Dans la course aux cyberarmes, tous les coups sont permis

Neri ZilberTraduit par Yann Champion29 septembre 2018

 

Que se passe-t-il lorsque des entreprises privées disposent d’armes informatiques aussi puissantes que celles des États?

Attaque ou défense, privé ou public: en matière de cyberarmes, les codes sont brouillés. | Markus Spiske via unsplash License by

 

Le premier SMS arriva sur le portable d’Ahmed Mansoor à 9h38, par un étouffant matin d’août 2016. «Nouvelles preuves de tortures d’Émiriens dans les prisons d’État», annonçait le message laconique, rédigé en arabe. Un lien hypertexte suivait la phrase. Le numéro et le message parurent louches à Ahmed Mansoor. Activiste des droits humains bien connu aux Émirats arabes unis, il avait déjà reçu un SMS similaire la veille. Il résista à la tentation de cliquer sur les liens.

Par prudence, Ahmed Mansoor envoya les messages au Citizen Lab, un institut de recherches spécialisé dans les droits humains et la cybersécurité, basé à l’Université de Toronto, au Canada. En remontant les informations, deux chercheurs de Citizen Lab découvrirent que les liens hypertextes faisaient partie d’un spyware (logiciel espion) sophistiqué, conçu spécifiquement à l’encontre de Mansoor.

S’il avait cliqué sur les liens, le programme aurait fait de son téléphone un «espion numérique de poche», comme l'ont résumé les chercheurs dans leur rapport d’analyse, qui aurait traqué tous ses mouvements, surveillé ses messages et pris le contrôle de sa caméra et de son micro.

Mais la grande révélation du rapport ne fut pas la technologie utilisée. Des spywares ont été développés et propagés par des agences de renseignement du monde entier, cela n’avait rien de nouveau. Le plus surprenant fut que l’équipe de Citizen Lab parvint à trouver que le programme provenait d’une entreprise privée, le mystérieux groupe israélien NSO –dont le nom est formé à partir des initiales des prénoms des trois fondateurs.

Il s’avérait que cette société de taille modeste était parvenue à trouver des vulnérabilités dans les iPhones, pourtant considérés comme faisant partie des téléphones portables les plus sûrs au monde, et qu’elle avait développé un programme permettant de les exploiter –une opération extrêmement coûteuse, qui nécessite beaucoup de temps.

«Nous n’avons pas connaissance d’autres cas de tentative de piratage à distance d’un iPhone dans le cadre d’une campagne d’attaques ciblées», ont écrit les chercheurs de Citizen Lab dans leur rapport.

Privatisation des capacités d'attaque

Israël est un leader mondial en matière de cybertechnologie privée, avec au moins 300 entreprises dédiées à des services allant de la sécurité bancaire à la défense d’infrastructures critiques. Si la plupart d'entre elles aspirent à protéger leur clientèle des cyberattaques, d’autres ont profité du flou existant entre capacités défensives et offensives en matière informatique pour de proposer des services beaucoup moins avouables.

Dans le cas de Mansoor, il semblerait que les Émirats arabes unis aient utilisé les produits de NSO afin de mettre sous surveillance les dissidentes et dissidents les plus connus du pays. Ahmed Mansoor a d’ailleurs été condamné à dix ans de prison pour avoir publié de «fausses informations» sur ses comptes de réseaux sociaux.

«Ces entreprises ont recours à des techniques aussi élaborées, voire parfois plus élaborées, que les agences de renseignement américaines», a commenté l’année dernière Sasha Romanosky, analyste politique pour la Rand Corporation.

La privatisation de ces capacités d’attaque n’en est encore qu’à ses balbutiements. Mais elle soulève de nombreuses inquiétudes quant à la prolifération de certains logiciels très puissants et à la perte du monopole de leur utilisation par les gouvernements. Lorsque les États utilisent des cyberarmes, on peut s’attendre à ce qu’ils se soumettent à une réglementation, et que la chaîne des responsabilités soit bien définie. Par contre, lorsque des entreprises privées sont concernées, la situation est plus complexe.

Israël nous en offre un bon exemple. Le pays fournit un flot continu de cyberopérateurs hautement qualifiés qui ont appris leur art durant leur service militaire dans l’une des unités d’élite israéliennes spécialisées dans le renseignement d’origine électromagnétique et le décryptage de codes (l’unité 8200 est l’une des plus connues), puis sont partis travailler dans le secteur privé.

