mardi 16 mai 2017

Wannacry : un cyber-braquage à la fois hors-norme et d’un classicisme certain

Depuis trois jours, les médias du monde entier traitent en boucle ce qu’ils qualifient comme la plus importante cyberattaque qu’ait connu le monde jusqu’à présent. Les adjectifs apocalyptiques sont utilisés à foison, laissant malheureusement trop de place à la réaction à chaud au lieu de la mise en perspective de cette cyberattaque qui, même si elle est impressionnante par son champ d’action, mérite d’être considérée pour ce qu’elle est, à savoir une tentative à l’échelle mondiale de demande de rançon via le biais numérique. 

Pour rappel, des hackers sont parvenus à contaminer des entreprises, des hôpitaux, des ministères et d’autres entités dans le monde entier (on parle de deux cent mille postes touchés dans une centaine de pays, mais ces chiffres sont amenés à évoluer) via un ransomware appelé Wannacry, logiciel chiffrant l’ensemble des données d’un ordinateur et exigeant une rançon pour obtenir la clé permettant de déchiffrer et de récupérer ces données. D’après les premiers éléments disponibles, ce logiciel a pu se développer rapidement et à grande échelle grâce à une faille dans le système d’exploitation Windows (les versions anciennes sont principalement concernées). 

Ce qui est nouveau par rapport aux autres cas de ransomware, c’est qu’il semble bien que la connaissance de la faille utilisée soit due à la diffusion non autorisée en avril dernier par un groupe de hackers d’outils utilisés par la NSA, l’agence de renseignement américaine. Cela a fait dire à certains que la NSA était en partie responsable de cette cyberattaque et qu’elle aurait dû avertir la société Microsoft, éditrice du logiciel Windows, de l’existence de cette faille dès sa découverte afin qu’elle soit corrigée et que les utilisateurs soient protégés. Ainsi, l’ex consultant de la NSA Edward Snowden a dénoncé sur Twitter le comportement de la NSA, allant même jusqu’à dire que rien de tout cela ne se serait passé si la NSA avait une politique de communication des failles. Il a été rejoint dans sa démarche par des représentants de Microsoft, dont Brad Smith, le directeur juridique du groupe qui n’a pas hésité sur son blog à dramatiser à l’excès l’événement, se risquant à comparer cette affaire cybernétique à un vol de missiles… Microsoft a dans le même esprit demandé aux gouvernements de ne pas cacher les failles qui seraient découvertes et cherche à mobiliser les différents acteurs du cyberespace en vue de la mise en place d’une pratique de bonne conduite en matière de publication des failles. 

Il nous semble de notre côté que ces arguments, bien que d’apparence évidente et par certains aspects moraux, ne répondent pas à la réalité stratégique du cyberespace. Que la NSA ou d’autres services de renseignement dans le monde aient des équipes développant des outils numériques afin d’être efficaces dans le cyberespace qui devient un théâtre d’opération à part entière, cela n’a rien de choquant, bien au contraire. La découverte et l’exploitation des failles dites « zero day » est nécessaire pour mener des activités de renseignement afin de récupérer des informations sur le poste informatique de telle ou telle personne surveillée. Concernant ces failles justement, c’est le travail des éditeurs de logiciels que de les repérer et de concevoir les correctifs. Dans le cas présent, Microsoft a été très réactif mais il ne peut être le seul acteur des mises à jour pour protéger les systèmes informatiques. Les utilisateurs et les responsables informatiques dans les entreprises doivent être attentifs à cette démarche. Notons au passage que Microsoft a dû revoir sa politique de suivi technique car le système principalement touché, Windows XP, n’était plus en théorie suivi par les équipes techniques. 

Cela pose d’ailleurs deux problèmes majeurs : il y a en premier lieu le temps nécessairement long à de grandes entreprises ou des administrations pour migrer leurs systèmes informatiques vers des versions plus récentes. Cela représente des coûts humains et financiers très conséquents avec le risque d’un système parfois instable, et donc beaucoup de structures privilégient un système maîtrisé bien qu’ancien. Deuxièmement, il y a aujourd’hui dans le cyberespace ce qu’on appelle une fragmentation des systèmes d’exploitation. Le problème est manifeste pour les smartphones où par exemple de très nombreuses versions d’Android cohabitent avec le risque réel de failles de sécurité pour des versions qui n’ont parfois que deux ou trois ans. C’est lié aussi et avant tout à une logique économique des fabricants de produits technologiques qui n’assurent qu’un suivi trop bref de la couche logicielle de leurs produits pour deux raisons : le suivi technique représente un coût financier important et cela pousse le consommateur à changer plus rapidement de smartphone ou d’ordinateur afin d’avoir un produit à jour et sûr. A ce sujet, notons qu’un des problèmes posés concerne donc l’obsolescence programmée qui n’est donc pas que physique (durée de vie des composants) mais aussi logique (via les logiciels).   

