mardi 4 avril 2017

Poids du cyber et des stratégies d'influence dans les élections

Dans quelques semaines pour la France et quelques mois pour l'Allemagne, deux puissances majeures de l'Union européenne vont connaître des élections qui risquent de changer le paysage politique, surtout en France. Ces élections sont donc scrutées de manière plus soutenue par les observateurs internationaux, d'autant plus que l'issue des votes semble très incertaine. Contrairement aux campagnes précédentes, l'enjeu du cyber revêt un intérêt croissant eu égard à la victoire de Donald Trump aux États-Unis, certains observateurs l'estimant liée à la cyberattaque qu'a subi le camp démocrate, fragilisant Hillary Clinton.

Notons avant la suite de notre propos que cette assertion mérite d'être prise avec beaucoup de précautions. Qu'il y ait eu piratage du comité démocrate, c'est un fait. Que les auteurs soient des hackers russes, c'est fort probable. Que l'initiative ait été directement pilotée par le Kremlin et donc Vladimir Poutine, c'est possible, mais extrêmement difficile à prouver. Que cette cyberattaque ait fait pencher la balance pour le candidat républicain, c'est très difficile à estimer de manière sérieuse. Seules des études approfondies sur les électeurs cibles dans les prochaines années pourront démontrer l'impact de cette cyberattaque. Rappelons simplement que les messages divulgués par les hackers n'étaient pas des faux ; ils n'avaient pas être diffusés, c'est tout.

Ce risque d'une élection perturbée par des actions cybernétiques semble créer une réelle paranoïa au sein de la classe politique et de certains médias qui surestiment le poids du cyber dans les processus électoraux, qui utilisent le terme générique de cyberattaque pour des actions très diverses («faire tomber» les serveurs d'un parti politique n'est pas vraiment la même chose que mener une campagne diffamatoire à l'encontre d'un candidat sur les réseaux sociaux) ou qui simplement oublient que de nombreuses élections par le passé ont fait l'objet d'influences étrangères, le cyber étant simplement un outil nouveau.

Depuis le début de l'année, de nombreux papiers dans les médias français traitent du risque d'une cyberattaque perturbant l'élection présidentielle. Leur démarche a été renforcée à la suite des déclarations de membres de l'équipe d'Emmanuel Macron, expliquant en février faire l'objet de milliers (!) de cyberattaques venant de Russie. Il convient à ce sujet de préciser que les attaques n'étaient en rien sophistiquées, que le site du candidat sujet à ces dites attaques ne répondait pas aux standards actuels de sécurité de base et qu'il était donc facile d'y trouver une faille de sécurité, et qu'enfin, comme pour toute attaque dans le cyberespace, la question de l'attribution est extrêmement problématique. En résumé, cette plainte du camp d'un candidat ne mérite pas toute l'attention que lui ont portée les médias.

Les autorités françaises cherchent cependant à éviter de « vraies » cyberattaques, qui perturberaient via des moyens techniques sophistiqués (accès aux listes électorales pour les modifier et les rendre invalides, accès aux serveurs des partis pour diffuser des communications internes, etc.) le processus électoral. Les partis politiques ont ainsi été sensibilisés à ces risques d'intrusion et sont en contact avec l'ANSSI, l'agence nationale de la sécurité des systèmes d'information. Le président François Hollande s'est également prononcé sur la question, souhaitant un bon déroulement à la campagne.

On pouvait espérer un apaisement et une réflexion plus poussée sur les enjeux du numérique dans une campagne présidentielle, mais c'était sans compter sur le sénateur américain Richard Burr, chef de la commission du Renseignement qui a déclaré cette semaine: «Je pense qu'il est raisonnable de dire, d'après ce que tout le monde estime, que les Russes sont activement impliqués dans les élections françaises» (...) «Nous estimons qu'il est de notre responsabilité de communiquer au reste du monde ce qu'il se passe, parce que nous sommes face désormais à la diffamation de candidats». Notons tout d'abord que le sénateur est très flou dans sa déclaration, ce qui peut se comprendre pour des raisons de secret de l'information, mais qui pose problème pour qui souhaite vérifier les dires du politicien.

Deuxièmement, la Russie est l'unique accusé dans les propos du sénateur Richard Burr. Sans nier les campagnes d'influence massives menées par la Russie, il nous paraît peu probable que la France ne soit l'objet que d'une seule stratégie d'influence étrangère. Troisièmement, concernant la diffamation des candidats, on peut être surpris par cette remarque dans la mesure où l'action de diffamer l'adversaire est monnaie courante (les fameuses « boules puantes ») et qu'elle n'a rien de spécifiquement cyber, si ce n'est que la dimension cyber peut accentuer ses effets.

Pensons ainsi aux messages sur les réseaux sociaux donnant des surnoms à consonance arabe à différents candidats pour laisser supposer de leur part un positionnement pro-arabe / pro musulman. Pensons également aux « guerres d'intox » menées par plusieurs équipes web des candidats qui diffusent de fausses informations sur leurs adversaires. En résumé, des stratégies de désinformation et d'influence sont déjà à l'œuvre (et l'ont déjà été dans des élections passées) au niveau franco-français. Il y a des médias prorusses qui diffusent des informations biaisées, mais il est très difficile de comprendre le jeu russe et de voir qui réellement la Russie soutient. On pouvait penser à un soutien clair pour François Fillon, eu égard aux relations étroites de ce dernier avec des dirigeants russes, mais il n'y a rien d'évident dans les articles des médias pro-Kremlin. De même, la visite de la candidate d'extrême droite Marine Le Pen au Kremlin le 24 mars, où elle s'est entretenue avec Vladimir Poutine, ne signifie pas pour autant que le président russe a son candidat de prédilection et qu'il mène de vastes opérations d'influence en vue de l'aider. Au contraire, la rencontre Le Pen / Poutine dans un contexte de sentiment de défiance à l'encontre de la Russie n'est pas forcément un calcul politique pertinent.

