Stuxnet
Screenshot
Certains
libéraux américains accusent l'administration
fédérale et le Congrès de donner
une importance excessive aux menaces régulièrement
évoquées de cyber-terrorisme ou de cyber-guerre.
Ce terme désigne les attaques de toutes sortes
pouvant mettre en péril le fonctionnement du
coeur des sociétés et des Etats modernes,
les centres nerveux informatiques et les réseaux
de télécommunication.
Il peut s'agir d'intrusions plus ou moins nombreuses
et réussies dans les systèmes. Celles-ci
se produisent fréquemment mais apparemment sans
conséquences notables. Il pourrait s'agir aussi
d'offensives déterminées visant à
paralyser durablement des points vitaux, à mettre
en danger le fonctionnement de services publics entiers
et finalement à provoquer des millions de morts.
Le risque, dans ces divers cas, présente un aspect
particulier. Il tient à l'anonymat des auteurs
rendant difficile les ripostes, comme à l'imprévisibilité
des agressions.
Depuis quelques années, dès avant l'arrivée
à la Maison Blanche de Barack Obama, ces risques
avaient mobilisé l'attention des décideurs
américains. On avait parlé d'un nouveau
front, décisif, dans la guerre contre le terrorisme
et pour la sécurité nationale. Il en était
résulté d'importantes dépenses
visant à mettre en place des contre-mesures et
des «retaliations». Le tout se traduit
par des contrats de recherche/développement mobilisant
des moyens humains et budgétaires de plus en
plus importants. Ce sont, disent les rares opposants
à ces politiques, autant de moyens qui sont détournés
des vrais investissements industriels dont l'Amérique
aurait besoin pour lutter contre la crise.
Il faut s'interroger sur ces menaces, y compris en Europe
si le concept de défense européenne y
a conservé quelque sens. Ces menaces sont-elles
réelles, faut-il y consacrer des moyens substantiels,
revoir éventuellement pour les «durcir»
l'ensemble des procédures transitant par les
réseaux ? Faut-il au contraire y voir des instruments
de propagande, une sorte de nouvelle forme de «stratégie
de la peur», par lesquels certaines puissances
tenteraient de s'imposer au reste du monde ?
Il est évidemment quasi impossible de répondre
à ces questions du fait que, semble-t-il, les
services de renseignements occidentaux ne communiquent
pas leurs sources aux responsables politiques. Du fait
aussi que dans beaucoup de cas, ils semblent ne pas
bien connaître ce qui se passe exactement dans
des pays présentés comme des agresseurs
potentiels, Chine, Corée du Nord et Iran notamment.
Sur le long terme cependant, il ne fait aucun doute
que la complexification et l'intrication de ce que nous
nommons par ailleurs des systèmes anthropotechniques
faisant appel aux technologies de l'information générera
un terrain de plus en plus favorable à des perturbations
spontanées ou provoquées mettant en difficulté
les réseaux militaires et civils. Un système
hypercomplexe génère nécessairement
des «bruits» aléatoires, qui ne sont
pas nécessairement l'effet de volontés
malveillantes.
A cet égards, on peut considérer que les
«hackers» font partie de ces bruits. On
ne les empêchera jamais de se manifester, de même
que l'on ne peut empêcher a priori la survenue
d'incidents d'exploitation dans une centrale nucléaire.
Il convient par contre de les rendre aussi inoffensifs
que possible par des mesures préventives de cloisonnement
(containment).
D'une façon générale, il serait
prudent que les concepteurs des grands systèmes
s'efforcent, quant il est encore temps, de les rendre
aussi robustes que possible, en prévoyant notamment
des fonctionnements de secours ou par défaut
susceptibles de prendre le relais en cas de défaillance.
On ne doit pas oublier sur ce plan les risques n'ayant
rien à voir avec la cyber-guerre tenant à
l'éventualité non nulle de flashes ionisant
provenant du Soleil, dont les astronomes rappellent
régulièrement le danger(1).
