Cybersécurité: le défi du siècle

Une vague d’attaques au “ransomware” (blocage de serveurs ou de données informatiques jusqu’au payement d’une rançon) met en lumière les défis auxquels sont confrontés les gouvernements quand ils tentent de se défendre – et d’attaquer leurs présumés adversaires – en ligne.

En mai dernier, les soins de santé irlandais se sont retrouvés considérablement perturbés. Le 14 mai, le Health Service Executive (HSE), le fournisseur de soins de santé financé par l’Etat, était frappé par une attaque au ransomware qui l’a conduit à fermer la plupart de ses systèmes informatiques. Les assaillants menaçaient de publier des données volées, y compris des dossiers de patients confidentiels, si le HSE ne leur versait pas 20 millions de dollars (16,5 millions d’euros). Le HSE n’a pas cédé. Mais son personnel a dû retourner au stylo et au papier, des procédures ont pris du retard et des patients ont été incommodés. Un mois plus tard, les services n’étaient toujours pas revenus à la normale.

Ces faits auraient pu susciter un plus grand intérêt au-delà des côtes irlandaises s’ils ne s’étaient pas produits une semaine après qu’une attaque similaire a mis hors d’usage un pipeline crucial de l’autre côté de l’Atlantique. Le 7 mai, Colonial Pipeline, une entreprise dont l’infrastructure homonyme livre près de la moitié du carburant utilisé sur la côte est des Etats-Unis, a vu ses systèmes paralysés par une cyberattaque et été contrainte de couper l’approvisionnement en pétrole. Dans un accès de panique, des stations-services ont été prises d’assaut. Le président Joe Biden a invoqué des pouvoirs d’exception. L’entreprise a versé une rançon de plus de 4 millions de dollars et il a fallu plusieurs jours pour remettre le pipeline en service.

D’une certaine manière, ces deux histoires n’ont rien d’exceptionnel. De plus en plus d’entreprises sont frappées par des attaques de ce type et certaines cibles sont gigantesques. Ces derniers mois, des pirates informatiques ont ainsi paralysé JBS, le premier producteur mondial de viande, et Apple. A d’autres points de vue cependant, elles peuvent laisser entrevoir une escalade. Des attaques sur des fonctions clés de l’Etat comme les soins de santé et des infrastructures cruciales comme des pipelines relèvent normalement d’actes de guerre, d’insurrection ou de terrorisme. Le simple fait qu’elles soient entreprises pour de l’argent ne les rend pas moins inquiétantes pour les gouvernements, en particulier quand les criminels qui les commettent proviennent de pays ennemis. Comme un grand nombre de leurs pairs, les gangs responsables des attaques sur HSE et Colonial Pipeline semblent tous deux basés en Russie. Lors de son sommet avec Vladimir Poutine le 16 juin, Joe Biden a énuméré 16 types d’infrastructure contre lesquels il ne voulait plus voir de nouvelles cyberattaques.

Attitude permissive

Une attitude aussi permissive vis-à-vis des cybercriminels ne doit pas surprendre dans un régime dirigé par un ancien espion comme Vladimir Poutine. Les opérations sous couverture que les Etats ont toujours menées les uns contre les autres – espionnage, propagande, subversion et violences – constituent normalement des crimes pour au moins une des parties concernées. Criminels et espions rôdaient déjà dans les mêmes ténèbres, partageaient déjà les mêmes méthodes et combinaient à l’occasion les deux rôles bien avant d’être attirés par les sombres recoins de l’internet.

La plupart des activités hostiles menées par les Etats sont non violentes: il s’agit de recueillir des informations utiles à l’intérêt national – y compris les intérêts commerciaux de leurs entreprises – et de perturber les plans de l’adversaire. “La plupart des activités dans le cyberespace ont peu à voir avec l’usage de la force”, écrit Joshua Rovner (American University), chercheur en résidence à la National Security Agency (NSA), l’agence américaine de renseignements compétente pour les systèmes d’information, et au Cyber Command, la division du Pentagone qui conduit des cyberopérations, en 2018-2019. “C’est fondamentalement une course au renseignement – il s’agit de dérober des secrets et d’en tirer profit.”

