Prononcez le mot cyberguerre. Attendez un peu. Un débat enflammé ne devrait pas tarder. La dernière couverture de L’Express (à l’iconographie soignée) n’a pas manqué de souffler sur les cybertisons, jamais vraiment éteints.

Révélant le modus operandi de l’attaque qui a touché l’Élysée en mai dernier, l’hebdomadaire surtitrait sa première page “CYBERGUERRE” en lettres capitales. L’Express affirme aussi que l’attaque a été menée par les États-Unis. Depuis les réactions ont fusé. Sur les faits décrits et sur le fond : est-ce là “le futur des conflits” comme l’affirme Christophe Barbier, le directeur du journal ?

Thomas Rid, chercheur au King’s College de Londres, a décortiqué tous les exemples de la prétendue cyberguerre. Aucun ne passe à l’examen des faits selon lui. D’autres adressent une critique structurelle au concept. Puisqu’elle est cyber, elle ne peut être guerre. Pour l’instant ou pour toujours.

Les observateurs sont pour le moins clivés, et la rédaction d’Owni n’échappe pas à la règle. Pour y voir plus clair, nous avons voulu laisser le “cyber” de côté pour se concentrer sur l’objet du litige : la “guerre”.

Cybermorts

Dans son édito vidéo, Christophe Barbier reconnaît le caractère spécifique de la cyberguerre : “une guerre qui fait peu ou pas de dégâts humains”. Un oxymore selon plusieurs politologues que nous avons interrogés.

Jean-Vincent Holeindre, maître de conférence en sciences politiques à Paris II, travaille sur la pensée militaire. Il rappelle que chez Clausewitz, la guerre est d’abord “un duel des volontés”. C’est la définition minimaliste. Deux piliers viennent l’enrichir : l’usage de la violence et le motif politique.

Régis Lanno, doctorant en sociologie à l’université de Strasbourg, précise :

Même s’il est difficile de définir de façon essentialiste la guerre, en raison des changements de moyens et d’outils dans l’histoire, des invariants demeurent. La guerre correspond à l’administration de la mort à l’extérieur d’un groupe (famille, communauté, clan et plus tard la Nation).

Point de guerre sans mort violente : deux volontés contradictoires s’opposent en mobilisant la violence armée. Mais l’administration de la mort doit répondre à une volonté politique. La criminalité, même violente, n’est pas la guerre. “La guerre consister à utiliser la violence ou la menace de la violence pour contraindre l’ennemi à se plier à sa volonté. Pour reprendre la définition de Clausewitz, la guerre est un acte de violence politique pour faire triompher sa volonté” ajoute Régis Lanno.

La définition restrictive utilisée en sciences sociales se distingue de l’emploi familier, de l’imaginaire collectif. Jean-Vincent Holeindre rappelle que “la perception de la guerre selon le sens commun est façonnée par la mémoire des guerres du XXe siècle, surtout les deux guerres mondiales.” Des guerres entre des États, entre des puissances industrielles, utilisant des armes sophistiquées. D’autres formes de guerre existent, nuance Jean-Vincent Holeindre. Les guerres asymétriques par exemple, qui opposent un groupe (des insurgés) à un pouvoir central.

Cyberconflit

“La guerre est le paroxysme du conflit” précise le chercheur. Le conflit comprend des gradations : de la dispute familiale à la grève de salariés. C’est plutôt quelque part dans ce panel que devrait figurer la cyberguerre, le cyberconflit donc.

Pour Régis Lanno, les victimes physiques sont cruciales pour employer le terme guerre : “En l’absence de mort dans le camp ennemi, la cyberguerre relève du conflit. L’objectif est plus de neutraliser l’ennemi que de l’anéantir physiquement.”

Du sabotage. Jean-Vincent Holeindre insiste :

Le sabotage est une stratégie militaire, un élément particulier d’un ensemble plus large qui relève du renseignement. Tout en se protégeant des attaques de l’adversaire, la partie au combat essaie de saboter l’arsenal ennemi pour le désorganiser et faciliter l’usage de la force.

Les exemples sont légions de cybersabotage et d’utilisations tactiques de cyberattaques : contre la Géorgie en 2008, la Russie a ciblé des sites internet officiels avant de mener sa campagne au sol. Stuxnet, le logiciel malveillant fabriqué par les États-Unis et Israël dans le cadre du programme “Olympic Games”, a permis de retarder le programme nucléaire iranien. Mais l’acte de sabotage ne suffit pas à lui seul pour qualifier l’acte de “cyberguerre”. Sauf si la cible de l’attaque s’estime victime d’une agression.

Cyber Lex, Sed Lex

On quitte alors l’univers théorique de la pensée politique pour entrer dans le domaine du droit. Yves Sandoz est professeur retraité de droit international humanitaire à Genève et Fribourg. Il rappelle “[qu']une définition a contrario de la guerre est posée dans la charte des Nations Unies adoptée en 1947″. La charte proscrit le recours à la violence pour régler des différends : fini les guerres d’agression (en principe), fini les déclarations de guerre en bonne et due forme.

À côté de l’évolution normative, Yves Sandoz note un changement de la nature des guerres aujourd’hui :

Les conflits internes de très haute intensité augmentent, comme au Mexique par exemple. Il s’agit d’un conflit criminel très violent. L’utilisation du terme “guerre” a aussi été dévoyée dans des expressions comme la “guerre contre la terreur” ou “la guerre contre la pauvreté”.

Juridiquement, une cyberattaque peut être considérée comme un acte d’hostilité, donc enclencher les mécanismes de légitime défense encadrés par la charte des Nations unies. “Mais il faut respecter le principe de proportionnalité” modère Yves Sandoz.

En somme, le piratage d’un site officiel peut difficilement entraîner un bombardement aérien en riposte… Les États-Unis l’ont annoncé l’année dernière : ils se réservent le droit de considérer une cyberattaque comme un acte de guerre, et d’y répondre par des moyens conventionnels.

