jeudi 28 mars 2013

Non, Internet n’a pas failli être « cassé » !


Parler d’effervescence médiatique pour la cyberattaque révélée aujourd’hui est un doux euphémisme. On devrait parler plutôt de paranoïa générale avec pour double effet d’affoler les cybernautes et d’amplifier à l’excès un événement qui n’est pas si extraordinaire que cela !

Que sait-on de cette affaire ? Selon les premières informations disponibles, des pirates auraient attaqué la structure Spamhaus (http://www.spamhaus.org/), une organisation internationale à but non lucratif dont la mission est de traquer les hébergeurs de spams et de publier des listes noires sur ces derniers. L’attaque coïnciderait avec l’ajout de l’hébergeur néerlandais Cyberbunker, dont les serveurs sont situés dans un ancien bunker de l’OTAN. Cet hébergeur est bien connu des spécialistes informatiques pour le peu de contrôle qu’il exerce en amont sur les sites qu’il héberge : seuls les sites liés à la pédophilie et au terrorisme sont interdits. Autant dire que beaucoup d’autres sites, aux objectifs se rapprochant de la cybercriminalité par exemple, peuvent sans trop de difficultés y être hébergés.

A première vue, l’instigateur des cyberattaques serait Cyberbunker, ce dernier cherchant vraisemblablement à entamer un rapport de force avec un site qui le met quasiment aux bans des services web. Pourtant, nous n’avons aucune preuve pour l’instant de l’implication directe de Cyberbunker, et des éléments laissent penser que l’attaque est venue de plusieurs pays, qui n’ont pas nécessairement de liens directs avec Cyberbunker. De plus, ce dernier ne serait pas très « malin » en agissant ainsi, car il serait sous les projecteurs aussi bien des médias que de la justice.

La chronologie des cyberattaques et les acteurs qui y ont participé méritent également réflexion : selon plusieurs sources, l’attaque aurait commencé le 18 mars ; or, rien n’a filtré dans les médias ou la presse spécialisée pendant dix jours. Pour une attaque censée avoir failli casser Internet (« The DDoS That Almost Broke The Internet », formule utilisée par le site Cloudfare), le temps d’attente pour accéder aux informations est particulièrement anormal, pour ne pas dire inquiétant si l’attaque était si dévastatrice que cela.

En outre, tous les acteurs impliqués dans cette histoire ont un intérêt à ce que leur service soit médiatisé : Cyberbunker avec son credo d’un Internet quasiment sans censure / contrôle, Spamhaus pour son travail sur la lutte contre les spams et Cloudfare qui peut se vanter de sa capacité à soutenir les sites en difficulté, démontrant au passage ses capacités techniques.

Même si, comme nous allons le voir, Cloudfare exagère consciemment la gravité de la situation, force est de constater que les pirates étaient déterminés et que l’intensité des cyberattaques est presque unique, en comparaison des attaques habituelles de ce genre. A ce sujet, la technique employée, attaque à déni de service, visant à saturer un site internet pour le rendre inaccessible, est accessible à tous et ne requiert que peu de connaissances. Les pirates ont soit un niveau basique de connaissances informatiques, soit ils ont cherché la simplicité avec le risque d’être retrouvés plus facilement.

Pourtant, la société Cloudfare semble voir dans cette histoire un cas unique dans l’histoire du cyberespace. En bon communicant, elle emploie des formules chocs comme : « These thing are essentially like nuclear bombs » (Matthew Prince). Autant dire que la comparaison « cyber arme / arme nucléaire » est autant exagérée qu’inappropriée dans le cas présent. De plus, la société affirme qu’Internet en Europe a été touché par ce combat entre Spamhaus et Cyberbunker (si c’est vraiment ce dernier…), avec des ralentissements pour les cybernautes.