Mais l’échelle, la vitesse et la facilité avec laquelle cette course se court aujourd’hui sont sans commune mesure avec ce qui se passait il y a quelques décennies. Robert Hanssen, un des agents du KGB les plus productifs de l’histoire, a fourni des milliers de pages de documents secrets à ses commanditaires. Mais il l’a fait sur une période de 20 ans, de 1979 à 2001. Vasili Mitrokhin, un archiviste du KGB désenchanté, a dérobé quelque 25.000 pages entre 1972 et 1984, cachant des rames de documents sous le sol de sa datcha. Mais il a eu besoin de huit années supplémentaires pour retransmettre ces secrets au MI6 britannique.

Par contraste, les pirates informatiques chinois qui se sont introduits dans les systèmes de l’Office of Personnel Management américain en 2014 ont eu accès aux dossiers de 21,5 millions de personnes d’un seul coup – un butin qui, s’il avait été imprimé, aurait rempli une flotte de camions. Pour certains, la capacité de dérober des secrets dans des volumes aussi remarquables en fait une activité fondamentalement différente des anciennes formes d’espionnage: il ne s’agit plus d’espionnage mais d’authentiques actes de guerre, ou au moins d’une forme hybride d’espionnage et d’actes de guerre – voire quelque chose d’entièrement neuf.

L’an dernier, les Etats-Unis ont découvert une campagne de piratage colossale qui, en compromettant SolarWinds, un producteur de logiciels, avait pénétré une vaste panoplie de départements publics. Les justifications qu’a données l’administration Biden aux sanctions prises ensuite contre la Russie, jugée responsable de l’attaque, sont éloquentes. L’une d’entre elles était à l’échelle et l’ampleur de l’intrusion. Mais une autre préoccupation est apparue: une telle capacité pourrait facilement basculer de l’espionnage de masse au sabotage de masse. L’ampleur de l’attaque constituait “virtuellement une déclaration de guerre de la Russie contre les Etats-Unis”, a tonné Dick Durbin, un sénateur démocrate.

La démarcation devient encore plus complexe quand des acteurs non étatiques sont ajoutés au mix, soit comme acteurs, soit comme victimes. L’attaque menée contre Colonial Pipeline montre que les opérations privées de racket informatique sont aujourd’hui suffisamment ambitieuses – voire, compte tenu du degré de préoccupation actuel, insensées – pour s’attaquer à des intérêts vitaux de l’Etat. L’attaque contre Sony Pictures en 2014 avait déjà montré que des Etats pouvaient chercher à détruire des sociétés privées: pour avoir suscité le courroux de la Corée du Nord en se moquant de son leader suprême Kim Jong Un, Sony a vu une grande partie de son linge sale exposé au grand jour.

La bonne réputation de Sony était finalement assez secondaire aux yeux du gouvernement, mais d’autres actions menées par des Etats contre des entreprises pourraient être plus graves. En 2017, la Russie a lancé NotPetya, une cyberattaque assimilable à du ransomware contre plusieurs sociétés ukrainiennes pour perturber l’économie du pays. L’attaque s’est propagée largement au-delà des frontières de l’Ukraine: on estime qu’elle a fait pour 10 milliards de dollars de dégâts dans le monde. Une des entreprises affectées était Mondelez International, le producteur américain de snacks, qui a réclamé 100 millions dollars à sa compagnie d’assurances. Mais Zurich American Insurance a refusé de payer, pointant une exception pour les “attaques hostiles et belliqueuses” dans la police de l’entreprise. L’affaire a été confiée aux tribunaux de l’Illinois, où elle suit actuellement son cours.

Voleurs exceptionnels

De manière générale, peu d’indices laissent à penser que les dommages croissants causés par les attaques au ransomware sont directement imputables à des Etats, comme NotPetya semble l’avoir été. Pour la plupart, ces attaques sont tout au plus tolérées par l’Etat. Les racketteurs bénéficient d’une impunité tant que leur pays hôte reste indifférent aux dommages qu’ils font ailleurs – bien que leurs hôtes puissent aussi, à l’occasion, exiger des faveurs douteuses.