Cyberrégulation

La cyberguerre froide

Les États-Unis gardent aujourd'hui la main sur certaines fonctions essentielles du Net. Au grand dam de quelques nations, ...

L’idée d’un traité sur la cyberguerre progresse. La Russie plaide depuis 1998 en faveur d’un traité international interdisant l’utilisation du cyberespace à des fins militaires. Mais obéissant à une logique de rapport de force. Moscou ne pense pas pouvoir rivaliser avec les autres États dans le cyberespace, dès lors mieux vaut que le cyberespace soit pacifié…

Champ de bataille, le cyberespace ne peut échapper aux garanties prévues par le droit. Caractériser une cyberattaque entraîne l’application du droit international humanitaire, plaide le Comité international de la Croix Rouge. La question n’est alors plus de savoir si la cyberguerre est possible, mais d’admettre qu’elle l’est pour éviter une zone grise non-codifiée, dans laquelle les belligérants pourraient nier l’existence de toutes règles et inventer un cyber-far-west.

Responsable des recherches sur les question cyber au CICR, Cordula Droege considère les cyberattaques comme “des moyens et des méthodes de guerre qui reposent sur les technologies de l’information et sont utilisées dans un contexte de conflit armé au sens du droit humanitaire”.

Cordula Droege émet des réserves sur la possibilité d’attribuer une cyberattaque et sur la nature des objectifs visés, qui ne doivent pas être civils conformément au droit international humanitaire. Ces nuances posées, elle écrit :

Si les moyens et les méthodes de la cyberguerre produisent les mêmes effets dans le monde réel que les armes conventionnelles (destruction, perturbation, dégâts/dommages, blessé, morts), ils doivent être gouvernés par les mêmes règles que les armes conventionnelles.

Promesse en était faite depuis de longs mois. L’administration iranienne n’est plus reliée au grand réseau mondial depuis hier, selon les déclarations du ministre délégué aux Communications et aux technologies de l’information, Reza Taghipour. Finies les attaques informatiques, exit Stuxnet, bye-bye Flame, ses avatars et réplications ! L’administration a débranché.

Le ministre des Communications avait été très, très courroucé par les révélations sur l’origine de ces cyberattaques, un programme conjoint des Etats-unis et d’Israël baptisé Olympic Games. Il avait alors étrillé “le terrorisme d’Etat”, selon l’agence officielle iranienne Fars News.

Fin juillet, un petit dernier, dans la même veine, faisait son apparition. Selon un mail signé d’un chercheur de l’organisation de l’énergie atomique iranienne, un nouveau virus touchait deux sites sensibles, l’usine d’enrichissement en uranium de Natanz et l’installation restée longtemps clandestine à Fordow. Les ordinateurs infectés se mettaient subitement à jouer Thunderstruck du groupe AC/DC.

Un très grand intranet

Les officiels parlent aujourd’hui d’un intranet destiné à l’administration et non l’ensemble de la population comme il en a parfois été question. Effets d’annonce et rétropédalages ont émaillé ce projet depuis les évocations de “l’Internet halal” en avril 2011 par un membre du gouvernement de Mahmoud Ahmadinejad. Halal, soit licite, en opposition à l’Internet mondiale jugé corrompu.

L’Iran étrangle Internet

L'Iran accentue sa pression sur le web, en mettant en place plusieurs dispositifs de blocage et de filtrage du réseau. ...

L’argument sécuritaire a bon dos. Le régime a largement ralenti les moyens de communications – Internet et téléphonie mobile – à chaque crise politique depuis les manifestations contestant l’réélection de Mahmoud Ahmadinejad. Un officiel iranien, Abdolsamad Khoramabadi, a annoncé dimanche que Gmail et Google seraient désormais bloqués, sans avancer d’autres justifications. Mais selon une agence de presse iranienne semi-officielle, le Young Journalists Club, la mesure viserait le film Innocence of Muslims.

Rien ne permet de dire si les annonces ont été suivies d’effet ou n’avait qu’une valeur déclarative. Le rapport de Google Transparency ne montre pas de chute du trafic sur Gmail ou Google. Plusieurs habitants, interrogés tard dans la nuit par le Guardian, n’avaient pas remarqué un filtrage systématique de leur messagerie.

Dessin de Mana Neyestani ©.

Au profane, Zero Day ne dira rien. Un titre de film ou de roman d’espionnage tout au plus. L’expression est bien connue des experts en sécurité informatique, source d’adrénaline ou de sueurs froides. Un Zero Day désigne une faille encore inconnue dans un logiciel. Stuxnet, le virus fabriqué par les États-Unis et Israël pour saboter le programme nucléaire iranien, s’est appuyé sur au moins quatre failles de ce type.

Le Washington Post a plongé dans l’univers feutré et méconnu du marché de ces failles, entre acheteurs privés et publics et vendeurs de tous horizons. “Tout le monde en veut” a déclaré Chris Soghoian, un chercheur en sécurité informatique basé à Washington. Mais le fructueux business reste secret. Qui achète, qui vend ? La plupart des entreprises affirment limiter les ventes de failles à des agences de renseignement ou à des sous-traitants de l’armée.

60 000 dollars la faille

Une boite française, Vupen, est parvenue à se faire une réputation dans ce milieu interlope. En janvier 2012, une équipe de cinq experts de l’entreprise – dont le co-fondateur Chaouki Bekrar – avait découvert l’une de ces failles dans le navigateur Google Chrome au Pwn2Own Contest. Récompense pour la découverte : 60 000 dollars. Une autre découverte pour la même compétition n’a pas été rendue publique par Vupen qui a préféré la garder pour ses clients. Hors compétitions officielles, les chiffres donnent le tournis, “parfois des centaines de milliers de dollars la faille” selon le quotidien américain.

La très grande discrétion de Vupen lui a valu de vertes critiques. Irresponsable, coupable de donner une mauvaise réputation à l’ensemble des acteurs du marché… Chaouki Bekrar s’en est défendu auprès du Washington Post, affirmant ne vendre qu’“aux agences de renseignement des pays membre de l’OTAN”, en écho à la présentation officielle de Vupen sur son site.

