Depuis juin 2010, plusieurs virus informatiques ont ébranlé en particulier le Moyen-Orient : Stuxnet, Duqu, Flame/Wiper… Ces virus, d’origine vraisemblablement gouvernementale, inaugurent-ils l’ère de la cyberguerre ?
Qui se cache derrière ces attaques ? Comment les États peuvent-ils se prémunir contre la multiplication de ces malwares espions ? La nouvelle géopolitique se joue-t-elle dans le cyberespace ? Est-on entré dans une nouvelle logique guerrière ? Ce sont autant de questions que nous sommes en droit de nous poser sans posséder toutes les clefs et le langage nécessaire pour comprendre ce qui se joue derrière ces découvertes alarmistes qui mettent en cause les États-Unis, Israël, l’Iran et plus largement le Moyen-Orient. Face à ces nouveaux rapports de force, nous avons sollicité les lanternes d’Adrien Gévaudan, fondateur du site Intelligence-Stratégique.eu, spécialiste des relations internationales et géoéconomiste préoccupé par les problématiques liées au cyberespace.
En quoi Flame change-t-il à ce point la donne par rapport à Stuxnet et Duqu ?
Flame, intrinsèquement, ne change pas tellement la donne depuis Stuxnet et Duqu. Déjà parce qu’il faut bien comprendre que ces cyberarmes s’inscrivent dans deux « temps » différents : le temps de leur utilisation, et celui de leur découverte. Les analystes tentent d’estimer leurs dates d’apparition, mais cela reste très peu sûr et imparfait. Les premières versions de Stuxnet sont apparues en 2009, mais il est presque sûr que c’est en 2007 que ce malware a commencé à être actif.
En tout cas, certaines parties de son code source ont été développées bien avant 2009. Il en va de même pour Duqu, les deux étant des projets liés à la plateforme dite « Tilded », qui servait à les contrôler. Pourtant, Stuxnet a été découvert en 2010, Duqu en 2011, et Flame en 2012. Il faut donc bien distinguer les différentes chronologies, et avoir conscience de l’existence de nombreuses zones d’ombre.
« On sait très peu de choses sur ce que développent les États pour agir dans le cyberespace. Cela incite à l’humilité. »
D’un point de vue technique, Flame est sans aucun doute le malware le plus complexe découvert à ce jour. Si les fonctions qu’il propose sont relativement répandues, il est unique sur bien des points : sa taille, le supposé grand nombre de modules qui peuvent lui être ajoutés, le temps durant lequel il a été à l’œuvre (sans doute depuis 2007), temps particulièrement long. A noter également la très ingénieuse façon dont le malware utilisait Windows Update pour se répandre, et qui lui permettait d’infecter n’importe quelle version de Windows.
Mais ce qui rend Flame si spécial, c’est l’utilisation géopolitique qui a été faite de lui. Il ciblait une certaine zone géographique, certains profils, et répondait à des préoccupations étatiques. Flame, Duqu, Stuxnet démontrent que le cyberespace s’est imposé comme un nouvel espace d’affrontement géopolitique. Flame prouve que Stuxnet et Duqu n’étaient que la partie émergée de l’iceberg ; en fait, Flame prouve l’existence même de cet iceberg. Découvrir un programme à l’œuvre depuis des années démontre que l’on sait très peu de choses sur ce que développent les États pour agir dans le cyberespace. Cela incite à l’humilité.
Quels sont les différences et les points communs entre Stuxnet, Wiper, Duqu et Flame ?
Stuxnet et Duqu sont des « vers », ou s’en approchent ; cela veut dire qu’ils se répliquent sur un système et tentent d’en infecter d’autres. Contrairement aux virus, les vers sont indépendants, et n’ont pas besoin d’être « collés » à un autre programme. Par ailleurs, les virus comme les vers ont bien souvent pour but de nuire, de corrompre des données ou même de rendre inopérant un système. Si Stuxnet a bien rempli ce rôle-ci, en ciblant l’infrastructure iranienne, Duqu était beaucoup plus discret, et cherchait juste des informations sensibles (et ce même s’il était possible pour lui, selon certains cas, d’être beaucoup plus destructeur). Flame semble beaucoup plus polyvalent. Étant modulable, il pouvait agir comme un ver ou un cheval de Troie ; il s’agit en réalité d’un outil complet de cyberespionnage (et non de sabotage), dont le but premier est de collecter des informations. Très peu de choses sont certaines sur Wiper, vu que l’on n’a pas trouvé de copie de lui, seulement des traces de son passage. Une chose est sûre : il permet d’effacer efficacement de grandes quantités de données, très souvent jusqu’à rendre le système inopérant. C’est en cherchant des informations sur Wiper que les experts de Kaspersky sont tombés sur Flame. Mais sur le premier, on sait encore très peu de choses.
