Le cyberespionnage soutenu officieusement par les États est omniprésent, et son impact sur les affaires géopolitiques s'intensifie.
Le printemps dernier, le cyberespionnage a pris un tournant décisif lorsque des avions de chasse israéliens ont pris pour cible un bâtiment de la bande de Gaza censé abriter des cyberactivistes du Hamas attaquant les systèmes numériques israéliens.
Cette frappe aérienne du 10 mai des forces de défense israéliennes a marqué le premier recours à la force militaire comme mesure de représailles contre le cyberespionnage. Cette évolution souligne notre entrée dans une nouvelle ère de l’espionnage numérique.
Cela n’a surpris personne, que ce soit dans l'armée ou les services de renseignement. Les cyberopérations parrainées par les États font partie intégrante des affaires mondiales depuis des décennies. Et, en réalité, le commerce des cyberopérations a gagné en sophistication parallèlement à notre dépendance croissante à l’Internet commercial.
Voici quelques informations que tout le monde devrait connaître sur l’état actuel des cyberopérations financées par les gouvernements.
Techniques russes
Récemment, de nombreux points concernant le cyberespionnage en Russie ont été révélés, grâce en premier lieu à la mise en place de sanctions par Barack Obama contre la Russie pour son ingérence dans les élections présidentielles américaines de 2016. Parmi plus de deux douzaines de Russes désignés comme complices par les sanctions de Barack Obama se trouvaient deux cyberpirates notoires, le Russe Evgeniy Bogachev et le Letton Alexeï Belan.
À l'époque, ils étaient tous les deux connus du FBI pour être des cybervoleurs hautement compétents et motivés par l'appât du gain. Evgeniy Bogachev a dirigé une bande de criminels ayant utilisé le cheval de Troie bancaire Gamover Zeus pour voler plus de 100 millions de dollars à des banques et des entreprises du monde entier. Par la suite, il a commencé à travailler officieusement pour le gouvernement russe en tant que cyberespion.
Les sanctions imposées par Barack Obama ont aidé les analystes de la sécurité et le FBI à déterminer comment Evgeniy Bogachev, vers 2010, a commencé à lancer des recherches inhabituelles sur des ordinateurs bien placés qu'il contrôlait, via les infections Gameover Zeus. Les recherches d’Evgeniy Bogachev ciblaient de manière explicite des informations présentant un intérêt stratégique direct pour la Russie, juste avant que celle-ci ne prenne des positions contradictoires en République de Géorgie, en Ukraine et en Turquie.
Entre-temps, des informations relatives aux escapades d’Alexsey Belan soutenues par la Russie ont été révélées en mars 2017, lors de l’inculpation d’Alexsey Belan et de trois complices par le FBI pour le piratage de Yahoo dans le but de voler plus de 500 millions d'adresses électroniques et d'accéder à plus de 30 millions de comptes Yahoo.
Les sanctions prises par Barack Obama ont finalement associé Bogachev et Belan au piratage du Comité national démocrate et de plusieurs autres organisations au cœur des élections présidentielles américaines en 2016. Ils n’étaient pas les premiers cybercriminels du secteur privé recrutés par la Russie en tant que ressources et ne seront probablement pas les derniers, a déclaré Bryson Bort, PDG de la société de sécurité SCYTHE, un fournisseur de systèmes de simulation d’attaques.
D’après Bryson Bort, « La Russie recrute des types déjà engagées dans des activités criminelles puis les embauche et les relie à des organisations militaires pour la direction et la supervision ». « Ces activités ont des objectifs criminels comme l’espionnage et le vol industriels, mais il est clair qu’elles sont dirigées par le gouvernement ».
Evgeniy Bogachev et Alexsey Belan restent tous deux sur la liste des cybercriminels les plus recherchés par le FBI : le premier avec une prime de 3 millions de dollars et le second avec une prime de 100 000 dollars. Il est supposé que les deux hommes résident en Russie sous la protection du gouvernement russe.
« Nous n'avons pas réussi à dissuader de manière efficace la Russie, en tant que nation, de mener ces opérations », reconnaît Bryson Bort. « Nous pouvons donc nous attendre à ce qu'elle continue à recruter des pirates informatiques, à développer leurs capacités et à les utiliser. »
Techniques chinoises
Il est fort probable que le cyberespionnage en Russie continuera de diffuser de la propagande et d’influencer des élections, ainsi que de réaliser des manœuvres d’ancrage dans des infrastructures et des systèmes financiers critiques, afin de donner à la Russie une meilleure position pour manipuler la politique dans le monde à un moment donné.