Or, aussi bien au niveau des cybernautes eux-mêmes que des sociétés en charge d’observer le trafic internet, aucun ralentissement manifeste n’a été signalé ou n’a causé de désagrément réel à des services web. Qui plus est, pour une cyberattaque censée fragiliser à ce point Internet, il est surprenant qu’il y ait eu aussi peu de réactions des pouvoirs politiques et des organismes en charge de la sécurité informatique. Très rapidement d’ailleurs, des sociétés comme Renesys ont calmé le jeu, rappelant que bien que l’attaque ait été de grande ampleur, les capacités d’absorption des centres d’hébergement (celui de Francfort par exemple) sont largement en mesure de supporter la cyberattaque.

Un autre point curieux dans cette histoire est le témoignage de Sven Olaf Kamphuis, auto-proclamé porte-parole des pirates, et qui n’est pas particulièrement connu dans le milieu. L’interview qu’il a accordée à New York Times est déjà surprenante en elle-même, dans la mesure où les hackers ont généralement pour habitude de revendiquer leurs actes sur des forums ou des sites spécialisés en montrant des captures d’écran de leurs exploits. Dans le cas présent, le « porte-parole » n’adopte pas un discours technique (pouvant prouver sa légitimité) mais bien un discours politique, par ailleurs intéressant sur le fond : Kamphuis accuse Spamhaus d’ « abuser de son influence » pour classer des hébergeurs et indirectement faire pression sur les contenus qu’ils peuvent héberger ou non. Il souligne à juste titre que Spamhaus est une organisation autonome, qui ne répond de ses actes à personne, et qui ne détient de compétences d’aucune autorité supérieure.

Au-delà de cette affaire qui contient encore beaucoup de zones d’ombre, il ne faudrait pas occulter le problème principal : les spams qui polluent les boîtes mails des cybernautes et qui enrichissent les réseaux mafieux. Pourtant, là encore, difficile de discerner le vrai de la propagande commerciale, la lutte contre les spams coûtant aux entreprises 20 milliards de dollars par an, selon une étude du Journal of Economic Perspectives de l’été dernier. Cette même étude estime par ailleurs que sur les 90 milliards de spams envoyés en 2010, seuls 1.2% auraient atteint leurs cibles, et que le chiffre d’affaires des spammeurs ne dépasserait pas 200 millions de dollars par an.

Cette histoire démontre en tout cas la complexité du cyberespace, les interactions complexes des acteurs aux objectifs aussi bien économiques que politiques. Une question demeure : le cybernaute lambda doit-il accepter de demeurer un spectateur des activités de la Toile et en subir les effets ou bien doit-il être responsable et s’affirmer en tant qu’acteur / observateur à prendre en compte ?

Tribune publiée initialement sur le Nouvel Observateur (Le Plus) le 28 mars 2013 (http://leplus.nouvelobs.com/contribution/807552-cyberattaque-contre-spamhaus-une-psychose-collective-rien-de-plus.html)

jeudi 14 mars 2013

Cyberguerre ou cyberguerre froide sino américaine?


L’étude du cyberespace fait l’objet de débats animés lorsqu’il est question d’en envisager la dimension militaire, et plus précisément la notion de cyberguerre. En dépit d’une utilisation massive de ce concept à travers la presse et les livres, force est de constater qu’il n’y a pas eu jusqu’à présent de cyberguerre, au sens conventionnel du terme, c’est-à-dire avec deux acteurs au minimum visibles, des périodes offensives et défensives, l’emploi de forces spécifiques à même d’affaiblir durablement l’adversaire. Le débat n’est d’ailleurs pas tranché pour savoir si la cyberguerre est un champ d’action autonome, en d’autres termes si elle se suffit à elle-même, ou bien si on doit plutôt la considérer comme un support aux autres théâtres d’opération (terrestre, maritime, aérien).

