VentCyber – Le vent se lève

Cyberwarfare truth tactics and strategies – Guerre informatique : vérités, tactiques et stratégies – Chapitre 1

Chapitre 1

Les hackers ne sont pas comme Hollywood nous les montre

La cybersécurité moderne présente un contraste frappant entre mythes populaires et réalités opérationnelles. Les véritables acteurs des cyberattaques les plus sophistiquées sont généralement des professionnels hautement qualifiés, souvent soutenus par des structures gouvernementales.

Le monde numérique constitue désormais un champ de bataille stratégique majeur du 21ème siècle. Cette nouvelle forme de confrontation se caractérise par sa présence universelle, affectant simultanément les infrastructures critiques, les entreprises et les particuliers.

L’extraordinaire croissance des réseaux et des données a créé un espace où convergent tous les enjeux contemporains: politiques, économiques, militaires et culturels. Les méthodes d’attaque évoluent constamment, s’adaptant aux innovations technologiques et présentant des défis sans précédent pour la sécurité internationale.

Cette « guerre froide numérique » redéfinit les concepts traditionnels de conflit et de pouvoir dans un environnement où les frontières physiques perdent de leur pertinence.

La bataille des faisceaux

La bataille des faisceaux radio représente l’une des premières utilisations stratégiques du spectre électromagnétique comme domaine opérationnel militaire. Pendant la Seconde Guerre mondiale, les bombardiers allemands utilisaient un système de navigation basé sur des signaux radio transmis depuis l’Europe continentale pour atteindre précisément leurs cibles britanniques dans l’obscurité.

Les ingénieurs britanniques, ayant découvert cette méthode, développèrent des contre-mesures sophistiquées. En diffusant des signaux similaires sur les fréquences allemandes à des moments précis, ils parvinrent à tromper les pilotes ennemis, les amenant à larguer leurs bombes sur des zones choisies par les Britanniques.

Cette manipulation électronique rendit également le retour à la base extrêmement difficile pour de nombreux bombardiers allemands, certains atterrissant même par erreur sur des terrains de la Royal Air Force. Cette utilisation tactique du spectre de fréquences illustre la puissance opérationnelle d’un domaine qui, cinquante ans plus tard, serait formellement reconnu comme espace de combat cybernétique.

Hacks de modems

Les premières recherches approfondies sur les menaces informatiques ont débuté dans les années 1970, mais concernaient principalement les réseaux téléphoniques et non les ordinateurs. L’automatisation rapide du système téléphonique en pleine expansion générait divers problèmes techniques – appels spontanés, numéros attribués à des personnes sans téléphone – considérés initialement comme des dysfonctionnements plutôt que des menaces.

Dans les années 1980, le modem est devenu l’outil principal de connexion pour les réseaux grandissants, devenant par conséquent le point de vulnérabilité privilégié pour les intrusions. C’est à cette époque, avec la démocratisation des ordinateurs domestiques, que la notion de virus informatique a commencé à apparaître dans la littérature publique.

Un groupe nommé les « 414s » (d’après leur indicatif téléphonique) a marqué l’histoire en ciblant notamment le Laboratoire national de Los Alamos et un centre de recherche sur le cancer. Ils exploitaient les failles des technologies d’automatisation téléphonique grâce à du code malveillant et une connaissance approfondie des systèmes. Suite à cette première campagne de menace informatique documentée, le gouvernement fédéral a adopté le Computer Crime and Abuse Act, définissant les systèmes protégés et les sanctions applicables aux actions malveillantes.

Croissance des antivirus

Seules quelques entreprises innovantes et industrieuses avaient compris le potentiel malveillant des activités menées par les hackers et les groupes de pirates informatiques.

C’est durant cette période que des entreprises comme Symantec et IBM commencèrent à étudier les virus et logiciels malveillants pour isoler et atténuer la menace. L’entreprise d’antivirus McAfee fut fondée à cette époque. John McAfee avait remarqué que les ordinateurs de nombreux amis et collègues fonctionnaient anormalement et très lentement. Après recherche, il détermina que des programmes avaient été installés intentionnellement pour nuire aux systèmes, ou que certains programmes se dégradaient et endommageaient les systèmes sur lesquels ils s’exécutaient.

