Cyberdéfense et cyberterrorisme

Quand on parle de la cyberdéfense et de ses enjeux, les profanes aiment penser qu’il y a suffisamment de problèmes dans le monde réel, pour qu’on ait en plus à se préoccuper du virtuel. Sauf que celle-ci dépasse largement le cadre du “cyberespace” et peut avoir des conséquences colossales sur le monde réel. Loin de la science-fiction, la menace grandit d’année en année.

Il y a quelques mois, la Commission des Affaires Etrangères, de la Défense et des Forces Armées délivrait au Sénat un rapport sur la cyberdéfense. Le rapporteur, M. Jean-Marie Bockel, sénateur du Haut-Rhin, y décrit une situation problématique en France et la nécessité de faire un effort en la matière.

Ce premier article travaille à éclaircir la notion de cyberdéfense ainsi que les champs annexes qu’elle recoupe. Les deux autres articles à venir consisteront en une analyse des plus grandes cyberattaques de l’Histoire et en un état des lieux de la situation française, se basant notamment sur le rapport de M. Bockel et en se référant à d’autres pays.La révolution numérique a fait naître un nouvel objectif de protection nationale : la cyberdéfense. Alors que certains Etats, comme la Chine ou les Etats-Unis, travaillent à développer des outils puissants depuis maintenant plusieurs années, qu’en est-il de la France ? Faut-il prendre cette menace “invisible” au sérieux ?
Le “white hat” Barnaby Jack, vidant un distributeur de ses billets à distance, sous le regard médusé de la foule à Las Vegas

Cyber-attaque, Cyber-terrorisme : de quoi s’agit-il ?

“Action in cyberspace will form part of the future battlefield”
Nick Harvey, UK armed force minister (2011)

**Les racines du Mal

Pour bien comprendre les enjeux de la cyberdéfense, il est impératif de remonter aux origines de ses problématiques.

Le nœud du problème : l’omniprésence des circuits intégrés alliée à l’interconnectivité des appareils. A l’époque des ordinateurs fixes en réseau local, le cyberterrorisme n’était qu’une douce plaisanterie. Le seul moyen de faire des dégâts était d’installer un programme malveillant avec un support matériel (disquette, CD…) et de posséder les codes d’administrateur réseau pour le diffuser sur tous les postes. De même, les ressources gouvernementales, d’entreprise ou personnelles gérées par des systèmes informatiques étaient faibles.

Mais tout cela a changé. Les systèmes informatiques sont maintenant partout : dans nos maisons, nos poches, nos voitures… et même pour certains dans nos organes (exemple : le cœur ).
Ils gèrent des ressources cruciales pour nos sociétés : des données financières, des informations personnelles, des processus de production dans les usines… et peuvent vous atteindre même si vous n’êtes pas directement concerné ( cf. l’affaire PSN ).
l’immense majorité des systèmes informatiques sont interconnectés via internet, ouvrant la possibilité “d’incursions” hostiles.

Tout cela est assez bien résumé dans le Livre blanc sur la Défense et la Sécurité Nationale de 2008.

« Les moyens d’information et de communication sont devenus les systèmes nerveux de nos sociétés, sans lesquels elles ne peuvent plus fonctionner.”

**Une tentative de définition

La notion de cyberattaque recouvre des réalités extrêmement hétéroclites. A tel point que donner une définition précise de celle-ci relève de l’impossible. On se contentera de dire que c’est une action malveillante perpétrée à l’encontre d’un système informatique à partir d’un autre. Elle peut être le fruit d’une ou plusieurs personnes, ou d’une institution et vise généralement des cibles d’importance stratégiques pour la victime. On peut distinguer trois catégories d’auteurs de ces attaques : les Etats, les groupes “hacktivistes” (Anonymous…) et les individus isolés.

Autre question brûlante autour de la définition de la cyberattaque, doit-on la considérer comme du terrorisme ou comme un acte de guerre ?
Plusieurs Etats ont fait des demandes allant dans ce sens. On citera notamment l’Estonie en 2007. Ce fut aussi la requête de l’Iran en 2011 après le piratage des systèmes informatiques de ses centrales nucléaires (rappel sur l’attaque).

A l’heure actuelle, l’OTAN ne considère pas les cyberattaques comme telles et la Charte des Nations unies demeure vierge de tout amendement y faisant référence. L’article V du traité nord-atlantique (traitant de la défense collective) n’est pas applicable en cas de cyberattaque.

Mais cela ne saurait durer. Ces organisations travaillent à combler le vide juridique et stratégique.