Nadav Zafrir, ancien commandant de l’unité 8200, affirme que même les soldats qui ont passé leurs années de service à défendre Israël contre les cyberattaques finissent par avoir assez de notions pour attaquer l’autre bord. «Pour franchir le fossé qui existe entre la défense et l’attaque, vous devez avoir un état d’esprit d’attaquant», déclare-t-il.

À LIRE AUSSI Akademgorodok, la cité où se forment les soldats de la cyberguerre de Poutine

Stuxnet, un exemple déjà dépassé

L’affaire Mansoor n’était pas un cas isolé. À en croire Citizen Lab, jusqu’à 175 personnes ont été ciblées par le logiciel espion du NSO Group depuis 2016, en particulier des défenseurs des humains et des dissidents. Et d’autres entreprises israéliennes offrent des produits similaires.

«Il n’y a pas trente-six manières de protéger un réseau: il faut répertorier toutes les vulnérabilités, explique Nimrod Kozlovski, professeur adjoint à l’université de Tel-Aviv et avocat spécialisé dans la cybersécurité. Cela provient des profondes connaissances [qu’a Israël] de ces faiblesses et des méthodes d’attaque. Nous connaissons très bien le profil des cibles

Prenez la plus célèbre de ces cibles supposées: l’usine d’enrichissement d’uranium de Natanz, en Iran, sur laquelle l’unité 8200 aurait lancé une attaque en 2009-2010, en collaboration avec la National Security Agency (NSA). Ils ont apparemment réussi à faire entrer un virus informatique appelé Stuxnet dans la centrale, bien que celle-ci ait été protégée par un «air gap», ce qui signifie qu’elle était physiquement déconnectée d’internet. Le virus ciblait le système d’exploitation des centrifugeuses de Natanz, modifiant leur vitesse de rotation jusqu’à entraîner leur destruction. Le système de contrôle aurait également été piraté, afin que les dégâts ne soient pas immédiatement détectés par l'Iran.

Ce n’est sans doute pas une coïncidence si la majorité des entreprises israéliennes spécialisées dans la cyberdéfense commercialisent des produits destinés à anticiper les attaques par des virus de style Stuxnet sur des infrastructures critiques. Parmi ces sociétés figure Aperio Systems, dirigée par un ancien officier du renseignement nommé Liran Tancman. De fait, Aperio possède un logiciel qui détecte les manipulations de données, sorte de «détecteur de mensonges», comme le dit Tancman, dans les mesures des capteurs des usines industrielles.

Stuxnet est constamment pris en exemple par les experts de la cybersécurité, et à juste titre: ce fut une cyberattaque très réussie contre une structure d’État, qui a provoqué d’importants dommages matériels. Pourtant, Stuxnet est sans doute déjà dépassé et est devenu une sorte de pierre de touche analytique.

Comme le résume Gabriel Avner, consultant en sécurité numérique installé en Israël, «dans le domaine de la technique, dix ans, c’est une éternité». À l’heure actuelle, les angles d’attaque se multiplient, déclare Zafrir, ancien commandant de l’unité 8200 dirigeant aujourd’hui Team8, une entreprise qui fait à la fois office de fonds de capital-risque, d'incubateur d’entreprises et de think tank.

Course perpétuelle entre attaque et défense

L’évolution qui inquiète le plus Zafrir, comme d’autres experts, est le développement de l’internet des objets. «Tout devient un ordinateur: votre téléphone, votre réfrigérateur, votre four à micro-ondes, votre voiture…», affirme Bruce Schneier, expert dans les questions cybernétiques à l’université d’Harvard.

Le problème est qu’internet, qui a connu son essor dans les années 1970 et 1980, a été développé sans penser à la sécurité. C’est pourquoi tout le monde s’affaire aujourd'hui à rattraper le retard et combler les lacunes tant dans les systèmes informatiques (comme les logiciels) que dans les systèmes d’exploitation (des installations industrielles, par exemple) qui sont dépassés, mal conçus ou tout simplement pas assez sécurisés.

«Les attaques sont toujours plus rapides, plus faciles à entreprendre et mieux conçues», ajoute Schneier, auteur du livre Click Here to Kill Everybody: Security and Survival in a Hyper-connected World.

