L’attaque via SolarWinds, un éditeur de logiciels, restera dans les annales (avant de passer à la méga-attaque suivante). Une bourde de cet éditeur a conduit à une attaque à la fois sophistiquée, étendue, et particulièrement grave. Beaucoup de commentaires suivront, mais regardons les grandes lignes.
Continuer la lectureArchives de catégorie : Cyberguerre
Cyberespace et droit
PAYS-BAS – Le pays publie une lettre remise au Parlement concernant la position du pays sur le droit international dans le cyberespace
Cette lettre, rédigée par le ministre des Affaires Étrangères et remise au Parlement début juillet 2019, vient d’être rendue publique. La pays présente ainsi sa vision face aux différents travaux sur le droit international appliqué au cyberespace qui ont été publiés par d’autres pays européens dont la France (voir revue de presse du 16/09/2019) ces derniers mois. Les Pays-Bas ont toujours été précurseurs dans le domaine des normes cyber notamment par la compréhension du droit international et son application dans le domaine cyber. Dans cette lettre, le ministre y décrit les positions du pays vis-à-vis de la souveraineté, la non-intervention, l’utilisation de la force, le droit humanitaire international ainsi que l’attribution des opérations cyber et le type de réponses possibles que le droit international cautionne.
– Ministère des Affaires Étrangères hollandais, Ministère des Affaires Étrangères hollandais, Just Security
Source : ANSSI
Bloomberg
Je n’imaginais pas inclure un article sur cette société de presse, mais quelque chose m’a mis la puce à l’oreille.
Continuer la lectureAttaque et défense
La défense semble une posture normale pour tout entité, vivante ou organisationnelle. Il va de soi qu’un Etat va chercher à se défendre et à défendre ses concitoyens, tout comme n’importe quel individu. L’attaque dépend d’autres facteurs, et cette capacité a longtemps eu une place à part en informatique, car cela a toujours été considéré comme l’apanage des méchants. L’informatique était considérée comme un outil de production, qu’il fallait protéger et garder en état de marche.
Or dans la vraie vie, l’attaque fait partie de la stratégie des individus comme des nations, et les capacités offensives commencent à se faire jour. De plus, avec l’importance croissante de l’informatique dans la richesse et les capacités de production (parfois vitales) des pays, elle devient aussi une cible stratégique.
C’est la guerre ?
Je ne parle pas des nord-coréens qui ne pensent qu’à détruire cette méchante Amérique qui fait rien que les embêter. Je parle de ce que la cyberguerre est désormais une réalité si tangible qu’elle est l’objet de discussion et même d’un projet de traité au sein des Nations-Unies.
Or il semble que le sujet soit si sensible que treize années de négociations n’ont pas pu aboutir1. Point de traité donc, notamment parce que certains pays souhaitent que le cyberespace reste en dehors des conflits et que sa militarisation (c’est-à-dire la définition de ce que serait une attaque et une réponse dans ce cybermonde) risquerait de conduire à de réels conflits armés2.
L’intention est évidemment bonne, mais l’effet ne sera-t-il pas au contraire une escalade des conflits dans cet espace au mépris de toute règle ? Les attaques informatiques peuvent avoir un impact économique (et donc humain) majeur, et l’absence de principes ou de contrôles pourrait tout au contraire exacerber les tensions et conduire également à de vrais conflits militaires. L’Europe a relancé une action3 pour tenter de formaliser tout ça afin de stabiliser le cyberespace, mais il est difficile de savoir sur quoi cela va aboutir.
Ça change ?
Oui : on estime que seuls deux états avaient des capacités offensives en 2007, et ils seraient une trentaine en 2017. Les activités quasi-militaires prennent tant d’importance que l’ONU s’en inquiète et propose d’instaurer une sorte de code de bonne conduite via un cadre légal4, qui risque cependant d’être très difficile à faire respecter s’il venait à voir le jour.
Localisation
Historiquement, les Etats-Unis, la Chine et la Russie font partie des nations ayant une forte activité (en attaque comme en défense). Mais certains pays émergents profitent de la demande pour proposer des services d’attaque et de compromission, de type APT : l’Iran et le Vietnam commencent à se faire une réputation dans ce domaine5.
