Magazine, Vol. 3: Passage au numérique
Leave a comment

« Nous connaîtrons probablement la migration d’actes terroristes sur internet »

© Max Dauven 0 1 #1

L’ingérence lors des élections présidentielles américaine de 2016, les fournisseurs d’électricité ukrainiens en 2015 et le logiciel de cryptage WannaCry 2017 ne sont que trois exemples montrant que les opérations cybernétiques sont de plus en plus utilisées pour influencer, espionner, faire pression et manipuler. Pour les gouvernements, la cybersécurité devient de fait une composante élémentaire de la sécurité nationale et internationale. Dr. Sven Herpig, directeur du « Transatlantic Cyber Forum » à la « Stiftung Neue Verantwortung », met en lumière l’interaction entre les ressources informatiques (outils de piratage) et la résolution des conflits internationaux.

 


 

Dr. Herpig – Dans quelles mesures les conflits internationaux sont-ils mis en ligne aujourd’hui ?

Les conflits internationaux se multiplient sur internet et l’espace d’information. Si nous regardons l’histoire, nous voyons que les premières opérations cybernétiques ont eu lieu dans les années 1990. Tout au début, il s’agissait d’espionnage politique, plus tard il s’agissait aussi d’espionnage économique. Au début des années 2000, un certain nombre d’événements perturbateurs ont eu lieu, utilisant pour la première fois des logiciels malveillants, conçus non pour l’espionnage mais pour saboter les institutions et les processus opérationnels. En 2007, le parlement estonien et d’autres agences gouvernementales ainsi que des banques et des médias ont été attaqués. En 2012, des cyberattaques ont été dirigées contre la compagnie pétrolière saoudienne Saudi Aramco. En conséquence, les sites web du parlement et du gouvernement étaient temporairement indisponibles en Estonie et les transactions commerciales, telles que les services bancaires en ligne, ont été perturbées. La production de Saudi Aramco n’a pas été directement déstabilisée, mais les disques durs de 30 000 ordinateurs ont été effacés et rendus inutiles. Ces deux événements, en plus de la cyberattaque bien connue de Stuxnet contre les usines d’enrichissement d’uranium en Iran en 2010, ont marqué le passage à la phase actuelle, qui touche de plus en plus l’infrastructure informatique politique. L’attaque contre le Bundestag allemand en 2015, les campagnes électorales américaine de 2016 et française de 2017 en sont des exemples. Un autre développement que nous connaîtrons probablement est la migration d’actes terroristes sur internet. Jusqu’à présent, les terroristes n’utilisaient internet que pour communiquer entre eux et promouvoir leur cause. Même les forces armées conventionnelles l’utilisent encore rarement, mais l’évolution ira probablement dans ce sens. Nous voyons donc à la fois un développement quantitatif et qualitatif de la résolution des conflits internationaux via des outils de piratage.

« Tandis qu’autrefois un espion infiltré quelque part, devait être présent physiquement, il est aujourd’hui possible à travers internet, d’espionner de partout dans le monde »

 

L’espionnage économique et politique et l’exercice de l’influence ne sont pas des phénomènes nouveaux mais des phénomènes très anciens. Qu’est-ce qui distingue les conflits internationaux numériques des analogiques ?

L’une des principales différences est que la plupart de ces actions peuvent être effectuées à distance aujourd’hui. Tandis qu’autrefois un espion infiltré quelque part, devait être présent physiquement, il est aujourd’hui possible à travers internet, d’espionner de partout dans le monde. À cela, il faut ajouter que les attaques peuvent être plus efficaces aujourd’hui à causes des quantités de données importantes qui sont transmises par Internet sur une période relativement courte. En outre, de plus en plus de documents et de conversations sont numérisés, ce qui augmente la surface d’attaque.

Des pays comme la Corée du Nord ou l’Iran sont souvent cités comme les principaux groupes de hackers du monde, alors que politiquement leur puissance n’est que régionale. Les rapports de force internationaux évoluent-ils en fonction de ces caractéristiques du cyberespace ?

