J’ai lu il y a deux jours un remarquable article écrit par Pierre Haski dans Rue89. Il est consacré à une nouvelle forme de guerre dont nous entendons parler de façon épisodique, alors qu’elle a déjà pris une ampleur considérable : la cyber-guerre mondiale.
Retour sur les attaques informatiques majeures de ces derniers années, dont certaines ne figurent pas dans l’article en question.
En 2007, l’Estonie est totalement paralysée pendant plusieurs heures après avoir démonté d’un jardin public un monument de l’époque soviétique. Sauf que ce ne sont pas les chars russes qui ont plongé l’un des pays le plus connectés d’Europe dans le chaos mais une cyber-attaque qui engorge complètement les services gouvernementaux, les banques, les médias, les partis politiques et même le numéro des urgences utilisé pour les ambulances et les incendies.
Pour Linnar Viik, l’un des gourou estoniens de l’Internet, cité par The Economist, “la mobilisation d’une telle armada informatique dépasse de très loin le stade de l’initiative individuelle, voire même mafieuse. Rien de tel ne peut se faire à cette échelle sans la coopération d’un État, et de plusieurs opérateurs télécoms.”
Le Premier ministre estonien va être encore plus direct lors d’une conférence de presse. “Ces attaques sont venues directement des adresses IP du bureau du président” russe Vladimir Poutine.
En 2008, c’est au tour de la Géorgie. Cette fois, la Russie lance une invasion militaire mais juste auparavant, de vastes cyber-attaques mettent à genou toutes les infrastructures du pays. Là encore, l’ampleur, la coordination et le très haut degré de sophistication sont tels qu’aucun groupe de pirates indépendants n’aurait pu les mettre en œuvre. Il s’agit forcément d’un État et, bien entendu, tous les soupçons vont vers Moscou.
En juillet 2009, la Corée du Sud a subi des cyber-attaques à grande échelle. Vingt-cinq sites dont les sites Internet de la présidence sud-coréenne, du ministère de la Défense, du ministère des Affaires étrangères, de la Shinhan Bank et Korea Exchange Bank ont été touchés, sur fond de tensions avec la Corée du Nord. Selon la presse sud-coréenne, le National Intelligence Service aurait sous-entendu la responsabilité de Pyongyang, sans fournir de preuves.
Dans les années 2009-2010, le monde occidental s’inquiète de la prolifération de centrales nucléaires en Iran, officiellement civiles. Tout les médias s’interrogent régulièrement sur la probabilité d’un raid israélien qui permettrait d’en détruire au moins une pour envoyer un signal fort, mais soulignent que cela serait techniquement extrêmement risqué, impliquerait le survol de plusieurs pays qui s’y opposeraient et pourrait résulter en une réplique démesurée de l’Iran, comme l’envoi de missiles à longue portée sur les principales villes d’Israël.
L’attaque qui va paralyser la centrale de Bouchehr permet d’atteindre l’objectif visé sans prendre le moindre risque ni humain, ni politique, ni militaire. Elle va consister à paralyser les ordinateurs de la centrale avec un virus d’un niveau de sophistication extrême dont personne ne pourra localiser l’origine.
Ce virus s’appelle Stuxnet. Il est authentifié par Windows comme étant sans danger, ce qui implique qu’il utilise des clés numériques volées dans des entreprises de logiciels de Taïwan ultra-sécurisées. Il a transité jusqu’à la centrale probablement par des clés USB, donc avec des complices humains, le réseau informatique de la centrale n’étant pas connecté au monde extérieur.
Il a déréglé de façon subtile le contrôle des automatismes, des robots, de la distribution d’électricité, tout un système de pilotage complexe fabriqué par l’Allemand Siemens. Il est passé inaperçu pendant des mois. C’est juste que rien ne marchait plus correctement. A titre d’exemple, des centaines de centrifugeuses sont tombées en panne. Du très haut niveau.
Le développement d’un tel virus a nécessité probablement un investissement de plusieurs millions de dollars et, selon certains experts, au moins deux États seraient derrière sa création – on soupçonne bien sûr Israël et les USA. Mais il ne s’agit que d’hypothèses, pas de certitudes. De ce fait, aucunes représailles iraniennes n’ont été possibles, faute d’agresseur clairement identifié.
Fin mai 2011, c’est au tour de Lockheed Martin, entreprise majeure du secteur de l’armement aux États-Unis qui fabrique notamment les avions de combat F-16, de subir de plein fouet une cyber-attaque massive dont l’origine n’est pas officiellement connue pour le moment. Tous ses systèmes informatiques ont été paralysés pendant plusieurs heures et tous ses codes de sécurité ont été dérobés.