Face à ce cyber-braquage, que faire ? Les autorités rappellent les principes de base de l’hygiène informatique : cela va de la sauvegarde de ses données sur des supports déconnectés d’Internet à la suspicion constante vis-à-vis des courriels. C’est de bon sens, mais ces mesures ne sauraient être efficaces à 100% et elles demandent une logistique chronophage. La réalité est que contre ce genre de pratiques très courantes (les ransomware touchent des milliers d’utilisateurs chaque jour dans le monde), il n’y a pas de solution miracle. Seule une réflexion sur la sécurité de l’information que l’on détient pourra conduire à de meilleures pratiques. Une tendance de fond pousse de plus en plus les entreprises, les administrations, les services publics tels que les hôpitaux à migrer vers des solutions tout numériques. Il y a certes des avantages financiers évidents, mais si on replace ces derniers dans un tout, avec le risque de perdre ses données à la moindre cyberattaque, la question de ce qui doit être absolument ou pas informatisé doit être systématiquement posée. Sans aller à l’extrême avec un retour au papier et au crayon, il faudrait davantage penser en « monde clos » les réseaux informatiques vitaux des structures pour limiter le risque de chiffrement de ses données à son insu. Cela peut passer par des systèmes d’exploitation reposant sur des versions retravaillées de Linux par exemple, de pare-feux plus performants, d’une limitation plus drastique de l’utilisation des outils de communication sur les postes informatiques (mails, réseaux sociaux). Rappelons que bien souvent la cyberattaque réussit grâce à une faille humaine : un employé crédule qui ouvre un courriel, un autre qui protège mal son ordinateur, un autre qui navigue sur les réseaux sociaux alors qu’il a accès en direct par ailleurs à des informations sensibles. La liste des possibilités est très longue malheureusement, et les utilisateurs doivent s’habituer à ne pas avoir une confiance aveugle dans leurs systèmes informatiques. Cela peut paraître surprenant à première vue, mais ces derniers sont bien plus vulnérables que nous ne le pensons.   

Il y a un risque réel que les auteurs de Wannacry poursuivent leurs méfaits avec des versions modifiées du logiciel pour échapper à la détection des solutions de sécurité informatique, mais je ne crois pas au « cyber-chaos » avancé par certains. Il y a aujourd’hui de nombreux experts qui cherchent des failles dans le logiciel des hackers afin de développer des contre-mesures pour le bloquer efficacement. Qu’il y ait encore des utilisateurs touchés par ce ransomware, c’est évident, mais ce seront surtout des utilisateurs qui n’auront pas fait les mises à jour de leurs systèmes. Concernant les hackers responsables de l’opération, on ne sait rien d’eux pour l’instant. Leur motivation peut être pécuniaire, même si dans le texte affiché par le programme, il y a quelques passages laissant supposer un certain détachement concernant cette dimension financière. Leur stratégie ne nous semble pas être liée à des cibles précises si l’on se réfère à l’hétérogénéité des entreprises et autres structures touchées. Sans doute cherchent-ils à semer la « pagaille » dans le cyberespace et de ce point de vue, c’est réussi, même pour un bref moment. A moins d’erreurs grossières de leur part, il est peu probable qu’ils soient retrouvés rapidement car leurs outils leur confèrent un réel anonymat. Les autorités doivent essayer malgré tout de les appréhender afin d’éviter un appel d’air pour d’autres groupes de hackers qui y verraient une formidable occasion de gagner de l’argent illégalement en toute impunité.  

Pour conclure, l’affaire Wannacry rappelle à chacun la fragilité de nos systèmes informatiques sur lesquels pourtant nous déposons toujours plus de données sensibles sans prendre conscience qu’elles peuvent nous être inaccessibles en quelques minutes. Pour autant, avec une bonne « hygiène informatique », on peut éviter la plupart de ces cyberattaques très fréquentes et qui ont vocation à croître. Wannacry est en fin de compte une opération très classique qui a su être menée au bon moment (veille de week-end) avec un bon canal (une faille de sécurité affectant des millions de postes) pour devenir à la fois un événement cybernétique important, mais aussi un événement médiatique impressionnant. 

Tribune publiée initialement pour le Huffington Post Québec le 16 mai 2017 (http://quebec.huffingtonpost.ca/maxime-pinard/wannacry-un-cyberbraquage_b_16628234.html)

mardi 4 avril 2017

Poids du cyber et des stratégies d'influence dans les élections

Dans quelques semaines pour la France et quelques mois pour l'Allemagne, deux puissances majeures de l'Union européenne vont connaître des élections qui risquent de changer le paysage politique, surtout en France. Ces élections sont donc scrutées de manière plus soutenue par les observateurs internationaux, d'autant plus que l'issue des votes semble très incertaine. Contrairement aux campagnes précédentes, l'enjeu du cyber revêt un intérêt croissant eu égard à la victoire de Donald Trump aux États-Unis, certains observateurs l'estimant liée à la cyberattaque qu'a subi le camp démocrate, fragilisant Hillary Clinton.

Notons avant la suite de notre propos que cette assertion mérite d'être prise avec beaucoup de précautions. Qu'il y ait eu piratage du comité démocrate, c'est un fait. Que les auteurs soient des hackers russes, c'est fort probable. Que l'initiative ait été directement pilotée par le Kremlin et donc Vladimir Poutine, c'est possible, mais extrêmement difficile à prouver. Que cette cyberattaque ait fait pencher la balance pour le candidat républicain, c'est très difficile à estimer de manière sérieuse. Seules des études approfondies sur les électeurs cibles dans les prochaines années pourront démontrer l'impact de cette cyberattaque. Rappelons simplement que les messages divulgués par les hackers n'étaient pas des faux ; ils n'avaient pas être diffusés, c'est tout.

Ce risque d'une élection perturbée par des actions cybernétiques semble créer une réelle paranoïa au sein de la classe politique et de certains médias qui surestiment le poids du cyber dans les processus électoraux, qui utilisent le terme générique de cyberattaque pour des actions très diverses («faire tomber» les serveurs d'un parti politique n'est pas vraiment la même chose que mener une campagne diffamatoire à l'encontre d'un candidat sur les réseaux sociaux) ou qui simplement oublient que de nombreuses élections par le passé ont fait l'objet d'influences étrangères, le cyber étant simplement un outil nouveau.