Sans pour autant nier la possibilité de cyberattaques affectant la campagne de tel ou tel candidat, ce qui nécessiterait des compétences techniques importantes et des ressources en matière de renseignement pour un résultat concret, on peut demeurer relativement sceptique face à la déclaration du sénateur américain. Toute élection comporte des menaces pouvant en perturber le bon déroulement, et cette communication vise surtout à renforcer l'idée d'une guerre de l'information menée par la Russie, laissant de côté le hard et le soft power, pour un smart power qui s'appuierait sur les facilités qu'offrent les outils cybernétiques.

Rappelons simplement que ces accusations sont portées par un élu d'un pays dont les activités en matière de sécurité / défense dans le cyberespace sont pour certaines d'entre elles critiquables (révélations de Snowden, mises sur écoutes d'instances européennes, internationales, de dirigeants alliés...). Quant à la Russie, elle joue habilement sa partition, niant toute action dans le cyberespace, jouant sur la difficulté d'attribuer précisément une cyberattaque.

Le suivi du bon déroulement de l'élection sera un bon moyen de mesurer la sous ou la surinterprétation de la dimension cyber et des stratégies d'influence liées. Souvenons-nous que lors des Printemps arabes, un emballement dans de nombreux médias avait conduit à parler de « Révolution Twitter », « Révolution Facebook » et autres termes, donnant au cyber un poids disproportionné dans les processus de changements de régime dans la région.


Tribune publiée initialement pour le Huffington Post Québec le 4 avril 2017 (http://quebec.huffingtonpost.ca/maxime-pinard/poids-du-cyber-et-des-str_b_15749150.html)

jeudi 16 mars 2017

Interview Sputnik "le cyberespionnage utilise les failles des appareils électroniques"

                     Interview pour la radio Sputnik par Vera Kolessina-Trannoy le 15 mars 2017 sur 
"le cyberespionnage utilise les failles des appareils électroniques"

mardi 20 décembre 2016

Cyberconflictualité américano-russe: un nouveau cap a-t-il été franchi?

Lorsqu'on étudie l'Histoire, on cherche à déterminer l'importance des événements, à éviter de sous ou de sur interpréter un fait, à déterminer des moments clés qui ont créé des ruptures. Dans le cadre de la géopolitique, l'exercice est plus complexe, car nous manquons souvent de sources, de recul, et nous tentons d'interpréter des faits dont certains, par essence, ne nous sont pas entièrement accessibles. C'est le cas entre autres des événements géopolitiques liés au cyberespace, où l'accès à l'information est complexe et souvent parcellaire. Pourtant, à travers l'actualité récente américano-russe, nous avons matière à discuter d'un éventuel tournant dans l'histoire récente du cyberespace.

Le président américain Barack Obama, encore en poste jusqu'en janvier 2017, s'est illustré la semaine passée par plusieurs déclarations qui ne respectent pas les codes habituels de la diplomatie dans le cadre du cyberespace. Toutes les puissances dotées de capacités cybernétiques font appel à ces dernières pour préserver ou renforcer leur souveraineté numérique, s'en prenant aussi bien à des ennemis qu'à leurs alliés. Cela a été révélé au grand jour entre autres par Edward Snowden, constituant une parenthèse dans cette histoire « grise » de la guerre d'influence que se livrent les puissances avec un potentiel accru dû aux nouvelles technologies, le maître mot étant de ne pas faire de publicité, de communication sur les actions entreprises dans le cyberespace.

Qu'il s'agisse de la cyberattaque contre la Géorgie en 2008, du virus Stuxnet contre les installations nucléaires iraniennes en 2010, et il y en a beaucoup d'autres, les commanditaires sont toujours restés discrets et ceux soupçonnés d'être à l'origine de ces attaques ont toujours eu des réponses floues, l'avantage étant de nier sa responsabilité tout en laissant entendre que l'on en a malgré tout les capacités.

Dans le cadre d'une puissance numérique, il était jusqu'à présent extrêmement rare de communiquer sur une éventuelle cyberattaque que l'on aurait subie. Les États-Unis en mai 2014, à la grande surprise de beaucoup d'observateurs, avaient lancé un mandat d'arrêt contre cinq militaires chinois soupçonnés d'espionnage via des cyberattaques. Cela s'était « réglé » (les guillemets sont de mise) par un accord de principe entre Pékin et Washington un an plus tard, où chacun acceptait de ne plus voler de secrets commerciaux via Internet. Les termes exacts de l'accord ne furent pas rendus publics, et on peut douter de l'efficacité d'un tel accord, si ce n'est qu'il fixe quelques lignes rouges à ne pas dépasser par chacun des protagonistes. C'était la première fois en tout cas qu'une puissance accusait précisément des acteurs étrangers liés au pouvoir d'une autre puissance. Cependant, le cas actuel entre les États-Unis et la Russie est sensiblement différent, car le commanditaire désigné très clairement par Barack Obama est son homologue russe, Vladimir Poutine.

