Le rôle toujours croissant de la technologie dans tous les aspects de notre société a fait de la cybersécurité un enjeu majeur de souveraineté pour tous les États. En raison de leur nature asymétrique, les cybercapacités offensives ont été adoptées par de nombreux pays qui n’auraient pas autrement les ressources nécessaires pour rivaliser sur le plan militaire ou économique avec les nations les plus puissantes du monde. La plupart des conflits et des tensions interétatiques modernes ont également lieu aujourd’hui dans le « cyberespace » et nous sommes convaincus que cette tendance va se poursuivre.
Ces conflits peuvent prendre un grand nombre de formes, en fonction des objectifs qu’un agresseur pourrait poursuivre pour saper un concurrent. Dans le contexte de cet article, nous ne nous concentrerons que sur deux d’entre eux : (1) la cyberguerre à des fins de renseignement, et (2) le sabotage et l’interférence avec des systèmes stratégiques afin d’entraver la capacité d’un État à gouverner ou à projeter le pouvoir.
Cyberespace et renseignements :
Les tentatives de collecte des renseignements par des moyens techniques ont été documentées pendant des années. L’exemple le plus ancien remonte à la tristement célèbre campagne Moonlight Maze de 1996, où les attaquants ont volé tant de documents qu’une impression aurait pu être « trois fois plus haute que le monument de Washington ». Vingt-cinq ans plus tard, Kaspersky traque plus d’une centaine de groupes qui effectuent des opérations similaires. Voici quelques raisons pour lesquelles elles sont si répandues :
- Des outils de sécurité offensifs sont facilement disponibles :
- Des logiciels d’intrusion tout aussi sophistiqués que les cadres développés par les acteurs de l’APT sont progressivement mis à la disposition du public gratuitement. Cela inclut des preuves de concepts largement disponibles pour les vulnérabilités des logiciels afin d’accéder aux machines cibles, des implants de logiciels malveillants à source ouverte pour établir la persistance et une myriade d’outils qui permettent un mouvement latéral à l’intérieur des réseaux perturbés. Les nouveaux venus dans le cyberespace bénéficient de l’expérience acquise par leurs prédécesseurs et des recherches menées par l’ensemble du secteur, ce qui les aide à démarrer leurs activités à un coût très abordable.
- Un marché florissant s’est développé autour de la sécurité offensive, où les entreprises fournissent des outils ou même des services de mercenariat. Celles qui sont prêtes à communiquer sur leurs activités jurent qu’elles ne feront affaire qu’avec des gouvernements démocratiques, mais il convient de souligner qu’elles ne sont soumises à pratiquement aucun contrôle.
- La difficulté d’une attribution technique fiable des cyberattaques fait en sorte que les instigateurs n’ont que des répercussions diplomatiques très limitées (bien qu’un certain nombre de pays aient récemment élaboré des cadres juridiques qui leur permettent d’imposer des sanctions). Quelques pays ont des doctrines ou des stratégies publiques relatives aux cyber-engagements, bien que ces documents ne fournissent pas toujours des réponses détaillées et complètes sur la manière dont les pays réagiront, en particulier, dans le cas de cyber-attaques représentant une menace pour leur sécurité nationale, quelles contre-mesures ils prendront, quand les cyber-attaques seront qualifiées de recours à la force et, de manière générale, comment l’article 51 de la charte des Nations unies relatif à la défense légitime devrait être interprété et appliqué. Le premier exemple d’une telle politique que nous ayons pu trouver vient des États-Unis, qui affirment que l’article 51 s’applique au cyberespace. La France en a également un, et quelques autres pays ont également publié leurs positions officielles sur l’application du droit international au cyberespace (Estonie, Australie, Autriche, République tchèque, Finlande, Iran, Pays-Bas et Royaume-Uni).
