Cyber-guerre : le génie a t-il jamais été dans sa bouteille ?
Depuis quelques semaines cyber-armes, « chevaux de Troie », vers et virus informatiques s’invitent sur les couvertures de la presse internationale. La récente controverse qui entoure l’identité des créateurs de Stuxnet et Duqu semble parfaitement synchronisée avec la découverte de Flame, l’outil de cyber espionnage le plus complet découvert jusqu’à présent si l’on en croit l’analyse fort médiatisée du laboratoire russe Kaspersky à l’origine de sa découverte. Mais l’engouement journalistique qui entoure ces percées technologiques ne doit pas faire oublier les enjeux sécuritaires que pose l’adoption de stratégies cyber offensives par les grandes puissances numériques.
En tant que programme malicieux, Flame est un ensemble modulaire massif pouvant s’adonner à de nombreuses activités d’espionnage, de l’activation des microphones à la détection des appareils Bluetooth à proximité, en passant par des captures d’écran lorsque des applications jugées intéressantes sont utilisées. A travers un réseau de serveurs qui empêche les experts en sécurité de remonter jusqu’à eux, les maîtres de Flame peuvent accéder aux informations privées des centaines d’ordinateurs qu’ils ont infiltrés, et adapter leur programme en fonction de l’intérêt de chaque machine.
Moins sophistiqué que ses cousins Duqu et Stuxnet (outils de sabotage plus que d’espionnage), Flame interroge cependant par le choix de ses proies. Si les précédents programmes ciblaient explicitement le dispositif nucléaire iranien, bien que leur code leur permette de se répandre sur le web, Flame ne partage pas cette spécialisation et s’est étendu à de nombreux pays, dont Israël, usual suspect dans les affaires de cyber-guerre. Ce kit d’espionnage a ainsi été retrouvé dans les machines d’universités et de personnels civils, ce qui interroge quant aux motivations de son manipulateur. En effet, Flame ne se réplique pas spontanément (et pour cela ne peut être qualifié de virus) mais doit être dirigé vers le système à infecter par son maître, qui peut par la suite effacer toute trace de l’infection s’il juge les premières informations qui lui sont transmises peu intéressantes.
Ainsi, si Flame a bien été développé par un gouvernement, et la récente connexion établie entre ce maliciel et Stuxnet semble corroborer cette théorie, la réelle préoccupation des médias devrait peut être se déplacer vers le fait qu’aucun cadre juridique international n’existe pour réguler l’emploi des cyber-armes dont certaines sont apparemment déployées pour s’en prendre à des infrastructures civiles. Le développement et l’emploi de cyber-armes par des acteurs étatiques pose d’innombrables questions, dont celle, pour commencer, de sa qualification juridique. En particulier, la tendance consistant à prendre pour cible les populations et infrastructures civiles, si elle se confirmait, serait d’autant plus préoccupante qu’elle ouvrirait une brèche et risquerait d’affaiblir la sécurité générale de la sphère numérique.
Dans cette terra incognita que constitue encore internet pour la majorité des politiques, le droit international n’a pas encore trouvé les outils pour comprendre et éventuellement limiter le fait de guerre dans le réseau des réseaux.
Un excellent article de Stephanie Meulenbelt rappelle que les cyber-armes ont été décrites comme l’avancée militaire la plus importante de ces dernières décennies, que certains n’hésitent pas à comparer avec l’avènement de la technologie nucléaire. Contrairement à cette dernière, il n’existe même pas de définition légale du concept de cyber-attaque et des réponses que le DIP autorise éventuellement en retour. Face à la posture offensive qu’affichent les Etats Unis, peut-être serait il judicieux de comprendre, dans un premier temps, si une cyber-attaque peut être qualifiée d’attaque armée, ou même d’usage de la force, auquel cas l’Article 2 de la Charte des Nations Unies pourrait s’appliquer, notamment regardant le principe de non intervention. Or l’auteur rappelle que si les attaques numériques tombaient un jour sous le coup de cet Article, alors sa violation (qui est de nos jours monnaie courante) « crée la possibilité d’invoquer l’auto-défense sous le coup de l’article 51 » de la même Charte.
Quoi qu’il en soit, la définition de règles d’engagement pour les cyber-opérations semble nécessaire pour qu’une distinction devienne possible entre cyber guerre et cyber crime. Par-delà les tensions bien connues entre Israël, les Etats Unis et l’Iran, des cyber-armes à visée plus large que Duqu et Stuxnet, comme Flame, pourraient alors provoquer des crises majeures, et ce dans des configurations moins bilatérales.
