6 juillet 2012
L’avènement de la cyberguerre
Le mot cyberguerre est à la mode depuis quelques temps. Avant de crier à tout va que la troisième guerre mondiale (ou quatrième ? Tout dépend du point de vue) est en cours, il est bon de rappeler en quelques mots ce qu’est la cyberguerre. Ensuite, il faut étudier les dangers potentiels d’une cyberguerre, ainsi que les méthodes possibles pour se protéger d’une telle attaque informatique. Pour finir, et c’est la question à se poser, la cyberguerre est elle en route ?
Qu’est ce qu’une cyberguerre ?
Le mot cyberguerre est un néologisme venant de l’association de cyber (toute donnée, élement, information, traversant un réseau virtuel) et de guerre (un conflit entre deux nations, qui se vide par la voie des armes).
Par conséquent, une cyberguerre peut se définir comme un conflit armé sur l’espace virtuel.
Maintenant, quelles sont les armes utilisées, et quels sont les combattants ? Virus, rootkits, mais aussi DoS, ou encore recherche d’informations sont les méthodes d’attaques les plus utilisées. Elles peuvent aussi bien permettre des attaques d’une grande envergure, que des « raids » plus ciblés.
Quant aux combattants, les hackers, qui sont les mêmes qui se font attaquer en justice lorsqu’ils ne font pas ça « pour leur pays », sont maintenant les « nouveaux guerriers ».
Cependant, la question que l’on peut se poser est comment peut on faire la guerre sur Internet ? Après tout, ce n’est que virtuel !
Dangers d’une cyberguerre
En fait, le lien entre cyberespace et réalité n’est pas si distinct qu’il n’y parait. Il existe par exemple beaucoup de concepts physiques qui utilisent le monde virtuel en tant que pilier comme les échanges monétaires par exemple : la monnaie physique ne représente que 5% du montant total d’argent. Le reste n’étant que virtuel, il est facile d’imaginer que cette monnaie puisse être piratée ! Il est ainsi possible d’assécher financièrement un pays.
Mais en temps de guerre, il ne faut pas se contenter d’un axe d’attaque. Les films d’actions américains nous l’ont montrés de nombreuses fois, il est possible de pirater les infrastructures importantes.
Un stack overflow dans le logiciel d’un barrage ? Une ville en moins.
Une injection SQL dans une centrale éléctrique ? Plus de courant dans une région entière.
Un format string dans un SCADA de prison ? Les portes du pénitencier qui s’ouvrent.
On peut citer beaucoup d’exemples de ce genre qui ne sont pas (et qui n’ont jamais été) du domaine de l’imaginaire, mais qui représente bien un danger physique pour un pays.
Pour aller un peu plus loin dans la réflexion, prenons l’exemple d’une coupure d’électricité pour une ville comme New York. On pense tout de suite à l’absence de lumière, mais ce n’est pas tout. Il y a également une coupure de tout le réseau de feux tricolores causant de nombreux accidents, donc une surpopulation très importante des hopitaux en peu de temps, hopitaux qui ne pourraient pas tenir la charge d’une part dû que fait que le 911 soit indisponible et donc que les médecins soient dans le flou, et d’autre part puisque sans électricité les équipements hospitaliers seraient indisponibles.
Si la coupure dure plus de quelques heures, on peut jeter tout ce qui doit rester au frais, principalement la nourriture (causant au passage une pénurie alimentaire), mais également d’autres choses comme les organes à trangreffer sur des patients (augmentant encore une fois la surpopulation des hopitaux).
Sans électricité, il n’y a également plus de transport (les réseaux de métro, les trains,…) donc une réduction des échanges marchands, appauvrissant ainsi la ville.
On peut également compter sur la disparitions des échanges financiers, à un niveau local, national, voire international. Après tout, Wall Street serait également touché.
On peut voir ici une petite partie des conséquences désastreuses que pourrait avoir une coupure d’électricité prolongée, et il est donc clair qu’un attaque informatique puisse causer des dégâts très importants au niveau physique.
Scénario catastrophe ?
Il est possible que le scénario que j’ai décrit plus haut ne soit que qu’un scénario catastrophe comme on le voit dans les films hollywoodiens. Mais il est possible aussi que cela arrive. C’est d’ailleurs cette vision qu’on pris les Etats-Unis depuis quelques années, en mettant en place des bureaux dédiés à la cyberguerre.