Après des travaux techniques, McAfee parvint à créer des signatures spécifiques pour les anomalies de ces programmes, donnant naissance au système antivirus basé sur les signatures. Cette méthode de reconnaissance de signatures et de détection de comportements anormaux fut immédiatement reconnue comme cruciale pour la détection de ces nouvelles menaces. Rapidement, d’autres entreprises suivirent cette voie, marquant effectivement la naissance des opérations de cybersécurité défensive en entreprise.

Ce n’est qu’en 1987 que le gouvernement fédéral commença à s’intéresser à ce type d’activité, créant la première équipe d’intervention d’urgence informatique (CERT). Au début des années 1990, le taux de détection de virus informatiques dépassait 1000 instances par mois. Avec l’évolution de la détection et de l’isolation des virus en discipline informatique, la création de signatures pour les programmes viraux augmenta également de façon exponentielle. En 1995, plus de 250 000 virus ou variants étaient devenus courants. Tous ces premiers exploits et attaques n’étaient rien comparés à la croissance des cybermenaces qui émergeraient au début du 21e siècle.

L’avènement des menaces persistantes avancées (APT)

Le domaine des cybermenaces ciblées et de la recherche associée n’existait pas formellement avant le début des années 2000, hormis dans les pratiques gouvernementales américaines et d’autres agences nationales. Les premières mentions publiques de cybermenaces apparurent en 2001 lors d’un briefing non classifié de l’Agence Nationale de Sécurité, initialement destiné à aborder la sécurisation du réseau du Département de la Défense. Ce rapport révéla l’existence de menaces sophistiquées probablement déjà infiltrées dans de nombreux réseaux du DoD.

Le terme APT (Advanced Persistent Threat) émergea lors d’une discussion à l’Agence de Renseignement de l’Armée de l’Air, quand des lieutenants-colonels cherchaient à classifier ces nouveaux types de hackers très bien formés, financés par des États ou des organisations criminelles. Ce terme est rapidement devenu la norme industrielle pour désigner les opérateurs cyber gouvernementaux étrangers et les équipes de menace qualifiées.

Pour qu’une attaque soit considérée comme APT, elle doit généralement répondre à trois critères:

  • Avancée: disposer d’un spectre complet de techniques de renseignement
  • Persistante: privilégier des objectifs spécifiques plutôt qu’opportunistes, avec maintien d’accès à long terme
  • Menace: être exécutée par des actions humaines coordonnées avec des objectifs précis, soutenues par un financement important

Les principaux acteurs APT incluent:

  • La Russie: visant à améliorer sa position de puissance mondiale, avec des opérations à long terme incluant espionnage humain et capacité d’action cyber-cinétique
  • La Chine: particulièrement efficace dans le vol de propriété intellectuelle via des opérations cybernétiques, dans une stratégie nationale de « bond en avant » technologique
  • La Corée du Nord: limitée par sa connectivité restreinte, ciblant principalement les entités qui nuisent à son image nationale
  • Israël: avec l’Unité 8200, groupe d’élite bien financé, ayant notamment conduit la première réponse cinétique à une cyberattaque

Malgré ces définitions, il n’existe pas de consensus international sur ce qui constitue une attaque APT, même au sein d’organisations comme l’OTAN ou entre différentes agences américaines (NSA, CIA, FBI), illustrant la nature dynamique et fluide de ce domaine d’étude.

Premières attaques APT

Au milieu et à la fin des années 2000, une grande partie de l’industrie informatique et d’Internet se concentrait uniquement sur l’amélioration de la vitesse et de l’interopérabilité des réseaux ainsi que sur la convivialité des produits, accordant peu ou pas d’attention réelle à la sécurité ou aux cybermenaces. Ce n’est qu’avec la découverte d’une attaque coordonnée à grande échelle que la préoccupation pour l’avenir de la sécurité informatique, puis cybernétique, est devenue une considération sérieuse tant pour les développeurs que pour les responsables politiques. Cette première véritable cyberattaque d’envergure significative fut la découverte du botnet Zeus en 2007, qui ciblait notamment le département américain des Transports et fut responsable de l’extraction de grandes quantités de données des systèmes gouvernementaux.