Ça chauffe ?
On dirait : à l’aube des élections présidentielles russes de 2018, les Etats-Unis accusent ouvertement la Russie6 d’avoir perturbé le fonctionnement des réseaux énergétiques (et d’autres choses7) via une attaque informatique, avec des mesures de rétorsion diplomatiques notables8 en retour. Il semble acquis (en août 2018) que des pirates910 ont bel et bien réussi à pénétrer un réseau pouvant agir sur la distribution d’électricité, mais sans n’avoir rien déclenché11 (ou perturbé).
Ce qu’il y a de nouveau ne sont pas les conséquences dans les relations internationales mais l’outil employé pour peser dans ces relations : l’informatique. Les attaques sont désormais tellement structurées et les conséquences tellement visibles que les attaques informatiques constituent un moyen de pression mais aussi un moyen d’action contre ses ennemis.
D’autres exemples
En août 2017, une usine pétrochimique située en Arabie Saoudite aurait été visée par un programme malveillant dont le but aurait été une destruction physique12 d’installations de cette usine. La complexité de l’attaque est telle qu’il est peut probable qu’elle soit le fait d’un petit groupe isolé : les auteurs avaient de l’information, du temps, et de moyens. L’attaque n’a échoué qu’à cause d’une seule une erreur dans le code.
En janvier 2017, d’autres structures d’Arabie Saoudite avaient été touchées par un programme ayant effacé une grande partie des disques durs touchés. Une attaque qui rappelle celle ayant eu lieu cinq ans plus tôt (le 15 août 2012) où les 3/4 des disques durs ont été effacés13, ce qui était une des attaques les plus marquantes de l’époque en raison justement de cette destruction physique de données.
En juin 2018, des observateurs ont noté une baisse notables des attaques d’un groupe supposé nord-coréen (Covellite14) vers des cibles américaines. Curieusement, cela correspond à une période de réchauffement des relations15 entre les deux pays, au moment où rencontre entre Potus (@potus est le compte twitter du President Of The United States [of America]) ) et Kim Jong Un (le leader nord-coréen) est prévue.
Les forces en présence
Des attaques militaires
En 2010, une corvette militaire sud-coréenne a été coulée (incident de Baengnyeong). Récemment, des analystes ont émis l’hypothèse que des cyberattaquants nord-coréens auraient tenté à de nombreuses reprises de compromettre le service météo sud-coréen16 afin de prévoir la route de patrouille empruntée par la corvette.
Ça continue !
Les accusations contre la Russie qui compromettrait des installations industrielles continuent à fleurir au début de l’année 2018 (presque autant que des fuites d’informations sur AWS S3).
- https://www.us-cert.gov/ncas/alerts/TA18-106A
- http://www.dailymail.co.uk/news/article-5623477/Hundreds-Australian-companies-hit-Russian-cyber-attacks-Kremlin-hacks-millions-computers.html
- http://www.digitaljournal.com/news/world/us-britain-warn-of-russian-campaign-to-hack-networks/article/519977
- https://www.reuters.com/article/us-germany-russia-maas/germany-says-it-has-to-assume-russia-behind-recent-cyber-attack-idUSKBN1HM0TZ
- https://www.boursorama.com/bourse/actualites/berlin-accuse-moscou-d-etre-derriere-une-recente-cyberattaque-22f85ed245a291be4a315c6dfdbf6520
On se défend
Comme on peut. Que ce soit contre la manipulation, ou contre les pirates soutenus par des Etats, les grands acteurs de l’informatique se liguent et s’unissent pour protéger nos intérêts. Ou les leurs. Ou les deux. Tous les grands noms y sont, sauf Apple, Amazon et Google. Ne me demandez pas pourquoi.
Guerre offensive
En 2019, il n’y a plus guère de doutes sur les tentatives de manipulation des élections américaines de 2016, au point qu’on sait désormais qu’il y a eu des mesures de rétorsion17 sur « l’usine à trolls » russe, aboutissant à la destruction de données (via un contrôleur RAID a priori).