Cette hypothèse nous amène à notre seconde question qui regarde la potentialité d’une cyber-guerre dont les conséquences seraient, au bas mot, dévastatrices. Logiquement, le potentiel de nuisance d’une cyber-attaque est directement corrélé au niveau de pénétration informatique dans le pays cible. Les conséquences de l’attaque de 2007 sur l’Estonie, ou eStonie comme s’amusaient à l’appeler les observateurs du monde numérique, ont été extrêmement handicapantes pour le pays le plus connecté d’Europe. Les premières cibles ont été les sites gouvernementaux mais c’est la paralysie des banques, des réseaux de communication et même des numéros d’urgence qui a causé le plus de dégâts dans l’Etat balte. Ce sont les populations qui ont subi de plein fouet ce nouveau type d’offensive.
L’arrivée de la guerre dans le champ numérique crée un potentiel de dommages collatéraux énormes si les infrastructures telles que les hôpitaux, les systèmes électriques ou les transports en commun sont pris pour cible. Une fois de plus, notons que, bien qu’il ne soit pas destructeur, Flame a majoritairement touché des universités et des particuliers. Si les Etats continuent à employer ce type d’approche offensive non-sélective contre les réseaux, le paradigme de la guerre pourrait se trouver remis en question devant l’institutionnalisation des cibles civiles comme objectifs principaux, alors qu’elles ne sont jusqu’à maintenant que des dommages collatéraux infligés dans le cadre d’opérations plus vastes. Certains doutent de la réalité de cette hypothèse et parient sur une évolution des attaques vers l’action ciblée et strictement militaire mais l’installation par Google d’une alerte pour les utilisateurs dont l’entreprise soupçonne qu’ils sont victimes d’une attaque d’origine étatique semble indiquer qu’il en va autrement.
Enfin, un troisième attribut perturbant de la cyber-guerre est sa propension à se retourner contre ses utilisateurs (rejoignant en cela certaines armes chimiques ou, surtout, bactériologiques). Si les Etats peuvent manufacturer des programmes malicieux d’une excellente qualité, il est extrêmement difficile de contrôler une infection informatique une fois qu’elle est sortie du laboratoire. Pour Stuxnet par exemple, bien que le ver ne cible en théorie que les ordinateurs contrôlant les moteurs des centrifugeuses iraniennes, quelques lignes de code lui ont permis de se répandre sur la toile mondiale bien que cela n’ait pas eu de conséquences destructrices directes. Mais une fois dans la nature, le programme a de fortes chances d’être détecté et analysé, ce qui fait sortir son code du secret et le rend accessible, modifiable et potentiellement utilisable par d’autres cyber-combattants (étatiques ou non). Stephan Cobb, expert de l’entreprise ESET, dénonce ce qu’il perçoit comme de l’arrogance de la part des Etats qui manufacturent des cyber-armes : développer un tel programme reviendrait à créer un nouveau missile sol-air révolutionnaire et à en équiper ses troupes tout en plaçant simultanément les plans de manufacture et le manuel d’utilisation sur son site web, en téléchargement libre avec un numéro vert où chacun peut commander le matériel nécessaire et être livré gratuitement.
Cette description, apparemment catastrophiste, n’est pourtant pas si éloignée de la réalité comme l’évoque l’article du New York Times quant à la possibilité d’une réutilisation des armes virtuelles contre les pays les plus connectés au monde et donc les plus vulnérables.
Face à cette situation où le risque est élevé, le besoin d’une coopération renforcée entre les acteurs de la sécurité informatique du domaine public, du secteur privé et les décideurs politiques est plus que jamais pressant. Ce n’est pas sans raison que le réseau des réseaux est appelé « the wild » par ses administrateurs : de nombreux objets et espaces hybrides naissent chaque jour sur la toile. Face à la nature ambivalente et sans cesse en évolution des cyber-armes, des définitions et des normes doivent impérativement être créées pour comprendre et encadrer leur multiplication afin d’éviter que les cyber-opérations n’aient, dans le futur, des conséquences plus importantes et destructrices que ce qui a été découvert jusqu’à maintenant.
English
Jeudi, 21. juin 2012 10:35
Il me semblait que Flame était bien un virus, se répliquant sur les systèmes à portée. C’est ensuite par l’analyse de ces systèmes que le contrôleur déterminait s’il souhaitait ensuite poursuivre l’attaque, en ajoutant des fonctionnalités, ou l’interrompre (http://www.securelist.com/en/blog?weblogid=208193522). Techniquement, une réplication ciblée semble plus complexe.
Je souhaitais cependant savoir si quelqu’un s’était intéressé à l’impact politique de Flame, et sur la révélation, visiblement dirigée directement du bureau Ovale, de la paternité de Stuxnet. Il s’avère en effet que Flame et Stuxnet ont d’importantes similitudes (du point de vue du code embarqué, ce qui vue l’antériorité de Flame a la même valeur qu’une empreinte ADN). Si l’on évacue concernant Flame l’hypothèse de la source israélienne (ils ont été ciblés), il reste que les USA ont créés Stuxnet (avec Israël) et Flame.