Des tentatives de cyberespionnage ont été observées de la part de tous les types de nations (cyberpuissances émergentes et robustes, pays qui se trouvent au centre des tensions internationales, et même pays traditionnellement considérés comme des alliés) contre toutes sortes d’acteurs (organisations gouvernementales et non gouvernementales, sociétés multinationales, petites entreprises et particuliers) pour tenter de collecter des renseignements de toute nature (technologiques, militaires, stratégiques). Alors que les nouveaux acteurs comblent rapidement le manque de compétences, les parties les plus avancées se mettent à l’échelle pour obtenir des capacités de surveillance mondiale grâce à la suprématie technologique. Cela implique de développer les normes des infrastructures de communication de demain et de veiller à ce qu’elles soient adoptées à l’échelle mondiale.
Un exemple particulier se situe à l’intersection de ces deux axes : le litige opposant les États-Unis à la Chine sur la norme 5G. L’US Defense Innovation Board souligne l’impact crucial de la topologie des réseaux sur le développement de l’industrie et note que le ministère de la défense (DoD) utilisera lui-même la nouvelle norme ; il estime donc qu’il devrait avoir au moins un certain degré de contrôle sur celle-ci. Le gouvernement américain a également accusé publiquement, à diverses reprises, des sociétés technologiques étrangères de faciliter des opérations d’espionnage.
Les recommendations :
- Aucun État dans le monde n’a la capacité technique de prévenir les cyberattaques, qu’elles visent directement un pays ou son industrie.
- Les instruments internationaux existants, tels que les accords de Wassenaar, ne fournissent pas un cadre juridique suffisamment contraignant pour empêcher les entreprises de réaliser des bénéfices en vendant des outils d’attaque ou des vulnérabilités. Les décideurs devraient se pencher sur la prolifération des TIC qui peuvent être utilisées à des fins malveillantes.
- La communauté internationale doit trouver un moyen de créer conjointement les normes de demain. La concurrence entre les États pour assurer le contrôle des prochains niveaux technologiques pourrait aboutir à une balkanisation de l’espace numérique.
- Les entreprises étrangères, en particulier celles qui développent des équipements de réseau ou manipulent des données sensibles, ne peuvent surmonter la méfiance que si elles sont prêtes à se soumettre à un contrôle rigoureux.
Le sabotage :
Ce n’est pas parce que les conflits dans le cyberespace se déroulent dans un monde virtuel qu’ils ne peuvent pas affecter le monde physique. Une proportion écrasante de l’activité humaine actuelle repose sur les technologies de l’information, ce qui implique que les premières peuvent être perturbées par les secondes. Une liste de secteurs verticaux qui doivent être protégés des investissements étrangers a été introduite dans la législation française : énergie, distribution d’eau, transports, santé, télécommunications. Il est assez facile de voir que chacun d’entre eux est régi par des systèmes informatiques qui constituent des cibles de grande valeur pour une partie hostile.
Le conflit ukrainien, qui semble être utilisé comme une expérience de guerre hybride à grande échelle par certains acteurs, donne une idée des nombreuses façons dont la cyberguerre pourrait être utilisée pour déstabiliser un pays :
- En mai 2014, trois jours avant les élections ukrainiennes, une société appelée Infosafe IT a résisté à une attaque visant à empêcher la centralisation des résultats des élections. Le jour de la publication des résultats, un faux communiqué de presse annonçant la victoire d’un candidat d’extrême droite a été diffusé sur le site web de la commission électorale.
- Une cyber-attaque contre trois fournisseurs d’énergie ukrainiens le 23 décembre 2015 a laissé 225 000 clients sans électricité pendant plusieurs heures. Un incident similaire s’est produit à Kiev pendant environ une heure le 16 décembre 2016.
- Le 27 juin 2017, un logiciel de comptabilité fiscale ukrainien utilisé par la plupart des entreprises du pays (MeDoc) a téléchargé une mise à jour malveillante contenant un logiciel de rançon. Une analyse plus approfondie a révélé que le décryptage des données n’était pas possible et qu’il s’agissait probablement d’une tentative de destruction des données à jamais. L’incident a causé plus de 10 milliards de dollars de dommages, ce qui en fait la cyber-attaque la plus destructrice de l’histoire.