En revanche, la Chine adopte une vision à long terme, comme indiqué explicitement dans son manifeste Made in China 2025. La Chine a pris des mesures méthodiques pour modifier son statut de source de produits manufacturés bas de gamme à celui de premier fournisseur de produits et services haut de gamme. Ce n’est pas un hasard si une longue série de cyberopérations chinoises peuvent être justifiées par le plan 2025 de la Chine.
« La Chine s’est concentrée sur le vol de données et de propriété intellectuelle afin de défendre ses intérêts nationaux dans les technologies clés », constate Bryson Bort. « Le fait que cela vient appuyer leur plan Made in China 2025 n'est un secret pour personne. »
La Chine a réussi de manière incroyable à piller des cibles stratégiques américaines, notamment :
- Les attaques chinoises Titan Rain sur l’arsenal nucléaire américain en 2003
- L’opération Aurora avec le piratage d’Adobe, Juniper Networks, Northrop Grumman, Dow Chemical et de dizaines d’autres grandes entreprises américaines en 2009
« Comme la Russie, la Chine cible les gouvernements et les infrastructures critiques. Cependant, elle vise également la propriété intellectuelle et les informations personnelles de tous les occidentaux, » commente Jeremy Samide, PDG de Stealthcare, fournisseur d'une plate-forme de renseignement sur les menaces qui suit et prédit les modèles d'attaque. « La Chine collecte et vole autant d’informations que possible afin de constituer une immense base de données sur tout et tout le monde, afin d’obtenir un tableau global détaillé. »
« La Chine collecte et vole autant d’informations que possible afin de constituer une immense base de données sur tout et tout le monde, afin d’obtenir un tableau global détaillé. » – Jeremy Samide, PDG de Stealthcare
« Cela inclut les agences gouvernementales, nos opérateurs clandestins disséminés dans le monde, ainsi que nos alliés, » poursuit-il. « Des quantités phénoménales de données, des droits de propriété intellectuelle de centaines d’entreprises et des données personnelles sont dérobés chaque année et les chiffres augmentent sans arrêt. »
À la poursuite des intérêts nationaux
Les États-Unis et le Royaume-Uni se trouvent, comme on peut s’y attendre, dans le peloton de tête des experts de la cyberopération. Les superpuissances occidentales sont bien connues pour leurs capacités d’espionnage numérique et de piratage de pointe, qu’elles pratiquent quotidiennement à la poursuite de leurs intérêts nationaux respectifs.
Dès lors que se produit un transfert de pouvoir, une tension militaire, un acte de terrorisme, ou une rencontre de puissants personnages, les malwares sont en hausse dans toute la planète. Ce piratage au-delà des limites officiellement admises cible des organisations liées aux innovations et au renseignement de haut niveau. Les États-Unis et le Royaume-Uni sont, assurément, au cœur de ces cyberbutins planétaires.
On peut supposer que les États-Unis se sont également donnés les moyens de contrer les cyberattaques de leurs adversaires par leurs propres cyberopérations, où et quand cela devient nécessaire. Un aperçu du niveau de sophistication de ce type de contre-mesures est fourni par Stuxnet, le virus informatique dont la propagation automatique a été découverte dans les installations nucléaires iraniennes en 2010. Stuxnet a été détecté car il provoquait l’arrêt et le redémarrage des ordinateurs en boucle, ce qui était quelque peu problématique. Stuxnet était conçu pour se propager silencieusement et placer ses commanditaires en position d’accéder aux commandes des installations au moment opportun.
Juste après les quatre super puissances, la Corée du Nord, l’Iran, Israël et la France sont connus pour entretenir et déployer proactivement leurs opérations de cyberespionnage. En vérité, quiconque placé en position de mener des affaires sur le Dark Net, où les cyberarmes et services associés sont facilement accessibles, peut se lancer dans le cyberespionnage à tout moment. Cela signifie que des pays de moindre importance et des cellules terroristes peuvent y avoir accès.