Un large éventail de données, comprenant des mots de passe pour les systèmes de contrôle principaux, des identifiants d’administrateurs système, des cartographies de réseaux et de contrôle, ainsi que des échantillons de code propriétaire, furent dérobés. Bien qu’il y ait eu de nombreux virus informatiques et différentes variantes de menaces antérieures, la découverte du botnet Zeus et les capacités d’ingénierie et de programmation avancées de ses créateurs ont conduit au développement du terme « cyber » et à l’émergence de l’étude dédiée des cybermenaces comme domaine à part entière.

Dans le domaine des opérations de cyber-guerre cinétique, le premier véritable coup d’éclat survint en 2007. La Russie était engagée dans un différend peu actif mais très tendu avec l’Estonie. Alors que ce différend n’avait pas grande importance internationale au-delà d’une couverture médiatique basique, la cyberattaque qui suivit fut certainement significative. Pendant que la tension politique et sociétale montait, le gouvernement russe positionna ses forces physiques pour une invasion de l’Estonie. Au début des opérations terrestres offensives, presque toutes les infrastructures estoniennes basées sur Internet furent attaquées par des attaques par déni de service distribué (DDoS) et mises hors service ou sévèrement dégradées.

Des systèmes bancaires aux sites gouvernementaux, en passant par les médias d’État, les systèmes électriques et tout autre système connecté d’importance militaire ou stratégique, tout fut mis « hors ligne » par ces attaques. Des milliards de paquets furent lancés simultanément depuis des dizaines de milliers d’ordinateurs et de serveurs situés en Russie et ailleurs dans le cadre de cette campagne. Alors que les systèmes estoniens commençaient à s’effondrer et que les communications et la coordination étaient interrompues, l’armée russe se mit en position et imposa sa volonté au gouvernement estonien.

Bien qu’officiellement aucune de ces cyberattaques n’ait été attribuée à ou reconnue par l’armée ou le gouvernement russes, les implications et les indices suggéraient qu’une cyberattaque coordonnée avait été lancée conjointement à cette opération militaire. Ce fut l’un des premiers et des plus puissants exemples à l’ère moderne de la guerre, montrant comment une cyberattaque relativement simple mais coordonnée pouvait non seulement entraver les communications, mais aussi gravement entraver un système de défense et causer une réelle perte de commandement et de contrôle pour ceux qui étaient attaqués.

Confusion dans la défense cyber

Dans l’histoire plus récente, la définition de la cybermenace et toute tentative de délimiter systématiquement ou intelligemment les différences entre ce qui constitue une cybermenace est devenue au mieux difficile. Considérons l’utilisation des logiciels malveillants en relation avec la cybersécurité et les cybermenaces. Bien que les malwares soient certainement considérés comme un sous-ensemble des problèmes de cybermenace, ce n’est pas en soi un terme d’identification. Généralement, les recherches et travaux académiques dans le domaine cyber discutent maintenant des malwares comme une partie du problème cyber, et toute recherche ou discussion du terme malware se décompose immédiatement en une classification du type de malware lui-même. De plus, des termes et définitions comme l’ingénierie sociale et l’exploitation sont devenus partie intégrante de la définition collective de la recherche sur les cybermenaces.

Ils ne sont généralement pas considérés comme des corollaires spécifiques à un ensemble de groupes de cybermenaces ou à certaines opérations. Ces termes et leurs utilisations, dans la recherche cyber, évoluent presque quotidiennement et sont devenus davantage une étude visant à lier des actions ou opérations cyber spécifiques à un groupe de cybermenaces, plutôt que de déterminer avec précision quels termes peuvent être liés à quelle cybermenace. C’est l’équivalent linguistique d’essayer d’attraper la pluie dans sa main ; le médium se déplace simplement trop rapidement et se reforme selon ses propres caprices.

