Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Corto Gueguen, Nomios : l’avènement de la cyberguerre

avril 2013 par Corto Gueguen, Ingénieur sécurité réseaux, Nomios

Le mot cyberguerre est un néologisme venant de l’association de cyber (toute donnée, élément, information, traversant un réseau virtuel) et de guerre (un conflit entre deux nations, qui se vide par la voie des armes).
Par conséquent, une cyberguerre peut se définir comme un conflit armé sur l’espace virtuel.
Maintenant, quelles sont les armes utilisées, et quels sont les combattants ? Virus, rootkits, mais aussi DoS, ou encore recherche d’informations sont les méthodes d’attaques les plus utilisées. Elles peuvent aussi bien permettre des attaques d’une grande envergure, que des "raids" plus ciblés.
Quant aux combattants, les hackers, qui sont les mêmes qui se font attaquer en justice lorsqu’ils ne font pas ça "pour leur pays", sont maintenant les "nouveaux guerriers".
Cependant, la question que l’on peut se poser est comment peut-on faire la guerre sur Internet ? Après tout, ce n’est que virtuel !

Dangers d’une cyberguerre

En fait, le lien entre cyberespace et réalité n’est pas si distinct qu’il n’y parait. Il existe beaucoup de concepts physiques qui utilisent le monde virtuel comme socle, notamment les échanges monétaires. La monnaie physique ne représente que 5 % du montant total d’argent. Le reste n’étant que virtuel, il est facile d’imaginer que cette monnaie puisse être piratée. Il est ainsi possible d’assécher financièrement un pays.

Mais en temps de guerre, il ne faut pas se contenter d’un axe d’attaque. Les films d’actions américains nous l’ont montré à de nombreuses reprises : il est possible de pirater des infrastructures importantes. Un stack overflow dans le logiciel d’un barrage ? Une ville en moins.
Une injection SQL dans une centrale électrique ? Plus de courant dans une région entière.
Un format string dans un SCADA de prison ? Les portes du pénitencier qui s’ouvrent.

On peut citer beaucoup d’exemples de ce genre qui ne sont pas du domaine de l’imaginaire, mais qui représentent bel et bien un danger physique pour un pays.
Une coupure d’électricité pour une ville comme New York peut avoir de graves conséquences. Mis à part une absence de lumière, cela provoquerait également une coupure des feux tricolores entrainant de nombreux accidents, donc une surpopulation très importante des hôpitaux en peu de temps. Et sans électricité, les équipements hospitaliers seraient indisponibles. Si la coupure dure plus de quelques heures, on peut également jeter tout ce qui doit rester au frais, principalement la nourriture (causant au passage une pénurie alimentaire) mais aussi les organes à greffer sur des patients (entrainant encore une fois une surpopulation des hôpitaux).
Sans électricité, il n’y a également plus de transport (métro, train, ...), donc une réduction des échanges marchands, appauvrissant la ville. On peut également compter sur la disparition des échanges financiers, à un niveau local, national, voire international. Après tout, Wall Street serait également touché. Il s’agit d’une petite partie des conséquences désastreuses que pourrait avoir une coupure d’électricité prolongée. Une attaque informatique pourrait, elle, causer des dégâts bien plus importants au niveau physique.

Scénario catastrophe ?

Il est possible que le scénario décrit ci-dessus ne soit qu’un scénario catastrophe comme on en voit dans les films. Mais il est possible aussi que cela arrive, dans la vie réelle. Cette possibilité est partagée par les Etats-Unis qui ont ainsi mis en place des bureaux dédiés à la cyberguerre.

Depuis juin 2010, le virus Stuxnet a fait couler beaucoup d’encre. Connu pour avoir été conçu dans le but d’attaquer une infrastructure importante (les centrales nucléaires iraniennes), il a utilisé 4 failles zéro-days Windows (généralement un virus n’utilise qu’un 0day, puisqu’il "coûte cher"), des faiblesses dans le logiciel SCADA qui permettait de gérer les centrales nucléaires, ainsi que le facteur humain. Le résultat, même s’il a été bénin dans la pratique, a fait prendre conscience aux gouvernements de l’importance des attaques informatiques. Fait intéressant, ce sont, d’après les différentes analyses effectuées, les Etats-Unis et Israël qui ont mis au point ce virus, prouvant ainsi que les nations sont très sensibles sur la cyberguerre.

Plus récemment, les virus Duqu (lié à Stuxnet) et Flame ont été découverts, faisant beaucoup de bruit dans le monde de la sécurité informatique, puisque créés pour attaquer des infrastructures ou encore faire de l’espionnage.

L’émergence de ces virus prouve que la cyberguerre n’est pas une idée en l’air et qu’il est parfaitement possible de déstabiliser un pays de cette manière.
Cependant, il faut mitiger ces actions. Une attaque par virus peut se révéler longue à mettre en place et à s’exécuter mais également à contrôler. En effet, personne ne peut prédire la manière dont va se déployer un virus. Le pays attaquant pourrait donc potentiellement s’attaquer lui-même. Comparativement à une attaque "classique", une attaque informatique peut se révéler non concluante.