« Chaque nation ou presque a la capacité de pratiquer une cyberguerre ou du cyberrenseignement, » selon Jeremy Samide. « Certaines nations sont plus avancées que d’autres, certaines plus agressives que d’autres. De nombreuses activités couvertes en sous-main par les États sont financées par des collectes de fonds et/ou des campagnes de legs qui poursuivent leurs missions pendant de longues périodes. »
Par exemple, en 2014, des pirates nord-coréens fonctionnaires de l’État ont provisoirement abandonné le piratage des banques et le vol de capitaux pour se consacrer à un piratage dévastateur de Sony Pictures. La raison en était une vengeance à la suite d’un film moquant le leader suprême Kim Jong-un. Après avoir dérobé des tonnes de données, les pirates ont détruit les serveurs Sony, puis fait fuiter des e-mails embarrassants de l’équipe dirigeante – une tactique imitée ensuite par les russes pour les élections de 2016.
Puis en 2017, un ver informatique à propagation automatique appelé WannaCry a fait le tour du monde en chiffrant les serveurs d’hôpitaux, de banques et de compagnies de transport, exigeant ensuite une rançon payée en Bitcoins pour fournir une clé de déchiffrement. WannaCry exploitait des copies d’armes cybernétiques volées à la NSA. Quelques mois après les débuts de WannaCry, la Maison Blanche a imputé l’attaque à la Corée du Nord.
Responsabilité individuelle
L’Iran constitue un autre exemple d’état-nation jouant sur le long terme. L’Iran est supposé être à l’origine d’une série progressive de piratages, commencée en 2012, qui ciblait les installations pétrochimiques saoudiennes. Une attaque en août 2017, par exemple, tentait d’accéder aux commandes de contrôle industrielles et de déclencher une explosion.
Plus récemment, des pirates vietnamiens soutenus officieusement par l’État ont été découverts par le fournisseur de services de sécurité FireEye alors qu’ils ciblaient des constructeurs automobiles, dont ils espionnaient la propriété intellectuelle au profit du jeune secteur automobile vietnamien.
Et ensuite ?
Le cyberespionnage s’est développé de manière incrémentielle pendant au moins les deux dernières décennies, largement hors de la vue et de l’avis du citoyen moyen. Cela dit, deux tendances convergent d’une façon qui suggère que le piratage géopolitique et le cyberespionnage vont s’afficher publiquement à l’avenir, beaucoup plus que par le passé.
De nouveaux vecteurs d’attaque émergent via l’informatique mobile, le cloud et l’Internet des Objets. D’un point de vue sécuritaire, l’importance grandissante de l’informatique mobile, du cloud et de l’Internet des Objets ouvre un nouveau champ de menaces dans le vaste terrain préexistant. En outre, des innovations comme les botnets constituent un véritable « couteau suisse » pour les groupes de pirates informatiques, c’est-à-dire des outils aux fonctions multiples. Voici donc ce qui s’annonce, dans un proche avenir.
Un espace en expansion
La Russie, la Chine, la Corée du Nord et l’Iran continuent de soutenir et diriger proactivement des pirates professionnels engagés dans le cyberespionnage, le vol de données et les infiltrations de réseaux, et les États-Unis, le Royaume-Uni et Israël sont également engagés dans ce type d’opérations, comme je le mentionnais plus haut.
Dans une perspective défensive, la situation n’est pas brillante. Nous faisons de plus en plus confiance aux appareils mobiles et à l’informatique en cloud, à l’expansion rapide des systèmes d’IoT, sans traiter les problèmes de sécurité que cela implique de manière exhaustive. Ainsi l’espace occupé par les menaces poursuit son expansion.
Plus inquiétant encore, les failles de sécurité continuent d’apparaître dans les anciens systèmes profondément incorporés dans les réseaux des entreprises. Cela représente un territoire encore plus vulnérable, en voici un parfait exemple récent. Microsoft a été récemment contraint de publier un correctif de sécurité d’urgence pour Windows XP et Windows 2003, des systèmes d’exploitation anciens jugés obsolètes et dont le support actif est interrompu depuis des années.
Le problème, c’est que les anciens systèmes d’exploitation Windows sont toujours largement utilisés dans les réseaux commerciaux. Il se trouve que cette récente vulnérabilité est similaire à celle repérée par WannaCry, qui a infecté plus de 200 000 individus et entreprises dans 150 pays.