D’autres entreprises se disent plus scrupuleuses, comme l’américaine Netragard, qui affirme ne vendre qu’à ses alter-ego américains et seulement en connaissant l’utilisation finale. Charlie Miller, consultant dans le privé après une carrière à la NSA invoque une équation insoluble pour les découvreurs de Zero Day :

Dois-je faire ce qui est bon pour la plupart des gens et ne pas toucher d’argent du tout, ou dois-je vendre au gouvernement américaine et gagner 50 000 dollars ?

L’Allemagne a tranché, avec fermeté : le commerce de Zero Day est interdit, de même que leur publication sans rémunération et même le simple fait de les chercher. Au États-Unis, il reviendra au département du Commerce de décider du sort de ces précieuses failleurs, notamment pour l’exportation.

Le Washington Post a consacré une série d’articles sur les Zero Day, à retrouver en suivant ce lien.

Illustration photo CC by-nc-nd ANTPhotos

Mise à jour le 3 septembre à 19h45 : correction d’une coquille sur une occurence du nom de Chaouki Bekrar.

Complexité jugée sans pareille, nom flamboyant, attaques ciblées contre certains intérêts gouvernementaux, Flame a tout d’une cyberarme nouvelle génération. Mais à y regarder de plus près, Flame pourrait ne pas être aussi révolutionnaire que certains médias et entreprises voudraient bien le laisser entendre.

L’alerte a été donnée par Kaspersky, un éditeur d’antivirus à la réputation extrêmement solide. Flame serait le logiciel malveillant le plus complexe découvert à ce jour. L’éditeur affirme :

Sa taille est importante, et il est incroyablement sophistiqué. Il redéfinit jusqu’à la notion même de cyberguerre et de cyberespionnage.

Ses caractéristiques si exceptionnelles… ne le sont cependant pas tant que ça. Flame est un cheval de Troie, à savoir un logiciel permettant à un attaquant de contrôler un système à l’insu de son utilisateur légitime via l’exécution d’un code malveillant. Quelles sont les fonctionnalités de Flame, selon Kaspersky ? Tout de ce qu’il y a de plus commun pour un malware que l’on trouve habituellement dans les milieux cybercriminels.

Dissection d’une nouvelle cyberarme

En 2010, la découverte de Stuxnet changeait la donne en matière de cyberarme. Son perfectionnement dépassait les attentes. ...

A savoir : la lecture, écriture et suppression de données ; l’exécution de binaires ; la possibilité de prendre des captures d’écran ; l’enregistrement des frappes de clavier (keylogging) et la récupération et l’envoi de fichiers. D’autres fonctionnalités sont un peu plus recherchées telles que l’enregistrement de données audio (si microphone présent) ou la possibilité d’utiliser le bluetooth et le trafic réseau pour récupérer certaines informations sur l’environnement dans lequel est présent l’ordinateur infecté.

Des fonctionnalités, surprenantes et inquiétantes pour un utilisateur lambda, en réalité extrêmement répandues depuis plus d’une dizaine d’années. A titre d’exemple, le troyen Poison Ivy, dont la première version date de 2005 et qui est toujours librement accessible sur Internet, offre la plupart des fonctionnalités de Flame, décrites par Kaspersky comme constitutives de son originalité ; et bien d’autres encore.

A nos yeux, la seule originalité de Flame, outre l’utilisation du Lua [Un langage de script, NDLR] restreinte à une micro partie du corps du programme, concerne sa capacité à utiliser le Bluetooth, bien qu’il ne soit fait mention nulle part de la possibilité de se répandre via ce protocole. Même ce qui est présenté par Kaspersky comme la grande spécificité de Flame, à savoir son fonctionnement en modules, n’est pas novatrice.

De très vieux troyens comme MiniMo, NuclearRAT, et bien sûr Poison Ivy fonctionnaient déjà à partir d’un module principal d’infection auquel il était possible, une fois l’accès au système effectif, d’ajouter différents plug-ins selon l’utilisation que l’attaquant souhaitait faire de celui-ci (scanner distant, attaques DDoS, enregistrement de webcam, keylogging, etc.)… Flame, un pétard mouillé ?

Dans un article publié sur le site Atlantico, l’expert en sécurité informatique Eric Filiol dénonce le comportement de Kaspersky, et des éditeurs d’antivirus en général, coupables à ses yeux de grossir certaines menaces dans le seul but de faire gonfler leur chiffre d’affaires.

En soi, cette thèse est recevable, et d’autant plus d’actualité que les antivirus ont la très mauvaise habitude de ne pas mettre à disposition les sources de leurs analyses. Cependant, trop occupé à éviter d’avaler la couleuvre de ce très bel exemple d’utilisation marketing de la peur, M. Filiol tombe dans l’excès inverse, celui de la sous-estimation d’une menace peut-être réelle. Les fonctionnalités de Flame que présente Kaspersky ne sont pas nouvelles, et l’éditeur d’antivirus instrumentalise manifestement à son profit la faible connaissance qu’a l’utilisateur lambda de ce qui le menace sur Internet.

Vieilles recettes

Que les fonctionnalités supposées de Flame soient classiques ne remet pas en question leur efficacité ; les États utilisent des espions depuis la nuit des temps. Ce même schéma se retrouve dans le domaine du cyber-espionnage, des recettes identiques sont utilisées depuis des années (emails piégés, récole d’information, pivot etc.) sans qu’il y ait de véritable révolution. La société de sécurité RSA avait été piratée en 2011 à l’aide de Poison Ivy, un RAT disponible sur Internet depuis plus d’une demi-décennie.

Par ailleurs, nombreux ont été les experts informatiques à se gausser de la menace Flame en raison de sa taille importante (environ 20 Mo, tous plug-ins compris) ; même les plus vieux troyens généraient des modules d’infection de quelques centaines de kilo-octets maximum, certains se contentant même avoisiner quelques Ko. Les développeurs de Flame seraient-il donc des “amateurs” ?