Depuis le début de l'année, de nombreux papiers dans les médias français traitent du risque d'une cyberattaque perturbant l'élection présidentielle. Leur démarche a été renforcée à la suite des déclarations de membres de l'équipe d'Emmanuel Macron, expliquant en février faire l'objet de milliers (!) de cyberattaques venant de Russie. Il convient à ce sujet de préciser que les attaques n'étaient en rien sophistiquées, que le site du candidat sujet à ces dites attaques ne répondait pas aux standards actuels de sécurité de base et qu'il était donc facile d'y trouver une faille de sécurité, et qu'enfin, comme pour toute attaque dans le cyberespace, la question de l'attribution est extrêmement problématique. En résumé, cette plainte du camp d'un candidat ne mérite pas toute l'attention que lui ont portée les médias.

Les autorités françaises cherchent cependant à éviter de « vraies » cyberattaques, qui perturberaient via des moyens techniques sophistiqués (accès aux listes électorales pour les modifier et les rendre invalides, accès aux serveurs des partis pour diffuser des communications internes, etc.) le processus électoral. Les partis politiques ont ainsi été sensibilisés à ces risques d'intrusion et sont en contact avec l'ANSSI, l'agence nationale de la sécurité des systèmes d'information. Le président François Hollande s'est également prononcé sur la question, souhaitant un bon déroulement à la campagne.

On pouvait espérer un apaisement et une réflexion plus poussée sur les enjeux du numérique dans une campagne présidentielle, mais c'était sans compter sur le sénateur américain Richard Burr, chef de la commission du Renseignement qui a déclaré cette semaine: «Je pense qu'il est raisonnable de dire, d'après ce que tout le monde estime, que les Russes sont activement impliqués dans les élections françaises» (...) «Nous estimons qu'il est de notre responsabilité de communiquer au reste du monde ce qu'il se passe, parce que nous sommes face désormais à la diffamation de candidats». Notons tout d'abord que le sénateur est très flou dans sa déclaration, ce qui peut se comprendre pour des raisons de secret de l'information, mais qui pose problème pour qui souhaite vérifier les dires du politicien.

Deuxièmement, la Russie est l'unique accusé dans les propos du sénateur Richard Burr. Sans nier les campagnes d'influence massives menées par la Russie, il nous paraît peu probable que la France ne soit l'objet que d'une seule stratégie d'influence étrangère. Troisièmement, concernant la diffamation des candidats, on peut être surpris par cette remarque dans la mesure où l'action de diffamer l'adversaire est monnaie courante (les fameuses « boules puantes ») et qu'elle n'a rien de spécifiquement cyber, si ce n'est que la dimension cyber peut accentuer ses effets.

Pensons ainsi aux messages sur les réseaux sociaux donnant des surnoms à consonance arabe à différents candidats pour laisser supposer de leur part un positionnement pro-arabe / pro musulman. Pensons également aux « guerres d'intox » menées par plusieurs équipes web des candidats qui diffusent de fausses informations sur leurs adversaires. En résumé, des stratégies de désinformation et d'influence sont déjà à l'œuvre (et l'ont déjà été dans des élections passées) au niveau franco-français. Il y a des médias prorusses qui diffusent des informations biaisées, mais il est très difficile de comprendre le jeu russe et de voir qui réellement la Russie soutient. On pouvait penser à un soutien clair pour François Fillon, eu égard aux relations étroites de ce dernier avec des dirigeants russes, mais il n'y a rien d'évident dans les articles des médias pro-Kremlin. De même, la visite de la candidate d'extrême droite Marine Le Pen au Kremlin le 24 mars, où elle s'est entretenue avec Vladimir Poutine, ne signifie pas pour autant que le président russe a son candidat de prédilection et qu'il mène de vastes opérations d'influence en vue de l'aider. Au contraire, la rencontre Le Pen / Poutine dans un contexte de sentiment de défiance à l'encontre de la Russie n'est pas forcément un calcul politique pertinent.

Sans pour autant nier la possibilité de cyberattaques affectant la campagne de tel ou tel candidat, ce qui nécessiterait des compétences techniques importantes et des ressources en matière de renseignement pour un résultat concret, on peut demeurer relativement sceptique face à la déclaration du sénateur américain. Toute élection comporte des menaces pouvant en perturber le bon déroulement, et cette communication vise surtout à renforcer l'idée d'une guerre de l'information menée par la Russie, laissant de côté le hard et le soft power, pour un smart power qui s'appuierait sur les facilités qu'offrent les outils cybernétiques.

Rappelons simplement que ces accusations sont portées par un élu d'un pays dont les activités en matière de sécurité / défense dans le cyberespace sont pour certaines d'entre elles critiquables (révélations de Snowden, mises sur écoutes d'instances européennes, internationales, de dirigeants alliés...). Quant à la Russie, elle joue habilement sa partition, niant toute action dans le cyberespace, jouant sur la difficulté d'attribuer précisément une cyberattaque.

Le suivi du bon déroulement de l'élection sera un bon moyen de mesurer la sous ou la surinterprétation de la dimension cyber et des stratégies d'influence liées. Souvenons-nous que lors des Printemps arabes, un emballement dans de nombreux médias avait conduit à parler de « Révolution Twitter », « Révolution Facebook » et autres termes, donnant au cyber un poids disproportionné dans les processus de changements de régime dans la région.


Tribune publiée initialement pour le Huffington Post Québec le 4 avril 2017 (http://quebec.huffingtonpost.ca/maxime-pinard/poids-du-cyber-et-des-str_b_15749150.html)

jeudi 16 mars 2017

Interview Sputnik "le cyberespionnage utilise les failles des appareils électroniques"

                     Interview pour la radio Sputnik par Vera Kolessina-Trannoy le 15 mars 2017 sur 
"le cyberespionnage utilise les failles des appareils électroniques"

mardi 20 décembre 2016

Cyberconflictualité américano-russe: un nouveau cap a-t-il été franchi?