Trois événements récents obligent
à s'interroger sur les mythes et la réalité
de la cyber-guerre :
1) Le virus Stuxnet
Stuxnet, ce virus ou ver(2)
dénoncé par les autorités iraniennes
comme une agression occidentale, peut-être israélienne,
à l'encontre de leurs installations d'enrichissement
nucléaire, a été (apparemment)
pris très au sérieux par l'ensemble des
experts en cybersécurité. Ce ver serait
susceptible de mettre en danger le fonctionnement de
l'ensemble des installations critiques mondiales, notamment
les systèmes de distribution des eaux, les centrales
énergétiques ou les usines chimiques.
Le virus vise en particulier les systèmes de
contrôle dits SCADA, ou Supervisory Control And
Data Acquisition.
Le
directeur du National Cybersecurity and Communications
Integration Center (NCCIC) dépendant du Département
américain de la Sécurité Intérieure
(Department of Homeland Security) l'a décrit
devant une commission du Sénat non seulement
comme un danger mais un «game changer»,
un agent changeant significativement les règles
du jeu en ce domaine.
Stuxnet,
ver spécifique du système d'exploitation
Microsoft Window, vise à ce jour les calculateurs
contrôleurs vendus par l'industriel allemand Siemens
à l'industrie pétrolière, aux centrales
énergétiques, aux barrages et à
la distribution d'eau. Il a été découvert
pour la première fois en Iran l'été
dernier, dans une centrale nucléaire fournie
par les Russes et située près de la ville
de Bushehr. Selon la firme Symantec spécialisée
dans la protection contre les virus informatiques, il
aurait été conçu spécialement
pour bloquer, ou plus exactement pour favoriser l'emballement
des moteurs des centrifugeuses iraniennes produisant
de l'uranium enrichi. Mais selon le responsable du Global
Intelligence Network de Symantec, "il pourrait
s'attaquer à des infrastructures critiques partout
dans le monde".
Selon Symantec, la structure de Stuxnet est si complexe
qu'elle n'a pu être décryptée immédiatement.
Elle est hors de portée des possibilités
de hackers ne disposant pas d'un équipement informatique
exceptionnel. Un anti-virus est désormais au
point, mais le danger demeure car des variants du ver
pourraient être prochainement mis en circulation,
s'attaquant aux mêmes machines ou à d'autres.
Le code pourrait être facilement adapté
pour cibler tous les systèmes de contrôle
de par le monde.
Pour les Agences de sécurité, il s'agirait
d'une menace dépassant largement tout ce qui
avait été observé jusqu'ici. De
plus, la spécificité de vers tels que
Stuxnet tiendrait à leur capacité d'entrer
dans les ordinateurs sans se faire remarquer, de pirater
par ingénierie inverse les données et
applications confidentielles des entreprises et des
administrations, de changer les modalités de
programmation des systèmes afin de préparer
des catastrophes tout en modifiant l'environnement informatique
et physique de façon à ce que ces changements
ne soient pas décelables avant l'offensive terminale.
Jusqu'à ce moment, les contre-feux et anti-virus
installés par l'utilisateur lui signaleraient
que tout est normal.
Aucun gouvernement n'a jusqu'à présent
présenté officiellement d'hypothèses
relatives aux sources du virus, sauf les Gardiens de
la Révolution iraniens qui dénoncent une
agression d'Israël, soutenue par les Etats-Unis,
à l'encontre de l'Iran. Il faudrait cependant
que, si attaque délibérée il y
avait eu, les responsables de l'opération aient
fait preuve d'une légèreté peu
vraisemblable de la part de grands services. Il en est
un peu de même de la guerre des virus informatiques
et de la guerre microbiologique. Les agents utilisés
peuvent se retourner rapidement contre l'émetteur
et le contaminer à son tour. D'où l'hypothèse
(certes en forme de parabole) que nous présentons
ici :
le virus Stuxnet aurait émergé spontanément
de la compétition biologique qui oppose les agents
informatiques dans le système nerveux global
du monde. De telles émergences pouvant se reproduire
à tout moment, il serait temps de cloisonner
et spécifier de façon indépendante
les grands systèmes de contrôle des équipements
mondiaux.