Le Royal United Services Institute, un think tank, a analysé 1.200 attaques au ransomware menées pour la plupart l’an dernier. Deux de ces conclusions démontrent clairement les motivations des auteurs. Le fait que 60% des victimes soient basées aux Etats-Unis ou y aient leurs quartiers généraux peut s’expliquer par la loi de Sutton: c’est là où est l’argent. Qu’elles n’aient fait aucune victime en Russie ou dans la plupart des autres pays de l’ancien bloc soviétique s’explique par d’autres règles – certaines choses ne se font pas chez soi ou chez celui qui vous offre l’hospitalité.

Si la recrudescence de l’usage du ransomware peut refléter, voire exacerber, des tensions entre nations, elle n’est pas directement imputable à l’action des Etats. Elle s’explique généralement par une question de capacités et d’opportunités.

Les premiers cas de personnes qui se sont introduites dans des ordinateurs, ont codé des fichiers puis demandé un payement en échange de leur décodage étaient assez insignifiants – une façon d’extorquer quelques centaines de dollars à quelqu’un qui ne voulait pas perdre ces photos de famille auxquelles il tenait tant. Leur métamorphose en une industrie criminelle s’attaquant à de grandes organisations s’explique en partie par la réplicabilité propre au numérique: les cybercriminels peuvent lancer des dizaines d’attaques aussi aisément qu’une seule. A mesure que cette activité devenait plus lucrative, la technologie s’est améliorée ; des rançons de plus en plus élevées ont permis aux criminels d’acheter des logiciels malveillants de plus en plus sophistiqués qui, à leur tour, autorisaient des attaques de plus en plus ambitieuses. Le développement du télétravail y a également contribué en fournissant aux criminels de nouvelles opportunités d’infiltrer des réseaux d’entreprise.

L’avènement des cryptomonnaies, qui permettent aux victimes respectueuses de la loi de verser une rançon en toute discrétion et de manière relativement aisée, a également favorisé l’appel du crime. Chainalysis, un spécialiste américain de l’analyse des bases de données blockchain qui alimentent de telles monnaies, affirme que les pirates informatiques ont pris à leur compte pour environ 350 millions de dollars de payements en cryptomonnaies en 2020, quatre fois plus que l’année précédente. Au bitcoin, les hackers préfèrent de plus en plus de nouvelles cryptomonnaies comme Monero ou Zcash qui ont été conçues pour garantir une confidentialité totale. Le fait que sa blockchain rend publiques les transactions qui utilisent des “portefeuilles” bitcoin a aidé la police américaine à récupérer environ la moitié de la rançon versée par Colonial Pipeline.

L’industrie de la cybersécurité, dont la fonction est de protéger ses clients de telles attaques, semble de moins en moins efficace. Microsoft estime les dépenses annuelles en logiciels antivirus, pare-feu et autres systèmes similaires à environ 124 milliards de dollars en 2020, en hausse de 64% en cinq ans. L’an dernier, Debate Security, un groupe d’experts en cybersécurité, pointait dans un rapport qu’en dépit de ces investissements colossaux, le nombre moyen de violations de sécurité enregistrées chaque année par Accenture, un bureau de consultance, avait augmenté. Certes, ces violations se seraient multipliées plus rapidement si les dépenses n’avaient pas augmenté, mais il est difficile d’y voir un constat encourageant. Ciaran Martin, qui a dirigé la création du National Cyber Security Centre (NCSC), le bras défensif de la GCHQ, l’agence de renseignement britannique, était un des contributeurs au rapport. Il explique que la manière dont fonctionne ce secteur est fondamentalement déficiente.