L’appareil de défense cyber des États-Unis et de leurs alliés

Il faudrait attendre le milieu des années 1990 pour qu’une unité formelle et dédiée au combat soit établie afin d’assurer le commandement et le contrôle des infrastructures liées à la sécurité nationale, et de développer des opérations qui renforceraient la capacité des États-Unis à défendre leurs intérêts nationaux dans le cyberespace. En Europe, la création d’une entité de combat fonctionnelle capable d’opérer au niveau secret ou clandestin dans le cyberespace ne prendrait forme qu’au milieu des années 2000, avec la formalisation de la task force cyber de l’OTAN et des unités de cybersécurité du Government Communications Headquarters (GCHQ) britannique.

Ce serait encore plus tard, en 2009, qu’un organisme de commandement militaire unique serait établi pour entreprendre des actions offensives dans le cyberespace sécuritaire au niveau national. Cela s’est fait avec la création du Cyber Command américain, dont le siège se trouve à la NSA à Fort Meade, Maryland.

Un point important concernant l’évolution de cet espace, ainsi que l’établissement de ces nouveaux commandements et les pouvoirs et capacités qu’ils englobent désormais, est que cela s’est produit presque entièrement dans un effort défensif, non offensif. La création de l’ensemble de ces entités de combat était presque uniquement fondée sur le principe de défendre leurs actifs et infrastructures nationaux respectifs. Ce n’est que vers la fin des années 2000 que de véritables capacités cyber offensives ont été mises en pratique ou utilisées. Cette évolution lente mais importante, passant d’une concentration sur la guerre de l’information (obtenir des connaissances et des informations sur l’adversaire) à la cyber-guerre (mener des attaques cinétiques et non cinétiques contre l’adversaire), indique un changement subtil de mission au fil du temps, basé sur la prise de conscience du changement dans l’espace de bataille : d’un espace où l’information est une marchandise nécessaire à la communauté du renseignement national à un espace d’attaque et de défense des systèmes utilisés pour traiter, stocker et transmettre l’information et les infrastructures critiques.

Le tir cybernétique entendu dans le monde entier

Stuxnet représente l’une des premières cyber-armes de niveau étatique devenue publique. Développée probablement entre 2003 et 2004, cette arme sophistiquée est généralement attribuée aux États-Unis, possiblement avec la collaboration d’Israël (Unité 8200). Son objectif était de ralentir le programme nucléaire iranien en ciblant les installations d’enrichissement d’uranium de Natanz.

L’opération visait spécifiquement les contrôleurs logiques programmables (PLC) Siemens S7 qui géraient les centrifugeuses d’enrichissement d’uranium. L’infection initiale s’est probablement produite via une clé USB introduite par des agents sur place. Une fois infiltré, le ver a perturbé le fonctionnement des centrifugeuses en modifiant leur vitesse, endommageant ainsi physiquement les équipements et retardant le programme nucléaire iranien.

Cependant, Stuxnet s’est propagé bien au-delà de sa cible initiale. Plus de 100 000 adresses IP uniques ont été exposées au virus, et plus de 40 000 infections ont été détectées « dans la nature » jusqu’à trois ans après les attaques de Natanz. Cette prolifération a mené à l’émergence de plusieurs variantes:

  • Duqu (2011): Découvert à Budapest, axé sur la collecte d’informations plutôt que la destruction physique
  • Flame (2012): Modifié pour enregistrer des conversations vocales et textuelles, y compris les appels Skype
  • Triton (2017): Conçu pour désactiver les systèmes de sécurité dans les usines pétrochimiques, surnommé « le malware le plus meurtrier du monde »

L’attaque Stuxnet a marqué le début d’une guerre secrète dans le cyberespace, où des armes initialement développées par des États sont devenues accessibles à divers acteurs. Ces outils sophistiqués, conçus pour des opérations ciblées, se sont transformés en commodités sur internet que n’importe qui peut potentiellement utiliser contre ses cibles.

