INFOGUERRE ET CYBERTERRORISME

Transcription

1 INFOGUERRE ET CYBERTERRORISME SYNTHESE Compagnie européenne d'intelligence stratégique (CEIS) Auteur : Virginie Vacca janvier 2003 Le contenu de la synthèse n'engage que l'auteur

2 Sujet : Infoguerre et Cyberterrorisme Type : Synthèse Date : 29/08/2003 CEIS / VV Infoguerre et cyberterrorisme Problématique : quelle vraisemblance accorder au cyberterrorisme ainsi qu aux dispositifs mis en place depuis les attentats du World Trade Center? Objet : L étude a pour objet d analyser la place et l évolution de la prise en compte du cyberterrorisme dans les dispositifs d infoguerre ou de lutte contre le crime de haute technologie ; elle abordera notamment les réactions et mesures consécutives au 11 septembre 2001, et conduira une analyse critique de la prise en compte de ces nouvelles menaces, au regard de l évolution prévisible des infrastructures et de leurs capacités de résistance. Principaux résultats et points remarquables : On qualifie parfois le cyberterrorisme de «discussion de pays riche», exprimant par là le fait que bien d autres problèmes plus graves et bien réels tels que la prolifération NRBC, mettent en danger la vie des populations. Une circonstance aggravante tient sans doute au fait que les vrais experts les groupes de hackers capables d expertise en la matière sont trop souvent absents du débat. Et quand la presse s en mêle, le moindre piratage de site Internet revêt des allures de terrorisme à grande échelle, au risque de décrédibiliser une série de mesures souvent légitimes. Concernant les grandes initiatives et programmes survolés ici, qu il s agisse des Etats- Unis ou de l Europe, on s aperçoit qu une dynamique est en cours, qui s est considérablement renforcée depuis le 11 septembre (aux Etats-Unis en particulier), avec à la clé une coopération renforcée entre les pays d une part, et entre l industrie et l Etat d autre part. En termes de pénalisation des crimes de haute technologie comme de sensibilisation du public et des entreprises, d énormes efforts ont également été accomplis. Mais, s agissant d infrastructures critiques et de la mise en œuvre de solutions concrètes et réalistes autour de préoccupations légitimement liées au terrorisme, le débat piétine ; Cette étude dégage plusieurs types d observations : Une logique de globalisation des technologies et des menaces, mais encore aucune expérience de cyberterrorisme!

3 La nature même d Internet, qu il s agisse de stockage ou de diffusion d information, et la tendance à l uniformisation des standards sous l égide de l IETF et du World Wide Web Consortium (W3C), a accéléré la convergence du domaine public et du domaine privé. L éventail des menaces s est parallèlement élargi, de même que l éventail des cibles susceptibles d affecter tout ou partie de l édifice, et l éventail des agresseurs lui-même (activistes, mafieux, terroristes, compétiteurs ). Il en va de même pour les forces armées, engagées depuis quelques années dans un processus de privatisation qui accroît leur dépendance à l égard de certaines infrastructures civiles voire privées. Il en découle une recrudescence sans précédent des menaces non seulement asymétriques, mais surtout indirectes, où l imbrication des structures impliquées, normalement signe de performance, présente des vulnérabilités parfois incontrôlables. Il n existe pour autant aucun exemple réussi, à ce jour, d action cyber-terroriste de grande envergure, cette étude tente d en expliquer quelques raisons. Mais une série de tentatives plus ou moins abouties ont clairement mis en évidence des dysfonctionnements allant de l encombrement de services vitaux à la perte d information stratégiques et confidentielles, parfois lourdes de conséquences (telle la cyberguerre israelo-palestinienne). Ainsi une série d attaques de faible envergure pourraient très probablement, combinées les unes aux autres dans le cadre d un plan concerté de grande envergure, et surtout synchronisées avec des opérations de destruction physique, créer un état de chaos et de déstabilisation de premier ordre. Parce que la menace est globale et multiforme, les contre-mesures doivent également l être, et c est en tout cas de cette manière qu elles ont été appréhendées parmi les grandes nations. En particulier, l apparente démocratisation d Internet n a pas réduit la présence des structures de défense américaines dans le dispositif, bien au contraire. La NSA, le FBI, Network associates et la DARPA ont tous renforcé leur présence dans le dispositif, qu il s agisse de contrôle des root servers DNS, des grands opérateurs mondiaux ou de normalisation des nouveaux protocoles Internet et assimilés (il existe de nombreuses infrastructures hors d Internet!). Les réflexions en cours sur le cyberterrorisme marquent avant tout un nouveau bond dans la course aux armements des NTIC dont l enjeu pourrait bien être le contrôle des réseaux de 4 ème génération. Le cyberespace est avant tout un formidable support Avant d être une cible, le cyberespace est surtout un outil qui peut considérablement faciliter les activités terroristes, tout comme il facilite l activité de millions d entreprises et d individus à travers le monde. En termes de communication d abord, le cyberespace (Internet, Usenet etc.) peut assurer la confidentialité et surtout l anonymat des transactions. les procédés de chiffrement combinés aux techniques de stéganographie offrent bien sûr des possibilités qu aucune législation ne peut bien sûr écarter. Utilisés conjointement avec des proxys anonymisants, des FTP anonymes et autres mesures de précaution triviales, ce type d échange offre de bonnes garanties de sécurité, probablement meilleures et plus fiables que les moyens de Date Page 2 sur 6

