mardi 16 mai 2017

Wannacry : un cyber-braquage à la fois hors-norme et d’un classicisme certain

Depuis trois jours, les médias du monde entier traitent en boucle ce qu’ils qualifient comme la plus importante cyberattaque qu’ait connu le monde jusqu’à présent. Les adjectifs apocalyptiques sont utilisés à foison, laissant malheureusement trop de place à la réaction à chaud au lieu de la mise en perspective de cette cyberattaque qui, même si elle est impressionnante par son champ d’action, mérite d’être considérée pour ce qu’elle est, à savoir une tentative à l’échelle mondiale de demande de rançon via le biais numérique. 

Pour rappel, des hackers sont parvenus à contaminer des entreprises, des hôpitaux, des ministères et d’autres entités dans le monde entier (on parle de deux cent mille postes touchés dans une centaine de pays, mais ces chiffres sont amenés à évoluer) via un ransomware appelé Wannacry, logiciel chiffrant l’ensemble des données d’un ordinateur et exigeant une rançon pour obtenir la clé permettant de déchiffrer et de récupérer ces données. D’après les premiers éléments disponibles, ce logiciel a pu se développer rapidement et à grande échelle grâce à une faille dans le système d’exploitation Windows (les versions anciennes sont principalement concernées). 

Ce qui est nouveau par rapport aux autres cas de ransomware, c’est qu’il semble bien que la connaissance de la faille utilisée soit due à la diffusion non autorisée en avril dernier par un groupe de hackers d’outils utilisés par la NSA, l’agence de renseignement américaine. Cela a fait dire à certains que la NSA était en partie responsable de cette cyberattaque et qu’elle aurait dû avertir la société Microsoft, éditrice du logiciel Windows, de l’existence de cette faille dès sa découverte afin qu’elle soit corrigée et que les utilisateurs soient protégés. Ainsi, l’ex consultant de la NSA Edward Snowden a dénoncé sur Twitter le comportement de la NSA, allant même jusqu’à dire que rien de tout cela ne se serait passé si la NSA avait une politique de communication des failles. Il a été rejoint dans sa démarche par des représentants de Microsoft, dont Brad Smith, le directeur juridique du groupe qui n’a pas hésité sur son blog à dramatiser à l’excès l’événement, se risquant à comparer cette affaire cybernétique à un vol de missiles… Microsoft a dans le même esprit demandé aux gouvernements de ne pas cacher les failles qui seraient découvertes et cherche à mobiliser les différents acteurs du cyberespace en vue de la mise en place d’une pratique de bonne conduite en matière de publication des failles. 

Il nous semble de notre côté que ces arguments, bien que d’apparence évidente et par certains aspects moraux, ne répondent pas à la réalité stratégique du cyberespace. Que la NSA ou d’autres services de renseignement dans le monde aient des équipes développant des outils numériques afin d’être efficaces dans le cyberespace qui devient un théâtre d’opération à part entière, cela n’a rien de choquant, bien au contraire. La découverte et l’exploitation des failles dites « zero day » est nécessaire pour mener des activités de renseignement afin de récupérer des informations sur le poste informatique de telle ou telle personne surveillée. Concernant ces failles justement, c’est le travail des éditeurs de logiciels que de les repérer et de concevoir les correctifs. Dans le cas présent, Microsoft a été très réactif mais il ne peut être le seul acteur des mises à jour pour protéger les systèmes informatiques. Les utilisateurs et les responsables informatiques dans les entreprises doivent être attentifs à cette démarche. Notons au passage que Microsoft a dû revoir sa politique de suivi technique car le système principalement touché, Windows XP, n’était plus en théorie suivi par les équipes techniques. 

Cela pose d’ailleurs deux problèmes majeurs : il y a en premier lieu le temps nécessairement long à de grandes entreprises ou des administrations pour migrer leurs systèmes informatiques vers des versions plus récentes. Cela représente des coûts humains et financiers très conséquents avec le risque d’un système parfois instable, et donc beaucoup de structures privilégient un système maîtrisé bien qu’ancien. Deuxièmement, il y a aujourd’hui dans le cyberespace ce qu’on appelle une fragmentation des systèmes d’exploitation. Le problème est manifeste pour les smartphones où par exemple de très nombreuses versions d’Android cohabitent avec le risque réel de failles de sécurité pour des versions qui n’ont parfois que deux ou trois ans. C’est lié aussi et avant tout à une logique économique des fabricants de produits technologiques qui n’assurent qu’un suivi trop bref de la couche logicielle de leurs produits pour deux raisons : le suivi technique représente un coût financier important et cela pousse le consommateur à changer plus rapidement de smartphone ou d’ordinateur afin d’avoir un produit à jour et sûr. A ce sujet, notons qu’un des problèmes posés concerne donc l’obsolescence programmée qui n’est donc pas que physique (durée de vie des composants) mais aussi logique (via les logiciels).   

