Perspectives cybersécurité 2013 : les USA en tête

Ce billet revient sur les principales actualités 2012, explique pourquoi les USA ont définitivement plusieurs coups d’avance, et se pose la question de savoir si les ambitions affichées des autres (l’Iran, la France) pourront changer la donne. Et enfin, quid de la Chine et de la Russie ?

Les USA sont en tête sur tous les plans

Les trois aspects examinés ci-dessous sont les moyens affectés, la volonté politique, et les résultats.

Les moyens affectés

Avec l’appui des milliards de dollars de la DHS, les USA sont les seuls à disposer de toute la palette des outils de cyberdéfense et cyberattaques. Le CERT US et le CERT ICS spécialisés sur le contrôle-commande (la cybersécurité industrielle) sont les références en termes en veille et de capacité de réaction aux agressions.

De plus ils disposent de plusieurs équipes de développement dédiés à la conception et l’utilisation d’armes informatiques (auteurs de Flame, Stuxnet pour ceux qu’on connait).

Enfin, l’officialisation récente (voir cet article sur CNET) du programme « Perfect citizen » de la NSA, visant à rechercher des failles informatiques dans les systèmes de contrôle-commande, n’est sans doute que la partie émergée de l’iceberg : on a vu dans le passé que les programmes restent secrets si les américains le veulent. Ce qui nous amène au second aspect.

La volonté politique

Contrairement à la cyber-extorsion et au vol de données, activités par nature clandestines, le développement de capacité de cyber-attaque semble gagner à être assumé et affiché. Même si le contexte de la campagne électorale a peut-être encouragé le candidat-président Obama à montrer ses cyber-muscles en juin dernier, on peut tout de même supposer qu’il y avait un intérêt stratégique pour les USA de reconnaître leur paternité dans Stuxnet, et par là-même, vues les similarités, dans Flame.

Ils assument donc l’utilisation de cyber-armes contre l’Iran, de manière continue, la dernière attaque en date ayant été rendue publique par le nouvellement créé CERT iranien (Cf plus bas).

Dans ce contexte, les « fuites » concernant l’investissement concédé par la NSA semblent calibrées, avec à leur appui des documents déclassifiés (et caviardés). L’information concernant le contrat de $91 millions avec un seul sous-traitant (Raython), qui aurait embauché pour cela une trentaine d’ingénieurs, indique un ordre de grandeur du budget total de sans doute plusieurs centaines de millions de dollars.

Les résultats

Les USA ont saboté avec succès et pendant des mois une installation nucléaire iranienne avec Stuxnet, et se seraient maintenu pendant des années ( ?) dans le SI d’institutions et d’entreprises iraniens (et autres ?) avec Flame. Et il s’agit des résultats connus, sans présumer de ceux qui n’ont pas été découverts.

A noter que certaines attaques visaient d’autre cibles que les « ennemis » déclarés des USA, puisque Duqu a été découvert sur des sites européens, et que l’Express leur a attribué en octobre l’intrusion informatique de l’Elysée pendant la campagne 2012. Cependant l’article de l’Express (daté 21 au 27 novembre 2012) présente beaucoup d’approximations voire d’erreurs, comme le dénonce un bon article de A. Duchauvelle sur ZDNET. J’avais envisagé puis renoncé à en faire un article critique sur ce blog – ce « coup » journalistique ne le méritait pas, il y a déjà eu assez de fausses annonces en 2012.

Ceci dit, les deux programmes (Stuxnet et Flame) rendus publics peuvent aussi être vus comme des semi échecs. On me demande souvent comment Stuxnet a été découvert : c’est en fait parce qu’il s’est « échappé » de Natanz (l’usine d’enrichissement d’uranium iranienne qui était la cible),  peut-être via une clé USB emportée chez lui par un ingénieur ou un technicien, qui aurait infecté son PC personnel et aurait ensuite circulé sur internet. Ainsi donc, paradoxalement, si le personnel de Natanz avait été plus précautionneux, Stuxnet aurait peut-être continué de fonctionner, jusqu’à faire penser aux iraniens qu’ils n’avaient pas la capacité technique de faire fonctionner une usine d’enrichissement. C’était d’ailleurs là son vrai objectif, comme l’a reconnu le département d’état américain en juin 2012.