Guerre cybernétique de représailles

En réponse aux attaques Stuxnet, l’Iran n’est pas resté passif et a rapidement développé ses propres capacités offensives dans le cyberespace. En 2012, « Operation Cleaver » a été lancée comme réponse directe à Stuxnet. Cette opération iranienne visait un éventail beaucoup plus large de cibles que Stuxnet, notamment:

  • Des installations militaires
  • Des infrastructures pétrolières et gazières
  • Des services énergétiques et publics
  • Des systèmes de transport, compagnies aériennes et aéroports
  • Des hôpitaux et établissements de santé
  • Des entreprises de télécommunications et de technologie
  • Des institutions éducatives
  • Des industries aérospatiales et de défense
  • Des entreprises chimiques
  • Des gouvernements étrangers

D’autres cyberattaques de représailles ont également été lancées par l’Iran, notamment « Shamoon » et « Operation Ababil », qui ciblaient spécifiquement les systèmes bancaires américains et les opérations pétrolières saoudiennes.

Contrairement à Stuxnet qui visait à causer des dommages physiques à court terme aux centrifugeuses nucléaires iraniennes, Operation Cleaver était conçue comme une stratégie à plus long terme. Son objectif principal était d’extraire des propriétés intellectuelles et des données pouvant offrir un avantage économique à l’Iran.

Les logiciels malveillants utilisés lors de cette opération démontraient que les Iraniens avaient tiré des leçons de Stuxnet après avoir analysé ses mécanismes. Les malwares de l’Operation Cleaver fonctionnaient de manière similaire: identification d’une cible vulnérable, exploitation de failles, infiltration profonde dans le réseau, puis utilisation d’infrastructures de commande et contrôle pour extraire des données des environnements compromis.

Cependant, alors que Stuxnet était un logiciel malveillant clandestin et sophistiqué (comparable à un « scalpel numérique »), les outils de Cleaver étaient plus directs et moins discrets (comparable à un « marteau-piqueur »), utilisant ouvertement des exploits connus sans chercher à dissimuler leurs traces. Cette approche moins subtile a été interprétée par de nombreux analystes et responsables gouvernementaux occidentaux comme une démonstration de force délibérée de la part de l’Iran.

La boîte de Pandore s’ouvre brutalement

La seconde moitié des années 2010 a été tout aussi déterminante pour l’avenir de la cyber-guerre que la première moitié de cette décennie. Cependant, cette fois-ci, la révélation des cyber-armes n’était pas uniquement due aux confrontations entre États-nations, mais également à l’intervention de groupes de hackers indépendants cherchant à semer le chaos.

Les « Shadow Brokers » sont apparus sur le devant de la scène en 2015-2016. Leur nom fait référence au jeu vidéo populaire « Mass Effect », dans lequel le Shadow Broker dirige une organisation spécialisée dans le commerce d’informations au plus offrant. Le groupe Shadow Brokers dans le cyberespace s’est montré particulièrement compétent dans ce domaine.

Le 13 août 2016, les Shadow Brokers ont publié un avis sur Pastebin affirmant qu’ils avaient obtenu, par des moyens non divulgués, l’accès à des outils spécifiques provenant du « Equation Group » – une entité connue pour être liée aux opérations d’accès sur mesure (Tailored Access Operations) de la NSA à Fort Meade, Maryland. Cette unité, qui a évolué vers la création du US Cyber Command en 2010, est considérée comme directement responsable de la conception et du déploiement de Stuxnet – la fonderie d’armes numériques du gouvernement américain.

Dans leur annonce, les Shadow Brokers proposaient de mettre aux enchères les « meilleures armes cyber » au plus offrant, prétendant que ces fichiers étaient « meilleurs que Stuxnet ». En octobre 2017, ils ont à nouveau affirmé posséder des outils de niveau NSA utilisés par le Equation Group.