Face à ce cyber-braquage, que faire ? Les autorités rappellent les principes de base de l’hygiène informatique : cela va de la sauvegarde de ses données sur des supports déconnectés d’Internet à la suspicion constante vis-à-vis des courriels. C’est de bon sens, mais ces mesures ne sauraient être efficaces à 100% et elles demandent une logistique chronophage. La réalité est que contre ce genre de pratiques très courantes (les ransomware touchent des milliers d’utilisateurs chaque jour dans le monde), il n’y a pas de solution miracle. Seule une réflexion sur la sécurité de l’information que l’on détient pourra conduire à de meilleures pratiques. Une tendance de fond pousse de plus en plus les entreprises, les administrations, les services publics tels que les hôpitaux à migrer vers des solutions tout numériques. Il y a certes des avantages financiers évidents, mais si on replace ces derniers dans un tout, avec le risque de perdre ses données à la moindre cyberattaque, la question de ce qui doit être absolument ou pas informatisé doit être systématiquement posée. Sans aller à l’extrême avec un retour au papier et au crayon, il faudrait davantage penser en « monde clos » les réseaux informatiques vitaux des structures pour limiter le risque de chiffrement de ses données à son insu. Cela peut passer par des systèmes d’exploitation reposant sur des versions retravaillées de Linux par exemple, de pare-feux plus performants, d’une limitation plus drastique de l’utilisation des outils de communication sur les postes informatiques (mails, réseaux sociaux). Rappelons que bien souvent la cyberattaque réussit grâce à une faille humaine : un employé crédule qui ouvre un courriel, un autre qui protège mal son ordinateur, un autre qui navigue sur les réseaux sociaux alors qu’il a accès en direct par ailleurs à des informations sensibles. La liste des possibilités est très longue malheureusement, et les utilisateurs doivent s’habituer à ne pas avoir une confiance aveugle dans leurs systèmes informatiques. Cela peut paraître surprenant à première vue, mais ces derniers sont bien plus vulnérables que nous ne le pensons.   

Il y a un risque réel que les auteurs de Wannacry poursuivent leurs méfaits avec des versions modifiées du logiciel pour échapper à la détection des solutions de sécurité informatique, mais je ne crois pas au « cyber-chaos » avancé par certains. Il y a aujourd’hui de nombreux experts qui cherchent des failles dans le logiciel des hackers afin de développer des contre-mesures pour le bloquer efficacement. Qu’il y ait encore des utilisateurs touchés par ce ransomware, c’est évident, mais ce seront surtout des utilisateurs qui n’auront pas fait les mises à jour de leurs systèmes. Concernant les hackers responsables de l’opération, on ne sait rien d’eux pour l’instant. Leur motivation peut être pécuniaire, même si dans le texte affiché par le programme, il y a quelques passages laissant supposer un certain détachement concernant cette dimension financière. Leur stratégie ne nous semble pas être liée à des cibles précises si l’on se réfère à l’hétérogénéité des entreprises et autres structures touchées. Sans doute cherchent-ils à semer la « pagaille » dans le cyberespace et de ce point de vue, c’est réussi, même pour un bref moment. A moins d’erreurs grossières de leur part, il est peu probable qu’ils soient retrouvés rapidement car leurs outils leur confèrent un réel anonymat. Les autorités doivent essayer malgré tout de les appréhender afin d’éviter un appel d’air pour d’autres groupes de hackers qui y verraient une formidable occasion de gagner de l’argent illégalement en toute impunité.  

