Les dessous d’une cyberguerre annoncée
Les États-Unis se préparent à une guerre numérique et positionnent leurs armes. Tous les ingrédients semblent réunis pour un conflit avec la Russie, la Chine ou un autre pays. Une enquête parue dans le New York Times lève le voile sur ces nouveaux conflits qui pourraient impacter les entreprises
Une enquête attaquée par le pouvoir
Le 15 juin 2019, le New York Times a publié une longue enquête très détaillée (en anglais) sur les potentialités destructrices de l’arsenal américain en matière de cyberguerre.
L’enquête a donné lieu à de nombreuses réactions aussi bien du côté américain (Donald Trump s’est fendu de deux tweets rageurs) que du côté russe.
Le Kremlin a prévenu que tout passage à l’acte (en anglais) conduirait nécessairement à une riposte et à une cyberguerre.
Do you believe that the Failing New York Times just did a story stating that the United States is substantially increasing Cyber Attacks on Russia. This is a virtual act of Treason by a once great paper so desperate for a story, any story, even if bad for our Country.....
— Donald J. Trump (@realDonaldTrump) 16 juin 2019
Des actions de cyberguerre menées dès 2010
Ce n’est pas la première fois que les armes numériques sont utilisées par des États. En 2010, le ver Stuxnet était découvert. Il a visé avec succès les centrifugeuses de l’usine d’enrichissement d’uranium de Natanz.
Dans son livre Confront and Conceal (page wikipedia en anglais), le journaliste du New York Times, David E. Sanger, révélait que la NSA et l’unité israélienne 8200 étaient à l’origine de ce ver. Commencé sous Bush, ce programme secret avait été accéléré sous Obama.
Une méthodologie éprouvée
Comme l’usine d’enrichissement était coupée du réseau internet, le seul moyen d’atteindre la cible était depuis l’extérieur.
Le ver Stuxnet a donc été conçu spécifiquement pour la cible : les systèmes d’exploitations en Iran étaient en majorité une version remaniée de Windows 98.
Il y avait des raisons de penser que les automates de commande des centrifugeuses étaient contrôlés par le système de contrôle et d’acquisition de données (SCADA) de chez Siemens. Plus particulièrement le logiciel WinCC.
Une opération commando
C’est donc spécifiquement ces versions qui ont été ciblées. Le ver a ensuite été déposé sur les réseaux où il a infecté petit à petit tous les ordinateurs.
Il a spécifiquement été conçu pour ne pas être repéré. Lorsque des ingénieurs découvraient un problème sur une machine, cherchaient à l’isoler (technique du bac à sable), le ver se mettait en sommeil. Cela a permis une diffusion maximale jusqu’à ce qu’il touche sa cible.
Le ver a vraisemblablement été introduit dans l’usine via une clé USB. On ne sait pas si la clé a volontairement été infectée ou bien si c’est une clé qui a été contaminée simplement en étant connectée à un moment ou à un autre sur le réseau iranien qui, selon les cartographies réalisées en 2010, a été complètement infesté.
L’apparence que tout va bien
Reproduite depuis en laboratoire, l’attaque de l’usine d’enrichissement est d’une simplicité déroutante. Le ver se positionne entre les capteurs et le logiciel – c’est ce qu’on appelle généralement une attaque “man-in-the-middle“. L’ordinateur échange avec les capteurs et le ver se met au milieu de l’échange.
Dans un premier temps, il écoute les échanges. Puis il commence à introduire des petits écarts pour voir si ces écarts sont constatés. Subtilement, il habitue à des petits défauts : temps de réaction, légère accélération. Un décalage se crée entre les informations affichées sur l’écran de contrôle et ce que les capteurs et les sondes perçoivent.
Pour l’opérateur, ces changements progressifs passent complètement inaperçus. Jusqu’au jour où l’enrichissement nécessite une accélération des centrifugeuses. Supposons qu’elles doivent tourner à 100 tours/minute. Pour un opérateur habitué, si la vitesse est progressivement passée de 100 à 150 tours minute, rien ne sera détecté… Et si l’accélération du processus nécessite maintenant de passer de 100 à 1000 et que la centrifugeuse passe de 150 à 2000, il est fort à parier que ce décalage sera tout à fait transparent pour l’opérateur.