Pas nécessairement. Tout d’abord, car rien n’est dit de la possibilité – très probable – que Flame dispose, si ce n’est à la base, au moins d’un module rootkit. Les rootkits ont la particularité de pouvoir cacher à peu près tout ce qui se trouve sur un système, des fichiers/dossiers aux processus, clés de registre et même le trafic passant par certains ports, qui pourrait indiquer à un observateur avisé que l’ordinateur se comporte d’une façon étrange. Or, si Flame est si complexe, et si, comme Kaspersky en fait mention, il a été capable d’infecter des systèmes Windows 7 entièrement patchés, il est très probable qu’il embarque des fonctionnalités de type Rootkit ou d’élévation de privilèges non-connues publiquement. De plus, comme le dit très justement Félix Aimé, expert en sécurité de l’information [Également auteur sur Intel Strat, NDLR] :

Qui donc vérifie la taille des fichiers sur son disque dur pour en déduire la présence de virus ? La taille d’un virus n’a jamais été un indice de poids dans sa détection, c’est un mythe.

[Vidéo] Stuxnet en trois minutes chrono

Qui a tout compris à Stuxnet? Pour ceux qui ont encore besoin d'explications, une petite vidéo en motion design devrait ...

Enfin, le dernier argument des experts sceptiques sur le cas Flame concerne la soi-disante violation d’un principe de base : “un code, une cible”. Bien évidemment, la réussite d’une attaque dépend de sa planification et des informations qu’il a été possible de recueillir sur le système-cible. Mais il est faux de penser qu’un attaquant va coder de A à Z un programme unique, exclusivement adapté à une cible. S’il est vrai qu’un code malveillant se doit d’être adapté aux spécificités du système qu’il vise, un attaquant se contente généralement de moduler un code déjà existant.

Coder à usage unique n’est pas une pratique réaliste et encore moins financièrement viable. En fait, la structure en modules de Flame serait plutôt un argument appuyant sa dangerosité ; peut-être même certains modules ont-ils été codés, à la base, pour une cible en particulier, et ont-ils été au fur et à mesure intégrés au fonctionnement global du malware.

Flame ne rédéfinit pas la notion de cyberguerre, comme cela avait été pompeusement annoncé. La menace, en admettant qu’elle soit réelle, n’en est pas pour autant dangereuse pour l’internaute lambda ; il est ici question d’un cheval de Troie, à la diffusion localisée, et qui ne cible que des systèmes appartenant à des personnalités stratégiques. Cependant, la multiplication de malwares si complexes qu’ils peuvent être considérés comme de véritables cyberarmes confirme bien que les États investissent de plus en plus le cyberespace. Et prennent la mesure de son importance stratégique.

Ces deux dernières années, deux malwares se sont illustrés dans le cyberespace par leur complexité, mais aussi par leur utilité stratégique. Stuxnet et Duqu visaient tous deux le programme nucléaire iranien. Que peut-on savoir d’eux dans un cyberespace où l’anonymat, le secret défense et l’absence de frontières règnent en maître ? Essai d’analyse.

Plus d’un an après la découverte de Stuxnet, un autre logiciel malveillant fait son apparition dans le cyberespace. Dénommé par les occidentaux “Duqu”, en raison des fichiers qu’il laissait sur les systèmes infectés, ce Remote Administration Tool (RAT) a été recensé dans plusieurs pays, principalement l’Iran. Contrairement à Stuxnet, Duqu était cette fois-ci dédié à une campagne d’espionnage, envoyant vers des serveurs distants des informations extraites à partir des ordinateurs infectés. Il n’avait pas de mode de propagation autonome en tant que tel, mais était déployé sur les ordinateurs grâce à une charge utile contenue dans un document Word envoyé par mail aux acteurs ciblés.

Vulnérabilité non connue

Sa méthode de déploiement était triviale, mais son code diffère des autres trojans habituellement rencontrés dans ce type de campagne d’espionnage. Tout comme Stuxnet, ce dernier utilisait une vulnérabilité non connue propre à Windows (CVE-2011-3402) permettant d’élever ses privilèges pour ensuite se rendre persistant sur le système ciblé ; et donc silencieux auprès des possibles antivirus installés sur la machine. Une autre particularité était frappante chez Duqu : il utilisait des certificats (chose non commune pour ce genre d’attaques) et deux clés de chiffrement identiques au célèbre Stuxnet (0xAE790509 et 0xAE1979DD). Mais les similitudes ne s’arrêtent pas là. Une simple comparaison des deux codes sources à l’aide du logiciel BinDiff révèle d’étranges correspondances entre les deux logiciels malveillants :

Comparaison d’un extrait du code entre Stuxnet et Duqu, laissant penser que les deux sont l’oeuvre d’un seul et même groupe

Duqu a été repéré la première fois en octobre 2011 par un laboratoire hongrois de sécurité informatique dénommé Crysys. Nous ne savons pas d’où vient l’exemplaire qu’ils ont eu entre les mains. L’existence de Duqu serait antérieure à octobre 2011. En effet, en début d’année, l’Iran se disait, par l’intermédiaire de son agence de presse nationale, victime d’un malware appelé “Stars”. Cela devient intéressant quand on est au courant que Duqu utilise une image représentant deux galaxies comme vecteur de communication entre les ordinateurs infectés et les serveurs de contrôle… Duqu serait-il donc le malware Stars ? Cette hypothèse est plus que probable.

Mais alors, depuis combien de temps Duqu est présent dans les réseaux informatiques iraniens ? Personne ne le sait vraiment. La politique en la matière, que ce soit en Iran, en France ou dans d’autres pays, est de disséminer le moins d’informations possibles concernant une attaque. Ainsi, après la découverte tardive du malware Stars, l’Iran a préféré garder le malware bien au chaud dans ses laboratoires de recherche afin d’en étudier la complexité et prévoir une désinfection de son parc informatique gouvernemental. Il pourrait alors faire partie d’une attaque antérieure à Stuxnet ou parallèle à ce dernier, même si sa découverte officielle demeure récente.