4 communication classiques. Les forums d échanges publics permettent également d échanger de manière anonyme toute sorte d éléments ; c est d ailleurs une des techniques utilisées pour les différentes formes de fraude à la carte à puce (pour l échange des codes de programmation par exemple). L évolution et la diffusion des technologies aidant, il est tout à fait possible que les réseaux terroristes aient déjà leur propres réseaux privés virtuels (VPN), assurant en temps réel et de manière transparente le chiffrement de l ensemble communications entre deux sites. Enfin, il reste toujours l IRC (dialogue en direct) et les nombreux logiciels de Peer To Peer déjà utilisés pour le partage et la diffusion de toutes sortes de matériels plus ou moins illégaux. En termes de propagande bien sûr, les sites vitrines, forums spécialisés, virus vindicatifs, ou les différentes formes de piratage de sites Internet ont tous pour point commun de favoriser la diffusion de messages ciblés vers des auditoires potentiellement réceptifs telles que les populations immigrées des pays occidentaux (pour lesquels de nombreuses traductions ont même été réalisées). En termes de contre-mesures, peu de miracles technologiques sont à attendre. Le scénario d attaque le plus vraisemblable est celui d une attaque non détectée avant l apparition des premiers «symptômes». Il est illusoire en effet qu un carnivore ou un échelon, quelque soit son degré de sophistication, ne prévienne une attaque de ce type. En supposant, hypothèse forte, que l information transite réellement sur Internet, en supposant même qu elle soit effectivement captée par le système parmi des millions d autres, son temps de traitement (extraction, cryptanalyse ou décodage, traduction, authentification etc.) ne permettrait pas nécessairement d agir à temps ni de manière perspicace ; L écoute ciblée, le renseignement humain, le social-engineering et l infiltration dans la vie «informatique» du ou des réseaux suspects restent de l avis des experts le moyen le plus efficace pour faire progresser une enquête, même si la contrainte de «non provocation» des suspects constitue parfois un frein. Le cyberterrorisme ne se résume pas à une somme de malveillances Les statistiques exagèrent les faits, cette étude le montre, en comptabilisant une somme d opérations insignifiantes dont les conséquences n ont rien de critique. Pourtant, on assiste de part et d autres au regroupement de compétences ; des groupes de hackers «politisés» tendent à se fédérer au niveau mondial et, bien que leurs nuisances restent limitées, l acquisition d une taille critique présente un risque bien réel. En particulier, ce que les experts redoutent le plus est une série d attaques de plus ou moins grande ampleur synchronisées avec une attaque conventionnelle, par exemple «si une cyberattaque, le 11 septembre, avait empêché les contrôleurs aériens de faire atterrir les avions, la magnitude de cet événement aurait pu être beaucoup plus importante» explique Ron Ross, un haut responsable de la sécurité américaine. La gestion de la menace cyberterroriste doit donc être équilibrée. Cette nouvelle menace ne s est pas substituée aux menaces classiques. Elle leur a simplement ajouté une Date Page 3 sur 6