Que pensez-vous des affirmations selon lesquelles ce type d’armes ne peut être développé qu’avec des soutiens gouvernementaux ou étatiques ?
Ce qui est certain, c’est que ce n’est pas un hasard si ces malwares se multiplient. Les États ont pris conscience du potentiel de l’utilisation géopolitique du cyberespace ; la difficulté d’attribution de la paternité d’une attaque étant, bien entendu, pas le moindre des attraits de ce nouveau secteur de la pensée stratégique. Et il ne fait aucun doute que seuls les États ont le pouvoir et l’intérêt à ce que de tels malwares voient le jour ; comme je l’ai dit, c’est une question de complexité, évidemment, mais également de bon sens : la probabilité qu’un programmeur de génie développe seul un malware à la complexité sans pareille au seul but de défendre les intérêts de puissances étatiques est extrêmement faible ; le rasoir d’Ockham dit que l’explication la plus simple est presque toujours la meilleure ; il est donc bien plus probable que ces malwares aient été développés par des puissances de niveau étatique, car leurs raisons d’être répondent à des préoccupations de même niveau.
Quels sont les implications supposées des États-Unis et d’Israël ?
Bien informé est celui qui peut répondre à cette question ; disons qu’il y a aujourd’hui un consensus autour de l’attribution de la paternité de Stuxnet aux États-Unis (comme avec l’opération Olympic Games, lancée par Bush et poursuivie par Obama). Le reste est assez vague, et on en arrive très vite aux conjectures. Beaucoup d’analystes, dont moi-même, pensent qu’il est probable que différentes cellules aient travaillé ensemble sur des programmes similaires, afférents, et également complètement séparés, tout en n’ayant que des bouts d’information sur l’objectif véritable de leur travail.
C’est assez classique comme stratégie : morceler la connaissance afin de limiter le nombre de personnes ayant une vue d’ensemble ; cela permet de semer le doute, des membres de l’opération ayant peut-être dû travailler en n’étant au courant que de certains objectifs et pas d’autres ; et bien sûr de limiter le risque de fuite, la probabilité que quelqu’un monnaie ou fasse sortir une information diminuant naturellement en fonction du risque mais également de la fiabilité supposée de l’information. Ce morcellement expliquerait également le fait que seules certaines parties du code de Stuxnet et Flame, par exemple, sont strictement identiques, alors que d’autres sont radicalement différentes.
Une structure américano-israélienne parait également plausible (cf. les soi-disant déclarations d’un officiel israélien relayées par Richard Silverstein) du fait des intérêts stratégiques de l’État hébreu dans la région, du moins pour les malwares liés à la plateforme Tilded.
Aujourd’hui que reproche-t-on à Obama exactement, est-ce d’avoir maintenu voire relancé de tels programmes de cyberattaques ou est-ce le trop grand nombre de fuites et révélations de son administration sur le sujet ?
« Il n’y a aucune jurisprudence quant à la force cyber. »
En fait, et je crois que c’est assez révélateur : on ne reproche rien à Obama. Avez-vous entendu ou lu des réactions officielles sur ce sujet ? Non, le silence est gardé, et malgré la multiplication des articles, quasi-virale si l’on me permet ce rapprochement de circonstance, il n’y a ni condamnation véhémente, ni revendication des actions. Tout simplement parce que le développement des potentiels d’action dans le cyberespace fait sans doute partie des secrets d’État les mieux défendus, et ce dans tous les pays. A la limite, on peut reprocher à Obama d’avoir tenté d’exploiter le potentiel médiatique de ces évènements, le contexte politique américain étant très influencé par les échéances électorales.
