World War C : comprendre les motivations des États derrière certaines cyberattaques avancées

Transcription

1 World War C : comprendre les motivations des États derrière certaines cyberattaques avancées

2 Sommaire Résumé 2 Introduction 3 Mise en garde 4 La perspective de FireEye 4 Asie-Pacifique 5 Russie et Europe de l'est 11 Moyen-Orient 13 L'Occident 17 Conclusion 20 À propos de FireEye 21 FireEye, Inc. World War C : comprendre les motivations des États derrière certaines cyberattaques avancées 1

3 Résumé Le cyberespace est devenu une zone de guerre à part entière : à travers le monde, les États se livrent à une lutte aussi discrète qu'acharnée pour la suprématie dans l'espace numérique, devenu un champ de bataille invisible mais bien réel. Autrefois l'apanage des criminels opportunistes, les cyberattaques constituent désormais une arme décisive pour les États soucieux de défendre leur souveraineté et d'asseoir la puissance de leur pays. Des campagnes stratégiques de cyberespionnage, telles que Moonlight Maze et Titan Rain, aux opérations de destruction, telles que les cyberfrappes militaires à l'encontre de la Géorgie et de l'iran, les conflits humains et internationaux entrent dans une nouvelle ère de leur longue histoire. Sur ce terrain, les victoires se remportent à coups d'octets, de logiciels malveillants et de réseaux de robots en lieu et place des balles, des milices et des bombes. Ces assauts furtifs se déroulent pour l'essentiel à l'insu du grand public. Contrairement aux guerres d'antan, cette cyberguerre ne génère aucune image spectaculaire d'explosion d'ogives, de bâtiments en ruine ou de civils en fuite. La liste de ses victimes s'allonge de jour en jour, et compte déjà quelquesuns des plus grands noms dans les secteurs des technologies, de la finance, de la défense ou des autorités publiques. Les cyberattaques sont à entendre non pas comme une fin en soi, mais comme une arme potentiellement très efficace destinée à atteindre un large éventail d'objectifs politiques, militaires et économiques. D'après Martin Libicki, responsable scientifique de RAND Corp., «il est peu probable que les cyberattaques sérieuses soient gratuites. Les pays qui les fomentent cherchent à atteindre des buts précis, qui reflètent généralement leurs objectifs stratégiques plus larges. Pour eux, le lien entre les moyens choisis et leurs objectifs est rationnel et raisonnable, même s'il ne l'est pas à nos yeux.» De même que chaque pays possède un système politique, une histoire et une culture propres, les attaques financées par des États présentent des caractéristiques distinctives, notamment en ce qui concerne les motivations, la cible visée et le type d'attaque. Ce rapport décrit les caractéristiques uniques des campagnes de cyberattaques menées par des États aux quatre coins de la planète. Nous espérons que, armés de ces connaissances, les professionnels de la sécurité seront mieux à même d'identifier leurs agresseurs et d'adapter leurs défenses en conséquence. Voici un rapide tour d'horizon : Asie-Pacifique Cette région abrite d'importants groupes de pirates structurés tels que «Comment Crew», qui sont à l'origine d'attaques par force brute très fréquentes visant à atteindre de nombreux objectifs et cibles. Russie et Europe de l'est Plus évoluées sur le plan technique, les cyberattaques lancées depuis cette région sont particulièrement efficaces en matière de techniques permettant d'échapper à la détection. Moyen-Orient Les pirates issus de la région sont très dynamiques et créatifs, et recourent souvent à la tromperie et à l'ingénierie sociale pour amener les utilisateurs à compromettre leurs propres ordinateurs. États-Unis Cette région est le berceau des cyberattaques les plus complexes, ciblées et rigoureuses sur le plan technique menées à ce jour. FireEye, Inc. World War C : comprendre les motivations des États derrière certaines cyberattaques avancées 2

4 Introduction Le best-seller et film hollywoodien World War Z relate l'histoire d'une pandémie mondiale au cours de laquelle l'opinion politique et la culture exercent une profonde influence sur la réaction du public (et donc des États) face à une épidémie de zombies. Dans un passage, par exemple, un jeune Arabe refuse de croire à la réalité de la maladie et soupçonne Israël d'avoir monté l'histoire de toutes pièces. Les pays dont il est question dans World War Z, à savoir les États-Unis, la Chine, la Russie, la Corée du Sud, Israël et de nombreux autres, sont impliqués dans un conflit d'un tout autre genre, mais aux conséquences bien réelles et de plus en plus grandes pour la sécurité nationale : une cyberguerre mondiale ou World War C. La règle est cependant partout la même : chaque pays dispose d'un système politique, d'une histoire, d'une langue, d'une culture et d'une compréhension des conflits humains et internationaux qui lui sont propres. Un cyberconflit est souvent le reflet d'un conflit traditionnel. Ainsi, la Chine emploie des cyberattaques de masse de la même façon qu'elle utilisait son infanterie lors de la guerre de Corée. Bon nombre de soldats chinois ont été envoyés sur le champ de bataille avec seulement une poignée de balles. Leur nombre leur a toutefois permis de remporter des victoires sur le terrain. À l'autre extrémité du spectre, la Russie, les États-Unis et Israël recourent à des cybertactiques plus chirurgicales, qui reposent sur des technologies avancées et le travail de pointe de prestataires motivés par la concurrence et l'appât du gain. L'ère Internet n'en est qu'à ses débuts. Mais les cyberattaques ont d'ores et déjà démontré qu'elles constituent un moyen peu coûteux et très rentable de défendre la souveraineté et d'asseoir la puissance d'un pays. Bon nombre des gros titres des journaux semblent tout droit sortis de romans de science-fiction. Un code tellement sophistiqué qu'il détruit une centrifugeuse nucléaire à des milliers de kilomètres. Des logiciels malveillants qui enregistrent en secret toutes les activités d'un utilisateur sur son ordinateur. Un logiciel qui copie les données des appareils Bluetooth situés à proximité. Un code chiffré qui ne se déchiffre que sur un appareil cible déterminé. Ce degré de sophistication en dit long sur la maturité, la taille et les ressources des organisations derrière ces attaques. À quelques rares exceptions près, ces attaques sont désormais l'apanage des États. Le professeur Michael N. Schmitt, de l'u.s. Naval War College, interviewé par , explique : «La communauté internationale possède aujourd'hui une solide connaissance des cybertechnologies. Elle ne saisit pas toujours, par contre, le contexte géopolitique dans lequel ces technologies opèrent. L'identification des responsables sans prise en compte de ce contexte est rarement raisonnable.» Comme toute analogie, le concept de World War C a ses limites. La cyberguerre a été comparée à des opérations des forces spéciales, à une guerre sous-marine, à des missiles, à des assassins, à des armes nucléaires, à Pearl Harbor, au 11 septembre, à l'ouragan Katrina et ainsi de suite. Même notre analogie avec les zombies n'est pas nouvelle. Un ordinateur compromis sous le contrôle caché mais actif d'un cybercriminel est souvent qualifié de zombie. De même, les réseaux de robots sont parfois appelés des armées de zombies. En outre, comparés à l'entreposage de véhicules de guerre et d'artillerie, l'écriture de code en vue d'une cyberattaque et la compromission de milliers, voire de millions d'ordinateurs sont choses faciles. Qui plus est, les logiciels malveillants se propagent souvent à la vitesse exponentielle d'une maladie infectieuse. Ce rapport se penche sur un grand nombre de cyberattaques rendues publiques. L'analyse de certaines particularités nationales ou régionales de ces attaques permettra aux organisations d'identifier leurs assaillants, d'anticiper les attaques futures et de se protéger de manière plus efficace. FireEye, Inc. World War C : comprendre les motivations des États derrière certaines cyberattaques avancées 3