«Ce qui serait aujourd’hui considéré comme une “cyberbombe atomique” n’aurait plus aucun intérêt d’ici un ou deux ans. Tout dépend de la vitesse à laquelle progressent attaquants et défenseurs.»

Liran Tancman, dirigeant d'Aperio Systems

Cela signifie-t-il que nous sommes tous condamnés? Pour faire court: non. Enfin, probablement pas. Jusqu’à présent, en dehors de Stuxnet, les cas les plus réussis de cyberattaques ayant engendré des dégâts matériels conséquents ont eu lieu en Ukraine et en Estonie.

Bien que ces attaques –qui visaient des réseaux électriques, des institutions financières et des ministères– aient eu de graves conséquences, elles ont toutefois été identifiées, et les failles ont été réparées assez rapidement. Aucun des scénarios catastrophes contre lesquels nous mettent en garde experts et observateurs –comme des hackers prenant le contrôle d’une arme nucléaire, d’un avion de ligne ou d’un malware (programme malveillant) qui provoquerait la chute de Wall Street– ne s’est jamais concrétisé.

Comme l’explique Liran Tancman, «les hackers employés par les États auront toujours plus de ressources. La question est de savoir à quelle distance ils se trouvent [des acteurs du privé]. Ce qui serait aujourd’hui considéré comme une “cyberbombe atomique” n’aurait plus aucun intérêt d’ici un ou deux ans. Tout dépend de la vitesse à laquelle progressent attaquants et défenseurs. C’est une course perpétuelle.»

Porosité entre public et privé

Si une partie du danger provient du flou de la limite entre cyberdéfense et cyberattaque, l'autre est due à l’absence quasi totale de séparation entre les sphères publique et privée en ligne.

En juillet, par exemple, les autorités israéliennes ont annoncé qu’elles entamaient plusieurs poursuites contre un ancien employé du groupe NSO, accusé d’avoir dérobé plusieurs codes propriétaires très sensibles en quittant la société. Mais l’employé anonyme a aussi été accusé de nuire à la sécurité nationale, puisqu’il a apparemment tenté de vendre l’information à un acheteur étranger contre cinquante millions de dollars sur le darknet, vaste partie d’internet inaccessible via les moteurs de recherche traditionnels.

Cet incident, rapidement détecté par la société, est un cas parmi tant d’autres qui montrent à quel point les sphères publique et privée sont liées en matière de guerre électronique. Des possibilités techniques qui étaient jadis l’apanage des gouvernements tombent aujourd’hui fréquemment dans des mains privées –et souvent criminelles.

Le code du virus Stuxnet est aujourd’hui publiquement disponible. En 2013, une cyberarme développée par la NSA, qui exploitait les failles de Microsoft Windows, a été volée par des hackers –probablement russes– et postée en ligne. En mai 2017, d’autres hackers –sans doute nord-coréens– l’utilisèrent pour lancer une campagne de ransomware (rançongiciel

) d’envergure internationale. Avant d’être finalement parée, l’attaque, baptisée WannaCry, aurait infecté près de 200.000 ordinateurs dans plus de 150 pays, et notamment une partie importante des ordinateurs du système de santé britannique.

«En matière de guerre “matérielle”, on a toujours su ce qui était de l’ordre du public. Mais dans le monde électronique d’aujourd’hui, c’est plus compliqué.»

Rami Ben Efraim, ancier officier de l’armée israélienne et fondateur de BlueOcean Technologies

Dans un cas séparé, en 2013, Mandiant, une entreprise américaine spécialisée en cybersécurité, avait prouvé que des hackers en lien avec l’armée chinoise ciblaient des entreprises et agences gouvernementales américaines. Et en 2015, Unit 8200 s’était introduit dans Kaspersky Lab, l'un des leaders mondiaux dans le domaine des antivirus, et avait découvert que l’entreprise avait servi aux services de renseignement russes de porte d’accès aux données de sa clientèle, dont une vingtaine d’agences gouvernementales américaines.

«En matière de guerre “matérielle”, on a toujours su ce qui était de l’ordre du public: les chars d’assaut, le dôme de fer [système de défense antimissile], les F-16, explique Rami Ben Efraim, officier retraité de l’armée israélienne, qui a fondé BlueOcean Technologies, une société de cybersécurité offensive. Mais dans le monde électronique d’aujourd’hui, c’est plus compliqué.»