Lorsqu'on étudie l'Histoire, on cherche à déterminer l'importance des événements, à éviter de sous ou de sur interpréter un fait, à déterminer des moments clés qui ont créé des ruptures. Dans le cadre de la géopolitique, l'exercice est plus complexe, car nous manquons souvent de sources, de recul, et nous tentons d'interpréter des faits dont certains, par essence, ne nous sont pas entièrement accessibles. C'est le cas entre autres des événements géopolitiques liés au cyberespace, où l'accès à l'information est complexe et souvent parcellaire. Pourtant, à travers l'actualité récente américano-russe, nous avons matière à discuter d'un éventuel tournant dans l'histoire récente du cyberespace.

Le président américain Barack Obama, encore en poste jusqu'en janvier 2017, s'est illustré la semaine passée par plusieurs déclarations qui ne respectent pas les codes habituels de la diplomatie dans le cadre du cyberespace. Toutes les puissances dotées de capacités cybernétiques font appel à ces dernières pour préserver ou renforcer leur souveraineté numérique, s'en prenant aussi bien à des ennemis qu'à leurs alliés. Cela a été révélé au grand jour entre autres par Edward Snowden, constituant une parenthèse dans cette histoire « grise » de la guerre d'influence que se livrent les puissances avec un potentiel accru dû aux nouvelles technologies, le maître mot étant de ne pas faire de publicité, de communication sur les actions entreprises dans le cyberespace.

Qu'il s'agisse de la cyberattaque contre la Géorgie en 2008, du virus Stuxnet contre les installations nucléaires iraniennes en 2010, et il y en a beaucoup d'autres, les commanditaires sont toujours restés discrets et ceux soupçonnés d'être à l'origine de ces attaques ont toujours eu des réponses floues, l'avantage étant de nier sa responsabilité tout en laissant entendre que l'on en a malgré tout les capacités.

Dans le cadre d'une puissance numérique, il était jusqu'à présent extrêmement rare de communiquer sur une éventuelle cyberattaque que l'on aurait subie. Les États-Unis en mai 2014, à la grande surprise de beaucoup d'observateurs, avaient lancé un mandat d'arrêt contre cinq militaires chinois soupçonnés d'espionnage via des cyberattaques. Cela s'était « réglé » (les guillemets sont de mise) par un accord de principe entre Pékin et Washington un an plus tard, où chacun acceptait de ne plus voler de secrets commerciaux via Internet. Les termes exacts de l'accord ne furent pas rendus publics, et on peut douter de l'efficacité d'un tel accord, si ce n'est qu'il fixe quelques lignes rouges à ne pas dépasser par chacun des protagonistes. C'était la première fois en tout cas qu'une puissance accusait précisément des acteurs étrangers liés au pouvoir d'une autre puissance. Cependant, le cas actuel entre les États-Unis et la Russie est sensiblement différent, car le commanditaire désigné très clairement par Barack Obama est son homologue russe, Vladimir Poutine.

Sans revenir en détail sur le déroulement des événements dont on peut en lire des comptes-rendus détaillés dans les médias, rappelons simplement que plusieurs cyberattaques ont été menées contre le comité national démocrate dans le cadre de l'élection présidentielle américaine, les hackers ayant transmis à Wikileaks les informations volées. La publication des communications internes au parti de la candidate Hillary Clinton a eu nécessairement un impact négatif sur cette dernière, même s'il est encore trop tôt pour l'apprécier réellement. Plusieurs agences de renseignement ont été mandatées pour analyser ces cyberattaques : après des oppositions sur les buts réels des hackers (démontrer la faiblesse du système démocratique américain, favoriser le candidat Donald Trump, davantage pro-russe...), le FBI a validé la thèse de la CIA sur l'implication de la Russie dans l'élection américaine. Des sources vont même plus loin, liant directement le président russe Vladimir Poutine à cette ingérence caractérisée.

Le président Obama a suivi cette ligne, accusant nommément Vladimir Poutine. Son opération de communication s'est faite en deux temps : le 15 décembre à la Radio publique nationale (NPR) et le lendemain lors d'une conférence presse. Le message est clair : le président Obama a affirmé avoir déjà prévenu lors du G20 en Chine en septembre dernier son homologue russe de « conséquences sérieuses » si les cyberattaques perduraient. Il a commandé un rapport qu'il veut détaillé sur les cyberattaques menées, rapport qui devra évidemment lui être remis avant la fin de son mandant. Ce rapport devrait lui permettre de mieux définir la riposte qu'il veut conduire contre la Russie.

A ce sujet, beaucoup d'observateurs ont questionné le flou de la riposte envisagée, mais ce flou est à la fois un calcul politique et un aspect structurel du cyberespace. Dans ce dernier, l'effet de surprise est un facteur majeur de réussite : si votre adversaire ne sait pas quel programme vous allez employer, quelle cible vous allez attaquer, il subira votre cyberattaque et ne pourra pas véritablement l'anticiper, tout au plus la juguler. Cette action du président Obama doit susciter plusieurs commentaires pour en apprécier l'importance stratégique.

Tout d'abord, le président américain ne prend pas de risque politique personnel, étant en fin de mandat. Il peut ainsi exprimer sans retenue sa pensée et mener ses dernières offensives diplomatiques. En agissant ainsi, il poursuit deux buts complémentaires : montrer à la Russie que les États-Unis sont prêts à l'affrontement dans le cyberespace (même si son message perd en intensité, étant en fin de mandat) et surtout, mettre la pression sur Donald Trump en invitant ce dernier à accepter une enquête « bipartite, indépendante » sur ces cyberattaques.

On peut se demander d'ailleurs si l'initiative d'Obama ne s'inscrit pas davantage dans une tactique de politique intérieure que dans une stratégie de politique extérieure. Le but de Barack Obama est peut-être aussi de continuer à mettre en doute la sincérité du scrutin, donc à délégitimer le futur président Trump qui participe pleinement à ce jeu d'échecs, communiquant à plusieurs reprises sur les réseaux sociaux ses doutes quant à une implication russe. Il passe ainsi pour ses adversaires pour un pro-russe, ou pire pour un futur dirigeant manipulé à terme par Poutine.