Depuis Juin 2010, un virus nommé Stuxnet a fait coulé beaucoup d’encre. C’est le premier virus connu à avoir été conçu dans le but d’attaquer une infrastructure importante : les centrales nucléaire iraniennes. Utilisant 4 failles 0days Windows (généralement un virus n’utilise qu’un 0day, puisqu’ils « coutent cher »), des faiblesses dans le logiciel SCADA (mis au point par Siemens) qui permettait de gérer les centrales nucléaires, ainsi que le facteur humain (souvent négligé mais pourtant très puissant), l’attaque a été très médiatisée.
Le résultat de cette attaque, même s’il a été benin dans pratique (une « simple » surchauffe d’équipements non critiques des centrales) a pourtant faire prendre conscience aux gouvernements de l’importance des attaques informatiques. Fait intéressant, ce sont, d’après les différentes analyses effectuées, les Etats-Unis et Israel qui ont mis au point ce virus, prouvant ainsi que les différentes nations sont très sensibles sur la cyberguerre.
Plus récemment, les virus Duqu (lié à Stuxnet) et Flame ont été découvert, faisant beaucoup de bruit dans le monde de la sécurité informatique, puisque crée pour attaquer des infrastructures ou encore faire de l’espionnage.
L’émergence de ces virus prouve que la cyberguerre n’est pas une idée en l’air et qu’il est parfaitement possible de déstabiliser un pays de cette manière.
Cependant, il faut mitiger ces actions. En effet, d’une part une attaque par virus peut se révéler longue à mettre en place et à exécuter mais également à contrôler En effet, personne ne peut prédire la manière dont va se déployer le virus. Le pays attaquant pourrait donc potentiellement s’attaquer lui même.
Comparativement à une attaque « classique », une attaque informatique peut se révéler non concluante.
Efficacité d’une attaque informatique ?
Maintenant que les bases ont été posées, nous pouvons étudier quelques cas de cyberattaque.
En 2007, l’Estonie a été victime d’une cyberattaque causant un blackout d’Internet durant presque une semaine.
Le pays s’étant reconstruit après la guerre froide, de nombreux services administratifs, mais aussi d’ordre privés se sont tournés vers l’informatique. Par conséquent, cette attaque a été très néfaste pour l’économie du pays.
D’après les informations qui ont été révélées, l’attaque pourrait venir d’une minorité russe vivant en Estonie, et n’ayant pas apprécié le déplacement d’une statue datant de l’ère soviétique. Le gouvernement russe pourrait également avoir été impliqué, selon certaines rumeurs. Pour résumer, une attaque bloquant Internet, et donc l’économie du pays, suite à une décision politique « mineure », avec l’aide potentielle d’un Etat. Sans vouloir trop m’avancer, on peut voir les prémices d’une cyber guerre.
Un peu plus récemment, en Janvier 2010, Google ainsi qu’une vingtaine d’autres firmes ont été attaqué par le gouvernement chinois afin à voler des informations sur les militants des droits de l’homme. Cette attaque sort un peu du cadre de cyberguerre au sens classique (et relate plus du cyberespionnage), mais n’en reste pas moins de grande envergure et dangereuse pour de nombreuses personnes.
L’année 2010 a également connu Stuxnet, comme je l’expliquais plus haut. Même si le virus n’a pas (selon les informations publiques) eut les résultats éscomptés, l’ampleur de cette attaque met en évidence l’intéret pour les Etats Unis de la cyberguerre.
Récemment, fin 2011, une rumeur concernant le vol d’un drone américain par l’Iran est apparue sur le Web. Bien que ce piratage n’aie apparemment pas été prouvé, il n’en reste pas moins possible de hacker les drones, comme l’ont démontrés des chercheurs en sécurité il y a peu.
Lors du 28ème Chaos Communication Congress, un chercher a démontré la facilité de piratage des SCADA de certaines prisons. En laissant notre imagination vagabonder, on peut rapidement voir le danger qu’une telle cyberattaque peut représenter : ouvrir automatiquement les portes de toutes les prisons d’un pays aurait un effet désastreux aussi bien au niveau de la criminalité, mais également au niveau de la crédibilité du gouvernement.