Il est loin le temps où Staline répondait à Churchill : « Le pape ? Combien de divisions ? ». Aujourd’hui les forces de chacun sont camouflées ; pas tant par faiblesse, mais parce que tout le monde a intérêt à ce que ce climat de doute perdure :
- les États puissants aux programmes de cyberdéfense avancés car ils souhaitent conserver leur avance ;
- les États importants mais en retard car ils inspireront toujours de la méfiance, même s’il est parfois de notoriété publique qu’ils ont, justement, du retard (et qui peut éliminer de l’équation la probabilité d’une désinformation habilement camouflée ?) ;
- et les autres car le bluff est une arme en soi. Il s’agit d’un équilibre des forces qui repose originalement sur la non-communication plutôt que sur la communication (même à but désinformatif).
Ainsi, je ne pense pas que quiconque reproche à Obama d’avoir maintenu ou relancé quoique ce soit. Déjà parce qu’il aurait été stupide, en admettant qu’il ait eu une telle opportunité, ce dont je doute, de se priver d’un moyen de pression supplémentaire, a fortiori présentant autant d’avantages : faibles coûts (si le programme avait déjà été développé), furtivité et exploitation d’un vide juridique en droit international.
En effet, la charte des Nations unies prohibe l’usage de la force, mais il n’y a aucune jurisprudence quant à la force cyber. On pourrait même avancer l’idée que les cas Stuxnet, Duqu, Flame, Wiper, mais aussi Gauss et Shamoon comblent ce vide, et rendent acceptable le recours à l’arme cyber.
Quant aux fuites, il faut bien avoir conscience qu’elles sont bien plus souvent orchestrées et contrôlées qu’inopinées.
Comment l’Iran va pouvoir garantir sa sécurité, celles de ses centrales et installations nucléaires ?
« Pourquoi ne pas imaginer les attaques « cyber-air », ou « terre-cyber » ? »
En Iran, le succès médiatique de la révolution verte (qui a démontré la puissance de réseaux sociaux comme Twitter) a convaincu le gouvernement de se lancer dans le développement d’un Internet local, coupé du réseau des réseaux ; une sorte d’intranet national, en somme, mais circonscris aux infrastructures critiques (bloquer Internet entraînerait de nouvelles manifestations). Si la réalisation de ce projet est sujette à caution, l’Iran n’est pas un pays isolé ; nombre d’autres (Birmanie, Chine, Cuba) explorent le même genre de pistes, l’Internet mondial étant vu comme un vecteur de démocratisation sous contrôle américain. Comment l’Iran va garantir sa sécurité dans ce contexte? D’un point de vue technique je ne connais pas assez bien le sujet pour répondre, mais on peut déjà dire que le pays a dû revoir drastiquement ses process et règles de sécurité, Stuxnet s’étant répandu sur de nombreux systèmes en raison, par exemple, de la connexion d’une clé USB sur des systèmes différemment sécurisés (travail/maison).
Le plus sécurisé des systèmes peut céder facilement en raison d’une erreur humaine, et le plus grand facteur d’insécurité informatique est le manque de formation et d’information. D’aucuns pourraient être défaitistes quant au déséquilibre des forces qui accable l’Iran face à ses « ennemis », mais l’histoire militaire nous a prouvé que c’est souvent avec l’énergie du désespoir que des solutions à des problèmes jugés insolubles ont été trouvées ; il ne faut pas oublier l’exemple d’Enigma, la machine de chiffrement allemande utilisée pendant la Seconde guerre mondiale et jugée inviolable, et pourtant « crackée » par le premier ordinateur conçu par Alan Turing sur la base de travaux des services secrets… polonais !
Est-ce que cela va éclater en crise militaire traditionnelle ou demeurer une guerre secrète ?
Seul l’avenir le dira. Mais vous l’avez dit : bien que secrète, ou plutôt silencieuse, c’est bien une guerre qui se déroule. Le cyberespace s’est imposé comme un nouvel espace de domination à côté des classiques, mais bien évidemment il est tout à fait perméable à des stratégies hybrides. Après les missiles « air-air », pourquoi ne pas imaginer les attaques « cyber-air », ou « terre-cyber » ? En fait, cela existe déjà…
La cyberguerre est-elle entrée dans une nouvelle ère ?
La sécurité numérique « parfaite » est un mythe.
Oui, clairement. Avant les malwares complexes de type Flame, force est de constater que les cyber-incidents, bien que fréquents, se limitaient souvent à des vols de données manifestes ou des attaques DDoS, par nature très peu subtiles. Par ailleurs, et s’il ne faut pas occulter la possibilité que de nombreux événements n’ont jamais été médiatisés, un État n’était jamais vraiment susceptible d’être mis en cause. Les attaques DDoS contre les sites gouvernementaux estoniens de 2007 étaient vraisemblablement le fait des Russes ; mais les États préféraient toujours le soutien logistique et la bienveillante neutralité/indifférence à l’action directe pure et simple.