Deuxièmement, le président américain se met selon nous dans une position de faiblesse. Comme indiqué précédemment, il est de coutume de ne pas communiquer sur les cyberattaques que l'on veut entreprendre. En menaçant la Russie de ripostes, Barack Obama en dit trop et cela profite à Moscou. Le porte-parole du Kremlin, Dmitri Peskov, a indiqué vendredi dernier à propos des accusations américaines qu'il fallait « cesser d'en parler, soit apporter enfin des preuves ». La Russie met ainsi au défi les États-Unis d'apporter leurs preuves (qui semblent solides concernant les aspects techniques et les groupes de hackers cités qui ont laissé, volontairement ou pas, de nombreux indices) et pousse ces derniers à l'escalade dans la conflictualité du cyberespace. Si les États-Unis ne font rien, ils donneront l'image d'une puissance faible, qui laisse une puissance étrangère interférer dans sa structure politique. S'ils agissent et mènent des cyberattaques contre la Russie, cette dernière communiquera assurément sur l'acte prémédité et se posera en victime d'une Amérique qui se veut toute puissante dans le cyberespace.

C'est évidemment un jeu d'hypocrites qui se joue sous nos yeux. Il est fort probable que le président Poutine, ou au moins ses proches aient commandité cette opération de grande envergure, qui fait entrer de plain-pied le monde dans une cyberguerre froide qui s'annonce complexe et très conflictuelle. De même qu'il convient de rappeler que les États-Unis ne sont pas des « enfants de chœur » dans le cyberespace et qu'ils se livrent à des actions cyber offensives puissantes, contre leurs ennemis et leurs alliés.

La fin de l'année 2016 et le premier mois de l'année 2017 vont devoir être scrutés avec grande attention concernant l'actualité cyberstratégique. De ce qui va se passer ou pas entre les États-Unis et la Russie donnera des indications importantes sur les rapports de force dans le cyberespace.

                Tribune publiée initialement pour le Huffington Post Québec le 20 décembre 2016

mardi 25 octobre 2016

La cyberattaque du “10-21”: aller au-delà des déclarations d’emphase

A lire la presse depuis vendredi dernier, c’est un peu comme s’il y avait eu un avant et un après 21 octobre 2016 dans l’histoire récente du cyberespace. Toujours plus de qualificatifs graves, inquiétants, anxiogènes pour décrire un événement certes important, mais pour lequel le manque d’informations fiables et vérifiées fait cruellement défaut. 

Pour rappeler les faits, la société américaine Dyn, un des principaux fournisseurs de services DNS, a subi une cyberattaque de grande ampleur en deux temps le 21 octobre 2016, la technique employée (attaque DDOS) consistant à saturer de requêtes via des ordinateurs dits “zombies” les serveurs dans le but de rendre ces derniers non opérationnels. Ce type de cyberattaque est très courant dans le cyberespace, on pourrait même dire qu’elle est basique dans son déploiement. Cependant, la cyberattaque du “10-21” diffère entre autres par le profil de la cible: en effet, en s’en prenant à un fournisseur de services DNS, les auteurs ont fait coup double, attaquant Dyn mais aussi ses clients qui dépendent du bon fonctionnement de ses services pour être accessibles. 

C’est ainsi que de nombreux sites internet, dont Twitter, Spotify, Amazon, Ebay ont été inaccessibles pendant plusieurs heures pour de nombreux Américains, l’Europe n’étant que partiellement affectée par cette cyberattaque. Le poids des entreprises visées et la réaction des internautes qui ont commenté en direct leur impossibilité à accéder à leurs services ont favorisé un bruit médiatique impressionnant, faisant passer cette cyberattaque pour une catastrophe sans précédent. Sans nier les conséquences évidentes d’une telle entreprise criminelle, il convient de chercher à faire la part des choses et à analyser la tête froide ce qui s’est produit. 

Tout d’abord, contrairement à ce que j’ai pu lire ces derniers jours sur Internet, il ne s’agit pas des prémices d’une “apocalypse numérique”. La cyberattaque a eu des effets négatifs d’un point de vue économique, c’est évident (un service non accessible perd mécaniquement de l’argent chaque seconde), mais il est encore trop tôt pour en chiffrer précisément le montant. Je serais curieux de savoir quelle est l’attaque la plus dévastatrice d’un point de vue financier, en terme d’image, entre celle contre la société Dyn et celle contre Yahoo! cet été dont des centaines de millions d’identifiants ont été dérobés avec les conséquences en matière d’usurpation d’identité que l’on peut facilement imaginer.

Deuxièmement, je le précise de nouveau, la technique employée n’a rien de surprenant. Elle est connue de tous les experts en cybersécurité; seule l’utilisation d’objets connectés piratés mérite une attention particulière. 

Troisièmement, profitons-en pour rappeler que pour le moment, il n’y a aucune information comme quoi la société Dyn aurait subi un vol ou une destruction de données. Certes, une paralysie de ses services n’est pas un problème à sous-estimer, mais comparé encore une fois à une cyberattaque comme celle qu’avait subi le groupe pétrolier saoudien Aramco en 2012, où plus de trente mille ordinateurs avaient été infectés avec la perte de données stratégiques, la cyberattaque contre Dyn mérite d’être repensée dans un contexte global d'affrontements stratégiques dans le cyberespace.  