Voir aussi
Sources
- http://www.lefigaro.fr/flash-actu/2018/03/15/97001-20180315FILWWW00429-l-otan-elabore-une-definition-de-l-etat-de-cyberguerre.php
- https://abcnews.go.com/Technology/wireStory/us-hits-russian-firms-sanctions-citing-cyberattacks-55806268
Russie, NotPetya
- http://money.cnn.com/2018/02/15/technology/russia-cyberattack-notpetya-uk/index.html
- https://www.theregister.co.uk/2018/02/15/uk_names_russian_military_as_source_of_notpetya/
- https://www.reuters.com/article/us-britain-russia-cyber-usa/white-house-blames-russia-for-reckless-notpetya-cyber-attack-idUSKCN1FZ2UJ
- http://www.bbc.com/news/uk-politics-43062113
- https://www.infosecurity-magazine.com/news/five-eyes-united-blaming-russia/
Etats
- https://www.dni.gov/files/documents/Newsroom/Testimonies/2018-ATA—Unclassified-SSCI.pdf
- https://www.afcea.org/content/russia-iran-and-north-korea-bolder-cyber-realm
- https://arstechnica.com/information-technology/2018/05/researchers-link-a-decade-of-potent-hacks-to-chinese-intelligence-group/
- http://www.clubic.com/antivirus-securite-informatique/virus-hacker-piratage/piratage-informatique/actualite-843496-rapport-10-ans-piratage-gouvernement-chinois.html
Attaques
- https://www.cyberscoop.com/trisis-ics-malware-saudi-arabia/
- https://dragos.com/blog/trisis/TRISIS-01.pdf
- https://cyberdefense.orange.com/fr/trisis-le-malware-ciblant-les-systemes-industriels/
APT
- https://www.scmagazineuk.com/new-apt-groups-emerge-as-more-nations-join-the-global-cyber-arms-race/article/762291/
- https://www.fireeye.com/blog/executive-perspective/2018/04/rise-of-the-rest-apt-groups-no-longer-from-just-china-and-russia.html
- https://forum.anomali.com/t/apt29-a-timeline-of-malicious-activity/2480
- https://www.anomali.com/blog/what-is-operational-threat-intelligence
A qui la faute ?
Bonne question ! L‘attribution d’une attaque est un des problèmes récurrent et quasi-insoluble auquel est confronté la communauté de la sécurité informatique. Il va de soi qu’on souhaite toujours savoir qui nous attaque, mais à l’inverse des attaques militaires (quoique…), il est en pratique très difficile de savoir d’où vient la menace.
Continuer la lecturePatriot Act
De son vrai nom USA Patriot Act (Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001). Les américains ont une propension étonnante à l’USA-centrisme. Tout tourne autour d’eux : quand un exterminateur (une météorite dévastatrice) tombe sur la Terre, c’est aux Etats-Unis. Idem pour toutes les catastrophes menaçant l’humanité toute entière.
Continuer la lectureEspionnage
Comment ? Qu’est-ce qu’on me raconte ? Les espions espionnent ? J’en tombe des nues ! Les révélations de Snowden ont mis au jour les programmes de la NSA visant entre autres à espionner les gens. Si on peut s’étonner de l’ampleur de ces programmes et de la sophistication des outils mis-au-point par cette agence, on ne peut pas en revanche s’étonner de voir des espions espionner : cette activité humaine est une des plus vieilles du monde (pas de commentaire svp).
Passage de frontière
Passer les frontières avec un ordinateur peut aussi se révéler un exercice compliqué. Il devient de plus en plus fréquent dans les entreprises ou les administrations de donner des consignes strictes à ce sujet1, qui peuvent se résumer en : n’emportez rien !
Gaz à tous les étages
Pas plus tard que lundi [4 mai 2020], Jean-Luc Vuillemin (directeur réseaux et services internationaux chez Orange) expliquait que le FAI doit faire face à « un nombre de coupures des câbles sous-marins sans égal depuis plusieurs décennies »2.
NextInpact
Pourquoi couper des câbles de communication sous-marins ?