2) Les agressions chinoises
Pour
les responsables de la cybersécurité américains,
le principal danger d'agression provient actuellement
non pas de «bruits» imprévisibles
dans un système complexe, mais d'attaques délibérées
réalisées par des universités chinoises
disposant d'une compétence scientifique hors
pair.
Un rapport a été présenté
le 17 novembre devant le Congrès américain,
détaillant certaines attaques menées en
avril dernier contre les échanges Internet sensibles
de divers sites gouvernementaux civils et militaires
américains par une société d'Etat
chinoise. Les données auraient été
transmises vers des routeurs situés en Chine
(Rapport annuel de US-China Economic and Security Review
Commission). Le relais aurait été pris
par China Telecom. Des quantités considérables
d'emails provenant des organisations attaquées
auraient circulé pendant quelques heures ou jours
en Chine. Mais aucune autorité chinoise n'aurait
revendiqué la responsabilité de l'opération
ni paru, apparemment, en tirer de bénéfices.
China Telecom a nié vigoureusement, comme l'on
pouvait s'y attendre, avoir été à
l'origine de tels détournements de trafic.
Taïwan de son côté s'est plainte de
nombreuses effractions dont auraient souffert ou souffriraient
encore des bureaux d'administrations ou de cours de
justice. 500.000 agressions par mois auraient été
recensées à certaines époques.
Mais dans ce cas, Taïwan incrimine moins la Chine
que des hackers individuels, taïwanais ou étrangers.
On pourrait répondre que la menace serait si
considérable dans ce cas qu'il est difficile
de la prendre au sérieux.
Dans les cas signalés aux Etats-Unis, on peut
aussi s'interroger. S'agit-il de démonstrations
visant à démontrer la sophistication technique
acquise par les organisations chinoise en matière
de piratage ? S'agit seulement de l'oeuvre de hackers
individuels travaillant soit pour la Chine soit pour
d'autres pays de la zone ? S'agirait-il même d'un
coup monté par les services de sécurité
américains eux-mêmes (Department of Homeland
Security, US Secret Service, Department of Defense)
pour mettre en évidence l'insuffisante protection
que leur accorde la législation actuelle et la
nécessité de renforcer les investissements
de défense.
Ceux qui soupçonnent une certaine manipulation
officielle seront confortés par une déclaration
faite le 16 novembre, émanant du secrétaire
d'Etat à la Defense Robert Gates (Ministre de
G.W.Bush maintenu par Barack Obama).
Selon lui, les cyber-attaques constituent une menace
de plus en plus élevée, qui nécessite
des efforts conjoints de protection de l'ensemble des
agences civiles et militaires américaines. Le
danger est si grand que si une cyber-guerre éclatait,
les Etats-Unis seraient aujourd'hui condamnés
à la perdre.
Le
ministre a demandé au Pentagone de renforcer
ses mesures de sécurité et souhaite que
les fournisseurs de matériels militaires fassent
de même. C'est souvent de leur côté
en effet que des failles peuvent apparaître. Pour
mener cette nouvelle politique, des ressources importantes
vont être débloquées. La National
Security Agency aura la haute main sur la contre-offensive
en cours, y compris dans le domaine civil. On ne peut
compter, selon Robert Gates, sur d'autres agences pour
faire ce travail, car elles manquent de moyens et d'expérience.
Les considérations relatives aux droits civils
seront prises en compte, s'il y a lieu, par une coopération
entre la NSA et les services du Department of Homeland
Security, selon des dispositions que Barack Obama vient
de ratifier récemment. Les organisations de défense
des droits ont réagi – assez mollement pourtant
à une époque où la mode consiste
à dénoncer les invasions de la sphère
privée par l'Etat fédéral.
3) L'Otan dans la cyber-guerre
Le
chef de la Sécurité des réseaux
utilisés par l'état-major politique de
l'Otan à Bruxelles et par ses centres de commandement
opérationnel à Mons est un certain Dr
Suleyman Anil, ingénieur turc (?) dirigeant la
Cyber Defense and Countermeasures Branch de l'Organisation.