Stuxnet, la première cyberarme

Juin 2010, un nouveau ver pour Windows fait son apparition dans les laboratoires de recherche de la société biélorusse VirusBlokAda spécialisée en sécurité informatique. Utilisant quatre failles non connues de Windows et profitant d’une mauvaise configuration dans le système de gestion (PLC) Siemens des centrifugeuses, ce ver, dénommé rapidement Stuxnet, allait devenir aux yeux des experts du monde entier la première cyberarme, car sans doute réalisée uniquement dans le but de détruire ou paralyser tout ou partie du système industriel d’un pays.

Outre les multiples craintes qu’ont fait naître Stuxnet, ce logiciel malveillant avait une cible précise : les centrifugeuses permettant la réalisation d’un uranium hautement enrichi, et donc à visées militaires. Ce n’est qu’à la rentrée 2010 que l’Iran, pris dans la tourmente médiatique, a du avouer son impuissance concernant l’attaque dont il a fait l’objet, ayant selon certains experts, reculé de cinq ans le programme de la bombe iranienne. Stuxnet était bel et bien une arme, composée comme telle, avec un système de propulsion : des vulnérabilités permettant sa diffusion dans les réseaux informatiques, mais également une charge utile, c’est à dire un code d’exploitation permettant de saboter le système de contrôle (PLC) des centrifugeuses d’enrichissement.

Le petit monde des experts en sécurité n’avait jamais rien vu de tel, quatre vulnérabilités non connues affectant uniquement le système Windows présentes dans un seul et même ver informatique. Ce dernier utilisait de plus des certificats permettant de signer son code source devenant à terme un logiciel légitime aux yeux du système ciblé. Cela devenait une évidence pour tous, du fait de son ingéniosité et de ces nombreux codes d’exploitation embarqués, Stuxnet était l’œuvre d’un État, indéniablement en possession de capacités avancées en Lutte Informatique Offensive (LIO).

L’Iran en ligne de mire

Un faible nombre de pays est actuellement en mesure de déployer des projets de LIO et de réaliser des programmes informatiques malveillants d’une grande complexité (les attaques dites “chinoises” (APT) utilisant le plus souvent des versions modifiées de programmes connus du grand public, telles que le célèbre Poison Ivy). Ainsi, on retrouve principalement sur le banc des suspects liés à Duqu deux pays ayant fait parler d’eux avec l’affaire Stuxnet, les États-Unis et Israël, ayant tous deux des programmes de LIO développés.

Il est plus que probable que ces attaques soient le fruit des mêmes auteurs, le tout avec une coopération forte entre des services secrets de différents pays, alimentant le renseignement sur les cibles. Toutefois, rien ne fait pencher la balance en faveur d’un pays particulier, même si certaines pistes, présentes dans le code peuvent laisser présager une implication réelle d’Israël. Cette piste demeure à prendre avec des pincettes, cependant. En effet, dans le cyberespace il est toujours possible de mener des attaques informatiques lançant de fausses pistes, inscrites dans le code même du logiciel malveillant (compilation avec une version chinoise de compilateur, par exemple) ou dans la prétendue origine d’une attaque. A ce jour, connaître les auteurs de ces attaques s’avère impossible car le secret défense est de mise, tant chez l’attaquant que chez la cible. Cependant, des fuites d’informations ou des attaques à venir pourraient nous permettre d’y voir plus clair.

Les deux cyberarmes, Duqu et Stuxnet ont étonné une grande partie des chercheurs dans ce domaine. Au-delà de la simple question de la complexité de la réalisation de ces cyberarmes, l’existence même des deux malwares pose la question de la difficulté d’attribution des attaques dans le cyberespace.

Photos et illustrations via les galeries Flickr de Julia Manzerova [cc-byncsa] ; Campra [cc-byncnd] ; Dynamosquito [cc-bysa] ;

En septembre, nous évoquions l’agitation autour de ce virus d’un nouveau genre:

Stuxnet ou le mythe de la cyberguerre mondiale

Cliquer ici pour voir la vidéo.

Très peu d’événements en lien avec le cyberespace disposent d’une réelle capacité à causer un choc global.

C’est le constat sans appel que dressent deux chercheurs britanniques dans un rapport de 120 pages (PDF) commandé par l’OCDE (Organisation de coopération et de développement économiques). Comme le rappelle avec sagacité le New York Times, on recense aujourd’hui pas moins de 270 ouvrages sur “la cyberguerre”, formule consacrée. Avant d’éplucher les quintaux de pages que représente cet imposant corpus, il était plus que temps de fourbir les armes théoriques pour comprendre – et dédramatiser – le “jour d’après” que nous promettent certains experts.

En renversant la boîte de pétri des laborantins de la cyberfin du monde, Peter Sommer, professeur à la London School of Economics, et Ian Brown, de l’Oxford Internet Institute, vont-ils également renverser la hype, remplaçant les mines affolées par une moue dubitative? La tâche s’annonce ardue: sur les douze derniers mois, le même New York Times a parlé 90 fois de cyberguerre en utilisant le mot “cyberwar”, (101 pour le Washington Post, et 240 pour le Wall Street Journal – même caché derrière un paywall).

Et les articles ne sont pas les seuls à se multiplier comme des petits pains. Aujourd’hui, les États-Unis disposent d’un Cyber Command et d’un “cybertsar” à la Maison-Blanche, Howard Schmidt; le Royaume-Uni possède un Office for Cyber Security and Information Assurance; l’Union européenne a l’ENISA, son agence dédiée mais esseulée; l’Estonie a hérité d’un Cooperative Cyber Defence Centre of Excellence après les incidents de 2007; l’OTAN réfléchit à son propre quartier général (que voudrait récupérer la Corée du Sud); et on ne compte plus les CERT, ces centres d’urgence chargés de répondre aussi vite que possible aux tentatives d’intrusion dans les systèmes d’information.