Vue l’actualité récente avec des virus introduits sur des clés USB dans des centrales électriques aux USA, qui ont provoqué des pannes de systèmes de contrôle-commande, cette citation, tirée de l’article en lien ci-dessus, est parfaitement d’actualité : « Il s’avère qu’il y a toujours un idiot pour ne pas trop réfléchir à ce que contient la clé USB entre ses mains. »

La Chine, L’Iran et l’Europe

La Chine et la Russie en retrait ?

Les américains font la course en tête sur les trois aspects étudiés : les moyens, l’affichage politique, et les résultats. Quoique, concernant les résultats, on saura peut-être un jour si c’est bien la Chine qui est à l’origine de la majorité des attaques de vol de données découvertes en 2011, et s’ils ont fait quelque chose des éventuelles données dérobées. Sur le plan « communication », la Chine a fait en 2011 la publicité de sa « blue army », censée être composée de centaines de hackers. Depuis ces annonces, peu de nouvelles d’extrême orient, sauf pour rejeter régulièrement les accusations formulées à son encontre. On pourrait s’aventurer à considérer que la Chine tente de se faire oublier après s’être fait un peu trop remarquer.

La Russie n’a guère fait parler d’elle en 2012, sauf via M. Kaspersky, qui a annoncé le développement d’un système d’exploitation « sécurisé », pouvant être utilisé pour les installations critiques. Cependant la découvert en ce tout début d’année de l’attaque sophistiquée « Red October », visant à voler les données d’institutions dans le monde entier, remet peut-être la Russie sur le devant de la scène. Red October (surnom RoCra), est en soupçonné être d’origine russe (analyse du code) : peut-être la Russie, comme la Chine, dispose-telle d’équipes solides capables de concevoir et de mener des attaques informatiques d’envergure, mais en toute discrétion. A moins que ce soit une officine privée, et non pas un programme étatique ?

A suivre en 2013 : y-aura-t’il a confirmation de la cyber-activité de la Chine et de la Russie ?

L’Iran

Seule victime avérée d’une attaque ciblée sur une infrastructure critique, l’Iran subit en réalité des attaques continues, avec des versions successives de Stuxnet et de Flame, pour celles qui sont connues.

L’origine des cyberattaques contre Aramco et Qatargas, qui cet été ont mis hors services des pans entiers des systèmes informatiques de gestion des terminaux pétroliers et gaziers, reste à prouver. Evidemment, l’Iran est un suspect tout désigné. En prenant cette hypothèse, et vues les analyses effectuées sur le code du virus Shamoon utilisé, on constate une ingénierie logicielle de cyberattaque encore approximative, et l’absence de composants tels que les exploits 0-day et des certificats volés ou contrefaits, comme dans les œuvres américaines. Mais comme l’explique l’analyste dans cet article, le code était « amateur mais efficace ».

L’Iran se structure cependant, puisqu’ils ont créé en 2012 un CERT(*), intitulé Maher, qui a dévoilé les détails d’une nouvelle attaque contre les intérêts iraniens. Un démenti a été apporté ensuite, mais l’annonce initiale est beaucoup plus crédible que le démenti

Par ailleurs, ils ont également communiqué sur des exercices d’attaque de cybersécurité, « à partir d’une unité de cyber-défense de la marine » ( ?), difficile évidemment de savoir ce qu’il y a derrière cette communication.

Enfin, rappelons l’épisode automnal des cyber-attaques de banques américaines attribuées à l’Iran, (de type dénis de service – pas très sophistiquées donc), ce que l’Iran a démenti.

Est-ce que l’Iran a la capacité, et la volonté, de développer une réelle capacité de cyber-offensive, comme le font les USAs et la Chine ? Les difficultés économiques du pays peuvent constituer un frein, puisque l’on se rend compte que le développement d’attaques informatiques ciblées représente un budget considérable.