En mettant entre parenthèses la motivation électorale, semble-t-il légitime de supposer que l’administration américaine, en révélant cette paternité, soit en train d’introduire un changement dans sa politique étrangère vis-à-vis de la cyber-guerre ? Je pense par exemple à une forme de mise en garde, pas sur les capacités US, mais en sous-entendant qu’il s’agit bien d’une attaque à caractère militaire, et en lui joignant de facto le drapeau américain. Cette revendication entre en opposition avec les attaques précédentes, sans auteurs reconnus, mais pour lesquelles les soupçons se portent sur la Russie et la Chine. Cette revendication d’Obama pourrait-elle être destinée à reporter la cyber-guerre dans un monde plus proche de la Convention de Genève qu’elle ne l’est actuellement ?
[Reply]
Jeudi, 21. juin 2012 12:54
D’après l’analyse de Kaspersky, Flame peut bien se répliquer dans un réseau local, mais seulement sur ordre de son C&C (et a priori si la première infection comportait le module qui lui permet de se comporter comme tel) : « It is a backdoor, a Trojan, and it has worm-like features, allowing it to replicate in a local network and on removable media if it is commanded so by its master. »
De plus son code n’est pas clairement offensif (c’est pour cette raison qu’il n’a pas été détecté immédiatement), il agit plus comme une base de donnée une fois dans la machine infectée. C’est pour ces deux raisons que j’ai choisi de ne pas employer le terme virus, qui cependant a été repris dans de nombreux articles.
Je ne sais pas si l’on peut évacuer l’hypothèse israélienne pour Flame si la coopération avec les USA pour le développement Stuxnet est avérée, l’infection nationale peut aussi servir aux renseignements, cependant je ne pense pas qu’il faille s’attendre à des réponses définitives quant à l’origine des malwares car au delà des récentes révélations des médias, tout reste purement spéculatif vu l’absence de déclarations officielles. Pourriez vous me fournir la source qui vous fait avancer l’idée que l’établissement du lien entre les deux malwares a été orchestrée par la maison blanche? Cela m’intéresse grandement et pour l’instant, je n’ai que les analyses des laboratoires antivirus pour appuyer la parenté entre les deux programmes.
Sur le plan politique donc, il ne me semble pas que les Etats Unis soient trop prompts à revendiquer Flame, ni stuxnet, mais peut être que je me trompe.
Cependant, il me semble clair que le pays est entrain de changer sa position vis à vis de la cyber guerre, notamment en médiatisant la lancée du projet X avec DARPA (ce qui pose d’ailleurs un problème de gouvernance internet), et se tourne vers une posture plus offensive qui peut avoir un effet de mise en garde.
Il est bon d’observer une différence fondamentale, dans l’état des recherches actuelles, entre les attaques dont on soupçonne la Russie et la Chine, et les cyber armes type stuxnet/flame. Les premières sont en effet des attaques DDoS, DoS ou des tentatives d’infiltration, mais il ne s’agit pas de la lancée d’outils complexes agissant en sous marin durant des années. On peut donc les rapprocher plus facilement d’offensives miliaires. Pour les cyber armes (israélo?) américaines, certaines sont clairement des opérations militaires ciblées contre un ennemi connu, comme stuxnet. C’est déjà un peu moins clair dans le cas Duqu, quant à Flame, il pose justement la question des cibles et des objectifs de telles armes. Le malware a infecté des réseaux d’universités, des machines civiles, il me semble donc que cela s’éloigne bien des cadres de la Convention de Genève, et c’est pourquoi cet article est une tentative de mise en garde contre les possibles dérives de cyber-opérations vers des pratiques bien plus troubles que le sabotages de quelques moteurs de centrifugeuses en Iran…
[Reply]
nmrdn répond/replies:
juin 21st, 2012, 14:12
@Claire-Marine Selles, je crains effectivement de m’être emporté dans mon hypothèse ! (http://www.itproportal.com/2012/06/13/flame-code-linked-stuxnet-virus-experts-say/)
Initialement, le lien que je voyais n’était que technique, essentiellement basé sur l’analyse de Kaspersky (http://www.securelist.com/en/blog/208193568/Back_to_Stuxnet_the_missing_link)
Le lien politique n’était pour moi qu’une supposition : découverte de Flame, suivie quelques jours plus tard de l’article du NYT (http://www.nytimes.com/2012/06/01/world/middleeast/obama-ordered-wave-of-cyberattacks-against-iran.html?_r=4&pagewanted=5&hp) contenant un tel luxe de détails sur Stuxnet que la fuite ne peut être, à mon sens, que volontaire. Après, on ne peut que conjecturer sur cette coïncidence.