Comme à chaque cyberattaque, des commentateurs s’empressent de faire des hypothèses sur les commanditaires de l’attaque, et il faut le reconnaître, sans véritable preuve. La cyberattaque contre Dyn en est le parfait exemple: la Russie est pointée du doigt en raison des relations pour le moins froides avec les Etats-Unis et les récentes rumeurs sur des cyberattaques russes pour perturber l’élection présidentielle américaine, de même que la Chine dont on rappelle à juste titre les compétences en matière de cyberattaques. Rappelons néanmoins qu’avoir le potentiel de mener une cyberattaque de grande ampleur ne signifie pas l’avoir fait. Certains évoquent également la piste de cybercriminels regroupés qui auraient vendu leur savoir-faire à un commanditaire. Toutes ces pistes sont envisageables, mais aucune ne prend l’ascendant sur les autres pour l’instant. 

Le cyberespace a ceci de spécifique qu’il y est très facile de brouiller les pistes et qu’il est par conséquent extrêmement compliqué et souvent très coûteux en termes de moyens humains et financiers de remonter jusqu’aux organisateurs de la cyberattaque. A moins d’une erreur grossière des assaillants qui auraient laissé des “empreintes techniques”, l’enquête du FBI risque d’être longue et compliquée, d’autant qu’il n’est pas non plus impossible que la cyberattaque soit due à des anciens salariés de Dyn, comme cela s’est produit par le passé pour d’autres entreprises. Le “brouillard informationnel” qui caractérise encore largement les cyberattaques actuelles doit donc inciter à la plus grande prudence pour éviter des analyses erronées et de participer inconsciemment ou non à la propagande de certains acteurs stratégiques. 

On peut cependant tirer quelques enseignements de cette cyberattaque. En premier lieu, cette dernière démontre avec clarté l’interdépendance toujours plus croissante entre les entreprises du numérique, la défaillance des uns ayant des conséquences immédiates pour les autres. 

Elle rappelle également la vulnérabilité des acteurs du cyberespace contre les attaques de type DDOS. Pourtant bien connues, ces attaques voient leurs effets démultipliés par le développement rapide des objets connectés, ces derniers ne faisant que trop rarement l’objet d’une véritable démarche de sécurisation de leurs systèmes via des mises à jour et des corrections de failles de sécurité. 

Une véritable coordination internationale des acteurs politiques et économiques est à mettre en place afin de développer et d’imposer des standards en matière de cybersécurité, obligeant les éditeurs de logiciels à assurer un suivi de longue durée. Certes, cela a un coût et de nombreux acteurs risquent de s’y opposer, mais il s’agirait d’une mesure de base, à même de complexifier la tâche des assaillants. 

Rappelons toutefois, sans chercher à alarmer, que les assaillants auront toujours une longueur d’avance, profitant de l’effet de surprise et développant des outils à même d’affaiblir les défenses numériques toujours plus coûteuses mises en place par les entreprises. 

C’est donc une attitude de prudence qu’il convient d’adopter dans le cyberespace. De plus en plus complexe, s’intégrant toujours plus dans nos existences (smart cities par exemple), ce dernier sera mécaniquement sujet à l’intérêt des cybercriminels et d’acteurs stratégiques désireux d’affirmer leur puissance et de le rendre plus conflictuel. 

                Tribune publiée initialement pour le Huffington Post Québec le 24 octobre 2016

dimanche 25 septembre 2016

Vers une recrudescence des cyberattaques étatiques de grande ampleur ?

La société américaine Yahoo! vient de confirmer l’information : l’entreprise de portails sur Internet, l’une des plus connues et dont les services sont utilisés par des millions d’utilisateurs dans le monde a reconnu avoir subi une cyberattaque de grande ampleur qui a touché plus de cinq cent millions de comptes clients. Imaginons l’ensemble des citoyens européens dont les données d’identification (nom, prénom, date de naissance, etc…) auraient été dérobées par une entité dont on ne sait rien pour l’instant, si ce n’est qu’elle serait capable avec quelques outils facilement trouvables sur Internet d’usurper l’identité de chacun. 

L’ampleur de l’attaque est inquiétante, d’autant plus que plusieurs éléments dans le déroulement de cette opération méritent d’être questionnés. Selon les premières informations disponibles, les données dérobées dateraient de 2014, ce qui conduit à deux remarques, entre celui qui voit le verre à moitié plein et l’autre à moitié vide. En effet, certains lecteurs seraient tentés de minimiser l’importance de cette cyberattaque puisque les données datent de plus de deux ans et qu’il est probable qu’une partie d’entre elles soient obsolètes si les utilisateurs respectent les consignes de base de la vie numérique en changeant fréquemment leur mot de passe. 

Seulement, d’un autre côté, on peut être surpris par le temps qu’il a fallu pour repérer cette cyberattaque, près de deux ans, ce qui a permis à ses auteurs de se livrer à des activités criminelles à l’ombre de la surveillance des services de sécurité de Yahoo!. Précisons que la révélation de la cyberattaque ne vient pas directement de Yahoo! mais de sites spécialisés, le site Motherboard en août et le site Recode cette semaine, le premier ayant dans un premier temps fait une estimation plus faible de l’ampleur de la cyberattaque (deux cent millions de comptes tout de même !).

Les données volées se retrouvent facilement sur le Darknet, où elles se moyennent quelques bitcoins, soit quelques milliers d’euros. Le contraste est saisissant entre l’impact médiatique et économique d’une telle cyberattaque pour Yahoo! et le modeste coût des données vendues par la suite. Notons que cette vente en ligne n’est que la pointe de l’iceberg, car les données ont sans doute servi pendant ces deux dernières années à des usurpations d’identités aux conséquences économiques et humaines facilement imaginables. 