Sans revenir en détail sur le déroulement des événements dont on peut en lire des comptes-rendus détaillés dans les médias, rappelons simplement que plusieurs cyberattaques ont été menées contre le comité national démocrate dans le cadre de l'élection présidentielle américaine, les hackers ayant transmis à Wikileaks les informations volées. La publication des communications internes au parti de la candidate Hillary Clinton a eu nécessairement un impact négatif sur cette dernière, même s'il est encore trop tôt pour l'apprécier réellement. Plusieurs agences de renseignement ont été mandatées pour analyser ces cyberattaques : après des oppositions sur les buts réels des hackers (démontrer la faiblesse du système démocratique américain, favoriser le candidat Donald Trump, davantage pro-russe...), le FBI a validé la thèse de la CIA sur l'implication de la Russie dans l'élection américaine. Des sources vont même plus loin, liant directement le président russe Vladimir Poutine à cette ingérence caractérisée.

Le président Obama a suivi cette ligne, accusant nommément Vladimir Poutine. Son opération de communication s'est faite en deux temps : le 15 décembre à la Radio publique nationale (NPR) et le lendemain lors d'une conférence presse. Le message est clair : le président Obama a affirmé avoir déjà prévenu lors du G20 en Chine en septembre dernier son homologue russe de « conséquences sérieuses » si les cyberattaques perduraient. Il a commandé un rapport qu'il veut détaillé sur les cyberattaques menées, rapport qui devra évidemment lui être remis avant la fin de son mandant. Ce rapport devrait lui permettre de mieux définir la riposte qu'il veut conduire contre la Russie.

A ce sujet, beaucoup d'observateurs ont questionné le flou de la riposte envisagée, mais ce flou est à la fois un calcul politique et un aspect structurel du cyberespace. Dans ce dernier, l'effet de surprise est un facteur majeur de réussite : si votre adversaire ne sait pas quel programme vous allez employer, quelle cible vous allez attaquer, il subira votre cyberattaque et ne pourra pas véritablement l'anticiper, tout au plus la juguler. Cette action du président Obama doit susciter plusieurs commentaires pour en apprécier l'importance stratégique.

Tout d'abord, le président américain ne prend pas de risque politique personnel, étant en fin de mandat. Il peut ainsi exprimer sans retenue sa pensée et mener ses dernières offensives diplomatiques. En agissant ainsi, il poursuit deux buts complémentaires : montrer à la Russie que les États-Unis sont prêts à l'affrontement dans le cyberespace (même si son message perd en intensité, étant en fin de mandat) et surtout, mettre la pression sur Donald Trump en invitant ce dernier à accepter une enquête « bipartite, indépendante » sur ces cyberattaques.

On peut se demander d'ailleurs si l'initiative d'Obama ne s'inscrit pas davantage dans une tactique de politique intérieure que dans une stratégie de politique extérieure. Le but de Barack Obama est peut-être aussi de continuer à mettre en doute la sincérité du scrutin, donc à délégitimer le futur président Trump qui participe pleinement à ce jeu d'échecs, communiquant à plusieurs reprises sur les réseaux sociaux ses doutes quant à une implication russe. Il passe ainsi pour ses adversaires pour un pro-russe, ou pire pour un futur dirigeant manipulé à terme par Poutine.

Deuxièmement, le président américain se met selon nous dans une position de faiblesse. Comme indiqué précédemment, il est de coutume de ne pas communiquer sur les cyberattaques que l'on veut entreprendre. En menaçant la Russie de ripostes, Barack Obama en dit trop et cela profite à Moscou. Le porte-parole du Kremlin, Dmitri Peskov, a indiqué vendredi dernier à propos des accusations américaines qu'il fallait « cesser d'en parler, soit apporter enfin des preuves ». La Russie met ainsi au défi les États-Unis d'apporter leurs preuves (qui semblent solides concernant les aspects techniques et les groupes de hackers cités qui ont laissé, volontairement ou pas, de nombreux indices) et pousse ces derniers à l'escalade dans la conflictualité du cyberespace. Si les États-Unis ne font rien, ils donneront l'image d'une puissance faible, qui laisse une puissance étrangère interférer dans sa structure politique. S'ils agissent et mènent des cyberattaques contre la Russie, cette dernière communiquera assurément sur l'acte prémédité et se posera en victime d'une Amérique qui se veut toute puissante dans le cyberespace.

C'est évidemment un jeu d'hypocrites qui se joue sous nos yeux. Il est fort probable que le président Poutine, ou au moins ses proches aient commandité cette opération de grande envergure, qui fait entrer de plain-pied le monde dans une cyberguerre froide qui s'annonce complexe et très conflictuelle. De même qu'il convient de rappeler que les États-Unis ne sont pas des « enfants de chœur » dans le cyberespace et qu'ils se livrent à des actions cyber offensives puissantes, contre leurs ennemis et leurs alliés.

La fin de l'année 2016 et le premier mois de l'année 2017 vont devoir être scrutés avec grande attention concernant l'actualité cyberstratégique. De ce qui va se passer ou pas entre les États-Unis et la Russie donnera des indications importantes sur les rapports de force dans le cyberespace.