5 Mise en garde En matière de cyberguerre, toute analyse s'exécute forcément en eaux troubles. Sur le plan stratégique, les États souhaitent pouvoir opposer un démenti plausible s'ils étaient accusés de telles actions. Sur le plan tactique, les organisations militaires et les services de renseignements entourent ces opérations de l'épais brouillard du secret d'état. Pour être efficaces, les opérations d'extraction de renseignements recourent à la tromperie et, à cet égard, Internet constitue le théâtre idéal pour le jeu de dupes auquel se livrent les espions. Concrètement, les pirates lancent souvent leurs attaques au travers d'un cyberterrain (réseaux tiers compromis, par exemple), ce qui pose des problèmes techniques et juridictionnels aux enquêteurs. Enfin, les outils, tactiques et procédures des cybercriminels évoluent à un rythme tel que les cyberdéfenses, la législation et les forces de l'ordre sont constamment à la traîne. «L'identification des auteurs constitue le principal problème en vue de prévenir les cyberattaques, de s'en protéger ou de riposter», explique le professeur John Arquilla de la Naval Postgraduate School dans une interview par donnée à FireEye. «On connaît l'origine des missiles balistiques. Les virus informatiques, les vers ou les attaques par déni de service, par contre, sont le plus souvent couverts par le voile de l'anonymat. La meilleure façon de lever ce voile consiste à combiner intelligemment des techniques de contrepiratage analytiques et une connaissance approfondie des cultures stratégiques et des objectifs géopolitiques des protagonistes.» La «cyberattribution» ou l'identification d'un coupable probable, qu'il s'agisse d'un individu, d'une organisation ou d'un État est notoirement compliquée, en particulier en cas d'attaque isolée. Les États sont souvent identifiés à tort comme des acteurs non étatiques, et vice versa. Pour compliquer encore les choses, les liens entre les deux se resserrent. Premièrement, un nombre croissant de «cybercriminels patriotes» mèneraient une cyberguerre pour le compte de gouvernements. La Tchétchénie et le Kosovo dans les années 1990, la Chine en 2001, l'estonie en 2007, la Géorgie en 2008 et, chaque année, le Moyen-Orient en sont quelques exemples 1. Deuxièmement, les organisations cybercriminelles proposent leurs services à tout venant, y compris à des États, notamment des attaques par déni de service et un accès à des réseaux déjà compromis. Les chercheurs de FireEye ont même vu un État développer et utiliser un cheval de Troie sophistiqué, puis (après avoir mis en place son propre système de défense pour le contrer) le vendre à des cybercriminels sur le marché noir. Dès lors, certaines campagnes de cyberattaques peuvent porter la marque d'états et d'acteurs non étatiques, ce qui rend leur attribution précise quasiment impossible. Enfin, des cyberopérations «sous fausse bannière» permettent à un groupe de pirates de calquer son comportement sur celui d'un autre afin de tromper les chercheurs en cyberdéfense. La perspective de FireEye FireEye dispose d'un point de vue très particulier sur le monde trouble de la cyberguerre. D'une part, notre plate-forme de protection contre les menaces a été installée sur des milliers de réseaux sensibles à travers le monde. Nos chercheurs bénéficient dès lors d'une présence mondiale et intégrée dans le cyberespace. D'autre part, les équipements de FireEye sont placés derrière les défenses traditionnelles tels que les pare-feux, les antivirus et les systèmes de prévention des intrusions. Cela signifie que notre taux de faux positifs est extrêmement bas et que les attaques que nous détectons ont déjà réussi à infiltrer les défenses réseau externes. 1 Geers, K. (2008) «Cyberspace and the Changing Nature of Warfare», Hakin9 E-Book, 19(3) n 6 ; SC Magazine (27 août 2008) FireEye, Inc. World War C : comprendre les motivations des États derrière certaines cyberattaques avancées 4

6 Asie-Pacifique La Chine : l'éléphant dans le magasin de porcelaine La République populaire de Chine est l'auteur de menaces le moins discret du cyberespace. Cet état de fait s'explique par son immense population, son économie en pleine expansion et l'absence de stratégies efficaces pour limiter les dommages de la part de ses cibles. Attaques chinoises à l'encontre des États-Unis La liste des compromissions commises avec succès par la Chine est longue et couvre toute la planète. Voici quelques-uns des incidents les plus importants ayant touché les États-Unis : Secteur public : En 1999, le ministère américain de l'énergie a estimé que le cyberespionnage chinois représentait une menace «grave» pour la sécurité nucléaire américaine 2. En 2009, la Chine a apparemment dérobé les plans du F-35, le chasseur à réaction le plus avancé des États-Unis 3. Technologies : China a piraté Google, Intel, Adobe et la technologie d'authentification SecureID de RSA, avec laquelle il a ensuite ciblé Lockheed Martin, Northrop Grumman et L-3 Communications 4. Services financiers et services aux entreprises : Morgan Stanley, la Chambre américaine de commerce et de nombreuses banques ont été piratés 5. Médias : Le New York Times, le Wall Street Journall, le Washington Post et d'autres médias ont été la cible de cyberattaques persistantes avancées émanant de Chine 6. Infrastructures critiques : Le ministère de la Sécurité intérieure a déclaré en 2013 que 23 sociétés de gazoducs avaient été piratées (peut-être à des fins de sabotage) 7 et que des pirates chinois sont à l'origine de l'intrusion dans l'inventaire national des barrages du Corps des ingénieurs de l'armée américaine 8. Certaines de ces cyberattaques ont donné à la Chine accès à des informations propriétaires, notamment dans le domaine de la recherche et du développement. D'autres ont offert aux services de renseignements chinois un accès à des communications sensibles, notamment de hauts fonctionnaires de l'administration publique et de dissidents politiques chinois. 2 Gerth, J. et Risen, J. (2 mai 1999) «1998 Report Told of Lab Breaches and China Threat», The New York Times. 3 Gorman, S., Cole A. et Dreazen, Y. (21 avril 2009) «Computer Spies Breach Fighter-Jet Project», The Wall Street Journal. 4 Gross, M. J. (1 er septembre 2011) «Enter the Cyber-dragon», Vanity Fair. 5 Gorman, S. (21 décembre 2011) «China Hackers Hit U.S. Chamber», The Wall Street Journal ; et Ibid. 6 Perlroth, N. (1 er février 2013) «Washington Post Joins List of News Media Hacked by the Chinese» et «Wall Street Journal Announces That It, Too, Was Hacked by the Chinese», The New York Times. 7 Clayton, M. (27 février 2013) «Exclusive: Cyberattack leaves natural gas pipelines vulnerable to sabotage», The Christian Science Monitor. 8 Gertz, B. (1 er mai 2013) «Dam! Sensitive Army database of U.S. dams compromised; Chinese hackers suspected», The Washington Times. FireEye, Inc. World War C : comprendre les motivations des États derrière certaines cyberattaques avancées 5

7 Chine Attaques chinoises en dehors des États-Unis Il est évident que les États-Unis ne sont pas l'unique cible des cyberattaques chinoises. Tous les conflits géopolitiques traditionnels se sont déplacés vers le cyberespace et les compromissions chinoises s'étendent à la planète tout entière. De nombreuses batailles ont toutefois pris une forme unilatérale, toutes les attaques connues du public émanant de Chine. Europe : En 2006, des cybercriminels chinois s'en sont pris à la Chambre des communes britannique9. En 2007, la chancelière allemande Angela Merkel a abordé avec le président chinois la problématique du piratage par des États10. En 2010, le MI5 (service de renseignements britannique) a signalé que des membres des services chinois de renseignements avaient donné à des cadres britanniques des appareils photo numériques et des clés USB contenant des logiciels malveillants11. Inde : Les autorités indiennes craignent que la Chine ne puisse perturber leurs réseaux informatiques en cas de conflit. Un expert a confié que l'utilisation exclusive de matériel chinois pourrait donner à la Chine une capacité de déni de service «permanente»12. Une attaque sophistiquée à l'encontre d'un des sièges de la marine indienne aurait utilisé un vecteur USB pour combler le «vide» entre un réseau indépendant compartimenté et Internet13. Corée du Sud : Les autorités sud-coréennes se sont plaintes pendant des années de l'activité chinoise sur leurs ordinateurs officiels, avec notamment la compromission en 2010 des ordinateurs et des PDA de nombreux membres de la structure du pouvoir du gouvernement sud-coréen14 et, en 2011, une attaque à l'encontre d'un portail Internet contenant des informations personnelles sur 35 millions de Coréens15. Japon : L'administration publique, l'armée et des réseaux de haute technologie figurent au nombre des victimes. Les cybercriminels chinois ont même réussi à dérober des documents classés secrets16. 9 Warren, P. (18 janvier 2006) «Smash and grab, the hi-tech way», The Guardian. 10 «Espionage Report: Merkel's China Visit Marred by Hacking Allegations», (27 août 2007) Spiegel. 11 Leppard, D. (31 janvier 2010) «China bugs and burgles Britain», The Sunday Times. 12 Discussions exclusives portant sur cybermenaces avec des chercheurs de FireEye. 13 Pubby, M. (1er juillet 2012) «China hackers enter Navy computers, plant bug to extract sensitive data», The Indian Express. 14 Ungerleider, N. (19 octobre 2010) «South Korea s Power Structure Hacked, Digital Trail Leads to China», Fast Company. 15 Mick, J. (28 juillet 2011) «Chinese Hackers Score Heist of 35 Million South Koreans' Personal Info», Daily Tech. 16 McCurry, J. (20 septembre 2011) «Japan anxious over defence data as China denies hacking weapons maker», The Guardian ; et «China-based servers in Japan cyber attacks», (28 octobre 2011) The Indian Express. FireEye, Inc. World War C : comprendre les motivations des États derrière certaines cyberattaques avancées 6