Pilules empoisonnées

Le sous-titre du rapport – ” Is cyber-security the new market for lemons?” – fait écho au problème d’asymétrie d’information qui caractérise le marché des voitures d’occasion. George Akerlof, un économiste, avait ainsi démontré dans un article resté célèbre que comme les acheteurs n’ont aucun moyen fiable d’identifier les voitures d’occasion de qualité, ils refusent de payer des prix élevés. Les vendeurs de voitures de qualité sont donc évincés du marché, qui devient le terrain de jeux des vendeurs des lemons (mot d’argot américain désignant les voitures d’occasion présentant des vices cachés) à bas prix.

Ciaran Martin estime que l’industrie de la cybersécurité souffre d’une asymétrie similaire. Ian Levy, le directeur technique du NCSC, expliquait récemment qu’une grande partie de l’industrie opérait un peu comme la sorcellerie au Moyen Age: “Achetez mon amulette magique et tout ira bien”. Il est difficile aux acheteurs d’identifier les défenses efficaces contre la magie noire parmi la camelote disponible, et ils le savent. Presque aucun des patrons interrogés par Debate Security n’a pu donner une méthode fiable pour mesurer l’efficacité des logiciels qu’ils achetaient. Beaucoup ont en revanche reconnu qu’ils “croisaient les doigts” et devaient “se contenter de ce qu’il y avait”. Résoudre ce problème, poursuit Ciaran Martin, exigera sans doute de développer des normes communes pour évaluer la qualité réelle du fonctionnement de logiciels de cybersécurité.

Etant donné qu’elles risquent d’essuyer des pertes croissantes liées au ransomware, on peut attendre des compagnies d’assurances qu’elles militent pour l’adoption de telles normes. En 2020, Munich Re, une compagnie de réassurance, estimait que le marché des cyberassurances pesait désormais 7 milliards de dollars et pourrait atteindre les 20 milliards de dollars en 2025. Mais pour Kelly Bissell (Accenture), la conclusion de nombreux assureurs est que la manière la plus simple de gérer une attaque menée contre une société qu’ils ont assurée reste tout simplement de mettre la main au portefeuille. Or, si une telle attitude permet sans doute de minimiser les coûts d’incidents uniques, elle encourage aussi également les attaques futures.

En France – où, selon la société de cybersécurité Emsisoft, les attaques au ransomware ont coûté 5,5 milliards de dollars en 2020, seuls les Etats-Unis sont plus touchés -, on est partisan d’une approche dure. “Concernant le ransomware, nous ne payons pas et nous ne payerons pas”, a déclaré Johanna Brousse, une substitute du procureur française, à un récent débat au Sénat. En mai, l’assureur Axa a annoncé, avec le soutien des autorités françaises, qu’il cesserait de proposer des polices autorisant le remboursement de payement de rançon.

Lutter contre le payement de rançons et établir des normes de cybersécurité – la solution qui a les faveurs de Ciaran Martin – sont deux armes dont disposent les gouvernements pour défendre leurs entreprises et l’infrastructure qu’elles contrôlent contre des cyberattaques commerciales. Ce faisant, ils pourraient également mieux se protéger d’atta- ques directes d’autres nations.

Tous les Etats disposent désormais de cybercapacités offensives et les utilisent abondamment dans les campagnes militaires. Dans leur guerre contre l’Etat islamique, la Grande-Bretagne et les Etats-Unis ont lancé des cyberattaques pour éliminer la propagande du groupe terroriste, perturber ses drones et semer la confusion dans ses rangs. Ces cyberattaques sont également utilisées pour causer des dommages physiques en l’absence de déclaration de guerre officielle. Considérez ainsi Stuxnet, le ver informatique américano-israélien qui a provoqué l’autodestruction des centrifugeuses iraniennes il y a 10 ans, ou les récents sabotages du réseau électrique ukrainien par la Russie en 2015 et 2016.