Un autre cas intéressant à étudier est celui de la Révolution de Jasmin en Tunisie. En effet, l’informatique a joué un rôle important lors des évènements de 2011. Des groupes comme Telecomix ou Anonymous ont mis en avant des outils pour aider le peuple tunisien a éviter la censure, afin de montrer au Monde la réalité des combats. On peut parler ici de cyberdissidents, montrant ainsi le rôle prédominant d’Internet aujourd’hui.
Il existe de nombreux autres cas qui montre et démontre la cyberguerre. Il serait inutile de tous les détailler dans cet article, puisque le but n’est pas de faire un listing, mais de comprendre la réalité des faits.
Certaines de ces attaques ont fait plus de bruit qu’autre choses, tandis qu’à l’inverse, d’autres ont (ou pourraient potentiellement) été désastreuses. L’efficacité d’une cyberguerre dépend (mais c’est aussi valable pour tous les types de guerre) de la qualité de l’attaque et de la défense.
Se protéger d’une cyberguerre ?
Nous sommes d’accords, il est important de se protéger, cyberguerre ou pas. Personne n’aimerait se retouver dans le scénario que j’ai décrit plus haut. Mais il faut savoir se protéger. Il est inutile de mettre une porte blindé à l’entrée, si on peut passer par la cour de derrière.
Une défense basique est obligatoire. Firewall, IPS, WAF, et autres équipements de sécurité. Mais ce n’est pas la seule chose à mettre en place.
La compléxité des systèmes informatiques actuels fait que la question à se poser n’est pas « Va t-on se faire pirater ? », mais « Quand va t-on se faire pirater ? ». Il est impossible d’avoir un système informatique totalement sécurisé, et il faut savoir réagir le plus vite possible en cas d’attaque. Il existe de nombreux systèmes de management d’information (au hasard, Splunk, mais aussi Nagios par exemple) qui permettent d’avoir de l’information en temps réel et de réagir le plus vite possible.
Cependant, ces équipements, aussi intelligents et performants qu’ils puissent être, ne sont pas magiques et ne doivent pas être le piédestal de la sécurité. Les nouvelles techniques d’attaques évoluées (APT pour les intimes) peuvent permettre de bypasser ces équipements (mêmes s’ils restent indispensables !). Sans aller aussi loin, des bugs ou des mauvaises configurations peuvent être fatales (on se souviendra par exemple de l’erreur grossière que Yahoo à fait récemment, en publiant sa clé privé de certificat).
En temps de guerre, on peut aussi parler d’espionnage. Qui nous dit que la personne en face est de confiance ? Je peux très bien affirmer que je suis le schtroumpf gitan après tout ! Pour cela, il faut obligatoirement classifier les informations (top secret, secret, restreint,…). Nos gouvernements ont déjà mis en place ces systèmes de classification, mais à l’ère de l’informatique, ils peuvent très bien se retrouver rapidement sur Internet. C’est pour cela, qu’en plus d’une classification, il faut bien évidemment mettre un place un contrôle d’accès stricte sur les informations sensibles. L’exemple le plus médiatisé est celui de Gary McKinnon, qui aurait réussi à obtenir des informations classées secret défense.
La sécurité est un métier à part entière, et il serait impossible d’expliquer comment protéger le plus efficacement possible une architecture informatique en un article. La phrase à retenir est que la sécurité se définit par son maillon le plus faible. Réseau, système, application, humain, configuration, organisation,… sont autant d’éléments à prendre en compte pour une protection efficiente
Est on en cyberguerre ?
La question la plus importante ! La cyberguerre a t-elle commencée ? Contrairement à un combat réel, où le premier coup de fusil fait démarrer le conflit, une cyberguerre n’est pas aussi visible. En effet, il est impossible de savoir précisément les positions des différents états à ce niveau, ni même leurs avancements. Il est tout à fait possible que les plus grands pays (au hasard, les Etats Unis le gouvernement français ayant un grand retard à ce niveau, même si les choses commencent à bouger) aient mis au point des attaques qui ne sont toujours pas détectées. Après tout, Stuxnet a été découvert, au minimum, plus d’un an après son lancement !
Sans aller jusqu’à l’hypothèse que les différentes états du monde soient déjà dans une guerre informatique, il est plus que probable qu’ils soient déjà prêts à se défendre.
Pour finir, je ne peux pas résister à paraphraser un grand monsieur : « Je ne sais pas comment la Troisième Guerre Mondiale sera menée, mais je sais comment le sera la quatrième : avec des bâtons et des pierres. »
Corto