Une perception en décalage
C’est, de manière assez simplifiée, ce qu’il s’est produit. Les centrifugeuses sont passées progressivement dans une zone rouge, là où elles ne devaient pas aller. Comme les opérateurs avaient été progressivement habitués à ces écarts, ils n’ont pas pu – ou pas eu le temps de – détecter une anomalie. Aucun signal ne les a alertés jusqu’à la destruction du programme et des centrifugeuses.
Des victimes collatérales ?
Difficile de savoir si des entreprises ont été victimes du ver Stuxnet, car beaucoup ont préféré garder le silence. En novembre 2012, des journaux, comme L’Obs, affirmaient que la société Air Liquide avait été victime du ver.
Deux jours plus tard, un magazine en ligne citant L’Express apporte une nuance importante : le ver serait bien entré dans le réseau mais il n’aurait pas eu le temps de faire des dommages – contrairement à d’autres entreprises (non-citées).
De nouvelles menaces de cyberguerre
Dans sa nouvelle enquête, David E. Sanger affirme que le Pentagone dispose désormais de nouvelles armes. Dans le podcast The Daily (en anglais) du New York Times, celui-ci a livré plusieurs informations sur cette nouvelle enquête.
D’abord le subterfuge de la clé USB fonctionne toujours très bien. Pour infiltrer le réseau du Pentagone, lui-aussi complètement étanche à internet, des agents russes auraient laissé traîner des clés USB sur le parking d’une base militaire américaine au Moyen-Orient.
On se frotte les yeux pour se convaincre qu’on ne rêve pas. Et on découvre que le subterfuge a admirablement bien fonctionné. Une des clés a été connectée à un ordinateur connecté lui-même au réseau.
Des cyberattaques en mer ?
Ce n’est que très tardivement que le Pentagone a découvert le problème. On ne sait rien des dommages éventuels. David E. Sanger ne s’étend pas sur le sujet. Mais on peut supposer que des incidents ont éveillé les soupçons.
Ainsi des accidents en mer pourraient être liés à des cyberattaques comme l’évoquait Sud-Ouest en 2017. Après une période d’observation et d’impossibilité de répliquer, les Américains se sont décidés à passer à l’action.
La difficulté de riposter
Cela ne semble pas avoir été facile, d’autant que, selon le journaliste, évoquer la cybermenace ou la Russie devant le président américain, c’est à coup sûr se retrouver devant un personnage buté et enfermé dans des dénégations concernant l’implication de la Russie dans sa victoire électorale.
Néanmoins, les militaires semblent avoir eu gain de cause et obtenu une ordonnance du Président permettant, comme c’est le cas pour des armes classiques, d’intervenir en cas d’attaque et de riposter sur le même terrain que l’adversaire.
Des hackeurs avertis par SMS
La suite fait songer à un roman policier. Une fois la possibilité offerte, les as du Pentagone se seraient lancés dans une mise en garde musclée. Les équipes de hackeurs liés au Kremlin auraient été traquées, écoutées et finalement averties par SMS selon une formule assez explicite : “Nous savons qui vous êtes, où vous habitez et ce que vous avez fait…”.
Déjà des avertissements par le passé
L’avertissement n’est pas le premier. On se souvient que Barack Obama avait produit la photo d’un immeuble en Chine censé abriter le QG des hackeurs du gouvernement et expliquant tout à fait clairement que des attaques numériques contre les intérêts américains pourraient être payées par des attaques physiques, y compris nucléaires si besoin.
En Israël, il n’y a eu aucune menace. L’attaque informatique (en anglais) s’est soldée par la destruction immédiate du QG des hackeurs du Hamas comme évoqué dans le tweet ci-dessous.
CLEARED FOR RELEASE: We thwarted an attempted Hamas cyber offensive against Israeli targets. Following our successful cyber defensive operation, we targeted a building where the Hamas cyber operatives work.
— Israel Defense Forces (@IDF) 5 mai 2019
HamasCyberHQ.exe has been removed. pic.twitter.com/AhgKjiOqS7
Il n’y a pas qu’en Israël que les attaques numériques conduisent à des destructions physiques et inversement. Alors que la Syrie est enfoncée dans un conflit civil, plusieurs cadres recruteurs de l’état islamique ont été ciblés pour leur activité en ligne.
Le numérique, arme de plus dans la guerre
Le 21 juin dernier, les États-Unis annonçaient qu’un de leur drone avait été abattu par l’Iran. Le président américain aurait dans un premier temps ordonné une riposte armée avant de se raviser devant les pertes humaines possibles.
