Bipeurs du Hezbollah : la première attaque « cyber » physique d’ampleur

Une enquête préliminaire des autorités libanaises montre que ces appareils de communication sans fil ont été piégés avant d’entrer dans le pays, selon une lettre de la mission libanaise à l’ONU consultée jeudi par l’AFP. Leur explosion aurait été provoquée par l’envoi de messages numériques vers l’appareil, selon le texte envoyé au Conseil de sécurité à la veille d’une réunion sur le sujet.

Alors que le Hezbollah a adopté une stratégie low-tech, abandonnant les téléphones portables au profit de moyens de communication plus anciens pour échapper aux technologies de surveillance avancées, il s’agit là d’une faille de sécurité majeure sur la chaîne d’approvisionnement.

On assiste aujourd’hui à la première attaque “cyber” physique d’ampleur. Au-delà du débat sur le volet géopolitique et humanitaire, il y aura un avant et un après cette opération. Jamais, dans une analyse de risque, je n’avais mis le risque d’explosion massive à distance d’un équipement numérique. La préparation et la logistique pour réaliser cette attaque dépassent clairement ce qu’on a vu auparavant. Pour les spécialistes, c’est du Stuxnet, mais à une autre échelle !

L’analyse du mode opératoire sera nécessaire pour en comprendre la portée. Les pistes sont multiples :

• Piégeage du matériel et du logiciel en amont chez le fabricant ?

• Découverte d’une vulnérabilité exploitable dans les modèles standards de pager ?

• « Juste » une explosion de batterie ou ajout d’une charge plus forte à grande échelle ?

Le scénario d’un piégeage lors de la livraison semble le plus probable. À la fois car il permet :

• un ciblage très précis (on n’a pas entendu de cas hors Hezbollah) ;

• l’ajout d’une charge explosive (car les images d’explosion qui circulent ne correspondent pas à une batterie qui va brûler plus qu’exploser) ;

• la modification requise du logiciel pour réagir à un message particulier.

Cette pratique d’interception de livraison est connue et pratiquée déjà par les services de renseignements comme l’avait montré les révélations de Snowden sur la NSA il y a des années. C’est certainement ce qui entraînerait le moins de risque d’explosion pour des personnes hors Hezbollah et serait le moins détectable par le fabricant.

Cependant arriver à le faire à cette échelle, sans soupçons, sans détection des explosifs en cas de maintenance ou de contrôle, est le signe d’une organisation millimétrée. Il faut clairement des moyens importants pour imaginer ce scénario et le mettre en œuvre à l’échelle.

Face à la question du temps nécessaire pour modifier chaque équipement (à la fois au niveau logiciel et matériel), qui pourrait en effet être trop long pour passer inaperçu, compte tenu du nombre d’équipements, il existe toutefois une explication simple. L’attaquant a peut-être acheté à l’avance un nombre équivalent de pagers/talkies-walkies, les a modifiés, puis a simplement remplacé les équipements piégés lors de la livraison. Substituer une palette d’équipements par une autre dans un entrepôt ne prend même pas une minute…

Ou alors, comme semble l’indiquer certains éléments à confirmer, il peut s’être inséré encore plus en profondeur dans la chaîne de fabrication, en obtenant une licence et en fabricant des vrais/faux pagers piégés ! Cette affaire remet en cause en profondeur la sécurité de la supply chain et fera certainement revoir de nombreuses analyses de risques pour y intégrer des scénarios autrefois jugés très peu probables.