Il y a quelques jours, on apprenait le piratage de plusieurs centaines de comptes Gmail appartenant à des hauts fonctionnaires américains, des dissidents chinois, des responsables de plusieurs pays asiatiques, des militaires et des journalistes. Selon Google, l’origine de cette cyber-attaque se situe à Jinan, où se trouve un commandement militaire chinois, et surtout une école formée avec le soutien de l’armée, qui avait déjà été accusée d’avoir pénétré les serveurs de Google l’an dernier.
La Chine a démenti, comme on pouvait s’y attendre.
Pour le moment, seuls les pays et les organisations d’états les plus avancés technologiquement se combattent de façon invisible dans le monde virtuel : les États-Unis et l’Otan, la Chine, la Russie, l’Europe de l’Ouest et quelques pays du Moyen-Orient à commencer par Israël.
La Chine a confirmé officiellement la création d’ «une équipe spéciale dédiée à la protection contre les éventuelles cyber-attaques». Une annonce qui n’a surpris aucun service de renseignement des autres pays engagés dans la cyber-guerre, la Chine étant depuis longtemps l’un des pays les plus actifs sur ce front.
La Grande-Bretagne vient d’annoncer se doter de capacités offensives en matière de cyber-guerre, et plus seulement défensives. Le ministre de la Défense, Nick Harvey, estime que «le cybermonde fera désormais partie du champs de bataille de l’avenir».
En parallèle, des groupes autonomes de pirates aux motivations politiques libertaires ou révolutionnaires lancent des attaques de plus en plus puissantes contre des intérêts divers. Les plus connus sont Wikileaks et Anonymous. Leurs cibles : les secrets diplomatiques (ce qui a valu de sérieux problèmes à Julian Assange), les opérateurs de paiements en ligne (par mesure de rétorsion au fait que les USA avaient voulu en couper l’accès aux donateurs de Wikileaks) et d’autres puissances économiques que les hacktivistes veulent déstabiliser pour remettre en cause la mondialisation du système financier.
On estime que d’ici 2015, le nombre de personnes connectées à Internet aura quadruplé et atteindra 40% de la population mondiale. C’est dire si, de plus en plus, la guerre entre les pays technologiquement avancés se fera de plus en plus non pas sur un front réel, mais depuis des cellules informatiques hautement sophistiquées pour qui la distance et les frontières qui les séparent des ennemis visés n’ont plus aucune importance. Les scénarios de films comme Die Hard 4 où des cyber-terroristes parviennent à paralyser tout un pays sans quitter leur fauteuil ne seront bientôt plus de la science-fiction.
Sources :
Gmail piraté : bienvenue dans l’ère de la cyberguerre (Rue89)
L’Estonie dénonce les cyber-attaques terroristes russes (01net)
Géorgie, récit d’une cyber-attaque (blog Pagasa)
Cyberattaque
Virus Stuxnet : le nucléaire iranien visé par la cyberguerre ? (Rue89)
Lockheed Martin customer, program and employee data secure (site de Lockheed Martin)
La Chine forme une unité d’élite pour la cyber-guerre (Generation NT)
UK developing cyber-weapons programme to counter cyber war threat (Guardian)
Illustrations : enjeux.org (1), Matrix (2), visite d’Ahmadinejab dans une centrale nucléaire iranienne (3), Die Hard 4 (4), Matrix (5)
Passionnant. On n’est pas loin du scénario de Die Hard 4. Brrrr !
anti
Oui, et d’ailleurs, certains évènements à l’échelle de très grandes villes, tels que des coupures de courant géantes et inexpliquées, ont été soupçonnés d’avoir été provoqués eux aussi par des pirates. Je ne les ai pas mentionnés dans cet article, faute de preuve mais il est vraisemblable que des incidents majeurs analogues – ou pires – se (re)produiront dans un avenir proche.
La réalité se rapproche dangereusement des fictions les plus inquiétantes, jusqu’au jour où elle les dépassera.
Lu dans 20 Minutes aujourd’hui :
Les LulzSec refont parler d’eux. Après avoir réussi à dérober des fichiers de Sonypictures.com, début juin, le collectif de hackers «pacifistes» se sont introduits ce week-end sur le site internet du Sénat des Etats-Unis, ont annoncé lundi les services de sécurité du Congrès. Un examen de tous les ordinateurs de l’assemblée a immédiatement été ordonné.
Cette attaque informatique n’aurait pas eu de conséquence grave, selon un responsable de la sécurité. […]
C’est ce même groupe de hackers qui a réussi à pirater le système informatique de Sony et de la chaîne publique de télévision américaine PBS.