Or, depuis 2010 sur le plan médiatique, 2007 en réalité, l’implication directe d’acteurs de niveau étatique n’est plus contestable. Comme on l’a dit, les objectifs géopolitiques de Stuxnet, Duqu et Flame (et même Gauss découvert début août) sont bien trop en accord avec ceux de puissances ayant des intérêts au Moyen-Orient pour que ce soit le fait du hasard.
Les affirmations de Kaspersky, Symantec et des vendeurs de sécurité en la matière sont largement présentées comme alarmistes. Quel est le vrai intérêt de ce discours exagéré, s’agit-il de faire peur aux gens pour qu’ils achètent plus de logiciels de sécurité ou bien de couvrir leurs relatives incompétences des années passées en disant que l’ennemi était trop puissant pour pouvoir être détecté ?
Ce que j’avais tenté de mettre en évidence dans l’article que j’ai écrit pour Owni, et qui a globalement été peu compris, est qu’il est absolument nécessaire de distinguer stratégie marketing et évaluation des risques. Bien évidemment, les sociétés éditrices d’antivirus ont tendance à grossir le trait de certaines menaces, les instrumentalisant à des fins commerciales, mais doit-on pour autant ne pas prendre aux sérieux le travail de leurs analystes?
Lorsque l’on regarde le cas du malware Flame, on se rend compte que ce sont les capacités supposées du programme qui sont mises en avant comme étant révélatrices de son statut de « malware le plus complexe qui ait jamais existé ». Pourtant, celles-ci, ou pour être plus précis, celles qui ont été publiquement détaillées, ne sont pas originales. Beaucoup d’autres chevaux de Troie (la plupart en fait) proposent des fonctionnalités d’enregistrement de touches (keylogging), de vol de mots de passe, de capture d’écran, etc. Flame est original par d’autres côtés, mais comme je l’ai dit, c’est surtout son existence en tant que premier véritable malware dédié au cyberespionnage à vocation géopolitique qui le rend si unique.
La sécurité numérique est-elle un mythe ?
Disons que la sécurité numérique « parfaite » est un mythe, oui. Mais, pour avoir effectué des travaux de consulting pour certains médias, on se rend compte que l’excuse principale contre la mise en place d’une véritable stratégie de sécurité est que « ça ne rendra pas notre système inviolable ». C’est stupide, car le but n’est pas d’atteindre le risque zéro, mais de limiter au maximum ce risque.
« Dans le journalisme, on frôle le délit d’incompétence. »
Un exemple : il paraît que former les journalistes à l’utilisation de logiciels de chiffrement numérique asymétriques de type GPG coûterait trop cher en temps, et serait inutile car il existerait toujours le risque que l’interception des messages se fasse avant le chiffrement, directement sur l’ordinateur (via un keylogger par exemple). Le raisonnement est faible, car bien évidement aucune stratégie de sécurité ne permet d’éliminer le risque de vol ou de corruption de données. Mais est-ce une raison pour ne rien faire pour limiter ce risque?
Aujourd’hui, il existe d’excellent logiciels en open source, plus sûrs que les payants car le code source étant accessible à tout un chacun il est possible de vérifier qu’il n’existe aucun artifice permettant à une puissance étatique, par exemple, d’accéder à un contenu normalement sensible, qui permettent :
- de sécuriser les données du disque dur (par exemple le logiciel Truecrypt) ;
- de sécuriser certaines des communications de l’utilisateur (GPG). Combiner ceci avec une stratégie « de base », c’est à dire l’installation d’antivirus (oui, ils sont utiles) et la formation et sensibilisation aux différentes attaques et moyens de s’en prémunir (notamment au spear-phishing, au social engineering), et on limite déjà grandement les risques.
Pour rester sur le journalisme, on ne peut faire de la sécurité des sources la clef de voûte d’une profession et s’en affranchir par fainéantise. Quand j’entends parler d’ordinateurs qui ont été dérobés, dans de grands médias nationaux, et que rien n’était crypté, c’est à devenir dingue ! On frôle le délit d’incompétence.