Il dispose dorénavant d'équipes et de
crédits renforcés. L'Otan se prépare
en effet, elle-aussi à la cyber-guerre.
Le
sujet a été mis à l'ordre du jour
de la réunion des membres de l'organisation les
19 et 20 novembre à Lisbonne. Il s'agira d'une
des priorités retenues par le nouveau «concept
stratégique» fixant les objectifs de l'Otan
pour la prochaine décennie. Les ordinateurs de
l'Otan subiraient plus de 100 attaques par jour, s'échelonnant
entre l'insignifiant et le danger réel. Beaucoup
proviennent de virus introduits par les clés
USB utilisées par les fonctionnaires mais d'autres
de sources plus professionnelles. Les Serbes en avaient
fait une première démonstration en 1999,
répandant des e-mails de protestation contre
les bombardements au Kosovo. Depuis 2002, la cyber-sécurité
est désormais assurée par une division
spécialisée qui vient d'être réorganisée.
Les événements récents, notamment
l'offensive du virus Stuxnet, sont présentés
comme renforçant l'urgence d'une meilleure protection.
Pour
cela, les membres de l'Otan avaient décidé
de coopérer plus étroitement avec les
Etats-Unis en créant le centre de Tallin, en
Baltique, sous le nom de "Cooperative Cyber Defence
Centre of Excellence". Nous avions à l'époque
fait valoir quelques inquiétudes en provenance
des services européens. Ce Centre est nécessairement
aussi un excellent moyen de pénétration
par les services américains des administrations
et des industriels européens travaillant dans
l'orbite de l'Otan. Les services russes, qui ne sont
pas nés de la dernière pluie, ne manqueront
pas de faire valoir le point si la coopération
Otan-Russie était officialisée.
Sur le plan pratique, les services de l'Otan estiment
que l'Organisation ne pourra pas être complètement
protégée avant 2013. Un plan d'action
conjointe avait été lancé en 2005.
Des «memoranda of understanding »
ont été signés avecsept gouvernements
membres de l'Alliance. Ils supposent des échanges
de données et mises en conformité de procédures,
mais on devine qu'à juste titre les grands Etats
sont réticents à laisser par la force
des choses aux Etats-Unis la haute main sur l'ensemble.
Néanmoins, des exercices de cyber-défense
sont organisés tous les ans, impliquant tous
les membres. La «Cyber-Coalition 2010» a
simulé de multiples cyber-attaques contre l'Otan
et les Etats membres, destinées à tester
leur processus de décision.
Nos lecteurs ne s'étonneront pas de nos profondes
réserves à l'égard de toutes ces
gesticulations. Si dans le domaine de la cyber-défense
comme dans les autres domaines de la défense
militaire et économique l'Europe voulait vraiment
être efficace, elle prendrait ses distances à
l'égard de l'envahissant patronage américain.
Elle se serait dotée depuis longtemps d'un Etat-major
opérationnel inter-Etats, avec des capacités
purement européennes, complétant les moyens
militaires propres à tel ou tel Etat. On en est
de plus en plus loin aujourd'hui.
La cyber-guerre mettra de plus en plus l'Europe de la
défense (dans la mesure où l'on peut encore
employer ce terme), comme les moyens de défense
des Etats, à la merci des manipulations des Etats-Unis
ou de simples hackers agissant pour leur compte.
Notes
(1) Le Soleil émet régulièrement
de telles bouffées d'énergies, mais elles
prennent la forme de faisceaux très étroits,
dont les probabilités d'interaction avec la Terre
sont faibles.
(2)Sur Stuxnet, signalons ce très
bon article de Wikipedia, en français : http://fr.wikipedia.org/wiki/Stuxnet
et en anglais : http://en.wikipedia.org/w/index.php?title=Stuxnet&oldid=en:Stuxnet
Automates
Intelligents s'enrichit du