Dans d’autres pays, le ver Stuxnet vient à l’esprit. Ce malware contient quatre exploits de 0day et est conçu pour infecter les systèmes SCADA de la centrale nucléaire de Natanz en Iran. Les systèmes infectés devaient envoyer des commandes erronées au contrôleur logique programmable (PLC) sous-jacent tout en affichant les résultats attendus aux opérateurs de la centrale. Cela a endommagé les centrifugeuses et a semé la confusion parmi les chercheurs, ce qui a effectivement ralenti la recherche iranienne dans le domaine de la physique nucléaire. Mais la conception générale et modulaire de Stuxnet indique que des variantes auraient pu être créées pour s’inspirer d’autres types de systèmes SCADA. Ce détail pourrait être révélateur d’une doctrine de sabotage plus large (et non publiée) suivie par les créateurs de Stuxnet.
On ne sait pas si elle a suivi le précédent de Stuxnet, mais quelques années plus tard, une vague d’attaques destructrices a été lancée contre l’industrie pétrolière au Moyen-Orient. Le Shamoon était loin d’avoir le niveau de sophistication de notre précédent exemple, mais il a néanmoins fait des dégâts importants. Il s’agissait d’un logiciel malveillant d’essuyage dont le but était d’effacer les fichiers des ordinateurs des victimes et de les rendre inutilisables. Lorsqu’il a été utilisé pour la première fois en 2012, il a désactivé plus de 30 000 ordinateurs.
Puis, en 2017, une raffinerie saoudienne a été visée par une attaque contre ses systèmes de sécurité dans une tentative délibérée de causer des dommages physiques. Le malware, appelé Triton, était conçu pour altérer la fonction d’arrêt d’urgence d’un système de sécurité industrielle. Heureusement, l’attaque a seulement entraîné l’interruption d’un processus chimique et n’a pas provoqué l’accumulation d’énergie incontrôlée que les attaquants essayaient probablement d’obtenir.
Ces dernières années, de nombreux incidents ont impliqué des essuie-glaces : Dark Seoul et le hack Sony ainsi que l’opération Blockbuster attribuée au groupe Lazarus, et d’autres impliquant le malware StoneDrill que nous avons découvert lors de l’enquête sur Shamoon. Jusqu’à présent, nous n’avons pas connaissance de victimes causées par des cyberattaques destructrices, mais il ne fait guère de doute qu’elles sont utilisées comme force coercitive et peuvent être interprétées comme une forme de violence. Une question intéressante est de savoir si elles peuvent être interprétées comme des « actes de guerre ».
En août 2019, l’OTAN a publié un supplément sur la cyber-résistance dans lequel l’organisation déclarait « une cyberattaque grave pourrait déclencher l’article 5, où une attaque contre un allié est traitée comme une attaque contre tous ». Bien que la notion de « cyberattaque grave » ne soit pas clairement définie, elle envoie un signal politique fort selon lequel les actions qui ont lieu dans le cyberespace peuvent être interprétées comme une attaque et peuvent en fait provoquer une réponse collective de l’alliance. Au sens militaire, cette déclaration établit le cyberespace comme un champ de bataille. D’autres pays semblent partager ce point de vue : en 2019, Israël a bombardé un bâtiment qu’il prétend avoir été utilisé par le Hamas pour mener des cyberattaques contre ses intérêts. Ce n’était pas la première fois qu’un État s’en prenait à des pirates informatiques dans le monde physique, mais c’était un exemple sans précédent d’escalade cybernétique immédiate. Les quelques nations (c’est-à-dire les États-Unis et la France) qui ont publié des politiques de cyber-engagement se réservent généralement le droit de répondre aux attaques dans le cyberespace par tout moyen approprié, ce qui inclut implicitement la force meurtrière.
Comme les opérations de sabotage perturbent la capacité d’un gouvernement à gouverner ou à avoir le pouvoir de fermer l’économie d’un pays, elles représentent une menace majeure pour la souveraineté. Dans le cas le plus extrême, les attaques dans le cyberespace peuvent préparer le terrain (ou soutenir) des opérations militaires traditionnelles, par exemple en désactivant les systèmes de sécurité ou les dispositifs de communication qui aideraient généralement à organiser la réponse défensive.