Provoquer des effets physiques importants reste toutefois très exigeant et extrêmement rare. Dans certains cas, cela peut pourtant être très profitable à l’auteur de l’attaque. Gary Brown, un professeur à la National Defence University qui a été le premier conseiller juridique principal pour Cyber Command, estime que les Etats sont ainsi plus tolérants aux “effets cinétiques” provoqués par une opération en ligne qu’à ceux qui résultent de provocations armées. Si des commandos iraniens avaient attaqué le système israélien de distribution d’eau en avril 2020, ils auraient déclenché une guerre. Une prétendue cyber- attaque iranienne qui a cherché à augmenter le niveau de chlore dans l’eau potable en Israël n’a en revanche provoqué qu’une cyberriposte relativement tiède contre un port iranien. Les forces israéliennes ont toutefois lancé des frappes aériennes contre des sites à Gaza qu’elles associaient à des cyberattaques du Hamas, une organisation palestinienne militante.

Les ripostes numériques à des cyberattaques pourraient devenir une norme – plus fermes que tendre l’autre joue ou déposer une plainte diplomatique, moins risquées que répondre par la violence physique. Une telle attitude peut également avoir un effet dissuasif. De nombreux observateurs pensent que les Etats-Unis -qui, selon une étude à venir du think tank International Institute for Strategic Studies, disposent de “cybercapacités offensives plus développées que n’importe quel autre pays”- y ont eu recours contre la Corée du Nord: l’internet de la dictature a en effet souffert d’un étrange black-out peu après le piratage de Sony. Quand Joe Biden a demandé que certains domaines soient épargnés d’attaques criminelles, il y a associé une menace de répondre avec ce qu’il a décrit comme les “cybercapacités très significatives” des Etats-Unis.

Il était d’ailleurs possible que défense, dissuasion et attaque se confondent. Ces dernières années, le Cyber Command a ainsi adopté une stratégie baptisée “Defend Forward” (se défendre en avançant) qui consiste à identifier les hackers ennemis avant qu’ils pénètrent sur le réseau américain – ce qui, en l’absence de zone tampon sans propriétaire dans le réseau informatique, exige inévitablement de s’introduire sur les réseaux d’autres pays. “Il n’y a ni haute mer, ni eaux internationales dans le cyberespace”, écrit ainsi Erica Borghard, qui a travaillé au sein de la Cyberspace Solarium Commission, une task force nationale américaine.

Bienvenue à la fête

Alors que les Etats sont de plus en plus nombreux à développer des cyberforces plus puissantes et plus actives, l’idée que la meilleure – et peut-être la seule – forme de défense est quelque chose qui ressemble beaucoup à l’attaque met en évidence la concurrence de plus en plus intense dont font l’objet les réseaux informatiques. “Il est peut-être nécessaire de ‘défendre en avançant’ pour endiguer des campagnes particulièrement téméraires et dangereuses, s’inquiètent cependant Jason Healey et Robert Jervis, de l’Université de Columbia. Mais sur le long terme, cela pourrait déclencher un conflit plus large.” Comme Moscou et Pékin admettent à peine avoir mené des cyberopérations tout court, il est impossible de savoir dans quelle mesure Russes et Chinois ont emprunté la même voie.

Il est en tout cas acquis que les capacités des criminels vont se développer au même rythme que celles des Etats. Rien n’est plus aisé que de diffuser des cybercapacités et d’en mettre à la disposition de ceux qui n’ont que de modestes moyens. Un classement des “cyberpuissances” offensives établi par le Belfer Centre à l’Université de Harvard l’an dernier classe Israël et l’Espagne en troisième et quatrième position, l’Iran, les Pays-Bas et l’Estonie étant présents dans le top 10. Des sociétés privées comme le groupe israélien NSO et l’entreprise italienne Hacking Team vendent des outils de piratage puissants qui permettent aux Etats de développer rapidement leurs propres cyberforces. Difficile d’imaginer toutes ces capacités rester hors de portée des criminels qui fréquentent le même univers. Les racketteurs qui demandent des rançons, les espions qui collectent des renseignements et les Etats qui pratiquent la désinformation opèrent côte à côte – réunis sur les autoroutes de l’information comme jamais auparavant. “Les réseaux où sont menées des opérations militaires et de sécurité nationale coexistent avec les réseaux utilisés dans la vie quotidienne, explique Ciaran Martin. Fondamentalement, ce sont les mêmes réseaux.”