Pour conclure, l’affaire Wannacry rappelle à chacun la fragilité de nos systèmes informatiques sur lesquels pourtant nous déposons toujours plus de données sensibles sans prendre conscience qu’elles peuvent nous être inaccessibles en quelques minutes. Pour autant, avec une bonne « hygiène informatique », on peut éviter la plupart de ces cyberattaques très fréquentes et qui ont vocation à croître. Wannacry est en fin de compte une opération très classique qui a su être menée au bon moment (veille de week-end) avec un bon canal (une faille de sécurité affectant des millions de postes) pour devenir à la fois un événement cybernétique important, mais aussi un événement médiatique impressionnant. 

Tribune publiée initialement pour le Huffington Post Québec le 16 mai 2017 (http://quebec.huffingtonpost.ca/maxime-pinard/wannacry-un-cyberbraquage_b_16628234.html)

mardi 4 avril 2017

Poids du cyber et des stratégies d'influence dans les élections

Dans quelques semaines pour la France et quelques mois pour l'Allemagne, deux puissances majeures de l'Union européenne vont connaître des élections qui risquent de changer le paysage politique, surtout en France. Ces élections sont donc scrutées de manière plus soutenue par les observateurs internationaux, d'autant plus que l'issue des votes semble très incertaine. Contrairement aux campagnes précédentes, l'enjeu du cyber revêt un intérêt croissant eu égard à la victoire de Donald Trump aux États-Unis, certains observateurs l'estimant liée à la cyberattaque qu'a subi le camp démocrate, fragilisant Hillary Clinton.

Notons avant la suite de notre propos que cette assertion mérite d'être prise avec beaucoup de précautions. Qu'il y ait eu piratage du comité démocrate, c'est un fait. Que les auteurs soient des hackers russes, c'est fort probable. Que l'initiative ait été directement pilotée par le Kremlin et donc Vladimir Poutine, c'est possible, mais extrêmement difficile à prouver. Que cette cyberattaque ait fait pencher la balance pour le candidat républicain, c'est très difficile à estimer de manière sérieuse. Seules des études approfondies sur les électeurs cibles dans les prochaines années pourront démontrer l'impact de cette cyberattaque. Rappelons simplement que les messages divulgués par les hackers n'étaient pas des faux ; ils n'avaient pas être diffusés, c'est tout.

Ce risque d'une élection perturbée par des actions cybernétiques semble créer une réelle paranoïa au sein de la classe politique et de certains médias qui surestiment le poids du cyber dans les processus électoraux, qui utilisent le terme générique de cyberattaque pour des actions très diverses («faire tomber» les serveurs d'un parti politique n'est pas vraiment la même chose que mener une campagne diffamatoire à l'encontre d'un candidat sur les réseaux sociaux) ou qui simplement oublient que de nombreuses élections par le passé ont fait l'objet d'influences étrangères, le cyber étant simplement un outil nouveau.

Depuis le début de l'année, de nombreux papiers dans les médias français traitent du risque d'une cyberattaque perturbant l'élection présidentielle. Leur démarche a été renforcée à la suite des déclarations de membres de l'équipe d'Emmanuel Macron, expliquant en février faire l'objet de milliers (!) de cyberattaques venant de Russie. Il convient à ce sujet de préciser que les attaques n'étaient en rien sophistiquées, que le site du candidat sujet à ces dites attaques ne répondait pas aux standards actuels de sécurité de base et qu'il était donc facile d'y trouver une faille de sécurité, et qu'enfin, comme pour toute attaque dans le cyberespace, la question de l'attribution est extrêmement problématique. En résumé, cette plainte du camp d'un candidat ne mérite pas toute l'attention que lui ont portée les médias.

Les autorités françaises cherchent cependant à éviter de « vraies » cyberattaques, qui perturberaient via des moyens techniques sophistiqués (accès aux listes électorales pour les modifier et les rendre invalides, accès aux serveurs des partis pour diffuser des communications internes, etc.) le processus électoral. Les partis politiques ont ainsi été sensibilisés à ces risques d'intrusion et sont en contact avec l'ANSSI, l'agence nationale de la sécurité des systèmes d'information. Le président François Hollande s'est également prononcé sur la question, souhaitant un bon déroulement à la campagne.