8 Australie : La Chine aurait volé les plans du nouveau bâtiment (évalué à 631 millions de dollars) de l'australian Security Intelligence Organization, le service de renseignements intérieur australien 17. Dans le monde : En 2009, des chercheurs canadiens ont découvert que la Chine contrôlait un réseau mondial de cyberespionnage dans plus de 100 pays 18. En 2010, une société chinoise de télécommunications a transmis des informations de routage erronées concernant réseaux informatiques, ce qui a eu pour effet de dérouter une partie du trafic Internet via la Chine pendant 20 minutes. L'attaque a exposé les données de réseaux américains, de réseaux australiens et de 230 réseaux français 19. Cybertactiques chinoises La République populaire de Chine (RPC) compte 1,35 milliard d'habitants, soit plus de quatre fois la population des États-Unis. De ce fait, la Chine est souvent en mesure de submerger les cyberdéfenses en quantité, plutôt qu'en qualité, ainsi qu'elle l'a fait pendant de la guerre de Corée et pourrait le faire lors de n'importe quel conflit. Les logiciels malveillants chinois analysés par les chercheurs de FireEye ne sont pas les plus avancés ou les plus créatifs qui soient. Ils n'en ont pas été moins efficaces pour autant, dans de nombreux cas. La Chine recourt à des attaques par force brute, qui sont souvent le moyen le moins onéreux d'atteindre ses objectifs. Ces attaques aboutissent en raison de leur volume considérable, de la prévalence et de la persistance de vulnérabilités au sein des réseaux modernes et de l'apparente indifférence manifestée par les cybercriminels à l'idée de se faire prendre. Reconnaissance Exploitation malveillante Distribution Exploitation Installation Commande et contrôle Actions propres à l'objectif Exemples d'outils, de tactiques et de procédures Listes de diffusion, renseignements tirés d'attaques antérieures de type «watering hole», balayage, informations recueillies sur les réseaux sociaux Fichiers EXE déguisés en fichiers non exécutables, formats de fichiers non EXE malveillants, attaques de type «watering hole» Compromissions Web stratégiques, URL de harponnage contenues dans des s, pièces jointes dangereuses, compromissions de serveurs Web via des analyses Vulnérabilités zero-day des navigateurs et applications, ingénierie sociale Outils d'administration à distance compacts et riches en fonctionnalités avec capacités d'évasion minimales (exigeant l'intervention de l'opérateur pour un déplacement latéral) HTTP avec codages standard incorporés (p. ex. XOR) et codages personnalisés Collecte de renseignements, espionnage économique, accès persistent Comment Group Tableau 1 Caractéristiques des cyberattaques chinoises 17 «Report: Plans for Australia spy HQ hacked by China», (28 mai 2013) Associated Press. 18 «Tracking GhostNet: Investigating a Cyber Espionage Network», (29 mars 2009) Information Warfare Monitor. 19 Vijayan, J. (18 novembre 2010) «Update: Report sounds alarm on China's rerouting of U.S. Internet traffic», Computerworld. FireEye, Inc. World War C : comprendre les motivations des États derrière certaines cyberattaques avancées 7

9 Le groupe «Comment Crew» 20, exemple notable de cyberattaquant chinois, est soupçonné d'être à la solde des autorités nationales. Il est derrière de nombreuses attaques majeures, dont l'operation Beebus, qui cible les secteurs américains de l'aéronautique et de la défense 21. L'une des principales caractéristiques du Comment Crew qui le place résolument dans la catégorie des menaces persistantes avancées est qu'il s'agit d'une organisation de type bureaucratique. Une analyse approfondie a mis en lumière la présence d'un petit groupe de penseurs créatifs et stratégiques au sommet. Un niveau plus bas, un groupe plus important de spécialistes conçoivent et produisent des logiciels malveillants selon des méthodes industrielles. Tout en bas, on retrouve les soldats d'infanterie : des pirates recourant à la force brute qui exécutent les ordres et mènent des campagnes de cyberattaques de grande envergure, allant de la reconnaissance du réseau au harponnage (spearphishing) et à l'exfiltration de données. Comment Crew est d'une envergure telle que, lorsque le FBI est parvenu à décoder une des mémoires caches d'informations dérobées par le groupe, il a estimé que, s'il avait fallu les imprimer, cela aurait généré une pile de papier plus haute qu'une encyclopédie complète 22. La taille du groupe contribue à expliquer le comportement parfois incongru des cybercriminels. Ainsi, il arrive qu'un logiciel malveillant écrit par un expert soit ensuite utilisé maladroitement par un soldat inexpérimenté ( de harponnage mal rédigé, par exemple). La compréhension du cycle de vie d'une cyberattaque et de ses différentes phases peut aider les cyberdéfenseurs à la reconnaître et à la déjouer. Dans toute organisation de grande taille, certains processus sont moins aboutis que d'autres et donc plus faciles à détecter. Cyberdéfense chinoise Pour leur défense, les autorités chinoises affirment que leur pays est lui aussi la cible de cyberattaques. En 2006, la China Aerospace Science & Industry Corporation (CASIC) a identifié un logiciel espion sur son réseau classé secret 23. En 2007, le ministère chinois de la Sécurité de l'état a déclaré que des cybercriminels étrangers volaient des informations en Chine, 42 % de ces attaques émanant de Taïwan et 25 % des États-Unis 24. En 2009, le premier ministre chinois Wen Jiabao a annoncé qu'un cybercriminel taïwanais avait volé le rapport qu'il devait présenter devant le Congrès national du peuple 25. En 2013, Edward Snowden, ancien administrateur système de la National Security Agency (NSA), a publié des documents laissant entendre que les États-Unis menaient des activités de cyberespionnage à l'encontre de la Chine 26. Le CERT (Computer Emergency Response Team) chinois a pour sa part déclaré détenir des «montagnes de données» concernant des cyberattaques menées par les États-Unis Sanger, D., Barboza, D. et Perlroth, N. (18 février 2013) «Chinese Army Unit is seen as tied to Hacking against U.S.», The New York Times. 21 Pidathala, V., Kindlund, D. et Haq, T. (1 er février 2013) «Operation Beebus», FireEye. 22 Riley, M. et Lawrence, D. (26 juillet 2012) «Hackers Linked to China s Army Seen From EU to D.C.», Bloomberg. 23 «Significant Cyber Incidents Since 2006», Center for Strategic and International Studies. 24 Ibid. 25 Ibid. 26 Rapoza, K. (22 juin 2013) «U.S. Hacked China Universities, Mobile Phones, Snowden Tells China Press», Forbes. 27 Hille, K. (5 juin 2013) «China claims 'mountains of data' on cyber attacks by US», Financial Times. FireEye, Inc. World War C : comprendre les motivations des États derrière certaines cyberattaques avancées 8