                Tribune publiée initialement pour le Huffington Post Québec le 20 décembre 2016

mardi 25 octobre 2016

La cyberattaque du “10-21”: aller au-delà des déclarations d’emphase

A lire la presse depuis vendredi dernier, c’est un peu comme s’il y avait eu un avant et un après 21 octobre 2016 dans l’histoire récente du cyberespace. Toujours plus de qualificatifs graves, inquiétants, anxiogènes pour décrire un événement certes important, mais pour lequel le manque d’informations fiables et vérifiées fait cruellement défaut. 

Pour rappeler les faits, la société américaine Dyn, un des principaux fournisseurs de services DNS, a subi une cyberattaque de grande ampleur en deux temps le 21 octobre 2016, la technique employée (attaque DDOS) consistant à saturer de requêtes via des ordinateurs dits “zombies” les serveurs dans le but de rendre ces derniers non opérationnels. Ce type de cyberattaque est très courant dans le cyberespace, on pourrait même dire qu’elle est basique dans son déploiement. Cependant, la cyberattaque du “10-21” diffère entre autres par le profil de la cible: en effet, en s’en prenant à un fournisseur de services DNS, les auteurs ont fait coup double, attaquant Dyn mais aussi ses clients qui dépendent du bon fonctionnement de ses services pour être accessibles. 

C’est ainsi que de nombreux sites internet, dont Twitter, Spotify, Amazon, Ebay ont été inaccessibles pendant plusieurs heures pour de nombreux Américains, l’Europe n’étant que partiellement affectée par cette cyberattaque. Le poids des entreprises visées et la réaction des internautes qui ont commenté en direct leur impossibilité à accéder à leurs services ont favorisé un bruit médiatique impressionnant, faisant passer cette cyberattaque pour une catastrophe sans précédent. Sans nier les conséquences évidentes d’une telle entreprise criminelle, il convient de chercher à faire la part des choses et à analyser la tête froide ce qui s’est produit. 

Tout d’abord, contrairement à ce que j’ai pu lire ces derniers jours sur Internet, il ne s’agit pas des prémices d’une “apocalypse numérique”. La cyberattaque a eu des effets négatifs d’un point de vue économique, c’est évident (un service non accessible perd mécaniquement de l’argent chaque seconde), mais il est encore trop tôt pour en chiffrer précisément le montant. Je serais curieux de savoir quelle est l’attaque la plus dévastatrice d’un point de vue financier, en terme d’image, entre celle contre la société Dyn et celle contre Yahoo! cet été dont des centaines de millions d’identifiants ont été dérobés avec les conséquences en matière d’usurpation d’identité que l’on peut facilement imaginer.

Deuxièmement, je le précise de nouveau, la technique employée n’a rien de surprenant. Elle est connue de tous les experts en cybersécurité; seule l’utilisation d’objets connectés piratés mérite une attention particulière. 

Troisièmement, profitons-en pour rappeler que pour le moment, il n’y a aucune information comme quoi la société Dyn aurait subi un vol ou une destruction de données. Certes, une paralysie de ses services n’est pas un problème à sous-estimer, mais comparé encore une fois à une cyberattaque comme celle qu’avait subi le groupe pétrolier saoudien Aramco en 2012, où plus de trente mille ordinateurs avaient été infectés avec la perte de données stratégiques, la cyberattaque contre Dyn mérite d’être repensée dans un contexte global d'affrontements stratégiques dans le cyberespace.  

Comme à chaque cyberattaque, des commentateurs s’empressent de faire des hypothèses sur les commanditaires de l’attaque, et il faut le reconnaître, sans véritable preuve. La cyberattaque contre Dyn en est le parfait exemple: la Russie est pointée du doigt en raison des relations pour le moins froides avec les Etats-Unis et les récentes rumeurs sur des cyberattaques russes pour perturber l’élection présidentielle américaine, de même que la Chine dont on rappelle à juste titre les compétences en matière de cyberattaques. Rappelons néanmoins qu’avoir le potentiel de mener une cyberattaque de grande ampleur ne signifie pas l’avoir fait. Certains évoquent également la piste de cybercriminels regroupés qui auraient vendu leur savoir-faire à un commanditaire. Toutes ces pistes sont envisageables, mais aucune ne prend l’ascendant sur les autres pour l’instant. 

Le cyberespace a ceci de spécifique qu’il y est très facile de brouiller les pistes et qu’il est par conséquent extrêmement compliqué et souvent très coûteux en termes de moyens humains et financiers de remonter jusqu’aux organisateurs de la cyberattaque. A moins d’une erreur grossière des assaillants qui auraient laissé des “empreintes techniques”, l’enquête du FBI risque d’être longue et compliquée, d’autant qu’il n’est pas non plus impossible que la cyberattaque soit due à des anciens salariés de Dyn, comme cela s’est produit par le passé pour d’autres entreprises. Le “brouillard informationnel” qui caractérise encore largement les cyberattaques actuelles doit donc inciter à la plus grande prudence pour éviter des analyses erronées et de participer inconsciemment ou non à la propagande de certains acteurs stratégiques. 

On peut cependant tirer quelques enseignements de cette cyberattaque. En premier lieu, cette dernière démontre avec clarté l’interdépendance toujours plus croissante entre les entreprises du numérique, la défaillance des uns ayant des conséquences immédiates pour les autres. 

Elle rappelle également la vulnérabilité des acteurs du cyberespace contre les attaques de type DDOS. Pourtant bien connues, ces attaques voient leurs effets démultipliés par le développement rapide des objets connectés, ces derniers ne faisant que trop rarement l’objet d’une véritable démarche de sécurisation de leurs systèmes via des mises à jour et des corrections de failles de sécurité. 