Le dernier article en date concernant Flame est pour moi celui du Post (http://www.washingtonpost.com/world/national-security/us-israel-developed-computer-virus-to-slow-iranian-nuclear-efforts-officials-say/2012/06/19/gJQA6xBPoV_story_1.html). Je regrette de devoir reconnaître qu’il ne s’agit pas de déclarations officielles, même si à mon avis et pour le moment dans ce domaine, ces articles sont en l’espèce ce que l’on peut espérer de mieux.
Concernant l’évolution de la cyber-guerre pour USA/Israël, je suis d’accord. Il faut aussi s’avoir dans quelle mesure cette évolution s’appuie sur la pression des militaires et des théoriciens de la cyber-guerre, ainsi que sur les pertes subies (telle l’augmentation du coût du projet F35, largement imputée aux pertes de données de recherche lors des attaques informatiques, et des efforts consacrés en conséquences à une nouvelle recherche et à l’augmentation du niveau de sécurité). J’ai personnellement l’impression que US/Israël sont en train de peaufiner leurs armes informatiques en suivant la même doctrine d’emploi que celle des drones (par exemple au Pakistan) : aucun coût humain, un coût politique significatif mais compensé par des résultats.
Je maintiens cependant que le fait de « revendiquer », ou d’officialiser par voie de presse ces attaques, nous rapproche des clauses de la Convention de Genève en identifiant les « combattants » : « ils se distinguent par leur uniforme ou par un signe fixe reconnaisable ou en portant les armes ouvertement ». Disons qu’à mon sens, cela nous éloigne des fameux DoS ou infiltrations dont vous parlez. Quant à cibler les civils ou leurs installations (chose que font également DoS et APT), je suppose que des juristes argumenteront sur le fait qu’ils peuvent ou nous contribuer à l’ »effort de guerre ». Les supposées attaques chinoises et russes, car masquées et n’opérant pas de différenciation, sont pour le moment plus dangereuses. Je suis tout à fait d’accord pour dire que les possibles évolutions futures sont inquiétantes, puisque la seule limitation au potentiel de Flame et Stuxnet était la motivation de leurs auteurs.
[Reply]
Claire-Marine répond/replies:
juin 25th, 2012, 10:42
@nmrdn, Merci pour l’article du Post, cependant je me demande d’où ils tirent l’information « Some U.S. intelligence officials were dismayed that Israel’s unilateral incursion led to the discovery of the virus, prompting countermeasures. » Peut être suis je paranoïaque, mais il me semble que ce genre d’allégations mérite d’être appuyé de faits, or pour l’instant ce n’est que déni, tant du côté d’Israël que des US. D’ailleurs je suis assez d’accord avec vous sur l’hypothèse de la fuite volontaire, car le manque de conviction même de la part du Président dans la négation de cette fuite laisse songeur…
J’apprécie le rapprochement avec l’usage des drones, bien que je ne sois pas experte en la matière, il est vrai que les deux armes possèdent des caractéristiques communes et à mon avis leur double tranchant en fait partie (l’emploi massif de drones n’a pas vraiment contribué à l’amélioration des relations US-Pakistan à mon avis – bien qu’elles soient dégradées par de nombreux autres facteurs – et une fois de plus la question des dommages collatéraux massifs, bien plus dramatiques pour les drones que pour les cyber armes, se pose). Cependant une chose qui pourrait faire différer les deux doctrines est l’avantage du drone qui n’est pour l’instant pas récupérable par l’ennemi, ce qui n’est pas le cas du code.
Je pense que malheureusement, tant qu’aucune doctrine officielle sur l’emploi des cyber armes (il n’en existe pas à ma connaissance à ce jour) ne sera rendue publique, nous ne pourrons pas juger exactement quels sont les acteurs qui impulsent cette nouvelle guerre, militaires ou théoriciens.
Enfin, il est vrai que les armes portent au moins la signature étatique, contrairement aux DoS et autres attaques plus artisanales, mais la revendication officielle manque toujours pour qu’elles deviennent conventionnelles à mon avis. Pour ce qui est des civils, je conçois qu’ils puissent avoir un rôle dans l’effort de guerre (par exemple l’Oil Ministry iranien est une cible très cohérente), après j’émets plus de réserve quant à l’infiltration de structures éducatives, mais peut être suis je un peu idéaliste. En tout cas, j’espère que les années à venir permettront d’établir de meilleures définitions des cyber attaques et -soyons fous- éventuellement des cadres pour ces opérations, pour l’instant dirigées par de trop secrètes institutions.
Merci de vos commentaires enrichissants, il est toujours passionnant pour moi de discuter de ce sujet.
[Reply]