La Corée du Nord et l’Iran figurent certainement parmi les 15 plus grandes cyber-nations. Pour ces États, un développement de puissance est en cours, de sorte qu’ils sont plus forts qu’ils ne le sont en termes de capacités conventionnelles. L’année dernière, le logiciel de cryptage WannaCry – peut-être en provenance de Corée du Nord – a paralysé des hôpitaux, des entreprises de logistique mondiales et des constructeurs automobiles. Il est évident qu’une telle action mondiale n’aurait jamais été possible en Corée du Nord en utilisant des moyens conventionnels. La même chose s’applique à l’Iran, qui a dévoilé ce printemps une série d’opérations cybernétiques que l’État aurait probablement eu du mal à réaliser par des moyens classiques. Ces États sont donc puissants grâce à l’utilisation de ressources informatiques et sont perçus comme beaucoup plus forts. Mais si ces opérations ont finalement plus d’impact que les moyens de guerre traditionnels, cela dépend de la façon dont nous comprenons la résolution des conflits. Les ressources informatiques atteignent clairement une nouvelle qualité si nous regardons tout ce qui se passe en dessous du seuil du conflit armé. Mais si nous allons au-delà, nous ne savons pas si les ressources informatiques à elles seules feront une grande différence dans l’équilibre des forces internationales.

« Le cyberespace revête d’une constitution totalement différente de celle des domaines traditionnels que sont la terre, l’air, la mer et l’espace »

 

WannaCry a déclenché un débat sur la manière dont les États pourraient se protéger encore mieux contre ces attaques. Pourquoi ne pouvons-nous pas utiliser les mêmes mécanismes de défense sur Internet qu’en matière de sécurité traditionnelle ?

C’est parce que le cyberespace revête d’une constitution totalement différente de celle des domaines traditionnels que sont la terre, l’air, la mer et l’espace. Les systèmes et logiciels utilisés dans le cyberespace sont créés par l’homme ; ils peuvent parfois être modifiés, supprimés ou simplement déconnectés d’Internet en peu de temps. La comparaison ne s’applique pas. Un autre aspect sont les Hackbacks actuellement discutés, où une opération de cyber-offensive est réalisée pour parer à une autre opération ennemie en cours. Ceci est souvent cité en regard de la défense aérienne qui abat les avions ennemis qui ont envahi notre espace aérien afin de jeter des bombes sur notre sol. Cette analogie peut fonctionner partout, mais pas dans le cyberespace. Au contraire, vous devez l’imaginer ainsi : quelqu’un tire un missile de A sur B, vous placez un lance-roquettes à la frontière et ripostez par-dessus un mur sans savoir ce que vous allez atteindre. Ce serait l’analogie la plus appropriée.

« Actuellement en Allemagne, c’est celui qui crie le plus fort que nous devons renforcer nos moyens d’offensive qui est digne de participer au débat. C’est selon moi une erreur grossière »

 

Quels seraient donc les mécanismes de défense alternatifs ? Selon vous, comment la cybersécurité pour l’État, les entreprises et la société civile devrait-elle être renforcée ?

Il faudrait d’abord nous concentrer beaucoup plus sur nos compétences défensives. Actuellement en Allemagne, c’est celui qui crie le plus fort que nous devons renforcer nos moyens d’offensive qui est digne de participer au débat. C’est selon moi une erreur grossière. Avec davantage de ressources en défense, nous pouvons accomplir beaucoup plus, et nous devons investir dans celles-ci. Si nous divisons maintenant les quelques ressources que nous avons entre les nouvelles autorités publiques, les mesures d’attaque et de défense, alors on arrive au point où les deux ne fonctionnent pas correctement, ni l’offensive, ni la défensive.

Revenons aux réseaux gouvernementaux allemands compromis. Au début de l’année, on a appris que les assaillants se trouvaient au ministère des Affaires étrangères allemand depuis plus d’un an. Pendant longtemps, on ne savait pas qui était derrière tout ça. Pourquoi cette identification sur Internet est-elle si difficile ?