À la place, c’est une série d’attaques informatiques qui auraient été conduites contre les systèmes de défense iraniens.
La Russie spécifiquement visée
Dans son enquête, le New York Times évoque spécifiquement le réseau d’électricité russe. Selon ses sources, il a été visé de deux manières.
D’une part, des lignes de codes très voyantes ont été disposées dans les logiciels pour avertir de l’intrusion et éveiller la vigilance de la cible.
Ensuite d’autres “armes” ont été prépositionnées, cachées de l’adversaire pour pouvoir éventuellement servir plus tard.
Des tests conduits
La capacité militaire de ces armes est difficile à mesurer. Même leurs concepteurs n’en ont sans doute qu’une idée relative.
S’agit-il de rendre le réseau indisponible ou de lui causer des dommages irréversibles ? Que se passe-t-il par exemple si le fait d’éteindre brusquement un pays conduit à des pertes humaines, par l’arrêt des hôpitaux ou simplement par l’absence de feux tricolores ?
Des comportements impossibles à modéliser
En matière informatique, on peut imaginer les effets dominos qu’une attaque sur un maillon du système peut générer sur l’ensemble de la chaîne.
Si on peut savoir comment se comportent les machines qu’on éteint, il est plus hasardeux de modéliser le comportement des humains qui les voient soudainement s’éteindre ? Plus aucun moyen de s’informer. Le noir complet. Que se passera-t-il ?
Les entreprises, dommages collatéraux
L’énergie ne serait pas le seul secteur. Des essais auraient également été conduits sur des banques, des institutions publiques… Là encore, les dommages possibles ne sont pas connus.
Et comme dans toutes les attaques, il peut y avoir des dommages collatéraux. Notamment les entreprises.
L’arsenal qui se gonfle
Ces réflexions sont très proches des constats révélés par l’Anssi, l’Agence de sécurité des systèmes d’informations. Lors d’une conférence de presse à l’occasion du Forum international de cybersécurité de Lille, en janvier 2019, Guillaume Poupard, évoquait “la guerre” et le “pré-positionnement d’armes”.
Pour le journaliste, David E. Sanger, les armes numériques sont désormais des armes à part entière dans un arsenal qui ne cesse de gonfler.
Il en a d’ailleurs fait l’objet de son dernier livre, The perfect Weapon, (“L’arme parfaite”). Reste que ces dernières ne font pas encore l’objet de traités internationaux, aussi bien sur leur utilisation que sur leur prolifération.
L’arme parfaite
Et comme l’économie, la santé et à peu près tous les secteurs d’activités d’importance vitale (pour reprendre le terme législatif) y sont reliés, il n’y a pas de doute sur le fait que les dommages dans le monde virtuel se solderont par des dommages humains dans un avenir proche.
Si le débat a pu être technologique, il a désormais migré vers l’éthique, comme le notait récemment Jarno Limméll lors de la Paris Cyber Week.
Faut-il s’assurer contre le risque de hacking étatique ?
Pour les entreprises, la question n’est pas encore éthique. Les OIV, les opérateurs d’importance vitale, plutôt sensibilisés sur la question, et leurs sous-traitants doivent évidemment se protéger. Ce n’est pas simplement une injonction, la loi le prévoit. Et pour certains, il faut s’assurer, transférer une partie du risque résiduel vers l’assurance. Cela est-il suffisant et efficace ?
C’est tout l’objet de notre article à paraître dans le numéro de Face au Risque de juillet-août prochain.
David Kapp – Journaliste
Les plus lus…
Le bureau d’analyse des risques et des pollutions industrielles (Barpi) a publié un nouveau flash Aria dédié aux travaux par…
La roue de Deming est une méthode d’amélioration continue symbolisée par une roue progressant sur une pente dans un…
Alors que les entreprises devant contrôler l’identité de leurs clients font évoluer leurs méthodes de vérification, les fraudeurs s’adaptent et…
Lancée le 17 décembre, la plateforme 17Cyber ambitionne de devenir le nouveau réflexe pour les victimes de cybermalveillance en France.…
L’intelligence artificielle connait une dynamique importante en termes d’implémentation, notamment depuis l’arrivée des « modèles de langages conversationnels ». Elle…
La directive (UE) 2024/3019 du Parlement européen et du Conseil du 27 novembre 2024 relative au traitement des eaux…