Une véritable coordination internationale des acteurs politiques et économiques est à mettre en place afin de développer et d’imposer des standards en matière de cybersécurité, obligeant les éditeurs de logiciels à assurer un suivi de longue durée. Certes, cela a un coût et de nombreux acteurs risquent de s’y opposer, mais il s’agirait d’une mesure de base, à même de complexifier la tâche des assaillants. 

Rappelons toutefois, sans chercher à alarmer, que les assaillants auront toujours une longueur d’avance, profitant de l’effet de surprise et développant des outils à même d’affaiblir les défenses numériques toujours plus coûteuses mises en place par les entreprises. 

C’est donc une attitude de prudence qu’il convient d’adopter dans le cyberespace. De plus en plus complexe, s’intégrant toujours plus dans nos existences (smart cities par exemple), ce dernier sera mécaniquement sujet à l’intérêt des cybercriminels et d’acteurs stratégiques désireux d’affirmer leur puissance et de le rendre plus conflictuel. 

                Tribune publiée initialement pour le Huffington Post Québec le 24 octobre 2016

dimanche 25 septembre 2016

Vers une recrudescence des cyberattaques étatiques de grande ampleur ?

La société américaine Yahoo! vient de confirmer l’information : l’entreprise de portails sur Internet, l’une des plus connues et dont les services sont utilisés par des millions d’utilisateurs dans le monde a reconnu avoir subi une cyberattaque de grande ampleur qui a touché plus de cinq cent millions de comptes clients. Imaginons l’ensemble des citoyens européens dont les données d’identification (nom, prénom, date de naissance, etc…) auraient été dérobées par une entité dont on ne sait rien pour l’instant, si ce n’est qu’elle serait capable avec quelques outils facilement trouvables sur Internet d’usurper l’identité de chacun. 

L’ampleur de l’attaque est inquiétante, d’autant plus que plusieurs éléments dans le déroulement de cette opération méritent d’être questionnés. Selon les premières informations disponibles, les données dérobées dateraient de 2014, ce qui conduit à deux remarques, entre celui qui voit le verre à moitié plein et l’autre à moitié vide. En effet, certains lecteurs seraient tentés de minimiser l’importance de cette cyberattaque puisque les données datent de plus de deux ans et qu’il est probable qu’une partie d’entre elles soient obsolètes si les utilisateurs respectent les consignes de base de la vie numérique en changeant fréquemment leur mot de passe. 

Seulement, d’un autre côté, on peut être surpris par le temps qu’il a fallu pour repérer cette cyberattaque, près de deux ans, ce qui a permis à ses auteurs de se livrer à des activités criminelles à l’ombre de la surveillance des services de sécurité de Yahoo!. Précisons que la révélation de la cyberattaque ne vient pas directement de Yahoo! mais de sites spécialisés, le site Motherboard en août et le site Recode cette semaine, le premier ayant dans un premier temps fait une estimation plus faible de l’ampleur de la cyberattaque (deux cent millions de comptes tout de même !).

Les données volées se retrouvent facilement sur le Darknet, où elles se moyennent quelques bitcoins, soit quelques milliers d’euros. Le contraste est saisissant entre l’impact médiatique et économique d’une telle cyberattaque pour Yahoo! et le modeste coût des données vendues par la suite. Notons que cette vente en ligne n’est que la pointe de l’iceberg, car les données ont sans doute servi pendant ces deux dernières années à des usurpations d’identités aux conséquences économiques et humaines facilement imaginables. 

Yahoo! évoque l’action « d’une entité liée à un Etat », ce qui paraît très probable même s’il faut être prudent, les détails techniques de la cyberattaque n’étant pas encore accessibles. Plusieurs éléments accréditent cette hypothèse cependant : l’ampleur de l’attaque, le fait de s’en prendre à une cible puissante dans le cyberespace qui a en théorie les moyens de limiter les actions néfastes à son encontre et enfin la discrétion avec laquelle sont parvenus à opérer les hackers, puisqu’il a fallu plus de deux ans pour repérer leur méfait. Cela doit nous rappeler un des slogans que l’on entend souvent dans le milieu de la lutte contre la cybercriminalité : « la question n’est plus de savoir si mais quand vous serez victimes de pirates informatiques ». 

La vraie faiblesse pour les entreprises réside dans leur prise de conscience tardive d’une cyberattaque, ce qui est encore malheureusement très fréquent dans de nombreuses entreprises touchées. Pour accréditer davantage la piste d’un Etat ou d’une entité liée à un Etat, il semble très probable, même si encore une fois nous n’avons pas les détails techniques à disposition, que les hackers ont développé des outils techniques spécifiques pour pénétrer les serveurs de données de Yahoo!, le tout sans se faire repérer. Il convient donc d’écarter la piste d’une attaque consistant à forcer directement les sécurités des serveurs, ce qui aurait déclenché des alertes, ainsi que la piste d’une faille humaine en interne, car il aurait fallu à son auteur des droits d’accès d’une importance plus que majeure. 