Pourtant, le début de l’année 2013 pourrait constituer un tournant dans l’histoire récente du cyberespace et des rapports de force qui s’y déroulent. Une société américaine, Mandiant, a présenté une étude détaillant les résultats d’une enquête conduite sur plusieurs années et portant sur des unités chinoises de cyber espionnage. Les cas de piratage informatique sont une réalité du cyberespace, et l’on observe, comme le prédisent chaque année les entreprises de sécurité informatique, une augmentation significative aussi bien de leur nombre que de leur sophistication.

Mais c’est la première fois qu’un organisme parvient avec des éléments de preuve intéressants d’où viennent un certain nombre de cyberattaques touchant les intérêts américains et surtout, à établir un lien entre les auteurs de l’opération, des hackers chinois, et le pouvoir militaire chinois qui aurait forcément été au courant des faits et qui aurait donc une part de responsabilité. D’habitude, on dit que telle société a été piratée par tel pays, ce qui est souvent une affirmation fallacieuse, car les auteurs des cyberattaques peuvent être des individus, des sociétés ou des officines rattachées au pouvoir. Prouver l’origine exacte d’une cyberattaque et en déterminer les responsables est une démarche relativement complexe, nécessitant des moyens humains, financiers et techniques de grande ampleur ; c’est ce que pourrait avoir réussi pourtant Mandiant en localisant une unité de cyberespions baptisée Unité 61398 dans un bâtiment de Shanghai abritant le QG de l’armée populaire de libération.

Les soupçons portés depuis des années sur cette fameuse « cyber armée chinoise » sembleraient donc vrais, même s’il faut demeurer prudent et attendre de futures contre-analyses. Les autorités chinoises ont formellement démenti ces accusations, rappelant que ces initiatives de cyberattaques sont punies par leurs lois. Mais un faisceau d’indices laisse à penser que la Chine laisse faire ou pire soutient ces projets, individuels ou collectifs, qui permettent d’espionner d’autres puissances et de tester également leurs capacités en matière de cyberdéfense. Néanmoins, faire de la Chine « le grand danger du cyberespace » constituerait une erreur d’analyse majeure.

Les nombreuses cyberattaques révélées ces dernières semaines contre des organes de presse (New York Times, Wall Street Journal…), des entreprises (Microsoft, Facebook, Twitter) ne sont que la face émergée d’une guerre d’influence souterraine que se livrent les puissances dans le cyberespace. Les deux acteurs majeurs sont assurément la Chine et les Etats-Unis, ces derniers venant d’ailleurs de décider d’accroître considérablement leur budget en matière de cyberdéfense. D’autres acteurs, comme la Russie avec ses hackers réputés, l’Europe avec des tentatives à la fois nationales et transnationales de se protéger, et dans une moindre mesure les régimes liberticides comme la Syrie et l’Iran, participent à cette géopolitique d’affrontements du cyberespace.

Bien qu’il y ait une course aux armements numériques, aussi bien défensifs qu’offensifs, parler de cyberguerre n’a pas véritablement de sens car ni la Chine, ni les Etats-Unis n’ont intérêt à ce que la situation dégénère. En effet, le problème des conflits dans le cyberespace est qu’ils n’ont pas réellement de frontières et qu’il est difficile d’apprécier les conséquences des cyberattaques envisagées. Un virus envoyé par un pays A contre les infrastructures d’un pays B peut très bien toucher un pays C étranger au différent initial. Les conséquences diplomatiques seraient évidemment désastreuses.

La situation actuelle répond davantage à une logique de guerre psychologique, où chacun cherche à montrer ses muscles et sa détermination : la Chine en multipliant les cyberespionnages et prenant le risque d’être découverte, les Etats-Unis en renforçant ses capacités défensives et offensives après avoir dénoncé tous les cas de cyberattaques la concernant avec la possibilité d’apparaître vulnérables.  

Plutôt que de parler d’une cyberguerre qui n’aura pas lieu, une série de cyberattaques ne faisant pas une cyberguerre, sans doute faudrait-il mieux parler du début d’une cyberguerre froide américano-chinoise.