10 La Corée du Nord, le carriériste La Corée du Nord et la Corée du Sud restent enfermées dans un des conflits les plus insolubles de la planète. La Corée du Nord (soutenue par la Chine) donne l'impression d'en être restée au cyberâge de pierre, en particulier par rapport à la Corée du Sud (soutenue par les États-Unis), qui affiche la vitesse de téléchargement la plus rapide au monde 28 et qui distribuera des tablettes à la place de livres à ses étudiants d'ici Il n'empêche qu'internet offre à tout individu, et à tout État, un moyen asymétrique de recueillir des renseignements et d'asseoir la puissance nationale dans le cyberespace, et la Corée du Nord semble avoir ajouté les cyberattaques à son arsenal. En 2009, la Corée du Nord a lancé son premier assaut majeur contre des sites Web des administrations publiques sud-coréennes et américaines. Si l'attaque a fait peu de dégâts, elle a par contre bénéficié d'une large couverture médiatique 30. En 2013, les auteurs d'attaques avaient toutefois mûri. Ainsi, un groupe surnommé «DarkSeoul Gang» a lancé des attaques très médiatisées à l'encontre de la Corée du Sud pendant au moins quatre ans. Les attaques du groupe ont notamment pris la forme d'attaques par déni de service distribué et de code malveillant qui a effacé les disques durs de banques, de médias, de FAI et de sociétés de télécommunications et de services financiers, pour remplacer les données légitimes par des messages politiques. Dans le conflit coréen, ces incidents interviennent souvent à des dates historiques clés, dont le 4 juillet, jour de l'indépendance des États- Unis 31. Les attaques nord-coréennes présumées contre des institutions américaines visent notamment des installations militaires américaines basées en Corée du Sud, l'organisation américaine Committee for Human Rights in North Korea et même la Maison blanche. Des transfuges nord-coréens ont fait état de l'existence d'un service de cyberguerre en plein essor comptant employés, essentiellement formés en Chine et en Russie. Ils ont souligné la fascination croissante qu'éprouve la Corée du Nord à l'égard des cyberattaques en tant que moyen économique pour rivaliser avec ses ennemis traditionnellement supérieurs. Ils estiment que la Corée du Nord se sent de plus en plus à l'aise et confiante dans ce nouveau domaine de la guerre. Selon eux, non seulement Internet est vulnérable aux attaques, mais cette stratégie peut permettre d'exercer une pression psychologique sur l'occident. À cette fin, la Corée du Nord a entrepris de déconnecter ses serveurs les plus importants d'internet, tout en développant un «réseau d'attaque» dédié 32. Les chercheurs de FireEye ont constaté l'utilisation intensive du harponnage et le développement d'une attaque de type «watering hole», qui consiste à pirater un important site Web dans l'espoir de compromettre les ordinateurs des visiteurs ultérieurs, qui présentent généralement un profil VIP déterminé ciblé par l'auteur de l'attaque. Certaines attaques nord-coréennes ont commencé à manipuler les paramètres du système d'exploitation des victimes et à désactiver leur logiciel antivirus des techniques généralement caractéristiques des cybercriminels russes. Cela signifie que les pirates nord-coréens pourraient avoir appris de la Russie ou fait appel à ses services. Outre les perturbations et la destruction potentielle provoquées par les cyberattaques, les opérations visant les réseaux informatiques constituent un outil précieux en vue de collecter des informations sensibles, en particulier quand celles-ci sont hébergées sur des réseaux du secteur public ou de groupes de réflexion en principe inaccessibles depuis Internet. La Corée du Nord, la Chine et la Russie sont toutes trois bien évidemment intéressées par la collecte de cyberrenseignements à même d'accroître leur avantage comparatif en termes d'informations secrètes, de position lors de négociations diplomatiques ou de changements politiques futurs. 28 McDonald, M. (21 février 2011) «Home Internet May Get Even Faster in South Korea», The New York Times. 29 Gobry, P-E. (5 juillet 2011) «South Korea Will Replace All Paper With Tablets In Schools By 2015», Business Insider. 30 Choe Sang-Hun, C. et Markoff, J. (8 juillet 2009) «Cyberattacks Jam Government and Commercial Web Sites in U.S. and South Korea», The New York Times. 31 «Four Years of DarkSeoul Cyberattacks Against South Korea Continue on Anniversary of Korean War», (27 juin 2013) Symantec. 32 Fisher, M. (20 mars 2013) «South Korea under cyber attack: Is North Korea secretly awesome at hacking?», The Washington Post. FireEye, Inc. World War C : comprendre les motivations des États derrière certaines cyberattaques avancées 9

11 De son côté, la Corée du Nord affirme être la cible de cyberattaques d'origine sud-coréenne et américaine. En juin 2013, après que l'ensemble des sites Web du pays sont restés bloqués pendant deux jours, l'agence d'information nationale a dénoncé «des attaques de virus concentrées et persistantes» et a déclaré que les États-Unis et la Corée du Sud allaient «devoir endosser la responsabilité de toutes les conséquences». La Corée du Nord a noté que l'attaque s'était déroulée en parallèle avec Key Resolve (exercices militaires conjoints entre les États-Unis et la Corée du Sud), mais le Comité américain des chefs d'états-majors interarmées a nié tout lien 33. L'Inde et le Pakistan : de nouvelles tactiques pour des rivaux historiques Une frontière lourdement fortifiée sépare l'inde du Pakistan sur la carte. Mais la nature paisible et sans frontière du cyberespace fait que les deux parties sont libres de se livrer à une cyberguerre y compris en temps de paix. En 2009, l'inde a annoncé que des cybercriminels pakistanais avaient placé des logiciels malveillants sur des sites indiens populaires de téléchargement de musique, un moyen indirect et intelligent de compromettre les systèmes indiens 34. En 2010, le groupe «Pakistani Cyber Army» a dégradé, puis fermé le site Web du Bureau central d'enquête, principale agence indienne de police 35. En 2012, plus de 100 sites Web de l'administration publique indienne ont été compromis 36. Ne voulant pas être en reste, des cybercriminels indiens ont lancé en 2013 Operation Hangover, une campagne de cyberespionnage de grande envergure qui a frappé des réseaux pakistanais dans les secteurs juridiques, militaires, de l'informatique, de l'industrie minière, de l'automobile, de l'ingénierie, de l'alimentation et des services financiers 37. Bien que les chercheurs n'aient pas pu relier avec certitude les attaques au gouvernement indien, de nombreuses cibles constituaient des intérêts de sécurité nationale du Pakistan 38. Association des nations de l'asie du Sud-Est (ANASE) : les économies émergentes, des cibles faciles Depuis 2010 au moins, de nombreuses attaques persistantes avancées (probablement basées en Chine) ciblent les organismes publics, les infrastructures militaires et les entreprises de l'anase, association géopolitique et économique d'asie du Sud-Est comprenant Brunei, la Birmanie (Myanmar), le Cambodge, l'indonésie, le Laos, la Malaisie, les Philippines, Singapour, la Thaïlande et le Vietnam. Bien que le risque d'une guerre régionale à court terme soit faible, les activités de cyberespionnage régional sont nombreuses et constantes. Parmi les secteurs ciblés figurent les télécommunications, le transport, le pétrole et le gaz, les banques et les groupes de réflexion. Les attaques sont généralement motivées par l'obtention d'un avantage tactique ou stratégique dans les domaines politique, militaire et économique 39. Les chercheurs de FireEye suivent de nombreux auteurs d'attaques persistantes avancées dans cette région, dont BeeBus, Mirage, Check Command, Taidoor, Seinup et Naikon. Les cybercriminels recourent le plus souvent au harponnage et utilisent fréquemment en guise de leurre des documents légitimes en rapport avec l'économie ou la politique nationale du pays cible, ou des événements régionaux tels que les sommets de l'anase, les sommets de la Coopération économique Asie-Pacifique (CEAP), l'exploration des ressources énergétiques ou les affaires militaires. 33 Herman, S. (15 mars 2013) «North Korea Blames US, South for 'Cyber Attack'», Voice of America. 34 «Significant Cyber Incidents Since 2006», Center for Strategic and International Studies. 35 «India and Pakistan in cyber war», (4 décembre 2010) Al-Jazeera. 36 Muncaster, P. (16 mars 2012) «Hackers hit 112 Indian gov sites in three months», The Register. 37 «Operation Hangover: Q&A on Attacks», (20 mai 2013) Symantec. 38 Snorre Fagerland et al. «Operation Hangover: Unveiling an Indian Cyberattack Infrastructure», mai Finkle, J. (4 août 2011) «'State actor' behind slew of cyber attacks», Reuters. FireEye, Inc. World War C : comprendre les motivations des États derrière certaines cyberattaques avancées 10