Le but de la commande de l’OCDE est clair: “Dans quelle mesure des dangers numériques peuvent-ils être aussi destructeurs que des pandémies mondiales ou la crise bancaire?” Pourtant, derrière ses atours prospectifs, l’étude britannique s’appuie sur des structures et des protocoles préexistants. Aussi ses deux auteurs identifient-ils les deux points cruciaux qui régentent l’analyse en vogue. D’un côté, la création du World Wide Web au début des années 90, qui a sensiblement modifié les usages en les fluidifiant. De l’autre, le tournant des années 2000, quand une bonne part (50%, avancent les chercheurs) du PIB des États occidentaux s’est mis à reposer sur les NTIC. Loin des préceptes de la nouvelle économie, ce second élément vise surtout à démontrer la porosité des systèmes gouvernementaux, qui prêtent de facto le flanc aux cyberattaques.

Harder, Better, Faster, Stronger?

“Il y a cette espèce de compétition entre les auteurs, pour dire ‘mon histoire est plus effrayante que la tienne’”, regrette Peter Sommer. Avec son acolyte Brown, il préfère questionner la notion de persistance. Est-ce que les risques pointés par certains auteurs tels que le très médiatisé Richard Clarke, ancien conseiller à la sécurité de trois présidents américains successifs, sont vraiment des chausse-trappes dans lesquels nous sommes susceptibles de tomber à tout moment? Et pour y répondre, rien de mieux qu’un peu de dialectique issue de ce bon vieux Clausewitz, inventeur de la notion de “friction” et géniteur de la fameuse citation “la guerre n’est que la continuation de la politique par d’autres moyens”:

La plupart des cyberattaques seront ciblées et courtes dans le temps [...] Finalement, comme dans toutes les guerres, vous devez penser à la finalité: comme les analystes thermonucléaires pendant la Guerre froide, vous devez vous demander, que restera-t-il?

Plutôt que de répondre à cette épineuse question, les deux chercheurs dégonflent l’hystérie ambiante en énonçant une lapalissade qui arrache un sourire:

A une échelle moindre, si vous voulez que votre ennemi capitule – comment pourra-t-il le faire si vous avez coupé tous ses moyens de communication et son système de décision?

Le retour de Stuxnet

L’étude soulève un deuxième point, encore plus complexe et lourd de conséquences: celui de l’attribution. Il y a quelques jours, en prenant sa retraite, l’ancien chef du Mossad Meir Dagan a relancé le débat sur Stuxnet, en suggérant très fortement qu’il s’agissait d’une arme de conception israélienne, développée avec l’aide des États-Unis et de certains pays européens dont l’Allemagne. “L’Iran ne sera pas en mesure d’avoir l’arme nucléaire avant 2015”, se félicitait-il. Dans la foulée, le New York Times y allait de son affirmation, en titrant “le ver Stuxnet utilisé contre l’Iran a été testé en Israël”. Étayé, cet article n’en reste pas moins déclaratif, comme les allégations israéliennes. D’ailleurs, selon certains spécialistes, le régime des mollahs pourrait “fabriquer une bombe d’ici trois mois”.

Dans ces circonstances, la cyberguerre ressemble moins à une menace armée qu’à une forme moderne de soft power, un outil utilisé dans les administrations et les états-major pour influencer les rapports de force. Meir Dagan est par exemple un opposant notoire à une attaque militaire contre l’Iran. En annonçant fièrement le terrain (supposément) gagné grâce à Stuxnet, il peut servir la position qu’il défend.

Il existe aussi une raison technique à cette difficulté d’identification et d’attribution. “Les revendications d’attaques, par des groupes affiliés aux gouvernement chinois ou russe par exemple, peuvent être contrées en rappelant que leurs ordinateurs peuvent avoir été infiltrés par des tiers, ou qu’il s’agit de l’initiative de hackers patriotiques isolés”, peut-on lire dans l’étude. Aux yeux de ses auteurs, “l’attaque Stuxnet, qui visait apparemment les installations nucléaires iraniennes, pointent autant les difficultés que le futur”.

Cinétique contre numérique

Mais l’identité de celui qui appuie sur le bouton n’est qu’une conséquence. Comme l’écrivent les chercheurs anglais, “L’un des avantages des armes cybernétiques sur les armes conventionnelles, c’est qu’il est beaucoup plus facile de créer une ambiguïté autour de l’individu qui lance l’attaque”. Pour Sommer et Brown, il faut étudier la cyberguerre à l’aune de son aïeule sans préfixe, pour déterminer sa portée:

Pour définir un acte de cyberguerre, il faut montrer qu’il était équivalent à une attaque hostile conventionnelle, dans son intensité, sa durée, son contexte [...] La première considération que nous devrions avoir, c’est la raison pour laquelle un État ou une entité voudrait partir en guerre. Dès lors que l’hostilité existe, il y a fort à parier que les pays ne se limitent pas à des armes conventionnelles. Les armes cybernétiques ne sont qu’un moyen additionnel de mener ces assauts.

Pour l’heure, de telles armes sont encore mal maîtrisées, comme l’attestent les dommages collatéraux du ver Stuxnet, encore lui. C’est peut-être la raison pour laquelle, en guise de conclusion, les deux experts considèrent une “cyberguerre pure” comme “improbable”. Dans un autre cas de figure, celui populaire des attaques par déni de service (DDoS), elles ne sont qu’une munition supplémentaire, sûrement pas le canon de l’arme. La faute à leur faible intensité et leur courte durée de vie. Et si finalement, la fameuse cyberguerre d’après-demain, celle qui mettra les pays à genoux, résidait dans ce déséquilibre? Avant d’imaginer les bombes informatiques, regardons d’abord exploser quelques petits pétards.

__

Crédits photo: Flickr CC obeyken, superfem, fixedgear

Il est fort intéressant de lire les commentaires divergents et les diverses interprétations données à cette affaire. Les uns disent que c’est la première phase d’une cyber-guerre d’ampleur considérable qui vient d’être lancée par une ou plusieurs puissances, et que l’expertise développée pour l’élaboration des séries de virus qui s’abattent sur les systèmes iraniens ne peut être disponible que dans le cadre d’États armés pour ce faire. D’autres affirment qu’il ne s’agit que de ballons d’essais d’équipes d’ “universitaires” qui testeraient de nouvelles méthodes virales. Certains affirment qu’il ne s’agit en fait que d’une campagne d’intoxication, destiné à booster le marché de la sécurité. Au total, la presse abonde en informations fort parcellaires et en désinformations plus ou moins farfelues.