**Une menace protéiforme

La difficulté à se protéger des cyberattaques réside en grande partie dans le nombre de formes quasi-infini qu’elles peuvent prendre. La créativité des hackers n’a pas de limites, et les systèmes de protection doivent sans cesse être repensés. De même, les objectifs stratégiques des attaques sont diverses. Dans la typologie suivante, j’essaye de recouper à la fois forme et fin (technique) des attaques.

-* Les attaques DOS (Denial Of Service). Les plus basiques et simples à mettre en place. Ce type d’offensive est apparu dans les années 80. Elle a pour but de rendre un service inaccessible aux utilisateurs. Elle consiste le plus souvent à inonder sous les requêtes un service en ligne (serveur interne, vente, boîte mail, agence gouvernementale) via une cellule individuelle afin de le faire crasher. Une version plus sophistiquée est apparue à l’aube des années 2000 : le DDOS (Distributed DOS). C’est exactement le même principe, sauf que l’auteur de l’attaque emploie des ressources externes pour amplifier la force de cette dernière. La plupart du temps, des ordinateurs “zombies” contrôlés à distance à l’insu de leur propriétaire.
Ce sont de loin les plus répandues, et elles peuvent avoir des conséquences dévastatrices. A titre d’exemple, en Février 2000 le hacker mafiaboy a mis hors service successivement Yahoo, Amazon, Buy.com, CNN.com, Ebay et d’autres. Yahoo et Amazon ont annoncé respectivement 500 000 et 600 000$ de pertes. Michael Calce, alias Mafiaboy, fut condamné à 8 mois de détention dans un centre pour jeunes (il était alors âgé de 15 ans au moment des faits!).

-* Les logiciels espions et intrusions de système, avec pour cible des renseignements protégés appartenant à un tiers. Si les gouvernements et les entreprises s’emploient à garder férocement leurs données, c’est qu’elle peuvent avoir une valeur stratégique ou économique déterminante. Des personnes extérieures, souvent des gouvernements ou des cellules de hackers, vont chercher à obtenir ces précieuses informations en pénétrant dans un système via une faille de sécurité ou en utilisant un logiciel espion (spyware). Ces derniers sont très difficiles à détecter une fois installés. Ils rassemblent des informations sur le possesseur de l’ordinateur à son insu et les envoient au hacker. Dans les entreprises ou les administrations où toutes les machines sont interconnectées, l’infection d’une seule entité peut conduire à l’ouverture de tout le système au hacker. Ils sont plus connus du grand public sous les formes de “Trojan” (cheval de troie), “adware” et “tracking cookie” qui sont à visée économique à petite échelle.

-* Virus malveillants et sabotage. Alors que les attaques DOS requièrent peu de compétences et visent un service, certaines “attaques” sont plus sophistiquées et vise à saboter voire détruire un système informatique. Ca peut peut être aussi bien le matériel ennemi (cf. USA cyber attacks in Afganistan ) que des objectifs trop éloignés ou dangereux pour mener une opération physique (cf. Les plus grandes cyber attaques de l’histoire dans un article à venir).

Quand même beaucoup moins sexy que dans Matrix

**Pourquoi les cyber-terroristes bénéficient-ils d’une telle immunité ?

On a rarement vu des hackers se faire traîner en justice, alors même que les zones d’ombre juridiques sont de plus en plus réduites. Cette impunité prend sa source dans une des principales caractéristiques d’internet : on peut assez facilement dissimuler son identité. Les moyens d’être anonyme sont divers et variés.
On citera notamment le proxy, raccourci pour “proxy server”. C’est tout simplement un serveur intermédiaire répondant aux requêtes de l’utilisateur. On utilise presque systématiquement ce type d’intermédiaire quand on surfe sur le net, sans le savoir. Mais les “anonymous proxy” ont pour particularité de cacher toutes les informations utilisateurs, notamment l’adresse IP ([plus d’info sur les proxies).

Et ce n’est qu’un moyen parmi d’autres (VPN…), et un des plus simples, de masquer son identité sur le net. Même si aucun vecteur d’anonymat n’est infaillible, le génie et la créativité déployés par certains hackers pour passer inaperçus font froid dans le dos.

Cet anonymat est à double tranchant. D’un côté il permet de contourner la censure dans des pays comme la Chine, autorisant alors une certaine liberté d’expression. Il permet aussi d’éviter le “data mining”, la collecte des informations personnelles des utilisateurs par des entreprises. Mais d’un autre côté, il dépénalise de facto les délits sur le web, que ce soit la pedo-pornographie ou les cyberattaques.