Des infrastructures critiques, telles que les centrales électriques ou les stations de traitement des eaux, peuvent appartenir à des capitaux privés –comme c’est souvent le cas aux États-Unis. Mais un crash de leurs systèmes informatiques entraînerait des dégâts à l’échelle nationale. Les ordres de mobilisation des réservistes de l’armée israélienne en temps de guerre passent par des réseaux de télécommunications privés. Et la mise en réseau des objets (grâce à laquelle tant de nos produits de consommation sont aujourd’hui connectés à internet) a aussi engendré des vulnérabilités énormes.

«Si vous souhaitez clouer un avion au sol, vous ne passez pas par la porte avant, vous n’attaquez pas le cockpit, déclare Ben Efraim, ancien pilote de chasse. Vous vous attaquez à l’aéroport. […] Vous attaquez les systèmes logistiques. Vous attaquez les iPads que les pilotes rapportent chez eux». Il n’y a plus «d’élément isolé: tout fait désormais partie d’un réseau», ajoute-t-il.

À LIRE AUSSI «WannaCry» n'est pas une cyberattaque, mais une escroquerie

Effacement du pouvoir souverain

Comme me l’a dit à l’automne dernier Edvinas Kerza, vice-ministre de la Défense de Lituanie, en faisant référence aux actions de la Russie contre les autres anciens États soviétiques: «Les attaques viennent de l’intérieur –banques en faillite, gouvernement aux abonnés absents, instabilité générale… C’est comme s’ils disaient: “Vous pouvez toujours établir des frontières. Nous arriverons par l’intérieur.”»

Israël a choisi de remédier à ce problème au niveau national en liant sphères publique et privée, parfois littéralement. Grand carrefour numérique du pays, la ville de Beer-Sheva, au sud, accueille non seulement le nouveau campus technologique de l’armée israélienne, mais aussi un grand parc d’entreprises high-tech, l'université Ben Gourion du Néguev et l’Autorité nationale de cybersécurité, qui dépend directement du bureau du Premier ministre. «Il y a un pont entre les deux. Physiquement», précise Gabriel Avner, le consultant en cybersécurité, pour appuyer son propos.

Sachant que l’agence de sécurité intérieure israélienne, le Shin Bet, a récemment lancé un accélérateur de start-ups, de telles collaborations public-privé ne pourront que se multiplier. Ce sera même un passage obligé, si les États souhaitent garder le rythme dans les secteurs où les progrès sont rapides, comme l’intelligence artificielle, l’apprentissage machine et autres percées à venir dans le domaine informatique.

La cyberguerre a non seulement troublé les frontières entre attaque et défense, mais elle a aussi flouté la notion même de pouvoir souverain lorsqu’il s’agit de développement technologique –pour le dire clairement, comment savoir ce qui fait exactement qu’une entreprise est israélienne, américaine ou chinoise?

Internet a fait disparaître les frontières, et cela s’applique également à la guerre électronique. Comme le dit Bruce Schneier de Harvard, «les composants électroniques sont fabriqués à tel endroit, assemblés à tel autre et le programme est écrit à travers le monde par 125 personnes de nationalités différentes». Cette fluidité est particulièrement fréquente en Israël, où de riches sociétés étrangères ont installé leurs unités de recherche et développement et racheté les start-ups locales.

Si la nature internationale de l’informatique procure de nombreux avantages, elle rend aussi de plus en plus difficile la détermination précise de l’origine d’une cyberattaque. Il est ensuite plus difficile pour les gouvernements de répondre aux attaques, ce qui complique très sérieusement –voire rend impossible– toute tentative de dissuasion.

«C’est ce qui explique le succès des cyberarmes auprès des pays de toutes tailles: c’est un moyen idéal de semer le trouble et d’exercer son pouvoir ou son influence sans déclencher de guerre à proprement parler», a écrit David Sanger dans un article du New York Times adapté de son livre The Perfect Weapon: War, Sabotage, and Fear in the Cyber Age.

Commerce approuvé par les États

Si le secteur privé a la possibilité de mieux payer son personnel, détournant ainsi les talents –et les prouesses technologiques– du secteur public, les gouvernements ont encore un atout de taille dans leur jeu: la loi. Ce qui nous ramène au groupe NSO et à Mansoor, le dissident des Émirats arabes unis.

