Actualités commentées des cyberconflits

O. Kempf

Je soumets à votre sagacité diverses coupures de presse, que je trouve édifiantes :

a) Un probable manque de rigueur dans une procédure de recette et d’intégration de mise à jour logicielle d’une plate-forme de messagerie vocale d’un opérateur européen des Telecom cause son indisponibilité pendant quelques heures pour env. 1 M d’abonnés. (août 2012)

b) Un ensemble de contenu d’env. 245 pages web incitant à la haine et des milliers de SMS ont répandu de fausses rumeurs faisant état de menaces de représailles envers une minorité de l’Etat d’Assam, Inde, engagée dans des affrontements locaux depuis juillet. Dépassé par cette diffusion, le gouvernement a choisi de restreindre les communications :

• en fixant un quota de 5 à 20 SMS/j pour les 700 M d’utilisateurs de GSM ;
• et en bloquant l’accès à env. 310 sites ou pages internet.

L’Inde accuse également un Etat voisin d’avoir encouragé cette action de désinformation qui a provoqué la fuite de 35000 personnes. (sources NYT 25/08/2012)

c) Une équipe de recherche de la soc. McAfee commence à répertorier et analyser les vulnérabilités affectant les automobiles et pouvant permettre de mener une attaque sur leur système électronique embarqué, système dont la sophistication et les capacités accrues de communication font des cibles potentielles pour des attaques ayant des effets létaux. (sources Reuters et PCpro, 20/08/2012)

d) Kaspersky, soc. de sécurité russe, identifie Gauss comme variante de Flame menant l’interception d’identifiants de connexion de clients de banques libanaises et de réseaux sociaux. Divers médias (SCMagazine et le blog du NYT) se font l’ écho de la diffusion d’un outil développé par Kaspersky pour identifier sa présence. La diffusion d’une parade peut fort bien embarquer une autre menace forgée pour l’occasion, profitant de l’inquiétude d’utilisateurs pour atteindre plus précisément des cibles de valeur.

e) L’USAF et l’US Army lancent un pré-appel d’offres en vue de la consolidation de leur concept de lutte informatique offensive LIO par des scénarios de :

• . destruction et/ou interdiction d’accès ;
• . dégradation ;
• . compromission ;
• . leurrage ;
• . usurpation de systèmes d’information adverses.

(source Federal Business Opportunities 28/08/2012)

f) Une soc. spécialisée dans les logiciels de sécurité publie les détails d’une vulnérabilité affectant des outils d’attaque en déni de service DoS, ouvrant la voie à une possible cyber-riposte (riposte par ailleurs illégale dans nombre de législations nationales, en France l’Art.323-1 du code pénal prévoit une amende de 300 000 € et 2 ans de prison). Cette vulnérabilité découverte permettrait une contre attaque débouchant sur la prise de contrôle de la machine attaquante et l’accès à ses fichiers, tout en faisant cesser l’agression. (sources Prolexic 14/08/2012 et ComputerWorld 15/08/2012)

commentaires :

a) tendrait à illustrer l’impact sur la population civile d’une chute des services de communication : une large population touchée par la rupture d’un service véritablement secondaire, mais dont l’indisponibilité pourrait être ressentie comme grave dans une société douillettement engoncée dans ses habitudes. Plus une société est gagnée par des comportements émolients, plus elle est sensible à des attaques d’ordre secondaire.

En outre, la responsabilité commerciale du fournisseur de service peut être invoquée.

Son image peut être graduellement minée par une succession d’attaques similaires, jusqu’à lui occasionner des pertes financières conséquentes. Dans le cas d’un opérateur monopolistique et historique qui a diversifié ses offres et sa clientèle entre Etat et population, c’est l’occasion d’une stratégie indirecte.