Simon Pope, le responsable de la réponse de Microsoft, a remis cette faille en contexte dans un article de blog : « Cette vulnérabilité est préauthentifiée et ne requiert aucune interaction de l’utilisateur. En d’autres termes, la vulnérabilité est « contagieuse », ce qui signifie que tout futur malware qui exploitera cette vulnérabilité pourra se propager d’un ordinateur vulnérable à un autre, d’une façon similaire au malware WannaCry. »
Cibles privilégiées
Après la prise de pouvoir des centrales ukrainiennes par la Russie, les incursions dans le secteur industriel saoudien par l’Iran et l’attaque « Stuxnet » contre les installations nucléaires iranienne par les États-Unis et Israël, nous savons que les grandes industries sont les cibles privilégiées des pirates informatiques d’état. Stuxnet, qui était aussi un ver informatique, recherchait des serveurs Windows anciens et non protégés.
Un problème apparemment insoluble est que les entreprises, en particulier dans l’industrie, sont notoirement lentes à mettre en œuvre des correctifs de sécurité ou à remplacer leurs anciens serveurs. Après l’émission de ce dernier correctif de Microsoft, la société de sécurité CyberX a analysé le trafic de plus de 850 réseaux de production et découvert que 53 % d’entre eux continuent d’utiliser des serveurs Windows, anciens et dépourvus d’assistance.
« La protection des ordinateurs des réseaux industriels est complexe car ils fonctionnent souvent 24h/24 et 7j/7, et contrôlent des processus physiques à grande échelle comme le raffinage pétrolier et la production d’électricité, » observe Phil Neray, vice-président de la cybersécurité industrielle chez CyberX.
Alors, les auteurs de menaces vont-ils coiffer au poteau les représentants de l’industrie ? Les méchants ont-ils tiré les leçons de l’expérience WannaCry et vont-ils exploiter cette faille toujours béante, avant que les gentils la corrigent ou mettent leurs serveurs à niveau ?
Prolifération des botnets
WannaCry, nous le savons maintenant, a été créé et diffusé par les nord-coréens, principalement en tant que moyen de récupérer de l’argent, ce pourquoi les pirates soutenus par Kim Jong-un sont bien connus. Dans les deux années qui ont suivi WannaCry, les tactiques et les outils utilisés par l’élite du piratage ont considérablement évolué, en particulier l’expansion du recours à des botnets.
Les botnets sont composés d’un vaste nombre d’ordinateurs, de serveurs et de nodules informatiques virtuels infectés. Les cercles criminels les utilisent pour propager des programmes malveillants, infiltrer des réseaux, diffuser des vers informatiques, dérober des données et stocker des données volées. Le fournisseur de sécurité Distill Network dans son « Bad Bot Report 2019 » décrit comment les « APB » (advanced persistent bots) sont conçus pour mener des activités hautement sophistiquées. Les APB peuvent automatiquement tourner en boucle via des dizaines de milliers d’adresses IP, utiliser des proxies anonymes en nombre très important, changer d’identité en cours de route, et autres tours fantaisistes afin de renforcer leur résistance.
Entre-temps, un récent rapport publié par Nokia a identifié la nouvelle source la plus prolifique de bots : les objets connectés de l’IoT, tels que les routeurs à domicile, les « baby cams » et la bureautique. Quelque 78 % du trafic de malware détecté par Nokia en 2018 provenait des botnets composés d’appareils IoT, plus du double de la proportion détectée deux ans plus tôt, en 2016.
D’accord, la source d’une grande partie de ce trafic de botnets d’IoT, selon Nokia, a pour origine des chercheurs testant leurs démonstrations de faisabilité. Cependant, ce n’est qu’une question de temps avant que les botnets de l’IoT soient suffisamment affinés pour se charger d’activités sophistiquées, du type dont Distil Network a suivi la trace. Il est probable que les efforts des États concernés feront avancer les choses.
Nous vivons une époque où les controverses géopolitiques éclatent à un rythme vertigineux. Elles sont attisées par la rencontre du renseignement et du contre-renseignement, par l’ingénierie sociale et la propagande, et par la violation de données et les interruptions de réseau. C’est une course aux armements qui ne ressemble à aucune autre.