12 Pour FireEye, bon nombre de ces organisations économiques régionales constituent des cibles attrayantes pour les campagnes de menaces persistantes avancées en raison des informations précieuses en leur possession et de leur faible niveau de sensibilisation à la cybersécurité. Souvent, ces organisations souffrent d'une administration système manquant de cohérence, d'une gestion irrégulière des correctifs logiciels, d'un contrôle déficient des stratégies, ou d'une combinaison quelconque de ces problèmes. Bon nombre de ces réseaux constituent donc des cibles faciles pour les auteurs d'attaques. Pour aggraver encore les choses, les systèmes compromis servent à leur tour de bases arrière pour de nouvelles attaques à l'encontre de cibles régionales, au travers de l'installation de serveurs illicites de commande et de contrôle, du détournement de comptes de messagerie légitimes et de la dissémination de documents volés en guise d'appâts. Russie et Europe de l'est La Russie : un peu «trop calme»? En 1939, Winston Churchill déclarait que la Russie était une «énigme enveloppée de mystère». Soixante-dix ans plus tard, les chercheurs en cyberdéfense pourraient affirmer que la situation n'a pas beaucoup changé. En comparaison avec les attaques constantes de la Chine, l'on peut presque entendre la neige tomber sur la Place rouge. L'une des grandes questions en matière de cybersécurité aujourd'hui est : «Où sont les Russes?». Peut-être sont-ils tout simplement d'excellents pirates. Ou peutêtre le renseignement humain leur suffit-il. Quelle que soit la raison, les analystes en cyberdéfense cherchent souvent en vain la trace des cybercriminels russes. La deuxième partie de la citation de Churchill pourrait toutefois apporter un élément de réponse : «mais il y a peut-être une clé ; cette clé, c'est l'intérêt national russe» 40. En d'autres termes, il n'y a pas de fumée sans feu. Au milieu des années 1990, à l'aube du World Wide Web, la Russie était engagée dans un conflit prolongé sur le sort de la Tchétchénie. Les Tchétchènes sont devenus des pionniers de la cyberpropagande, et les Russes les pionniers de la fermeture de leurs sites Web. En 1998, lorsque la Serbie, alliée de la Russie, s'est retrouvée sous le feu des attaques de l'otan, des pirates pro-serbes se sont jetés dans la bataille, et ont ciblé l'otan avec des attaques par déni de service et au moins 25 souches de virus différentes intégrées à des s. En 2007, la Russie s'est retrouvée en tête de la liste des suspects de la cyberattaque internationale la plus célèbre à ce jour l'attaque par déni de service distribué contre l'estonie en représailles au déplacement d'une statue de l'ère soviétique 41. En 2008, des chercheurs ont mis au jour des preuves incontestables du rôle de soutien joué par les opérations visant les réseaux informatiques dans les progrès militaires enregistrés par la Russie dans le cadre de son invasion de la Géorgie 42. Cette même année, la Russie a été soupçonnée dans ce que le Sous-secrétaire américain à la Défense William Lynn a qualifié de «violation la plus importante d'ordinateurs militaires américains à ce jour» une attaque à l'encontre de Central Command (CENTCOM) au moyen d'une clé USB infectée 43. En 2009, des cybercriminels russes ont été accusés dans l'affaire «Climategate», une infiltration dans des recherches universitaires visant à affaiblir des négociations internationales autour des mesures liées au changement climatique 44. En 2010, l'otan et l'union européenne ont tiré la sonnette d'alarme face à l'augmentation des cyberattaques russes, tandis que le FBI a arrêté et expulsé un possible agent russe des services de renseignements du nom d'alexey Karetnikov, qui travaillait comme testeur de logiciels chez Microsoft «Winston Churchill», Wikiquote. 41 Geers, K. (2008) «Cyberspace and the Changing Nature of Warfare», Hakin9 E-Book, 19(3) n 6 ; SC Magazine (27 août 2008) «Openview by the US-CCU of the Cyber Campaign against Georgia in August of 2008», (août 2009) U.S. Cyber Consequences Unit. 43 Lynn, W.J. (2010) «Defending a New Domain: The Pentagon s Cyberstrategy», Foreign Affairs 89(5) Stewart, W. et Delgado, M. (6 décembre 2009) «Were Russian security services behind the leak of 'Climategate' s?» Daily Mail et «Global warning: New Climategate leaks», (23 novembre 2011) RT. 45 Ustinova, A. (14 juillet 2010) «Microsoft Says 12th Alleged Russian Spy Was Employee», Bloomberg. FireEye, Inc. World War C : comprendre les motivations des États derrière certaines cyberattaques avancées 11

13 Un aspect ironique des cyberattaques menées par des États, en particulier par des pays au régime autoritaire, est que bon nombre d'entre elles sont tournées vers l'intérieur. En 2012, l'éditeur de logiciels de sécurité russe Kaspersky Lab a annoncé la découverte de «Red October»46, une campagne de cyberattaques qui a espionné des millions de citoyens à travers le monde, mais principalement sur le territoire de l'ex-union soviétique. Parmi les cibles figuraient des ambassades, des sociétés de recherche, des bases militaires, des fournisseurs d'énergie, des agences nucléaires et des infrastructures critiques47. De même, en 2013, des recherches ont identifié des logiciels malveillants sur des millions d'appareils Android en Russie et dans des pays russophones. Ces deux attaques pourraient en partie s'expliquer par la volonté du gouvernement russe de garder un œil sur sa propre population, et sur celle des pays voisins48. Point plus positif, sur la voie d'une cyberdétente, les États-Unis et la Russie ont signé en 2013 un accord pour la mise en place d'une «cyber-ligne d'assistance» (semblable au téléphone rouge utilisé pour les alertes nucléaires pendant la guerre froide) afin de désamorcer les crises informatiques futures49. Mais, pour plus de sécurité, la Russie a pris la décision de cyberdéfense extrême d'acheter des machines à écrire mécaniques désuètes50, et l'armée russe (à l'instar des États-Unis, de la Chine et d'israël) est en train de mettre sur pied des unités de cybercombat51. Tactiques russes Bien que relativement discrète, la Russie est le berceau de bon nombre des cyberattaques les plus complexes et avancées identifiées par les chercheurs de FireEye. De manière plus spécifique, le code d'exploit russe peut s'avérer beaucoup plus furtif que son équivalent chinois ce qui peut également le rendre plus inquiétant. La campagne «Red October», ainsi que son logiciel satellite baptisé «Sputnik», est un exemple frappant de logiciel malveillant vraisemblablement d'origine russe. Les outils, tactiques et procédures incluent souvent l'utilisation de pièces jointes à des s transformées en «armes», même si les cybercriminels russes semblent être passés maîtres dans l'art de changer leurs schémas d'attaques, leurs exploits et leurs méthodes d'exfiltration des données en vue d'échapper à toute détection. En fait, l'un des aspects distinctifs des pirates russes semble être le fait que, contrairement aux Chinois, ils ne ménagent pas leurs efforts pour dissimuler leur identité et leurs objectifs. Les analystes de FireEye se sont même retrouvés face à des cas de cyberopérations «sous fausse bannière», visant à donner l'impression que l'attaque était d'origine asiatique. Russie 46 «The "Red October" Campaign An Advanced Cyber Espionage Network Targeting Diplomatic and Government Agencies», (14 janvier 2013) GReAT, Kaspersky Lab. 47 Lee, D. (14 janvier 2013) «'Red October' cyber-attack found by Russian researchers», BBC News. 48 Jackson Higgins, K. (3 août 2013) «Anatomy of a Russian Cybercrime Ecosystem Targeting Android», Dark Reading. 49 Gallagher, S. (18 juin 2013) «US, Russia to install "cyber-hotline" to prevent accidental cyberwar», Ars Technica. 50 Ingersoll, G. (11 juillet 2013) «Russia Turns to Typewriters to Protect against Cyber Espionage», Business Insider. 51 Gorshenin, V. (29 août 2013) «Russia to create cyber-warfare units», Pravda. FireEye, Inc. World War C : comprendre les motivations des États derrière certaines cyberattaques avancées 12