5 dimension. Les conclusions de l exercice «Digital Pearl Harbour» organisé en 2002 par le US Naval War College et le Gartner Group sont à cet égard intéressantes. L exercice a montré que pour simuler une cyberattaque d envergure contre des infrastructures sensibles, les pirates devaient posséder un niveau de renseignement élevé, consacrer quelques 200 millions de dollars à l opération et disposer de 5 ans pour mener à bien l offensive. Et le comité de pilotage concluait encore qu une telle attaque aurait des conséquences importantes sur les communications dans une zone très peuplée mais qu il n y aurait pas de pertes humaines ou autres conséquences catastrophiques. De son côté, Diane VanDe Hei, directeur de l Association of Metropolitan Water Agencies constate : «Si nous avions tant de dollars à dépenser pour nos systèmes de distribution d eau, la plupart serait destinée à l amélioration de la sécurité physique». Le discours qui a présenté la menace cyberterroriste comme «la» menace au lendemain du 11 septembre 2001 a donc laissé la place à plus de réalisme. On se souvient que 24 heures après les attentats, le représentant Lamar Smith appelait de ses vœux une loi sur la sécurité informatique et déclarait «Jusque ce que nous sécurisons notre infrastructure Internet, quelques touches de clavier et une connexion Internet suffisent à mettre en péril notre économie et nos vies. Une souris peut devenir aussi dangereuse qu une balle ou qu une bombe». Un tel discours s avère excessif et donc contre-productif. «Si vous parlez de cyberterrorisme, vous introduisez la confusion dans l esprit des gens», explique Richard Clarke, le conseiller spécial du président Bush pour la cybersécurité. «Oussama bin Laden ne viendra pas à vous par Internet» Outre le sensationnalisme, l argument économique n est sans doute pas étranger au phénomène qui a conduit à grossir la menace. Certaines sociétés de service ont ainsi tout intérêt à «grossir» la menace. La société britannique mi2g qui beaucoup fait parler d elle en prédisant des actions cyberterroristes de masse s est ainsi retrouvée au cœur d une polémique lorsque Richard Forno, auteur de l ouvrage «The art of information warfare» 1 et consultant au DoD américain l a accusé de répandre la peur et des bruits infondés sur la menace cyberterroriste et de comptabiliser dans leurs statistiques le moindre incident. «Nous ne disons pas que toutes les actions de hacking rentrent dans une logique terroriste, s est défendue la société. Bien que les dommages soient bien réels, mettre les hackers dans le même groupe que des meurtriers est injustifié et reviendrait à faire du sensationnalisme. Mais nous maintenons que les techniques utilisés par certains hackers pourraient bien l être par des mouvements terroristes en combinaison avec des attaques physiques pour en amplifier les effets». Un problème de topologie plus que de sécurisation Les systèmes, les logiciels sont vulnérables, les administrateurs de réseaux sont faillibles et les employés corruptibles. Les possibilités d attaques contre un ou plusieurs systèmes sont nombreuses, et peuvent être réalisées en s en donnant les moyens. Les hackers du 1 Forno Richard, Baklarz Ronald, The Art of Information Warfare: Insight into the Knowledge Warrior Philosophy, Universal Publishers/uPUBLISH.com, 1999 Date Page 4 sur 6

6 groupe LOpht 2 consultés par une commission d enquête du Sénat américain en 1998, affirmaient déjà qu ils pourraient s ils le souhaitaient paralyser Internet pendant 1/2h au moins. Il est même de notoriété publique, dans le petit milieu des hackers, que des portes d entrées dérobées (backdoors) existent sur la plupart de ces réseaux critiques, permettant l intrusion la simple écoute du trafic (sniffing). Le scénario est plus que vraisemblable ; l attaque physique de Data centers ou la destruction sélective de fibres optiques appartenant aux grands opérateurs mondiaux l est tout autant car, si les infrastructures sont globalement très résistantes à des attaques tous azimuts, elles restent vulnérables en différents points névralgiques. La sécurité absolue des réseaux et des infrastructures est illusoire. Ce qui compte, c est donc l aptitude du ou des réseaux à remplir leur mission, y compris en cas d attaques physiques ou logiques, de perturbations ou d accidents. Les pannes et les incidents sont monnaie courante dans la vie économique d un pays, sans qu il y ait lieu de s en alarmer : au pire quelques heures sans eau, sans électricité ou sans accès à Internet n ont jamais déstabilisé durablement un pays ou une région. La problématique du cyberterrorisme ne se résume donc pas au niveau de sécurité susceptible d être opposé à des attaquants, mais à la définition d une topologie suffisamment robuste et distribuée pour s affranchir de coupures ou de dysfonctionnements partiels, comme c est déjà en partie le cas. Les réseaux privés indépendant ou non d Internet sont nombreux et constituent la partie immergée de l iceberg, là où transitent les données les plus sensibles (réseaux privés de type X25 notamment). Ils pourraient connaître une expansion encore plus importante avec l avènement des technologies à base de cryptographie quantique, qui rendra toute tentative d écoute ou de piratage aussitôt détectable. L étape ultime de la sécurité sera atteinte : celle qui obéit aux lois de la physique. Pourtant, ces infrastructures resteront physiquement vulnérables tend qu elles ne dépendront que d une technologie : les grandes dorsales Internet ou celles des réseaux parallèles (bancaires en particulier), les grands hubs financiers, les data centers civils, les câbles et fibres optiques transatlantiques sont autant de talons d Achille, certes bien protégés mais néanmoins vulnérables. Aujourd hui, plus de 80 % de ces infrastructures sensibles sont dans le secteur privé, ce qui nécessite plus que jamais une conciliation fermes des intérêts publics et privés. Un autre enjeu du partenariat public-privé concerne l arrivée des technologies de 3 ème puis de 4 ème génération (GPRS, UMTS, flash-ofdm) permettent d envisager non seulement le maillage et la redondance des réseaux mais également la redondance systématique des technologies entre elles. Cela semble être en tout cas le rêve de la Homeland Security : s affranchir à tout moment de n importe quel type de destruction physique grâce au développement d un réseau sans-fil de 4 ème génération entièrement indépendant et sécurisé. La dématérialisation des supports, la multiplication des technologies concurrentes de communication par satellite et la couverture sélective de zones ou de régions font partie des idéaux de la lutte contre le cyberterrorisme. Ces technologies 2 Date Page 5 sur 6

7 seront en tout cas au cœur de la compétition économique des années à venir et il n est pas certain que les terroristes soient les premiers dépassés Date Page 6 sur 6