Afin de vendre légalement les cyberarmes utilisées contre lui, NSO aurait eu besoin de la permission de l’autorité régulatrice israélienne des exportations d’armes, au ministère de la Défense. De cette manière, au moins, les cyberarmes sont aussi strictement régulées que les autres armements vendus par Israël à des gouvernements étrangers. Et la clientèle ne peut être constituée que de gouvernements.

«Il est parfaitement interdit de vendre ce type de systèmes à une entité non gouvernementale, comme une société ou un oligarque, explique Yuval Sasson, juriste spécialiste des exportations liées à la défense chez Meitar, l’un des principaux cabinets de juristes du pays. Comme pour un drone ou un fusil d’assaut, l’autorité régulatrice s’intéresse à l’utilisateur final, c'est-à-dire à l’identité du gouvernement et à ce qu’il fait. La fonctionnalité est le test central.»

Dans le cas des Émirats et de Mansoor, à en croire le quotidien israélien Yedioth Ahronoth, plusieurs membres officiels de l’office de régulation se seraient prononcés contre la vente d’un tel système à un État arabe. Le journal a rapporté que l’arme finalement approuvée par l’office de régulation était plus faible que celle initialement proposée par NSO. Il a aussi rapporté que plusieurs représentants du ministère de la Défense s’étaient également opposés à l’accord parce que l’acheteur de la technologie concernée était un pays arabe. «C’est scandaleux d’accorder un tel permis», aurait déclaré un haut fonctionnaire du ministère. NSO, de son côté, a annoncé dans une déclaration qu’elle respecte toutes les lois en vigueur et qu’elle «n’utilise pas les logiciels pour ses clients, mais se contente de les concevoir».

C’est un argument qui peut sembler hypocrite, mais il offre un autre bon exemple de la manière dont attaque/défense et public/privé sont entremêlés: les mêmes logiciels employés contre de prétendus ennemis de l’État (journalistes, dissidents…) peuvent être –et sont– également utilisés pour lutter contre les narcotrafiquants et les terroristes.

«Il y a beaucoup d’argent à se faire et les entreprises peuvent agir en toute légalité. Pourquoi se cacher?»

Gabriel Avner, consultant en sécurité numérique

Si des critiques reprochent à Israël son comportement, le pays n’a rien d’un cas unique et les saints sont rares dans le commerce mondial de l’armement, même parmi les démocraties occidentales. Il est dans l’intérêt des entreprises israéliennes de respecter la loi, d’éviter les violations et d’empêcher que la technologie ne tombe entre de mauvaises mains. Comme Avner le dit, «il y a beaucoup d’argent à se faire et les entreprises peuvent agir en toute légalité. Pourquoi se cacher?».

Pour le dire clairement: NSO n’opérait pas dans l’ombre. Le gouvernement israélien a approuvé la vente par une société privée d’une cyberarme puissante à un gouvernement arabe avec lequel il a des échanges en matière de renseignement et de sécurité. Cette décision est symbolique des changements spectaculaires qui se sont opérés en matière de technologie, de guerre et de politique durant ces dernières années.

L’espionnage, les opérations de renseignement et les attaques militaires existent depuis toujours. Et il n’est pas nouveau que des acteurs privés –parfois même d’anciens membres de l’armée israélienne, comme cela s’est souvent passé ces dernières décennies– vendent des armes à travers le monde. La différence aujourd’hui tient à la portée et à la vitesse de ces nouveaux outils –et à la facilité avec laquelle ils se propagent. Une «course historique et silencieuse aux cyberarmes s’est enclenchée», d’après David Sanger. Et elle est mondiale. Le problème que cela risque de poser est évident: une course aux armes sans règles, normes ni ligne de front claire. Mais il est impossible de faire marche arrière.

«Il faut rester humble. Nous commençons seulement à comprendre de quoi il s’agit, explique Ben Efraim. Mais c’est une véritable révolution. Il y a une centaine d’années, il n’y avait pas d’armée de l’air. Aujourd’hui, c’est un constituant essentiel de toute puissance militaire.»

«Avec le numérique, c'est encore pire, ajoute-t-il. Aujourd’hui, vous ouvrez les yeux le matin… et vous êtes dedans.»

 

Collé à partir de <http://www.slate.fr/story/167666/tech-informatique-cyberguerre-attaque-defense-public-prive>