Dans les années à venir, nous pouvons nous attendre à cela :
- Le type d’attaques décrites ci-dessus va se généraliser. L’impact de ces opérations est désormais évident et il faut s’y attendre dans tout conflit armé futur.
- Certaines tentatives de sabotage auront lieu sous un faux pavillon pour brouiller les relations diplomatiques entre deux pays. Certains acteurs ont déjà pris des mesures importantes pour influencer la manière dont leurs actions seraient interprétées :
- L’attaque MeDoc susmentionnée a été déguisée en tentative de rançon criminelle.
- La chaîne de télévision française TV5 Monde a été piratée et retirée des ondes pendant 18 heures lors d’une attaque destructrice qui a également détruit des données. Le piratage a été revendiqué par un groupe aligné sur l’ISIS (Cyber Califat), mais on pense qu’il provient plutôt d’un acteur russe de la menace.
- Une attaque contre les jeux olympiques de PyeongChang contenait des indicateurs impliquant la Corée du Nord dont nous savons maintenant qu’ils sont faux.
- La contrainte diplomatique ou les représailles peuvent prendre la forme de sabotage et les cyber-capacités seront utilisées pour exercer des pressions entre les États. Par exemple, les infrastructures critiques pourraient être désactivées, ou des entreprises locales pourraient être démantelées pour exprimer leur mécontentement. La démonstration de ces cyber-capacités offensives permettrait de faire passer des messages forts qui seraient moins engageants que le déplacement de troupes.
Recommandations :
Dans le but de promouvoir la cyber-stabilité et de réduire l’impact du sabotage, nous aimerions proposer ce qui suit :
- Les États devraient publier une doctrine qui définit la manière dont ils considèrent les engagements dans le cyberespace, s’ils ne l’ont pas encore fait. Un appel à la transparence plus détaillé de Kaspersky se trouve dans les différentes contributions que nous avons soumises au GTCNL des Nations unies. Cette doctrine devrait tenir compte du fait que le processus d’attribution des cyberattaques est incertain.
- S’assurer que les systèmes critiques sont situés exclusivement sur des réseaux qui ne sont pas connectés à l’internet. En étant le fer de lance du concept de cyberimmunité, Eugène Kaspersky fournit des recommandations supplémentaires pour rendre ces infrastructures plus résistantes.
- Clarifier les règles des cyber-engagements au niveau international ainsi que la manière dont elles doivent être mises en œuvre pour interdire et prévenir les attaques destructrices visant les infrastructures civiles. Nous préconisons également une plus grande clarté de la part des États sur la manière dont les cyberconflits peuvent être désamorcés.
- Avoir une approche proactive qui vise à détecter les intrusions dans les entités stratégiques (par opposition à les prévenir simplement). Une opération de sabotage nécessite des mois de préparation après que le réseau de la victime ait été percé. Pendant ce temps, les défenseurs ont la possibilité de découvrir les attaquants et de les contenir avant que le mal ne soit fait.
Conclusion :
Il peut sembler naïf d’imaginer que la communauté internationale puisse, à l’heure actuelle, parvenir à un large consensus concernant les règles de la cyberguerre ou la manière dont le DIH existant s’applique au cyberespace. Pourtant, au cours du siècle dernier, le monde est parvenu à définir un certain nombre de règles acceptables pour les conflits militaires : la Convention de Genève définit les droits accordés aux non-combattants. Mais si, dans la guerre traditionnelle, il est facile d’évaluer le coût (généralement en vies humaines) de certaines pratiques, la nature de la cybersécurité rend la chose assez difficile : la collecte de renseignements et le vol de données sont invisibles, les campagnes d’information ne peuvent pas toujours être identifiées comme telles et le sabotage peut être impossible à distinguer des accidents. En d’autres termes, les décideurs disposent de données qui montrent les avantages d’une cyberguerre non réglementée, grâce à leurs propres opérations, mais ignorent ce qu’elle leur coûte. Cette vision partielle, partagée par tous les acteurs, n’encourage pas la modération.