Efficacité d’une attaque informatique ?

En 2007, l’Estonie a été victime d’une cyberattaque causant un blackout d’Internet durant presque une semaine. Le pays s’étant reconstruit après la guerre froide, de nombreux services administratifs, mais aussi d’ordre privé se sont tournés vers l’informatique. Par conséquent, cette attaque a été très néfaste pour l’économie du pays. D’après les informations qui ont été révélées, l’attaque pourrait venir d’une minorité russe vivant en Estonie. Le gouvernement russe pourrait également avoir été impliqué, selon certaines rumeurs.

Plus récemment, en janvier 2010, Google et d’autres entreprises ont été attaquées par le gouvernement chinois afin de voler des informations sur les militants des droits de l’homme. Cette attaque sort un peu du cadre d’une cyberguerre au sens classique et relève plus du cyberespionnage, mais n’en reste pas moins de grande envergure et dangereuse pour de nombreuses personnes.
Toujours en 2010, Stuxnet a suivi. Même si le virus n’a pas (selon les informations publiques) eut les résultats escomptés, l’ampleur de cette attaque met en évidence l’intérêt pour les Etats-Unis à la cyberguerre.

Fin 2011, une rumeur concernant le vol d’un drone américain par l’Iran est apparue sur le Web. Bien que ce piratage n’ait apparemment pas été prouvé, il n’en reste pas moins possible de hacker les drones, comme l’ont démontré des chercheurs en sécurité il y a peu.

Lors du 28ème Chaos Communication Congress, un chercheur a démontré la facilité de piratage des SCADA de certaines prisons. En laissant notre imagination vagabonder, on peut rapidement voir le danger qu’une telle cyberattaque peut représenter : ouvrir automatiquement les portes de toutes les prisons d’un pays aurait un effet désastreux aussi bien au niveau de la criminalité, mais également au niveau de la crédibilité du gouvernement.

Un autre cas intéressant à étudier est celui de la Révolution de Jasmin en Tunisie. En effet, l’informatique a joué un rôle important lors des évènements de 2011. Des groupes comme Telecomix ou Anonymous ont mis en avant des outils pour aider le peuple tunisien à éviter la censure, afin de montrer au monde la réalité des combats. On peut parler ici de cyberdissidents, montrant ainsi le rôle prédominant d’Internet aujourd’hui.

Se protéger d’une cyberguerre ?

Il est important de se protéger, cyberguerre ou pas. Une défense basique est obligatoire. Firewall, IPS, WAF, et autres équipements de sécurité. Mais ce n’est pas la seule chose à mettre en place.

La complexité des systèmes informatiques actuels fait que la question à se poser n’est pas "Va-t-on se faire pirater ?", mais "Quand va-t-on se faire pirater ?". Il est impossible d’avoir un système totalement sécurisé, mais il faut savoir réagir le plus vite possible en cas d’attaque. Il existe de nombreux systèmes de management de l’information qui permettent d’avoir de l’information en temps réel et de réagir le plus vite possible. Cependant, ces équipements, aussi intelligents et performants qu’ils puissent être, ne sont pas magiques et ne doivent pas être le piédestal de la sécurité. Les nouvelles techniques d’attaques évoluées (APT) peuvent éviter ces équipements. Sans aller aussi loin, des bugs ou des mauvaises configurations peuvent être fatales. On se souviendra par exemple de l’erreur grossière que Yahoo a fait récemment, en publiant sa clé privée de certificat.

En temps de guerre, on peut aussi parler d’espionnage. Qui nous dit que la personne en face de nous est de confiance ? Il faut obligatoirement classifier les informations. Nos gouvernements ont déjà mis en place ces systèmes de classification, mais à l’ère de l’informatique, ils peuvent très bien se retrouver rapidement sur Internet. En plus d’une classification, il faut mettre en place un contrôle d’accès strict sur les informations sensibles. L’exemple le plus médiatisé est celui de Gary McKinnon, qui aurait réussi à obtenir des informations classées secret défense.

La sécurité est un métier à part entière. Elle se définit par son maillon le plus faible. Réseau, système, application, humain, configuration, organisation,... sont autant d’éléments à prendre en compte pour une protection efficiente.

Est-on en cyberguerre ?

La question la plus importante ! La cyberguerre a-t-elle commencée ? Contrairement à un combat réel, où le premier coup de fusil fait démarrer le conflit, une cyberguerre n’est pas aussi visible. En effet, il est impossible de savoir précisément les positions des différents Etats à ce niveau, ni même leurs avancements. Il est tout à fait possible que les plus grands pays aient mis au point des attaques qui ne sont toujours pas détectées. Après tout, Stuxnet a été découvert, au minimum, plus d’un an après son lancement ! Sans aller jusqu’à l’hypothèse que les différents Etats du monde soient déjà dans une guerre informatique, il est plus que probable qu’ils soient déjà prêts à se défendre.


Voir les articles précédents

    

Voir les articles suivants