et qui alimente les rumeurs les plus folles ; et de fait,
les gouvernements de la plupart des pays développés se penchent sur la
question. Ainsi, les Etats-Unis ont conduit cette année l’exercice
Cyberstorm, qui avait pour objectif de simuler des attaques informatiques
à grande échelle, impactant aussi bien des administrations publiques que
des entreprises privées aux activités stratégiques. La France mène
régulièrement, elle aussi, un tel exercice, avec une approche légèrement
différente de la problématique.
Cyberstorm, exercice mené du 6 au 10 février 2006 par le Department of
Homeland Security (DHS), est une simulation unique en son genre : plus de
100 organisations publiques et privées dans 5 pays ont été mobilisées pour
l’occasion autour d’un exercice de crise informatique originale. L’enjeu
de cet exercice était de juguler une série d’attaques informatiques
multi-cibles, perpétrées par plusieurs organisations et groupes de
pirates, et possédant un niveau de compétence et de virulence variées – le
spectre des attaques s’échelonnant de l’employé mécontent aux groupes
activistes anti-mondialisation. Parmi les attaques perpétrées, on peut
nommer notamment la diffusion de virus ciblés, l’utilisation de bombes
logiques, la défiguration de sites web, etc. L’un des aspects les plus
novateurs de cette gestion de crise était la simulation d’attaques par
l’information – dans le but de saper la confiance de l’opinion publique
dans les autorités – et la définition de stratégies de communication
appropriées pour s’assurer la maîtrise de l’information diffusée au grand
public.
Le gouvernement français a également procédé à un tel exercice en 2005,
sous le nom de PIRANET. Cet exercice interministériel a toutefois été
conduit sur un périmètre plus restreint, puisque seules des organisations
publiques y ont pris part. L’objectif principal de cet exercice était de
simuler une crise informatique impactant les réseaux informatiques de
l’Etat et de former les services concerner à appliquer les plans relatifs
à la sécurité « à l’état de réflexe ». Cet exercice s’inscrit dans le
cadre du Plan de Renforcement de la Sécurité des Systèmes d’Information de
l’Etat, établi en mars 2004, et destiné à coordonner au niveau national
les actions de sécurisation des systèmes dans le cadre de la
dématérialisation des administrations.
Contrairement à l’exercice PIRANET, qui est placé sous le sceau du
confidentiel-défense, le DHS a choisi de communiquer un maximum sur les
résultats de Cyberstorm ; l’une des difficultés majeures rencontrées par
les protagonistes de la crise était de corréler en temps réel les attaques
subies par chaque acteur afin d’obtenir une vision claire des menaces
rencontrées. En France, les banques s’intéressent de près à ces
simulations, et réfléchissent à l’opportunité d’organiser de tels
exercices. Il est tout de même quelques peu dommage de constater que la
France, contrairement aux Etats-Unis, n’ait pas profité de cette occasion
pour promouvoir la sécurité informatique auprès des entreprises (ce qui
est pourtant fait dans d'autres domaines, des banques ayant notamment
participé à titre d'observateur à des exercices de crise de pandémie
grippale), dont le statut privé ne diminue en rien l’impact que pourrait
avoir un brusque arrêt de leur activité : on imagine aisément les effets
sur l’économie nationale d’un brusque arrêt des transactions bancaires ou
d’une panne de courant généralisée.