Tout d’abord, je ne considère pas l’identification comme le point le plus pertinent dans une telle opération. Bien sûr, il est bon de savoir qui c’était, afin d’éviter de nouvelles attaques et d’imposer des sanctions. Mais la question de savoir comment cela s’est produit et comment nous pouvons mieux nous protéger à l’avenir est beaucoup plus importante. Il y a plusieurs raisons pour lesquelles l’identification d’une attaque est si difficile. D’une part, beaucoup d’« empreintes digitales » techniques d’une attaque – c’est-à-dire depuis où elle est effectuée, par quels moyens, et ainsi de suite – peuvent être falsifiés. Bien entendu, nous savons que certains groupes mènent les opérations avec certains outils, qui sont des éléments de code, qu’ils utilisent encore et encore, ainsi que certaines infrastructures informatiques. Mais bien sûr, ils peuvent aussi être imités par un troisième acteur. Les Américains, par exemple, enquêtaient dans le passé systématiquement sur la manière dont différents groupes d’agresseurs procédaient afin de partiellement copier cette manière d’agir et de dissimuler qui en est à l’origine. En d’autres termes, mener une enquête forensique impeccable techniquement exige beaucoup de patience, les bonnes personnes et, éventuellement, le soutien de divers services de renseignement. Cela coûte beaucoup de temps et de ressources. Et même si nous découvrons que l’attaque provient d’un ordinateur B dans un pays Z, nous ne savons toujours pas qui exactement a utilisé cet ordinateur. Nous ne savons même pas si un groupe qui pourrait être derrière tout cela a été soutenu, toléré par un État ou payé par quelqu’un d’autre. Nous avons vu dans le passé que certains groupes de hackers ont des intérêts à la fois économiques et politiques. Cela signifie, par exemple, qu’ils encryptent des ordinateurs étrangers et les rendent contre le paiement d’une rançon ; mais en même temps ils analysent toutes les données en cherchant des mots clés spécifiques tels que « l’OTAN », puis ils extraient ces documents. De telles fusions rendent très difficile l’identification exacte d’une attaque.

Quelles possibilités d’identification restent-il finalement ?

Globalement, il existe deux manières de prouver assez clairement d’où proviennent les attaques. Premièrement, il y a des cas où les services de renseignement ont infiltré des réseaux entiers. Pour l’attaque de Sony Pictures, par exemple, il a été spéculé que les Américains avaient pu prouver l’attaque parce qu’ils avaient infiltré l’infrastructure nord-coréenne et, à travers cela, pouvaient voir et concevoir ces attaques. D’un autre côté, il est évident que les grands groupes utilisent souvent les mêmes procédures, extraits de code et infrastructures. Et quand on réussit à identifier certains individus comme étant liés clairement à un service secret – comme cela était le cas, par exemple, pour le service des renseignements national néerlandais concernant les attaques russes sur l’élection présidentielle américaine – nous pouvons ensuite bien sûr étudier quelles autres opérations ressemblent fortement à celle-ci dans leurs procédés.

Quel est l’impact de cette mission difficile sur les relations politiques internationales ?

Lorsque les piratages informatiques ne peuvent pas être identifiés de façon incontestable, les défenseurs ont toujours la possibilité de ne pas réagir ou de réagir en secret. C’est un avantage, par exemple, si le gouvernement ne veut pas mettre publiquement au pilori le présumé pays agresseur, par exemple en raison d’intérêts politiques majeurs ou de relations internationales importantes.

Quelles recommandations donneriez-vous dans ce contexte au gouvernement fédéral allemand ?

Premièrement, nous devons promouvoir une compréhension stratégique de ce que signifient ces attaques, où nous nous positionnons et comment nous voulons réagir. D’autre part, nous devons fournir davantage de ressources pour établir la cybersécurité en Allemagne. Mais nous devons également nous assurer que notre architecture de cybersécurité ne se démonte pas. Que nous ayons donc, au final, pas dix autorités qui font toutes n’importe quoi avec le cyber, mais un point de contact central, surtout en ce qui concerne la défensive. En Allemagne, il s’agit de l’Office fédéral de la sécurité de l’information, qui est à la fois civil et défensif et constitue un organe central pour toutes les mesures de cybersécurité. Si nous continuons à mettre en place des autorités ou à donner aux autorités de nouveaux pouvoirs dans le cyberespace, la structure existante sera doublée et nous ne ferons pas bon usage de nos ressources. Cela nous rend plus vulnérables, pas plus sûrs. Ici, je conseillerais au gouvernement fédéral de ne pas poursuivre cette approche. Compte tenu en particulier du nombre croissant d’acteurs utilisant ce nouveau moyen relativement bon marché au niveau mondial. Si nous mettons la mauvaise orientation stratégique en œuvre, nous perdons cette course.

Interview : Tabea Breternitz

Traduction : Julie Truchet

 

 

Sven Herpig dirige le « Transatlantic Cyber Forum » au sein du think tank berlinois « Stiftung Neue Verantwortung », il travaille sur les questions de nouvelles responsabilités en matière de piratage gouvernemental, protection de l’infrastructure informatique politique dans les campagnes électorales et les élections, la gestion des vulnérabilités informatiques et la EU Cyber-Diplomacy. Il est également chargé de cours à l’Université de Bonn. Auparavant, il était membre du personnel de la sécurité informatique du ministère des Affaires étrangères et chef d’unité adjoint de l’Office fédéral de la sécurité de l’information.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *