Attaque et défense

La défense semble une posture normale pour tout entité, vivante ou organisationnelle. Il va de soi qu'un Etat va chercher à se défendre et à défendre ses concitoyens, tout comme n'importe quel individu. L'attaque dépend d'autres facteurs, et cette capacité a longtemps eu une place à part en informatique, car cela a toujours été considéré comme l'apanage des méchants. L'informatique était considérée comme un outil de production, qu'il fallait protéger et garder en état de marche.

Or dans la vraie vie, l'attaque fait partie de la stratégie des individus comme des nations, et les capacités offensives commencent à se faire jour. De plus, avec l'importance croissante de l'informatique dans la richesse et les capacités de production (parfois vitales) des pays, elle devient aussi une cible stratégique.

C'est la guerre ?

Je ne parle pas des nord-coréens qui ne pensent qu’à détruire cette méchante Amérique qui fait rien que les embêter. Je parle de ce que la cyberguerre est désormais une réalité si tangible qu’elle est l’objet de discussion et même d’un projet de traité au sein des Nations-Unies. 

Or il semble que le sujet soit si sensible que treize années de négociations n’ont pas pu aboutir[1]. Point de traité donc, notamment parce que certains pays souhaitent que le cyberespace reste en dehors des conflits et que sa militarisation (c’est-à-dire la définition de ce que serait une attaque et une réponse dans ce cybermonde) risquerait de conduire à de réels conflits armés[2].

L’intention est évidemment bonne, mais l’effet ne sera-t-il pas au contraire une escalade des conflits dans cet espace au mépris de toute règle ? Les attaques informatiques peuvent avoir un impact économique (et donc humain) majeur, et l’absence de principes ou de contrôles pourrait tout au contraire exacerber les tensions et conduire également à de vrais conflits militaires. L'Europe a relancé une action[3] pour tenter de formaliser tout ça afin de stabiliser le cyberespace, mais il est difficile de savoir sur quoi cela va aboutir.

Ça change ?

Oui : on estime que seuls deux états avaient des capacités offensives en 2007, et ils seraient une trentaine en 2017. Les activités quasi-militaires prennent tant d'importance que l'ONU s'en inquiète et propose d'instaurer une sorte de code de bonne conduite via un cadre légal[1], qui risque cependant d'être très difficile à faire respecter s'il venait à voir le jour.

Localisation

Historiquement, les Etats-Unis, la Chine et la Russie font partie des nations ayant une forte activité (en attaque comme en défense). Mais certains pays émergents profitent de la demande pour proposer des services d'attaque et de compromission, de type APT : l'Iran et le Vietnam commencent à se faire une réputation dans ce domaine[4].

Ça chauffe ?

On dirait : à l'aube des élections présidentielles russes de 2018, les Etats-Unis accusent ouvertement la Russie[5] d'avoir perturbé le fonctionnement des réseaux énergétiques (et d'autres choses[6]) via une attaque informatique, avec des mesures de rétorsion diplomatiques notables[7] en retour. Il semble acquis (en août 2018) que des pirates[8] [9]ont bel et bien réussi à pénétrer un réseau pouvant agir sur la distribution d'électricité, mais sans n'avoir rien déclenché[10] (ou perturbé).

Ce qu'il y a de nouveau ne sont pas les conséquences dans les relations internationales mais l'outil employé pour peser dans ces relations : l'informatique. Les attaques sont désormais tellement structurées et les conséquences tellement visibles que les attaques informatiques constituent un moyen de pression mais aussi un moyen d'action contre ses ennemis.

D'autres exemples

En août 2017, une usine pétrochimique située en Arabie Saoudite aurait été visée par un programme malveillant dont le but aurait été une destruction physique[11] d'installations de cette usine. La complexité de l'attaque est telle qu'il est peut probable qu'elle soit le fait d'un petit groupe isolé : les auteurs avaient de l'information, du temps, et de moyens. L'attaque n'a échoué qu'à cause d'une seule une erreur dans le code.

En janvier 2017, d'autres structures d'Arabie Saoudite avaient été touchées par un programme ayant effacé une grande partie des disques durs touchés. Une attaque qui rappelle celle ayant eu lieu cinq ans plus tôt (le 15 août 2012) où les 3/4 des disques durs ont été effacés[12], ce qui était une des attaques les plus marquantes de l'époque en raison justement de cette destruction physique de données.

En juin 2018, des observateurs ont noté une baisse notables des attaques d'un groupe supposé nord-coréen (Covellite[13]) vers des cibles américaines. Curieusement, cela correspond à une période de réchauffement des relations[14] entre les deux pays, au moment où rencontre entre Potus[15] et Kim Jong Un (le leader nord-coréen) est prévue.

Les forces en présence

Des attaques militaires

En 2010, une corvette militaire sud-coréenne a été coulée (incident de Baengnyeong). Récemment, des analystes ont émis l'hypothèse que des cyberattaquants nord-coréens auraient tenté à de nombreuses reprises de compromettre le service météo sud-coréen[16] afin de prévoir la route de patrouille empruntée par la corvette.

Ça continue !

Les accusations contre la Russie qui compromettrait des installations industrielles continuent à fleurir au début de l'année 2018 comme des fuites d'informations sur AWS S3.

On se défend

Comme on peut. Que ce soit contre la manipulation, ou contre les pirates soutenus par des Etats, les grands acteurs de l'informatique se liguent et s'unissent pour protéger nos intérêts. Ou les leurs. Ou les deux. Tous les grands noms y sont, sauf Apple, Amazon et Google. Ne me demandez pas pourquoi.

Voir aussi

Sources

Russie, NotPetya

Etats

Attaques

APT

Références

  1. 1,0 et 1,1 AFP, « L'ONU veut un cadre juridique pour les cyberguerres », sur L'Express, (consulté le 27 février 2018)
  2. (en) Roland Oliphant, « 'People are going to die' - West warned over covert Russian cyber attacks », sur The Telegraph,
  3. (en) « EU considers baking new norms of cyber-war into security policies », sur The Register (UK),
  4. Davird Grout (FireEye), « Les groupes APT n’existent plus seulement en Chine et en Russie », sur Global Security Mag,
  5. « Les Etats-Unis accusent la Russie d'avoir piraté les réseaux énergétiques », sur www.msn.com (consulté le 16 mars 2018)
  6. (en) « Russian Hackers Attacking U.S. Power Grid and Aviation, FBI Warns », sur Bloomberg,
  7. BFMTV, « Washington annonce des sanctions contre Moscou pour ingérence dans les élections », sur BFMTV (consulté le 16 mars 2018)
  8. (en) Rafael Nam, « Hackers breached US electric utilities: analysts », sur TheHill, (consulté le 3 août 2018)
  9. (en) « RASPITE » (consulté le 3 août 2018)
  10. (en) Wall Street Journal, « Russian Hackers Reach U.S. Utility Control Rooms, Homeland Security Officials Say », (payant), sur wsj.com,
  11. (en) Nicole Perlroth, Clifford Krauss, « A Cyberattack in Saudi Arabia Had a Deadly Goal. Experts Fear Another Try. », sur New York Times, (consulté le 21 mars 2018)
  12. (en) Nicole Perlroth, « In Cyberattack on Saudi Firm, U.S. Sees Iran Firing Back », sur New York Times, (consulté le 21 mars 2018)
  13. (en) Dragos, Inc., « Covellite »,
  14. (en) « North Korean hacking group Covellite abandons US targets », sur ZDNet.com,
  15. @potus est le compte twitter du President Of The United States (of America).
  16. (en) « N.Korea hacked south korean weather service ahead of Cheonan sinking », sur National Cyber Security,