Parmi les plus savoureuses, citons celle rapportée par le New York Times, qui affirme (au premier degré, apparemment) que le virus contiendrait quelque part enfoui profondément dans son code le mot “myrtus”, ce qui serait une allusion fort subtile au nom d’Esther, héroïne biblique, jadis engagée dans une guerre contre l’empire perse. En effet le nom originel d’Esther serait en fait Hadassah, qui veut dire “myrte” en hébreu. Pour ceux que cela intéresse on peut lire l’argument développé par de fort compétentes autorités universitaires ici.

Le site ReadWriteWeb, généralement bien informé, relate l’attaque de Stuxnet mais conclut d’une bien étrange manière:

A l’heure où de nombreuses voix s’élèvent pour dénoncer les failles de sécurité que pourrait faire apparaître la mise en place d’un système généralisée de surveillance de la population française, SCADA pourrait être une façon radicale d’éteindre la machine afin de faire réaliser pleinement au gouvernement qu’il n’en possède pas les clés.

Sic.

Les rédacteurs de ce site agitent ainsi la menace d’un déploiement ravageur de virus qui pourraient s’attaquer prochainement aux infrastructures françaises. Des hackers feraient ainsi part de leur opposition radicale à certaines évolutions récentes du droit français en matière de piratage par exemple. Ils “puniraient” le gouvernement par des actions de sabotage viral à grande échelle, dont les récentes attaques DDoS (Distributed Denial of Service) contre des sites comme celui d’Hadopi ne seraient qu’une modeste préfiguration.

La société civile en renfort?

Ici, deux remarques et une prédiction.

1. Le virus Stuxnet est très vraisemblablement le fait d’un ou plusieurs États. Ceux-ci sont facilement reconnaissables. Ils ont d’ailleurs annoncé haut et clair leur capacité offensive en matière de cyberguerre, et ont déployé une doctrine stratégique de prééminence absolue en matière de contrôle mondial du cyberespace. Dans cette hypothèse, Stuxnet n’aurait rien à voir avec des hackers, par exemple du genre anti-Hadopistes, et son degré de sophistication dépasserait de plusieurs ordres de grandeur le niveau de nuisance de groupes de tels hackers civils aussi doués soient-ils.

2. Une attaque virale anti-SCADA en France aurait un effet si puissant sur l’opinion et sur le gouvernement que des mesures d’une grande férocité seraient immédiatement prises contre l’Internet de papa, tel que nous l’avons connu jusqu’à présent, avec son côté parfois libertaire. Et il serait difficile d’objecter aux très vigoureux tours de vis de la part d’un gouvernement ainsi provoqué. Résultat des courses: une attaque anti-SCADA de grande ampleur aurait pour premier résultat de légitimer la prise totale de contrôle d’Internet par les sécuritaires (largement secondés par les “ayants-droits”, qui y verraient tout bénéfice).

La prédiction maintenant: une telle attaque (ou la simulation d’une telle attaque, à des fins de “provocation”) est en effet ce qui pourrait arriver dans un proche avenir, dans des pays comme la France. Loi du talion? Tests en vraie grandeur de nouvelles cyber-puissances? Je ne sais. Mais on peut prédire qu’Internet n’a plus que quelques années à vivre sa relative liberté apparente.

Il faudrait que la société “civile” commence dès maintenant à en tirer toutes les conséquences d’un tel scénario. Peut-elle encore changer la donne?

Bien sûr! Là où il y a une volonté, on trouve un chemin, pour reprendre la formule.

Au cas où cette prédiction se révèlerait fondée, ce que je ne souhaite vraiment pas, c’est bien le tissu social même des soi-disant “sociétés de la connaissance” qui en sera affecté de façon irrémédiable.

Billet initialement paru sur Metaxu, le blog de Philippe Quéau

–

Crédits photo: Flickr CC The Official CTBTO Photostream

***

“Le piratage du siècle”. C’est en ces termes que Ralph Langner, un expert allemand de la sécurité informatique, a décrit le virus Stuxnet sur son site web. Il y a même adjoint la mention, “Hambourg, 13 septembre 2010”, ainsi qu’une ligne de code acquise de haute lutte, comme pour économiser une datation au carbone 14 aux archéologues qui découvriraient son avertissement dans quelques dizaines d’années. Depuis plusieurs jours, la presse mondiale s’ébroue dans la bile de ce ver particulièrement complexe. Et pour cause: il saboterait le programme nucléaire iranien en neutralisant ses systèmes de gestion SCADA de l’entreprise Siemens, qui administrent notamment la centrale de Bushehr, dans le sud-ouest du pays. Pourtant, à y regarder de plus loin (mieux vaut se prémunir contre les explosions soudaines), il semblerait que l’agitation autour de cette histoire séduisante ne relève que de la fission induite: un dégagement de chaleur qui divise les expertises en de tout petits nucléides légers comme l’air.

Dans le Christian Science Monitor, Langner est formel, “Stuxnet est un cyber-missile à la précision militaire, déployé plus tôt dans l’année pour trouver et détruire une cible physique d’importance mondiale, une cible encore inconnue”. S’il se garde bien de nommer tous les acteurs de ce wargame grandeur nature, d’autres s’en chargent pour lui. Sur Slate.fr, Jacques Benillouche affirme qu’”Israël a lancé une une attaque électronique contre l’Iran”, avant d’ajouter que “les infrastructures du programme nucléaire iranien ont été systématiquement piratées depuis deux mois”. Et dans le Guardian, un porte-parole de Symantec, le géant des antivirus, soutient que “le groupe qui a conçu Stuxnet aurait été très correctement financé, composé de 5 à 10 personnes travaillant sur la conception du virus pendant 6 mois”.