La perte de crédit auprès de la population devrait avoir une conséquence économique pour l’opérateur. Cet affaiblissement financier appelle une réaction, qui ne peut passer que par une dépense supplémentaire, de sécurisation ou de R&T. Cette nécessaire réaction comporte malheureusement deux dangers.

Sur un premier plan, l’investissement supplémentaire en R&T ou en sécurisation peut laisser espérer à l’adversaire un essoufflement à terme de la cible : cette logique a prévalu dans le bluff à l’IDS pour saigner progressivement l’URSS.

Sur un second plan, cet investissement supplémentaire peut être suffisamment gros pour avoir des conséquences sur les services plus vitaux fournis à l’Etat : la réallocation de ressources pour satisfaire à la sécurité globale, in fine au détriment du secteur sensible qui faisait précédemment l’objet d’allocations particulières. Le différentiel entre sensible et commun se réduirait.

Ce qui n’est finalement pas un bienfait, car l’observation des méthodes et durcissements mis en oeuvre pourrait se réaliser sur des tronçons aisément accessibles.

Je reformule : si l’on sait que M. Aristodemos, particulier de Ploutopia, bénéficie du même niveau de protection que le Chateau de Ploutopia, sensible et protégé au point que son accès est malaisé, il suffit de mener des attaques de test sur le réseau de M. Aristodemos pour savoir comment se comporterait le réseau du Chateau de Ploutopia.

Il n’y aurait donc pas d’avantage à disséminer globalement des niveaux de sécurisation, si l’on ne peut garder secrète une ligne de défense de qualité supérieure (je choisis ici d’écarter la polémique autour d’une publicité du système de défense pour une forme de dissuasion).

b) et c) illustrent plus les possibilités d’usages du cyber dans les déstabilisations étatique et sociétale : au-delà de tout impact à proprement parler économique ou financier, dans un cas génération de mouvements de foules mues par la peur de perdre la vie (désinformation) ; dans un autre cas crainte de sabotage d’objets très usuels devenant sources potentielles d’actions létales (terrorisme).

d) fait plutôt penser comment une attaque peut se dérouler en 2 passes successives, à la manière des dispositifs explosifs séquencés pour frapper en second temps les services de secours ou de police parvenus sur les lieux de la première explosion.

La diffusion d’un premier vecteur de menace peut être suivie d’une publicité sur cette même menace. L’inquiétude des utilisateurs repose essentiellement sur la furtivité de la menace : il leur apparaît utile de savoir si leurs machines sont infectées. Or une faible portion de ces utilisateurs sont de réels blanchisseurs de fonds ou intermédiaires internationaux du terrorisme. On pourrait croire qu’en bons professionnels, ils auront tendance à décamper et considérer leur machine et leur combine compromises. Néanmoins, la grande force des acteurs internationaux du transfert de fonds réside plus dans leur atomicité et leur faible signature que dans un rare professionnalisme.

Cette lacune peut conduire une structure organisée, étatique ou sous contrat étatique, à vouloir mener une opération à double détente, d’autant plus que le différentiel d’investissement se révèle faible entre la première passe et la seconde. Ainsi on fera diffuser un vecteur censément correctif, mais embarquant une porte dérobée qui permettra de pénétrer les plateformes qui l’installeront. Une faible proportion correspondra à des objectifs de valeur, mais aussi faible soit-elle, elle peut procurer un avantage de poids dans le recueil du renseignement.

e) et f) tendent à illustrer l’état de l’art dans les sphères grey hat et white hat, et la formulation de plus en plus précise d’une dialectique du cyberconflit : outre les capacités généralement admises de LIO, on commence à voir se grouper les éléments constitutifs d’une dynamique/dialectique très "judo" de l’attaque, abordant la remontée de ses flux et le retournement de la force de l’adversaire via l’exploitation contre lui de failles dans ses outils.

En espérant que cela pourra être utile à illustrer certains pans de votre réflexion sur une stratégie propre au milieu informationnel que serait le cyberespace.

Bien à vous,

Colin.