Cette cyberattaque, aussi massive soit-elle en termes de dégâts médiatiques, économiques et en termes de confiance pour les utilisateurs, est tout sauf une nouveauté. De nombreuses entreprises liées aux réseaux sociaux mais pas seulement ont subi ces dernières années des piratages touchant des millions d’utilisateurs, comme le réseau social Linkedin ou la société spécialisée dans le cloud Dropbox. A chaque fois, le vrai perdant est l’utilisateur qui voit ses données perdre toute protection et se retrouver entre des mains criminelles, sans pouvoir se retourner contre les sociétés chez qui il a accordé sa confiance. A l’heure où les applications disponibles dans les smartphones scrutent chaque instant de nos vies, stockent des souvenirs, nous conseillent à l’aide d’algorithmes puissants, les sociétés éditrices deviennent des proies de choix et leurs clients les témoins et les victimes de cette guerre visible partiellement.

Il est fort probable que les Etats vont multiplier et amplifier leurs cyberattaques via des entités qu’elles contrôlent, afin que leur responsabilité directe ne soit pas prouvée. Rappelons que dans le cyberespace, il est extrêmement difficile (mais pas impossible contrairement à ce qu’on lit souvent) de retrouver les auteurs de cyberattaques. Cela nécessite des moyens financiers et humains conséquents, et bien souvent, on ne sait qu’au bout de plusieurs années qui était à l’origine de l’action. 

Les Etats-Unis sont à aujourd’hui la première puissance du cyberespace, profitant de leurs géants numériques que sont les GAFA et toute une galaxie de sociétés puissantes aux millions d’utilisateurs pour affirmer leur smart power numérique. En s’en prenant à ces sociétés, d’autres Etats cherchent ainsi à affaiblir la puissance américaine, les utilisateurs étant amenés à douter de la sécurité des prestataires choisis pour la protection des données. 

De nombreux articles évoquent les actions de la Chine et de la Russie dans la guerre numérique globale que se livrent de nombreux acteurs de nature différente dans le cyberespace. Rappelons qu’à de très rares fois leur implication a été formellement validée, mais qu’elles entretiennent également un double langage, niant les attaques tout en détaillant de manière savamment orchestrée leurs capacités offensives. La Russie a ainsi été accusée dernièrement de piratages des données du camp démocrate lors de la campagne américaine tandis que la Chine est souvent pointée du doigt pour des vols massifs de secrets industriels. Certes, cette dernière a passé un pacte de bonne conduite avec les Etats-Unis sous l’impulsion d’Obama et aux dires des Américains, ce serait une réussite, mais on peut légitimement penser qu’il ne s’agit pas d’un pacte de non-agression mais plutôt de limites fixées dans chaque camp. 

De nombreux Etats développent des capacités offensives numériques, mais peu sont à même d’infliger des dégâts massifs. Citons les Etats-Unis, la Chine, la Russie et Israël dont plusieurs initiatives sont largement documentées et doivent nous inquiéter au plus haut point. Même si la cyberattaque contre Yahoo! est source de dégâts importants, ce n’est rien lorsque des services administratifs étatiques seront touchés avec la même intensité (ils l’ont déjà été mais à des niveaux beaucoup plus faibles). Imaginons un instant les services médicaux d’un pays touchés par une cyberattaque massive dont l’objectif serait de supprimer les données des utilisateurs, les services administratifs pour les retraites où les bénéficiaires ne pourraient être payés avant plusieurs mois, le temps de rétablir l’ensemble des données. Ce n’est pas de la science-fiction mais bien des scénarii qui sont à portée de claviers d’entités étatiques déjà existantes. 

Il n’y a pas de solution magique à cette fragilisation et à cette insécurité croissante du cyberespace. Les entreprises ont encore une marge conséquente pour progresser dans leur gestion des cyberattaques, mais elles seront toujours en position de défenseur face à des Etats aux rôles d’assaillants qui auront l’avantage tactique. Dans ce cyberespace incertain, on ne peut que conseiller d’y laisser le moins d’informations sensibles possibles et au final, de stocker en local ces dernières. 

C’est un des paradoxes d’Internet : à l’heure d’un accroissement de la dématérialisation de nos données privées, le risque de voir dérobées ces dernières n’a jamais été aussi fort et doit nous inciter à la prudence, car les conséquences des cyberattaques ne peuvent aller qu’en augmentant dramatiquement. 


                 Tribune publiée initialement pour le Huffington Post Québec le 23 septembre 2016

jeudi 4 février 2016

La détention de Assange illégale selon l'ONU : une victoire médiatique plus que politique

Si l’on souhaitait enseigner en école de communication la création d’un buzz médiatique, les dernières pérégrinations de l’affaire Julian Assange en constitueraient un exemple parfait. Le fondateur de Wikileaks, en fin connaisseur de la diffusion de l’information à l’heure des réseaux sociaux, s’est mis en scène ce jeudi en annonçant qu’il se livrerait à la police britannique le 5 février si le groupe de travail des Nations unies sur la détention arbitraire (GTDA) tranchait en sa défaveur, ce qu’il n’a pas fait, jugeant sa détention illégale. 

Ce groupe avait été sollicité par Julian Assange qui avait épuisé tous les recours juridiques pour se défendre des accusations de viol et d’agression dont il se serait rendu coupable lors d’un séjour en Suède. La stratégie d’Assange est redoutablement efficace, et très visible : il sait pertinemment que les décisions du GTDA n’ont rien de contraignant et qu’elles ont avant tout une valeur symbolique. 