On pouvait espérer un apaisement et une réflexion plus poussée sur les enjeux du numérique dans une campagne présidentielle, mais c'était sans compter sur le sénateur américain Richard Burr, chef de la commission du Renseignement qui a déclaré cette semaine: «Je pense qu'il est raisonnable de dire, d'après ce que tout le monde estime, que les Russes sont activement impliqués dans les élections françaises» (...) «Nous estimons qu'il est de notre responsabilité de communiquer au reste du monde ce qu'il se passe, parce que nous sommes face désormais à la diffamation de candidats». Notons tout d'abord que le sénateur est très flou dans sa déclaration, ce qui peut se comprendre pour des raisons de secret de l'information, mais qui pose problème pour qui souhaite vérifier les dires du politicien.

Deuxièmement, la Russie est l'unique accusé dans les propos du sénateur Richard Burr. Sans nier les campagnes d'influence massives menées par la Russie, il nous paraît peu probable que la France ne soit l'objet que d'une seule stratégie d'influence étrangère. Troisièmement, concernant la diffamation des candidats, on peut être surpris par cette remarque dans la mesure où l'action de diffamer l'adversaire est monnaie courante (les fameuses « boules puantes ») et qu'elle n'a rien de spécifiquement cyber, si ce n'est que la dimension cyber peut accentuer ses effets.

Pensons ainsi aux messages sur les réseaux sociaux donnant des surnoms à consonance arabe à différents candidats pour laisser supposer de leur part un positionnement pro-arabe / pro musulman. Pensons également aux « guerres d'intox » menées par plusieurs équipes web des candidats qui diffusent de fausses informations sur leurs adversaires. En résumé, des stratégies de désinformation et d'influence sont déjà à l'œuvre (et l'ont déjà été dans des élections passées) au niveau franco-français. Il y a des médias prorusses qui diffusent des informations biaisées, mais il est très difficile de comprendre le jeu russe et de voir qui réellement la Russie soutient. On pouvait penser à un soutien clair pour François Fillon, eu égard aux relations étroites de ce dernier avec des dirigeants russes, mais il n'y a rien d'évident dans les articles des médias pro-Kremlin. De même, la visite de la candidate d'extrême droite Marine Le Pen au Kremlin le 24 mars, où elle s'est entretenue avec Vladimir Poutine, ne signifie pas pour autant que le président russe a son candidat de prédilection et qu'il mène de vastes opérations d'influence en vue de l'aider. Au contraire, la rencontre Le Pen / Poutine dans un contexte de sentiment de défiance à l'encontre de la Russie n'est pas forcément un calcul politique pertinent.

Sans pour autant nier la possibilité de cyberattaques affectant la campagne de tel ou tel candidat, ce qui nécessiterait des compétences techniques importantes et des ressources en matière de renseignement pour un résultat concret, on peut demeurer relativement sceptique face à la déclaration du sénateur américain. Toute élection comporte des menaces pouvant en perturber le bon déroulement, et cette communication vise surtout à renforcer l'idée d'une guerre de l'information menée par la Russie, laissant de côté le hard et le soft power, pour un smart power qui s'appuierait sur les facilités qu'offrent les outils cybernétiques.

Rappelons simplement que ces accusations sont portées par un élu d'un pays dont les activités en matière de sécurité / défense dans le cyberespace sont pour certaines d'entre elles critiquables (révélations de Snowden, mises sur écoutes d'instances européennes, internationales, de dirigeants alliés...). Quant à la Russie, elle joue habilement sa partition, niant toute action dans le cyberespace, jouant sur la difficulté d'attribuer précisément une cyberattaque.

Le suivi du bon déroulement de l'élection sera un bon moyen de mesurer la sous ou la surinterprétation de la dimension cyber et des stratégies d'influence liées. Souvenons-nous que lors des Printemps arabes, un emballement dans de nombreux médias avait conduit à parler de « Révolution Twitter », « Révolution Facebook » et autres termes, donnant au cyber un poids disproportionné dans les processus de changements de régime dans la région.


Tribune publiée initialement pour le Huffington Post Québec le 4 avril 2017 (http://quebec.huffingtonpost.ca/maxime-pinard/poids-du-cyber-et-des-str_b_15749150.html)

jeudi 16 mars 2017

Interview Sputnik "le cyberespionnage utilise les failles des appareils électroniques"

                     Interview pour la radio Sputnik par Vera Kolessina-Trannoy le 15 mars 2017 sur 
"le cyberespionnage utilise les failles des appareils électroniques"