Problème: tous les termes de cette équation sont inconnus, jusqu’au plus élémentaire. Comme le fait remarquer Daniel Ventre, ingénieur d’études au CNRS et spécialiste français de la cyberguerre*, “Stuxnet est sur le Net depuis plus d’un an. Il a pu être reprogrammé pour s’attaquer aux systèmes SCADA, mais la semaine prochaine, nous découvrirons peut-être qu’il visait une autre cible. Par ailleurs, il n’y a aucune preuve tangible qu’il s’attaque délibérément à l’Iran”. Jusqu’à maintenant, selon des chiffres du mois d’août fournis par Microsoft, le virus aurait affecté plus de 45 000 ordinateurs dans le monde, du Pakistan à l’Inde, de l’Indonésie à l’Iran, en passant par le Brésil et les États-Unis. Pour justifier leur propos, les experts affirment que 60% des machines infectées se trouvent au cœur de la République islamique. A cela rien d’étonnant. Depuis les années 70, non sans quelques errements diplomatiques, Siemens (et avant elle, sa filiale Kraftwerk Union) a signé des contrats avec l’Iran, ce qui rend les systèmes d’administration de son parc informatique particulièrement perméables au ver.

La main d’un État? Pas forcément

Aux yeux de bon nombre d’experts, Stuxnet ne peut avoir été conçu que par un État, ou sous le haut patronage d’un gouvernement qui aurait délégué auprès de petites mains. Pourquoi? Parce que son objectif à la précision millimétrée ne viserait pas à voler des données, ni à extorquer ses victimes. Ce serait oublier à quel point la culture du hacking érige la performance au rang de finalité. L’attaque pourrait tout aussi bien avoir été menée par un commando d’Anonymous particulièrement politisés. L’hypothèse est fantaisiste? Pas plus qu’une autre. “Il ne faut pas oublier que les attaques de déni de service par botnet, que nous avons pu observer à de nombreuses reprises ces dernières années, ne cherchent qu’à perturber les fonctionnements d’un système”, estime Daniel Ventre. C’est aussi l’avis de Bruce Schneier, éminent cryptologue américain, qui rappelle que “les programmes informatiques les plus complexes, l’immense majorité d’entre eux, ont été codés par des organisations non-gouvernementales”.

Déjà, on commence à parler de “troisième âge du cybercrime”, sans qu’on sache vraiment à quelles phases correspondaient les deux premiers. Alors que Stuxnet est à deux doigts d’entrer dans l’Histoire comme “le premier virus informatique conçu par un État à des fins politiques” – ce qui permettrait de verbaliser confortablement une cyberguerre “ouverte” – il n’est pas inutile de convoquer quelques précédents. A l’emballement, Daniel Ventre répond par la mise en garde:

“Quand l’aspect futuriste de la guerre informatique se double d’une dimension diplomatique, c’est attirant, bien sûr. Mais ce n’est pas parce qu’une attaque touche aux intérêts d’un État qu’elle a été lancée par un autre État. En 2007, on écrivait les mêmes choses qu’aujourd’hui à propos des incidents estoniens, et à l’été 2008, c’était autour des affrontements entre la Russie et la Géorgie.”

“Don’t believe the hype”

A défaut de circonscrire le virus ou de l’analyser par strates comme le ferait un géologue avec ses sédiments, si on désossait la hype? Quand les ballons-sondes n’offrent aucun résultat, il est peut-être temps de dégonfler la baudruche. Au royaume de la supputation, les observateurs pointent la responsabilité d’un acteur étatique. Bien. Mais dans le même temps, ils reconnaissent qu’il est presque impossible d’identifier le commanditaire de l’attaque, encore plus les dividendes qu’il pourrait récolter. Drôle de syllogisme. Pour Daniel Ventre, “ce phénomène relève plus de l’inculture que de la paranoïa”, que le jeu d’accusation et de démenti permanent avec l’Iran alimente. Sans surprise, le régime des mollahs s’est empressé d’accuser Washington, tout en laissant planer le doute sur son degré d’infection.

Evgeny Morozov, le blogueur technologique et ombrageux de Foreign Policy, estime de son côté que

chacun voit ce qu’il veut dans Stuxnet. C’est le problème avec les débats autour de la cyberguerre: ils sont si difficiles à cerner qu’ils ouvrent la porte à une infinité d’interprétations. A ce stade, n’importe qui peut invoquer la responsabilité de n’importe quoi, qu’elle relève d’un gouvernement, des aliens ou des Roms

Reste la question du timing. Alors que se tient à Vienne une Conférence Générale de l’Agence Internationale de l’Energie Atomique (AIEA), quelques informateurs fiables, comme le site Arms Control Wonk, relèvent les tensions entre l’Iran, les pays non-alignés, les Etats-Unis et Israël, tout en soulignant la volonté américaine d’un consensus. L’administration Obama souhaite en effet organiser une conférence sur le désarmement nucléaire au Moyen-Orient dans le courant de l’année 2012. Alors, dans ce schéma brouillé, à qui profite le crime? Aux Etats-Unis? A Israël? A l’Iran? Dans l’immédiat, Stuxnet sert surtout les intérêts de Symantec, comme l’explique en creux Le Monde. Mais pas seulement. Il est un formidable levier pour tous les experts en cybersécurité de la planète, et notamment ceux qui cherchent à monnayer leurs services auprès du Pentagone.

Avant de fantasmer sur la fin du monde 2.0 ou le grand retour en ligne des cellules stay-behind de la Guerre Froide, pourquoi ne pas s’asseoir devant nos moniteurs et attendre quelques mois? Il ne sert à rien de guetter les codes binaires façon Matrix. Devant le rythme accélérateur du web, la cyberguerre impose une contrainte: prendre son temps.

* Auteur de Cyberguerre et guerre de l’information. Stratégie, règles, enjeux (Hermès-Lavoisier, septembre 2010)

–

Crédits photo: Capture Google Earth de la centrale nucléaire de Bushehr / Flickr CC Ian’s Shutter Habit, UNC – CFC – USFK