Yahoo! évoque l’action « d’une entité liée à un Etat », ce qui paraît très probable même s’il faut être prudent, les détails techniques de la cyberattaque n’étant pas encore accessibles. Plusieurs éléments accréditent cette hypothèse cependant : l’ampleur de l’attaque, le fait de s’en prendre à une cible puissante dans le cyberespace qui a en théorie les moyens de limiter les actions néfastes à son encontre et enfin la discrétion avec laquelle sont parvenus à opérer les hackers, puisqu’il a fallu plus de deux ans pour repérer leur méfait. Cela doit nous rappeler un des slogans que l’on entend souvent dans le milieu de la lutte contre la cybercriminalité : « la question n’est plus de savoir si mais quand vous serez victimes de pirates informatiques ». 

La vraie faiblesse pour les entreprises réside dans leur prise de conscience tardive d’une cyberattaque, ce qui est encore malheureusement très fréquent dans de nombreuses entreprises touchées. Pour accréditer davantage la piste d’un Etat ou d’une entité liée à un Etat, il semble très probable, même si encore une fois nous n’avons pas les détails techniques à disposition, que les hackers ont développé des outils techniques spécifiques pour pénétrer les serveurs de données de Yahoo!, le tout sans se faire repérer. Il convient donc d’écarter la piste d’une attaque consistant à forcer directement les sécurités des serveurs, ce qui aurait déclenché des alertes, ainsi que la piste d’une faille humaine en interne, car il aurait fallu à son auteur des droits d’accès d’une importance plus que majeure. 

Cette cyberattaque, aussi massive soit-elle en termes de dégâts médiatiques, économiques et en termes de confiance pour les utilisateurs, est tout sauf une nouveauté. De nombreuses entreprises liées aux réseaux sociaux mais pas seulement ont subi ces dernières années des piratages touchant des millions d’utilisateurs, comme le réseau social Linkedin ou la société spécialisée dans le cloud Dropbox. A chaque fois, le vrai perdant est l’utilisateur qui voit ses données perdre toute protection et se retrouver entre des mains criminelles, sans pouvoir se retourner contre les sociétés chez qui il a accordé sa confiance. A l’heure où les applications disponibles dans les smartphones scrutent chaque instant de nos vies, stockent des souvenirs, nous conseillent à l’aide d’algorithmes puissants, les sociétés éditrices deviennent des proies de choix et leurs clients les témoins et les victimes de cette guerre visible partiellement.

Il est fort probable que les Etats vont multiplier et amplifier leurs cyberattaques via des entités qu’elles contrôlent, afin que leur responsabilité directe ne soit pas prouvée. Rappelons que dans le cyberespace, il est extrêmement difficile (mais pas impossible contrairement à ce qu’on lit souvent) de retrouver les auteurs de cyberattaques. Cela nécessite des moyens financiers et humains conséquents, et bien souvent, on ne sait qu’au bout de plusieurs années qui était à l’origine de l’action. 

Les Etats-Unis sont à aujourd’hui la première puissance du cyberespace, profitant de leurs géants numériques que sont les GAFA et toute une galaxie de sociétés puissantes aux millions d’utilisateurs pour affirmer leur smart power numérique. En s’en prenant à ces sociétés, d’autres Etats cherchent ainsi à affaiblir la puissance américaine, les utilisateurs étant amenés à douter de la sécurité des prestataires choisis pour la protection des données. 

De nombreux articles évoquent les actions de la Chine et de la Russie dans la guerre numérique globale que se livrent de nombreux acteurs de nature différente dans le cyberespace. Rappelons qu’à de très rares fois leur implication a été formellement validée, mais qu’elles entretiennent également un double langage, niant les attaques tout en détaillant de manière savamment orchestrée leurs capacités offensives. La Russie a ainsi été accusée dernièrement de piratages des données du camp démocrate lors de la campagne américaine tandis que la Chine est souvent pointée du doigt pour des vols massifs de secrets industriels. Certes, cette dernière a passé un pacte de bonne conduite avec les Etats-Unis sous l’impulsion d’Obama et aux dires des Américains, ce serait une réussite, mais on peut légitimement penser qu’il ne s’agit pas d’un pacte de non-agression mais plutôt de limites fixées dans chaque camp. 

De nombreux Etats développent des capacités offensives numériques, mais peu sont à même d’infliger des dégâts massifs. Citons les Etats-Unis, la Chine, la Russie et Israël dont plusieurs initiatives sont largement documentées et doivent nous inquiéter au plus haut point. Même si la cyberattaque contre Yahoo! est source de dégâts importants, ce n’est rien lorsque des services administratifs étatiques seront touchés avec la même intensité (ils l’ont déjà été mais à des niveaux beaucoup plus faibles). Imaginons un instant les services médicaux d’un pays touchés par une cyberattaque massive dont l’objectif serait de supprimer les données des utilisateurs, les services administratifs pour les retraites où les bénéficiaires ne pourraient être payés avant plusieurs mois, le temps de rétablir l’ensemble des données. Ce n’est pas de la science-fiction mais bien des scénarii qui sont à portée de claviers d’entités étatiques déjà existantes. 

Il n’y a pas de solution magique à cette fragilisation et à cette insécurité croissante du cyberespace. Les entreprises ont encore une marge conséquente pour progresser dans leur gestion des cyberattaques, mais elles seront toujours en position de défenseur face à des Etats aux rôles d’assaillants qui auront l’avantage tactique. Dans ce cyberespace incertain, on ne peut que conseiller d’y laisser le moins d’informations sensibles possibles et au final, de stocker en local ces dernières. 

C’est un des paradoxes d’Internet : à l’heure d’un accroissement de la dématérialisation de nos données privées, le risque de voir dérobées ces dernières n’a jamais été aussi fort et doit nous inciter à la prudence, car les conséquences des cyberattaques ne peuvent aller qu’en augmentant dramatiquement. 