14 Les chercheurs en cyberdéfense se heurtent en outre à un autre problème, à savoir la difficulté à faire la distinction entre certaines portes dérobées russes au sein de systèmes compromis et des infiltrations avancées d'origine cybercriminelle. Reconnaissance Exploitation malveillante Distribution Exploitation Installation Commande et contrôle Actions propres à l'objectif Exemples d'outils, de tactiques et de procédures Sources d'informations probablement humaines Fichiers DOC/XLS malveillants Pièces jointes dangereuses Vulnérabilités zero-day des applications Outils d'administration à distance riches en fonctionnalité avec modules chiffrés HTTP avec codage / chiffrement incorporé personnalisé Collecte de renseignements (axée sur les administrations publiques) Red October Tableau 2 Caractéristiques des cyberattaques russes Moyen-Orient Il est probable que le Moyen-Orient ne dispose pas de l'arsenal d'exploits zero-day de la Russie ni de la force brute de la Chine. Dès lors, certains pirates de la région doivent s'appuyer sur des cybertactiques qui font la part belle à l'innovation, à la créativité et à la tromperie. Par exemple, la campagne Mahdi de 2012 a fait appel à des documents Word, des fichiers PowerPoint et des PDF malveillants pour infecter des cibles au Moyen-Orient. L'approche utilisée est similaire à celle de nombreux autres auteurs d'attaques. Ces attaques étaient toutefois accompagnées d'éléments créatifs tels que des jeux, des images attrayantes et des animations personnalisées spécialement conçus pour faciliter l'attaque. En plus d'amener les utilisateurs à exécuter des commandes permettant l'installation du code malveillant, ils ont détourné leur attention des messages d'avertissement relatifs aux logiciels malveillants. En outre, les attaques Mahdi ont été adaptées à des publics cibles spécifiques, par exemple en proposant des variantes des jeux propres à chaque organisation. Ces frappes précises reposent sur une reconnaissance préalable, contribuent à contourner les mécanismes de cyberdéfense basés sur la détection du comportement et augmentent considérablement les risques de compromission. Au Moyen-Orient, la sophistication relative d'une attaque tient donc moins à la technologie utilisée qu'aux moyens intelligents déployés pour distribuer et installer les logiciels malveillants sur le réseau visé. FireEye, Inc. World War C : comprendre les motivations des États derrière certaines cyberattaques avancées 13

15 Reconnaissance Exploitation malveillante Distribution Exploitation Installation Commande et contrôle Actions propres à l'objectif Exemples d'outils, de tactiques et de procédures Listes de diffusion régionales, conférences Fichiers PPT/PPS malveillants Pièces jointes dangereuses Ingénierie sociale, clics de souris sur l'écran Collection primitive d'outils personnalisés, outils d'administration à distance (exigeant l'intervention de l'opérateur pour un déplacement latéral) HTTP standard ; dissimulation en pleine vue Collecte de renseignements (axée sur le Moyen-Orient), déni de service Madi, LV Tableau 3 Caractéristiques des cyberattaques du Moyen-Orient Iran : une cyberguerre «chaude» Partout où des activités significatives voient le jour dans le monde réel (crimes, espionnage et guerres, notamment), des activités parallèles se développent dans le cyberspace. Il n'est dès lors pas surprenant que l'iran, qui entretient des relations internationales tendues et est sur le point d'acquérir la bombe nucléaire, ait essuyé les cyberattaques les plus sophistiquées à ce jour. En 2010, le «cybermissile» Stuxnet a été conçu avec une précision minutieuse pour infiltrer en profondeur le programme nucléaire de l'iran et détruire l'infrastructure physique. Ce logiciel s'apparentait en quelque sorte à un escadron d'avions de chasse qui aurait violé l'espace aérien étranger, largué des bombes à guidage laser et laissé un cratère fumant à la surface de la Terre 52. Outre Stuxnet, d'autres attaques avancées d'espionnage ont donné du fil à retordre aux experts en sécurité, dont Duqu, Flame et Gauss, qui pourraient toutes être dues au même auteur 53. Même des amateurs réussissent à cibler l'iran. Ainsi, quoique beaucoup moins sophistiqué que Stuxnet et ses cousins, le logiciel malveillant Mahdi est néanmoins parvenu à compromettre des sociétés d'ingénierie, des organismes publics, des sociétés de services financiers et des universités dans tout le Moyen-Orient Sanger, D., Confront et Conceal, (New York : 2012) pp Boldizsár Bencsáth. «Duqu, Flame, Gauss: Followers of Stuxnet», BME CrySyS Lab, RSA Simonite, T. (31 août 2012) «Bungling Cyber Spy Stalks Iran», MIT Technology Review. FireEye, Inc. World War C : comprendre les motivations des États derrière certaines cyberattaques avancées 14

16 De quelle manière un individu ou un État peut-il donc répondre à une cyberattaque? La contre-offensive reste-t-elle limitée au cyberespace ou peut-elle prendre la forme d'un assaut militaire (ou terroriste) traditionnel? En 2012, l'iran semble avoir choisi la première option. Un groupe de pirates du nom de «Cutting Sword of Justice» a utilisé le virus Shamoon pour attaquer la compagnie pétrolière saoudienne Aramco. Le virus est parvenu à supprimer les données de trois-quarts des ordinateurs de l'entreprise (dont des documents, des feuilles de calcul, des s et des fichiers) et à les remplacer par la photo d'un drapeau américain en feu 55. L'année dernière, un autre groupe appelé Izz ad-din al-qassam a lancé Operation Ababil, une série d'attaques par déni de service distribué contre de nombreuses institutions financières américaines, dont la Bourse de New York 56. Les exemples de cyberattaques abondent. En 2009, les plans d'un nouvel hélicoptère présidentiel de la 1 re division du Corps des Marines se sont retrouvés sur un réseau de partage de fichiers en Iran 57. En 2010, la «Cyberarmée iranienne» a perturbé Twitter et le moteur de recherche chinois Baidu, et redirigé les utilisateurs vers des messages politiques iraniens 58. En 2011, des pirates iraniens ont compromis l'autorité néerlandaise de certification numérique, avant de délivrer plus de 500 certificats frauduleux à des entreprises et à des organismes publics de premier plan 59. En 2012, l'iran a perturbé le service en langue persane de la BBC. Des chercheurs de l'université de Toronto ont par ailleurs indiqué que certaines versions du logiciel proxy Simurgh (un logiciel d'anonymisation du trafic Internet populaire dans des pays comme l'iran) installaient également un cheval de Troie chargé de collecter des noms d'utilisateur et les frappes au clavier, puis de les envoyer, selon toute vraisemblance, à un site de collecte de renseignements 60. Enfin, en 2013, le Wall Street Journal a signalé que des auteurs d'attaques iraniens avaient intensifié leurs efforts en vue de compromettre des infrastructures américaines critiques 61. Syrie : l'armée électronique syrienne La Syrie est en pleine guerre civile, les chercheurs ont donc une cyberactivité très dense à analyser. Le groupe de pirates de loin le plus important est l'armée électronique syrienne (SAE, Syrian Electronic Army), fidèle au président syrien Bashar al-assad. La SEA a procédé à des attaques par déni de service distribué et par hameçonnage, à des dégradations pro-assad et à des campagnes de spam à l'encontre d'administrations publiques, de services en ligne et de médias perçus comme étant hostiles au gouvernement syrien. La SEA a notamment piraté Al-Jazeera, Anonymous, l'associated Press (AP), la BBC, le Daily Telegraph, le Financial Times, le Guardian, Human Rights Watch, la National Public Radio, le New York Times, Twitter et bien d'autres 62. Son exploit le plus connu a été un canular à l'aide du compte Twitter d'ap annonçant que la Maison blanche avait été bombardée et le président Obama blessé, ce qui a provoqué une brève plongée des bourses pour la coquette somme de 200 milliards de dollars Perlroth, N. (23 octobre 2012) «In Cyberattack on Saudi Firm, U.S. Sees Iran Firing Back», The New York Times. 56 Walker, D. (8 mars 2013) «Hacktivists plan to resume DDoS campaign against U.S. banks», SC Magazine. 57 Borak, D. (3 mars 2009) «Source in Iran views Marine One blueprints», Marine Corps Times. 58 Wai-yin Kwok, V. (13 janvier 2010) «Baidu Hijacked By Cyber Army», Forbes. 59 Charette, R. (9 septembre 2011) «DigiNotar Certificate Authority Breach Crashes e-government in the Netherlands», IEEE Spectrum. 60 «Iranian anti-censorship software 'Simurgh' circulated with malicious backdoor», (25 mai 2012) Citizenlab. 61 Gorman, S. et Yadron, D. (23 mai 2013) «Iran Hacks Energy Firms, U.S. Says», The Wall Street Journal. 62 Fisher, M. et Keller, J. (31 août 2011) «Syria s Digital Counter-Revolutionaries», The Atlantic ; «Syrian Electronic Army», (consulté le 25 juillet 2013) Wikipedia. 63 Manzoor, S. (25 juillet 2013) «Slaves to the algorithm: Are stock market math geniuses, or quants, a force for good?», The Sunday Telegraph. FireEye, Inc. World War C : comprendre les motivations des États derrière certaines cyberattaques avancées 15