En effet, outre le fait que la plupart des décisions défavorables du GTDA ont été adressées à des Etats guère démocratiques jusqu’à présent, il serait un peu gênant pour des pays comme l’Angleterre ou la Suède d’avoir un discours sur les droits de l’homme après avoir reçu un avis négatif. Il ne faut cependant pas surestimer la portée de l’événement qui est avant tout une victoire médiatique plus qu’une réelle victoire politique.  

La position de Julian Assange demeure en vérité assez compliquée et on peut douter que cette victoire médiatique aboutisse à une résolution du conflit qui l’oppose à plusieurs acteurs puissants. Depuis 2012, il est retranché à l’ambassade d’Equateur qui lui a accordé l’asile politique, lui évitant ainsi une arrestation des forces de police britanniques qui aurait abouti à une extradition vers la Suède voire à terme vers les Etats-Unis qui demeurent en réalité son principal adversaire. 

Les autorités britanniques ont d’ailleurs rappelé après l’annonce du (faux) coup de poker de Julian Assange qu’elles seraient obligées de l’arrêter s’il sortait de l’ambassade vu qu’il est sous le coup d’un mandat d’arrêt européen. Elles font ainsi pression sur le fondateur de Wikileaks et relativisent mécaniquement le « succès » de la décision du GTDA. 

Quels enseignements peut-on tirer de cet énième rebondissement dans l’affaire Julian Assange ? Rappelons en premier lieu que ce dernier bénéficie de quelques soutiens de poids comme Edward Snowden ou des parlementaires, mais pas d’Etats (hormis l’Equateur qui l’héberge dans son ambassade). Il est donc toujours dans une situation d’insécurité et peut perdre toute protection en cas de revirement du président Rafael Correa. Le revirement de ce dernier est peu probable vu la décision du GTDA qui fait passer indirectement l’Equateur pour un pays défenseur des droits de l’homme. Cependant, n’oublions pas qu’en octobre 2015, des médias américains avaient évoqué des tensions entre le pouvoir équatorien et Julian Assange, celui-ci étant soupçonné d’avoir divulgué des informations sur les relations entre l’Equateur et l’entreprise italienne Hacking Team spécialiste en logiciels de surveillances électroniques massives. Rien depuis n’a filtré, mais on peut faire l’hypothèse que Julian Assange demeure un moyen de pression dans la stratégie diplomatique équatorienne pour embarrasser la diplomatie américaine. 

Cette dernière est d’ailleurs extrêmement silencieuse ces derniers mois et semble poursuivre une stratégie d’attente et de mise en avant de ses partenaires pour ne pas trop s’exposer. En effet, on parle avant tout de l’Angleterre et de l’affaire du coût élevé en temps de crise économique de la surveillance devant l’ambassade équatorienne qui avait été révélé dans la presse, et de la Suède qui veut entendre comme témoin Julian Assange avant une possible mise en examen. 

Les Etats-Unis ont en réalité tout intérêt à ce que l’on oublie Julian Assange et à éviter qu’il ne fasse la une des médias. Ce dernier a un champ d’action limité en étant réfugié au sein de l’ambassade : certes, il donne de temps à autre des conférences sur internet et partage son avis sur les projets de loi numérique dans des pays comme la France mais l’âge d’or des révélations orchestrées de main de maître par Wikileaks est désormais révolu, d’autant plus que de nombreuses tensions ont secoué l’organisation l’an dernier. De plus, Julian Assange s’est plaint à plusieurs reprises de sa situation, se déclarant comme prisonnier et malade, ce qui n’est pas pour déplaire aux Etats-Unis. 

Julian Assange a encore des supporters parmi les défenseurs des libertés civiles mais globalement, il est isolé. Souvenons-nous de sa demande d’asile le 3 juillet dernier auprès de la France qui avait été refusée dans un temps extrêmement court et ce alors que des révélations sur les écoutes américaines à l’encontre d’officiels français étaient à nouveau faites ! 

Le fondateur de Wikileaks est un pion au sein de l’échiquier de la Realpolitik mondiale : par son action, il a favorisé l’émergence de lanceurs d’alerte mais il s’est condamné indirectement à une vie faite de privation de liberté et de contrôle, bref tout ce qu’il dénonçait. La situation pourrait changer positivement le concernant si la Suède revoyait sa position, mais cela ne pourra pas se faire tant que la justice suédoise ne pourra pas l’interroger, même au sein de l’ambassade (ce qui a failli s’organiser récemment). De nouvelles négociations sont donc à prévoir entre la justice suédoise, les autorités équatoriennes et Julian Assange pour essayer de trouver un arrangement, à supposer toutefois que la stratégie de certains acteurs (Assange et l’Equateur) ne soit pas justement de ne pas trouver d’arrangement…


Tribune publiée initialement pour le Nouvel Observateur (Le Plus) le 5 février 2016

lundi 9 novembre 2015

Anonymous, une "marque" en perte de vitesse

Pour promouvoir un produit, on mène en général une campagne de marketing afin d’attirer l’attention du potentiel consommateur, en lui faisant espérer une nouveauté à même de le faire acheter. La même technique peut être utilisée pour des organisations qui souhaitent médiatiser leur action, avec le même risque qu’à trop promettre, on suscite de la déception chez la cible. C’est exactement ce qui s’est passé avec la dernière opération des Anonymous, Opération KKK (pour Ku Klux Klan). 