                 Tribune publiée initialement pour le Huffington Post Québec le 23 septembre 2016

jeudi 4 février 2016

La détention de Assange illégale selon l'ONU : une victoire médiatique plus que politique

Si l’on souhaitait enseigner en école de communication la création d’un buzz médiatique, les dernières pérégrinations de l’affaire Julian Assange en constitueraient un exemple parfait. Le fondateur de Wikileaks, en fin connaisseur de la diffusion de l’information à l’heure des réseaux sociaux, s’est mis en scène ce jeudi en annonçant qu’il se livrerait à la police britannique le 5 février si le groupe de travail des Nations unies sur la détention arbitraire (GTDA) tranchait en sa défaveur, ce qu’il n’a pas fait, jugeant sa détention illégale. 

Ce groupe avait été sollicité par Julian Assange qui avait épuisé tous les recours juridiques pour se défendre des accusations de viol et d’agression dont il se serait rendu coupable lors d’un séjour en Suède. La stratégie d’Assange est redoutablement efficace, et très visible : il sait pertinemment que les décisions du GTDA n’ont rien de contraignant et qu’elles ont avant tout une valeur symbolique. 

En effet, outre le fait que la plupart des décisions défavorables du GTDA ont été adressées à des Etats guère démocratiques jusqu’à présent, il serait un peu gênant pour des pays comme l’Angleterre ou la Suède d’avoir un discours sur les droits de l’homme après avoir reçu un avis négatif. Il ne faut cependant pas surestimer la portée de l’événement qui est avant tout une victoire médiatique plus qu’une réelle victoire politique.  

La position de Julian Assange demeure en vérité assez compliquée et on peut douter que cette victoire médiatique aboutisse à une résolution du conflit qui l’oppose à plusieurs acteurs puissants. Depuis 2012, il est retranché à l’ambassade d’Equateur qui lui a accordé l’asile politique, lui évitant ainsi une arrestation des forces de police britanniques qui aurait abouti à une extradition vers la Suède voire à terme vers les Etats-Unis qui demeurent en réalité son principal adversaire. 

Les autorités britanniques ont d’ailleurs rappelé après l’annonce du (faux) coup de poker de Julian Assange qu’elles seraient obligées de l’arrêter s’il sortait de l’ambassade vu qu’il est sous le coup d’un mandat d’arrêt européen. Elles font ainsi pression sur le fondateur de Wikileaks et relativisent mécaniquement le « succès » de la décision du GTDA. 

Quels enseignements peut-on tirer de cet énième rebondissement dans l’affaire Julian Assange ? Rappelons en premier lieu que ce dernier bénéficie de quelques soutiens de poids comme Edward Snowden ou des parlementaires, mais pas d’Etats (hormis l’Equateur qui l’héberge dans son ambassade). Il est donc toujours dans une situation d’insécurité et peut perdre toute protection en cas de revirement du président Rafael Correa. Le revirement de ce dernier est peu probable vu la décision du GTDA qui fait passer indirectement l’Equateur pour un pays défenseur des droits de l’homme. Cependant, n’oublions pas qu’en octobre 2015, des médias américains avaient évoqué des tensions entre le pouvoir équatorien et Julian Assange, celui-ci étant soupçonné d’avoir divulgué des informations sur les relations entre l’Equateur et l’entreprise italienne Hacking Team spécialiste en logiciels de surveillances électroniques massives. Rien depuis n’a filtré, mais on peut faire l’hypothèse que Julian Assange demeure un moyen de pression dans la stratégie diplomatique équatorienne pour embarrasser la diplomatie américaine. 

Cette dernière est d’ailleurs extrêmement silencieuse ces derniers mois et semble poursuivre une stratégie d’attente et de mise en avant de ses partenaires pour ne pas trop s’exposer. En effet, on parle avant tout de l’Angleterre et de l’affaire du coût élevé en temps de crise économique de la surveillance devant l’ambassade équatorienne qui avait été révélé dans la presse, et de la Suède qui veut entendre comme témoin Julian Assange avant une possible mise en examen. 

Les Etats-Unis ont en réalité tout intérêt à ce que l’on oublie Julian Assange et à éviter qu’il ne fasse la une des médias. Ce dernier a un champ d’action limité en étant réfugié au sein de l’ambassade : certes, il donne de temps à autre des conférences sur internet et partage son avis sur les projets de loi numérique dans des pays comme la France mais l’âge d’or des révélations orchestrées de main de maître par Wikileaks est désormais révolu, d’autant plus que de nombreuses tensions ont secoué l’organisation l’an dernier. De plus, Julian Assange s’est plaint à plusieurs reprises de sa situation, se déclarant comme prisonnier et malade, ce qui n’est pas pour déplaire aux Etats-Unis. 

Julian Assange a encore des supporters parmi les défenseurs des libertés civiles mais globalement, il est isolé. Souvenons-nous de sa demande d’asile le 3 juillet dernier auprès de la France qui avait été refusée dans un temps extrêmement court et ce alors que des révélations sur les écoutes américaines à l’encontre d’officiels français étaient à nouveau faites ! 

Le fondateur de Wikileaks est un pion au sein de l’échiquier de la Realpolitik mondiale : par son action, il a favorisé l’émergence de lanceurs d’alerte mais il s’est condamné indirectement à une vie faite de privation de liberté et de contrôle, bref tout ce qu’il dénonçait. La situation pourrait changer positivement le concernant si la Suède revoyait sa position, mais cela ne pourra pas se faire tant que la justice suédoise ne pourra pas l’interroger, même au sein de l’ambassade (ce qui a failli s’organiser récemment). De nouvelles négociations sont donc à prévoir entre la justice suédoise, les autorités équatoriennes et Julian Assange pour essayer de trouver un arrangement, à supposer toutefois que la stratégie de certains acteurs (Assange et l’Equateur) ne soit pas justement de ne pas trouver d’arrangement…


Tribune publiée initialement pour le Nouvel Observateur (Le Plus) le 5 février 2016