17 Rien qu'en juillet 2013, la SEA a compromis trois sites Web de communications en ligne très populaires : Truecaller (le plus grand annuaire téléphonique au monde) 64, Tango (un service de messagerie vidéo et texte) 65 et Viber (une application de messagerie et d'appels en ligne gratuits) 66. Les compromissions de ce type sont importantes car elles permettent aux services de renseignements syriens d'accéder aux communications de millions de personnes, dont des activistes politiques basés en Syrie qui pourraient être espionnés, intimidés ou arrêtés. Pour compromettre ses cibles, la SEA utilise souvent des s d'ingénierie sociale et de harponnage afin d'amener les activistes de l'opposition à ouvrir des documents malveillants, frauduleux et rendus dangereux. Lorsque le destinataire tombe dans le piège, un outil d'accès à distance de type cheval de Troie est installé sur l'ordinateur de la victime afin de donner accès à l'auteur de l'attaque aux frappes de clavier, à des captures d'écran, à des enregistrements effectués à l'aide du micro et de la webcam, à des documents volés et à des mots de passe. Et, bien sûr, la SEA envoie selon toute vraisemblance ces informations à l'adresse d'un ordinateur qui se trouve dans l'espace IP (Internet Protocol) contrôlé par le gouvernement syrien à des fins de collecte de renseignements et d'analyse 67. Israël : conflit ancien, nouvelles tactiques Même pendant la guerre froide, le conflit israélo-arabe a connu de nombreuses guerres ouvertes et a souvent servi de banc d'essai pour de nouvelles armes et tactiques militaires. Rien n'a changé à l'ère d'internet. Depuis 2000 au moins, des pirates pro-israéliens ciblent des sites importants sur le plan politique et militaire au Moyen-Orient 68. En 2007, Israël aurait perturbé les réseaux de défense aérienne syriens au moyen d'une cyberattaque (qui a provoqué des dégâts collatéraux au sein de ses propres réseaux) afin de faciliter la destruction par l'armée de l'air israélienne d'une installation nucléaire syrienne présumée Khare, A. (19 juillet 2013) «Syrian Electronic Army Hacks Truecaller Database, Gains Access Codes to Social Media Accounts», idigital Times. 65 Kastrenakes, J. (22 juillet 2013) «Syrian Electronic Army alleges stealing 'millions' of phone numbers from chat app Tango», The Verge ; Albanesius, C. (23 juillet 2013) «Tango Messaging App Targeted by Syrian Electronic Army», PCMag. 66 Ashford, W. (24 juillet 2013) «Syrian hacktvists hit second mobile app in a week», Computer Weekly. 67 Tsukayama, H. (28 août 2013) «Attacks like the one against the New York Times should put consumers on alert», The Washington Post. 68 Geers, K. (2008) «Cyberspace and the Changing Nature of Warfare», Hakin9 E-Book, 19(3) n 6 ; SC Magazine (27 août 2008) Carroll, W. (26 novembre 2007) «Israel's Cyber Shot at Syria», Defense Tech. FireEye, Inc. World War C : comprendre les motivations des États derrière certaines cyberattaques avancées 16

18 Mais en tant que nation industrielle avancée, Israël dépend également des technologies de l'information. Le pays s'est révélé vulnérable aux cyberattaques, qui ciblent souvent l'économie israélienne. En 2009, lors d'une opération militaire d'israël à Gaza, des pirates ont brièvement paralysé de nombreux sites de l'administration publique au moyen d'une attaque par déni de service distribué lancée à partir d'au moins ordinateurs. L'attaque de 2009 a pris la forme de quatre vagues successives indépendantes et toujours plus puissantes, qui ont culminé avec l'envoi de 15 millions d' s de spam par seconde. Le site Web israélien «Home Front Command», qui joue un rôle fondamental dans les communications nationales avec le public en matière de défense, est resté à l'arrêt pendant trois heures. En raison de similitudes techniques avec la cyberattaque de 2008 contre la Géorgie, alors en guerre avec la Russie, les responsables israéliens ont supposé que l'attaque avait été lancée par une organisation criminelle basée dans l'ex-union soviétique et commanditée par le Hamas ou le Hezbollah 70. Le problème avec les cyberattaques est que, souvent, elles n'ont pas besoin d'être extrêmement sophistiquées pour parvenir à leurs fins, y compris contre un pays soucieux de sa sécurité comme Israël. En 2012, le logiciel malveillant «Mahdi», bien qu'écrit avec maladresse 71, a compromis au moins 54 cibles en Israël 72. Enfin, en 2013, les médias iraniens ont affirmé que l'armée syrienne avait lancé une cyberattaque contre l'alimentation en eau de la ville israélienne d'haïfa. Le professeur Isaac Ben-Israel, conseiller en cybersécurité du premier ministre Benjamin Netanyahou, a démenti l'information, mais a ajouté que les cyberattaques à l'encontre d'infrastructures critiques font peser une «menace réelle et présente» sur Israël 73. L'Occident États-Unis D'après les analystes, les États-Unis sont derrière les cyberattaques les plus sophistiquées menées à ce jour, dont Stuxnet, 74 Duqu, Flame et Gauss 75. Cette famille de logiciels malveillants présente une complexité et une capacité de ciblage sans précédent. Stuxnet, en particulier, a été développé dans un but singulier (perturber l'enrichissement nucléaire iranien), qui était à la fois extrêmement ciblé et capable d'offrir un avantage stratégique sur la scène internationale. Contrairement à des vers informatiques tels que Slammer et Code Red, le but de Stuxnet n'était pas de compromettre un maximum d'ordinateurs, mais bien le moins possible. Plus étonnant encore, son comportement malveillant était dissimulé sous une couche de données opérationnelles d'apparence légitime, mais au final, le logiciel malveillant est parvenu à détruire des centrifugeuses iraniennes. Cette famille de logiciels malveillants a été conçue de façon remarquable. Ainsi, sa charge active peut rester chiffrée jusqu'à destination, pour être ensuite déchiffrée et installée sur un appareil cible unique. Cela permet au logiciel malveillant d'échapper au regard scrutateur des cyberdéfenseurs, de sorte que sa découverte et sa rétroconception sont beaucoup plus difficiles. L'ironie de la chose est que cette famille de logiciels malveillants pourrait être un modèle de sophistication technologique excessive. Par exemple, elle utilise non seulement plusieurs exploits zero day, mais également des innovations mondiales en matière d'informatique telles qu'une «collision de hachage» cryptographique forcée 76. Si l'on prend le cas de l'iran (actuellement soumis à un embargo commercial qui l'empêche d'acquérir des hautes technologies), il est peu probable que les logiciels iraniens soient à jour ou correctement configurés. Dès lors, les auteurs de Stuxnet auraient probablement pu arriver à leurs fins avec des exploits informatiques plus traditionnels. 70 Pfeffer, A. (15 juin 2009) «Israel suffered massive cyber attack during Gaza offensive», Haaretz. 71 Simonite, T. (31 août 2012) «Bungling Cyber Spy Stalks Iran», MIT Technology Review. 72 Zetter, K. (17 juillet 2012) «Mahdi, the Messiah, Found Infecting Systems in Iran, Israel», WIRED. 73 Yagna, Y. (26 mai 2013) «Ex-General denies statements regarding Syrian cyber attack», Haaretz. 74 Sanger, D. Confront and Conceal. (New York : 2012) pp Boldizsár Bencsáth. «Duqu, Flame, Gauss: Followers of Stuxnet», BME CrySyS Lab, RSA Goodin, Dan (7 juin 2012) «Crypto breakthrough shows Flame was designed by world-class scientists», Ars Technica. FireEye, Inc. World War C : comprendre les motivations des États derrière certaines cyberattaques avancées 17