Aujourd’hui, la communication est numérique. Pour intercepter les flux, le plus facile est de cibler les points de concentration, comme les dorsales, c’est-à-dire les autoroutes intercontinentales constituées de ces câbles de communication. Il y a alors deux possibilités :
- Le plus simple et le plus voyant : espionner les points d’arrivée sur les continents (ou les pays). Le problème est que c’est visible et donc, en pratique, ça n’est facile que pour l’état où se situe le cabanon…
- Le plus compliqué mais le plus discret : monter une dérivation (ou un point d’écoute) en plein océan, loin de toute surveillance humaine.
Pourquoi voler des données ?
L’actualité a montré un intérêt certain des pirates pour les données des voyageurs d’hôtel. Il est à parier que ça n’est pas pour valider leur avis sur les sites de voyage, mais plutôt pour tracer les déplacements de certains individus intéressants3. Et oui, les espions espionnent les espions…
Stuxnet
Stuxnet est un drôle de virus.
Voir aussi
Source originale partielle
{{Traduction/Référence|en|Stuxnet|en:Stuxnet}}
NSA
La NSA n’est plus à présenter, puisque c’est le plus gros employeur au monde dans le domaine de la sécurité informatique. Rien que l’équipe dont le seul objectif est de pénétrer dans n’importe quel système informatique compte plus d’un millier de personnes, qui n’ont pas l’air d’être des manchots (à part celui qui est à l’origine de fuites d’informations retrouvées « par hasard » par Kaspersky).
Non, ce qui m’intéresse est d’observer les implications, les ramifications et les relations entre différentes affaires, ainsi que les forces et les faiblesses de cette organisation déjà tout puissante avant l’avènement de l’informatique grand public.
Evolution tardive
Un des grands reproches fait à la NSA est que l’agence est exclusivement orientée vers l’attaque, ce qui correspond à la doctrine de défense des Etats-Unis qui ont longtemps pensé qu’ils ne seraient jamais attaqués sur leur territoire national, et que toute posture de défense serait superflue.
Or dans le monde cyber, comme dans le monde physique, les Etats-Unis sont comme les autres, vulnérables et attaqués. Et ce n’est qu’en 2019 qu’est structuré une organisation en charge de la défense informatique dont l’objectif est de protéger les infrastructures du pays ainsi que les prestataires de défense.
- Voir plus d’infos sur le site de la NSA.
Sources
L’informatique, c’est physique
Je suis un des premiers à le reconnaître, mais j’avais oublié que l’informatique était un objet éminemment physique. A l’ère du tout numérique et de la dématérialisation à tout va, à une époque où on se demande où sont stockées nos données (car bien souvent on ne le sait pas), j’ai suivi une présentation très intéressante au cours du FIC 2018 faite par un géographe, chercheur à l’université (ref), qui nous a remis à l’esprit que derrière l’immatérialité apparente de l’informatique il y avait une réalité bien tangible.
Cette réalité prenait forme d’une très éclairante approche cartographique du cyberespace, au sens très large.
Réalité contre projection
Le cyberespace est d’abord une construction physique, informatique, faite de machines et de câbles désormais répartis partout tout le monde réel.
Ensuite, ce cyberespace sert bien à quelque chose : tout comme l’informatique, il sert à manipuler et interagir sur une projection (une représentation) d’idées et de concepts, dont la plupart sont liés à notre monde réel (mais pas forcément). Si l’informatique a servi dans un premier temps à nous aider à accomplir ou accompagner des tâches réelles (techniques, scientifiques, professionnelles), son évolution a conduit à être utilisée pour interagir avec des objets chimériques ou imaginaires. Un exemple simple de cela est ce que peut représenter un jeu vidéo, qui représente un univers purement imaginaire.
L’idée n’est pas ici de différencier l’usage de l’informatique et du cyberespace en réel ou imaginaire, le fait est qu’on utilise l’informatique et que le contenu traité nous importe. Or comme il nous importe, il est également important d’examiner cet outil qui, bien que traitant d’immatériel (une projection de notre monde ou des concepts), il s’appuie sur des équipements physiques dont l’usage, la géographie et le contrôle sont des enjeux désormais stratégiques, au niveau des Etats.
Exemple de la Géorgie (guerre 2008, rachat d’un opérateur câble).
Cartographie du passage des flux. Tbilissi est plus proche de Sofia que de l’Abkhazie.
Importance militaire et stratégique (coupure en Géorgie et en Crimée).