En effet, contrairement à ce que l’on pouvait croire avant d’avoir les détails concernant la mise au point de Stuxnet, les cyber-armes ne sont en fin de compte pas des « armes pour pauvre », à la différences des attaques plus simples à réaliser type DDOS, vol de données etc…

L’Europe

Il n’y a pas d’Europe de la défense (Cf actualité au Mali), il y a encore moins d’Europe de la cyber-défense. A cette date, on voit surtout un certain nombre de rapports et de prises de positions plus ou moins adroites.

L’Angleterre ainsi a été parmi les premiers états européens à afficher une volonté de se munir de moyens de cyber-défenses et de cyber-attaque, dès 2011. Il n’y a pas eu de communication depuis.

La France s’est distinguée en 2012 par le rapport du sénat (intitulé « Rapport Bockel » du nom du sénateur rapporteur et alsacien), avec des aspects positifs (constat du retard de la France, du besoin de développer une capacité réactive et offensive), et d’autres plus discutables (pointer du doigt les chinois – notamment les sociétés Huwei et autre, sans apporter d’élément tangible).

Ce rapport semble avoir des suites du côté de l’ANSSI et de la DGA (en termes de budgets notamment), mais sans doute pas à la hauteur des budgets américains ou chinois.

Curieusement, la polémique autour des accords Areva-EDF-CGNPC aura fait beaucoup plus de bruit, et provoqué beaucoup plus de réactions au niveau du gouvernement, que les attaques informatiques avérées ou supputées des mêmes sociétés et de l’Elysée par peut-être les chinois ou les américains.

A l’époque où de nombreux polytechniciens étaient dans les gouvernements voire à la présidence (VGE), l’état avait tendance à se focaliser sur des sujets très techniques, pour le pire (les avions renifleurs) et le meilleur  au sens technique (la téléphonie  numérique puis mobile, les TGVs, le nucléaire).

Aujourd’hui que les ministres et les présidents sont des avocats, des énarques et des HEC, peut-être y-a-t’il une trop forte attention aux contrats et à la communication, et un manque de compréhension des enjeux techniques ? Faut-il plus se pré-occuper des ententes légales de transfert de propriété intellectuelle que du pillage par attaques informatiques de vol de données ?

Conclusion

En 2012 j’avais anticipé une forte augmentation des attaques sur les systèmes de contrôle-commande, du fait des révélations en série de failles sur les systèmes de pilotage (SCADAs et autres) et les automates.

Il n’en a rien été pour l’instant : peut-être ai-je été un peu « impatient », mais peut-être aussi les projets permettant d’exploiter ces failles, qui nécessitent des moyens et du temps considérable, sont-ils à peine lancés.

Dans ce cas, les USA ont démontré qu’ils sont en tête et qu’ils entendent le rester grâce à des budgets conséquents – comme pour le budget militaire, il semble que les budgets de « cyberguerre » soient pour moitié  dépensés aux USA !

 

(*) CERT : Computer Emergency Response Team – organisation effectuant à la fois une service de veille (vulnérabilités, exploits, virus…), et un support opérationnel en cas d’attaque avérée. Voir à ce propos le rapport du 4e trimstre 2012 du CERT ICS américain, qui fait état de leurs interventions chez des électriciens, avec des occurrences d’attaques virales, dont l’une au moins ciblée, via des clés USB.

 

 

Tags: , , , , ,

1 commentaire sur “Perspectives cybersécurité 2013 : les USA en tête”

  1. Jules Schmidt dit :

    Concernant la Chine, il semblerait qu’ils aient de plus en plus de mal à masquer leur action : Cf Libération de ce jour, ou article ZDNET qui tous deux reprennent un extrait du livre à paraître en Avril par Eric Schmidt (google) : http://www.zdnet.fr/actualites/la-chine-championne-du-cyber-espionnage-pour-eric-schmidt-39786861.htm#xtor=EPR-100

Ajouter un commentaire

Note: Vous êtes responsable de vos commentaires, veillez à rester courtois et factuel. En postant votre commentaire, vous accordez de fait un droit de diffusion à Secur'id.