La fuite la plus impactante des Shadow Brokers est survenue en avril 2017, lorsqu’ils ont publié un tweet contenant des liens vers des exploits classifiés, dont le plus puissant était « EternalBlue ». Cet exploit a directement entraîné l’infection de plus de 200 000 machines dans les deux premières semaines suivant sa publication en ligne. Des éléments de l’exploit EternalBlue sont apparus dans les attaques de ransomware WannaCry et NotPetya qui ont suivi, affectant des millions de machines et causant des milliards de dollars de pertes pour des organisations du monde entier.

Bien que les motivations précises des Shadow Brokers restent inconnues, les conséquences de leurs actions sont indéniables. À ce jour, personne n’a revendiqué la responsabilité des fuites des Shadow Brokers, probablement par crainte de représailles du gouvernement fédéral américain. Des individus comme Harold T. Martin, un ancien sous-traitant de Booz Allen Hamilton, ont été soupçonnés d’être impliqués après que le FBI ait trouvé plus de 50 téraoctets d’outils et d’exploits volés à la NSA lors d’une perquisition à son domicile, mais ces allégations n’ont jamais été prouvées. Edward Snowden a suggéré sur Twitter que « les preuves circonstancielles et la sagesse conventionnelle indiquent une responsabilité russe », mais cela n’a jamais été confirmé.

Quelle que soit l’identité réelle des Shadow Brokers – qu’il s’agisse de taupes russes, d’employés mécontents, de hackers étatiques ou d’activistes politiques – ces fuites équivalaient à rendre des armes tactiques conçues par un gouvernement librement accessibles à n’importe qui sur la planète.

Conclusion

Bien que la cyber-guerre soit actuellement limitée aux réseaux d’information et aux systèmes connectés, son expansion sera drastique dans un avenir proche. Plutôt que de choisir entre des effets cinétiques ou non cinétiques, les acteurs malveillants et les cyber-combattants sélectionneront simplement l’approche la plus efficace pour atteindre leurs objectifs.

Les impacts cyber ne seront plus limités aux réseaux informatiques et aux infrastructures, mais engloberont tous les systèmes de traitement d’information électronique à travers les domaines terrestre, aérien, maritime, spatial et cybernétique. L’avenir de la cyber-guerre n’est malheureusement pas entravé par des politiques, des technologies ou des menaces spécifiques. Les fuites d’exploits majeurs de niveau étatique comme BlueKeep et ses variantes, ainsi que la prolifération de multiplicateurs de force comme l’influence via les réseaux sociaux et les tactiques de bots, vont accélérer et intensifier la variété et la férocité des futures cyber-attaques.

Les nouvelles technologies auront des effets disproportionnés, non seulement sur les armes utilisées dans le cyberespace, mais aussi sur la structure même du domaine. Les politiques nationales sur le cyberespace dictent les objectifs et les règles d’engagement pour les capacités cyber, ainsi que l’organisation et l’exécution des opérations, mais ces « règles » ne s’appliquent qu’aux nations et combattants qui acceptent de s’y soumettre. Il n’existe pas de convention de Genève pour le cyberespace, et l’établissement de limites pour les défenseurs ne fait en réalité qu’avantager ceux qui ne respectent pas les règles.

Le cyberespace est le seul domaine sur la planète où un État comme la Corée du Nord ou l’Iran peut avoir un impact aussi dévastateur que les nations les plus puissantes de la Terre. L’utilisation de l’espace numérique a effectivement nivelé le terrain de jeu.

Le monde numérique est l’endroit où les nations et les organisations continueront à se battre pour l’avenir. Contrôler ce « terrain » et prendre l’initiative à l’ennemi n’est pas nouveau dans les annales de l’espionnage et de la guerre; il s’agit simplement d’une évolution des outils et des tactiques nécessitée par l’évolution des champs de bataille qui continuera à alimenter cette Nouvelle Guerre Froide.

Une dure vérité s’impose pour ceux pris entre les cyber-superpuissances en guerre et les organisations de hackers du monde entier: nous avons construit nos systèmes et infrastructures de manière à permettre à ces attaques de réussir. Un demi-siècle d’innovation excessive et une dépendance à un paradigme de sécurité défaillant continueront à faciliter le succès de ces incursions et exploits.

redemerald26