«Nous n’aimons pas trop le gouvernement américain», précise Lulz Security, qui ajoute que son opération sur le serveur du Sénat était limitée et qu’elle visait uniquement à diffuser quelques données internes du site senate.gov. «Est-ce un acte de guerre, gentlemen? Y a-t-il un problème?», poursuivent les hackers. Une allusion à la nouvelle doctrine américaine en matière de cyberattaque, les Etats-Unis ayant décidé de répondre, au besoin par les moyens militaires conventionnels, aux attaques informatiques visant les intérêts du pays.
Cette nouvelle cyber-attaque, après la tentative d’intrusion sur les systèmes du FMI révélée ce week-end, illustre les difficultés de la lutte contre des pirates informatiques qui ont régulièrement une longueur d’avance en matière de technologie.
Le documentaire diffusé sur Arte « Hackers, ni dieu, ni maître » la semaine dernière était passionnant notamment concernant les motivations des hackers. Pour les personnes intéressées, on peut encore le voir en ligne :
http://mega-streaming.info/video/3XDB4X9AG9O1/Hackers-Ni-Dieu-ni-Maitre
anti
Ça continue et cette fois, cocoricrote, c’est Areva qui s’est fait visiter pendant deux ans sans rien voir 🙂
Le quotidien l’Expansion l’a révélé le 29 septembre: le groupe nucléaire français Areva a été la cible d’une attaque informatique de très grande ampleur probablement perpétrée par des hackers «asiatiques» (en fait, personne n’en sait rien). Le pire, c’est que les intrusions, découvertes à la mi-septembre, durent depuis plus de deux ans.
Alors que l’info du piratage a eu peu d’écho dans la presse généraliste, elle a été largement relayée dans la presse informatique et les sites spécialisés.
Les spécialistes se demandent s’il s’agit de la préparation d’un nouveau Stuxnet visant à paralyser le nucléaire français (on peut rêver) comme avec les centrales iraniennes (voir ma note ci-dessus) ou de petits curieux de la concurrence qui se sont tranquillement gavés d’informations pendant deux ans sans être repérés.
Le plus ridicule pour Areva, c’est que le piratage s’est révélé enfantin : les hackers ont tout simplement cassé des mots de passe trop faciles à deviner de certains salariés d’Areva. L’expert en sécurité Eric Filiol va même jusqu’à parler de «faiblesse de la victime».
«Ce qui est consternant, c’est qu’encore une fois, le mythe du super pirate n’a rien à voir avec cela, il s’agit plutôt d’une certaine incurie et de lacunes cruelles de sécurité.»
Toute la presse en parle depuis deux jours, un nouveau logiciel-espion a été détecté en Iran et dans les pays voisins. Il a été conçu il y a cinq ans et il est en activité depuis au moins deux ans. Il s’appelle Flame et il est le plus sophistiqué jamais créé. Sa complexité implique qu’il y a forcément un ou plusieurs États derrière sa conception, les plus probables étant les USA et Israël.
Extraits d’un article sur le Huffington Post :
« Flame c’est un outil d’espionnage pur et dur, lâche Frédéric Nakhlé, expert en sécurité informatique et directeur technique chez Majj. Certain y voient même l’arme virtuelle la plus sophistiquée jamais lancée. Kaspersky Lab, le spécialiste russe de la lutte antivirus, a effectivement identifié lundi 28 mai, une cyber-arme (Flame) utilisée contre des pays tels que l’Iran. Il s’agit un virus d’une sophistication telle qu’elle suppose le concours d’un ou plusieurs États.
« Si Flame a progressé dans l’ombre pendant cinq ans, la seule conclusion logique est qu’il y a d’autres opérations en cours dont nous ne savons rien », estime Kaspersky Lab.
Flame a un potentiel d’infiltration inégalé. Il est capable d’utiliser en même temps une multitude de moyens. « Une fois qu’un système est infecté, Flame commence une série complexe d’opérations », telles que des captures d’écran, des enregistrements de conversations audio via un micro, ou encore l’usage de Bluetooth pour identifier les appareils aux alentours, détaille Kaspersky Lab.
Il a en outre la possibilité d’infecter un poste et d’activer des fonctionnalités à l’insu d’un utilisateur, selon Frédéric Nakhlé. Il contiendrait 20 fois plus de lignes de code que Stuxnet. »Stuxnet se contentait de récupérer des informations, puis, éventuellement, devenait agressif et sabotait la production ». Mais Stuxnet agissait comme un virus, c’est-à-dire que l’utilisateur pouvait se rendre compte d’anomalies. Avec Flame, on ne se rend compte de rien.