19 Reconnaissance Exploitation malveillante Distribution Exploitation Installation Commande et contrôle Actions propres à l'objectif Exemples d'outils, de tactiques et de procédures Sources d'informations probablement humaines Supports amovibles autoinfectés Supports USB amovibles Ingénierie sociale, utilisation de supports USB Ver ciblé (à clé de chiffrement) astucieusement conçu (aucun opérateur requis ; déplacement latéral automatique) Nœuds stratégiques de commande et contrôle à usage unique ; chiffrement SSL intégral Collecte de renseignements, perturbation subtile des systèmes (axée sur le Moyen-Orient) Stuxnet, Flame, Duqu, Gauss Tableau 4 Caractéristiques des cyberattaques occidentales Un aspect sans doute révélateur des cyberattaques américaines est qu'elles exigent un tel niveau d'investissement financier, de sophistication technique et de surveillance juridique qu'elles sortent du lot. Sur ce dernier point, Richard Clarke, qui a servi trois présidents américains en tant que haut responsable de la lutte contre le terrorisme, est d'avis que Stuxnet était une opération américaine car elle donnait la «forte impression d'avoir été écrite ou dirigée par une équipe d'avocats de Washington» 77. Enfin, le volume de travail nécessaire semble indiquer la participation de très nombreuses entreprises de défense, spécialisées dans des aspects spécifiques d'une opération complexe et de grande envergure. L'inconvénient, comme dans le cas d'israël, est que toute économie industrielle évoluée est vulnérable à des cybercontre-attaques. En 2008, un responsable de la CIA a indiqué lors d'une conférence réunissant des fournisseurs d'infrastructures critiques que des cybercriminels inconnus étaient parvenus, en de multiples occasions, à perturber la distribution d'électricité de plusieurs villes étrangères 78. Dans le domaine militaire, des insurgés irakiens ont utilisé un logiciel disponible dans le commerce pour 26 dollars pour intercepter des flux vidéo en direct de drones américains Predator, ce qui leur a probablement permis de surveiller et d'esquiver des opérations militaires américaines 79. Sur le plan économique, le Fonds monétaire international (FMI), dont le siège se trouve aux États-Unis, a été victime d'une attaque par hameçonnage en 2011, qui a été décrite comme une «violation majeure» 80. En conséquence, bien que les cyberattaques soient un phénomène relativement nouveau, elles représentent un problème de sécurité nationale croissant. Dans le cadre d'un effort plus large de lutte contre cette menace, le président Obama a signé en 2013 une directive en vertu de laquelle les États Unis sont tenus d'aider leurs alliés victimes d'une cyberattaque étrangère Rosenbaum, R. (avril 2012) «Richard Clarke on Who Was Behind the Stuxnet Attack», Smithsonian. 78 Nakashima, E. et Mufson, S. (19 janvier 2008) «Hackers Have Attacked Foreign Utilities, CIA Analyst Says», The Washington Post. 79 Gorman, S., Dreazen, Y. et Cole, A. (17 décembre 2009) «Insurgents Hack U.S. Drones», The Wall Street Journal. 80 Sanger, D. et Markoff, J. (11 juin 2011) «I.M.F. Reports Cyberattack Led to 'Very Major Breach'», The New York Times. 81 Shanker, T. et Sanger, D. (8 juin 2013) «U.S. Helps Allies Trying to Battle Iranian Hackers», The New York Times. FireEye, Inc. World War C : comprendre les motivations des États derrière certaines cyberattaques avancées 18

20 Europe Aucun exemple marquant n'a révélé à ce jour que l'union européenne (UE) ou l'organisation du Traité de l'atlantique Nord (OTAN) mèneraient leurs propres cyberattaques. Au contraire, leurs dirigeants y ont jusqu'à présent renoncé publiquement 82. A contrario, de nombreux exemples montrent que les réseaux européens sont piratés depuis d'autres régions du monde, en particulier la Chine et la Russie. Des cyberattaques à l'encontre du ministère britannique des Affaires étrangères ont contourné les défenses réseau en 2010 en prétendant provenir de la Maison blanche 83. En 2011, la police allemande a découvert que des serveurs utilisés pour localiser des criminels dangereux et des individus suspectés de terrorisme avaient été infiltrés, initialement via une attaque par hameçonnage 84. En 2011 également, des fonctionnaires de la Commission européenne ont été ciblés lors d'un Forum sur la gouvernance d'internet (FGI) organisé en Azerbaïdjan 85. Dans le domaine militaire, des avions de la marine française ont été cloués au sol en 2009 à la suite d'une infection par le ver Conficker 86. En 2012, le Royaume-Uni a reconnu que des cybercriminels avaient infiltré les réseaux classés secrets du ministère de la Défense 87. Dans le milieu des affaires, le marché d'échange de droits d'émission de l'union européenne a été piraté en 2011, une opération qui s'est traduite par le vol de plus de 7 millions de dollars de crédits et a contraint le marché à fermer temporairement 88. En 2012, l'european Aeronautic Defence and Space Company (EADS) et le sidérurgiste allemand ThyssenKrupp ont été victimes d'attaques notables portant la marque de cybercriminels chinois 89. Les professionnels de la sécurité devraient être tout particulièrement à l'affût de cybermenaces persistantes avancées juste avant et pendant des négociations internationales. Rien qu'en 2011, la Commission européenne s'est plainte d'une opération de piratage de grande envergure avant un sommet de l'ue 90, le gouvernement français a été victime d'une compromission avant une réunion du G et au moins dix sociétés norvégiennes actives dans le domaine de l'énergie et de la défense ont été piratées pendant la négociation de gros contrats, au moyen d'attaques par hameçonnage conçues sur mesure pour chaque entreprise Leyden, J. (6 juin 2012) «Relax hackers! NATO has no cyber-attack plans top brass», The Register. 83 Arthur, C. (5 février 2011) «William Hague reveals hacker attack on Foreign Office in call for cyber rules», The Observer. 84 «Hackers infiltrate German police and customs service computers», (18 juillet 2011) Infosecurity Magazine. 85 Satter, R. (10 novembre 2012) «European Commission Officials Hacked At Internet Governance Forum», Huffington Post. 86 Willsher, K. (7 février 2009) «French fighter planes grounded by computer virus», The Telegraph. 87 Hopkins, N. (3 mai 2012) «Hackers have breached top secret MoD systems, cyber-security chief admits», The Guardian. 88 Krukowska, E. et Carr, M. (20 janvier 2011), «EU Carbon Trading Declines After Alleged Hacking Suspends Spot Market», Bloomberg. 89 Rochford, O. (24 février 2013) «European Space, Industrial Firms Breached in Cyber Attacks: Report», Security Week. 90 «'Serious' cyber attack on EU bodies before summit», (23 mars 2011) BBC. 91 Charette, R. (8 mars 2011) «'Spectacular' Cyber Attack Gains Access to France's G20 Files», IEEE Spectrum. 92 Albanesius, C. (18 novembre 2011) «Norway Cyber Attack Targets Country's Oil, Gas Systems», PCMag. FireEye, Inc. World War C : comprendre les motivations des États derrière certaines cyberattaques avancées 19