L’objectif était de diffuser publiquement une liste d’un millier de noms de personnes liés au KKK aux Etats-Unis le 5 novembre 2015, date symbolique pour les Anonymous puisque c’est le 5 novembre 1605 que l’attentat de Guy Fawkes contre le Parlement britannique fut déjoué (pour rappel, les Anonymous portent un masque avec l’effigie de Guy Fawkes). L’annonce de la diffusion avait été faite fin octobre, mais en raison de maladresses aussi bien sur la forme que sur le fond, l’opération me paraît être un fiasco (prévisible) sur toute la ligne. 

Rappelons que ce n’est pas la première fois que les Anonymous s’en prennent au KKK. En novembre 2014, des Anonymous avaient mené des cyber actions contre des membres du KKK qui avaient menacé des manifestants de Ferguson, suite à la mort d’un jeune noir tué par un policier blanc. Ils avaient ainsi détourné des images du KKK avec un effet médiatique immédiat et pris le contrôle du compte twitter de l’organisation raciste.

Un an plus tard, le temps nécessaire à l’opération semble-t-il, les Anonymous mettent donc à la disposition de tous une liste de noms, la plupart associés à des comptes Facebook ou Google Plus. Cette liste fait suite à une fausse liste publiée quelques jours avant par des personnes se présentant en tant qu’Anonymous, rappelant la faiblesse de cette « organisation non organisée », à savoir que chacun peut s’en réclamer et mener des actions dont l’efficacité a des répercussions sur l’ensemble du mouvement.

La liste est précédée d’un texte explicatif, où il est question d’une forme de résistance contre le racisme, avec des passages surprenants où les organisateurs de l’Opération KKK se livrent à une présentation sociologique rapide de l’organisation KKK, soulignant qu’ils partagent avec eux quelques points communs, en cela qu’ils sont pour la plupart pauvres comme eux, qu’ils s’opposent à la surveillance de masse et qu’ils veulent préserver leur liberté de pensée ! 

Cette mise en avant de leurs points communs est assez grotesque, bien qu’elle soit compensée par de justes critiques sur le contenu du message du KKK. Les Anonymous précisent enfin que certains membres de cette liste sont dangereux, certains sont des sociopathes, d’autres non. Bref, il n’y a aucune hiérarchie dans cette liste ce qui est pour le moins problématique et laisse planer le doute sur l’ensemble des membres de cette liste, avec certaines personnes qui y ont été mentionnées alors qu’elles ne sont en rien affiliées au KKK ! 

Soulignons que pour établir cette liste, les Anonymous ont utilisé la technique du OSINT pour Open Source Intelligence Strategies, qui consiste à collecter des informations à partir de sources ouvertes. En d’autres termes, les Anonymous ne se sont pas livrées à du hacking de haut niveau pour cette opération qui au final, et cela a été critiqué par d’autres Anonymous, fait plus de publicité au KKK qu’elle ne lui nuit. Pour une organisation raciste qui ne compte que quelques milliers de membres aux Etats-Unis, l’Opération KKK leur a permis de mieux faire connaître leur structure web, à travers les blogs des membres, les moyens d’entrer en contact avec d’autres membres dont bien souvent, les pages Facebook sont accessibles directement sans besoin de s’identifier. 

On pourrait penser qu’il ne s’agit que d’un échec temporaire, mais le mouvement Anonymous, du moins dans sa version numérique, perd directement et durablement de sa crédibilité en cas d’opération semi-ratée ou ratée. L’époque des opérations complexes, qui faisaient appel à des membres aux compétences informatiques poussées, capables de s’introduire dans les infrastructures informatiques sensibles de la cible et de lui causer des dommages importants, semble révolue. Cela est peut-être dû aux arrestations en 2012 de membres influents du mouvement qui avaient le savoir-faire nécessaire pour des opérations d’envergure. Reconstituer des équipes opérationnelles et efficaces prend beaucoup de temps (la confiance entre chaque membre) et nécessite pour les candidats d’accepter le risque d’être arrêtés et poursuivis en justice. 

Anonymous est aujourd’hui une marque qui perd sans mauvais jeu de mot de son identité et de sa force, car l’expression est utilisée pour des opérations très diverses, aux méthodes et résultats inégaux. Anonymous est devenue une appellation pour contester, sensibiliser, mais ses moyens semblent insuffisants pour ses ambitions qui demeurent structurellement peu lisibles. 

Bien que la symbolique autour des Anonymous demeure puissante et suscite des vocations et des mouvements d’action (cf la Marche des millions de masques qui s’est tenue à Londres jeudi soir qui a d’ailleurs dégénéré en affrontements avec la police), Anonymous conserve des faiblesses structurelles trop importantes pour croître efficacement dans le cyberespace. 

Les Anonymous sont peut-être une étape historique essentielle, mais juste une étape en fin de compte, de l’hacktivisme dans le cyberespace. Il me semble que ce dernier va se développer de plus en plus, mais en petites structures mobiles et organisées autour de projets précis, aves des entités focalisées sur les multinationales par exemple, d’autres sur les institutions. Elles se distingueront par leurs méthodes d’action et leurs objectifs politiques et médiatiques, qui seront évidemment à apprécier individuellement. L’hacktivisme représente une infime partie de la société civile dans le cyberespace, mais il doit être pris très au sérieux par les autres acteurs du cyberespace car il peut déstabiliser ce dernier en peu de temps et engendrer des réactions dont l’ampleur est à aujourd’hui insoupçonnée. 

Tribune publiée initialement pour le Nouvel Observateur (Le Plus) le 9 novembre 2015