La semaine dernière, le monde de la sécurité informatique a été agité ! Parmi les nouvelles marquantes, s’il n’y en avait qu’une seule à retenir ce serait celle-ci : les USA ont décidé de considérer les cyber-attaques comme des actes de guerre.
Cette annonce risque de changer bien des choses et fait entrer les attaques informatiques directement au rang de cyberguerre. Une nouvelle ère est en route, et les Etats-Unis ont décidé de mener la marche.
La stratégie américaine
Concrètement, le Pentagone a mis en place une nouvelle stratégie prévoyant des ripostes militaires en cas de cyber-attaques. Ainsi, les principales attaques visant les USA seront désormais considérées comme de véritables actes de guerre, auxquelles l’Oncle Sam pourrait répondre par la force militaire. Le Wall Street Journal a annoncé la nouvelle ce mardi 31 mai et le Pentagone prévoit de dévoiler cette nouvelle stratégie ce mois-ci, espérant ainsi dissuader ses ennemis de tenter de saboter le réseau électrique du pays. Un responsable de l’armée aurait déclaré « Si vous stoppez notre réseau électrique, peut-être que nous vous enverrons un de nos missiles ». Cela résume bien la situation…
Evidemment, cette décision soulève énormément de questions : qui sera visé, étant donné qu’un pirate ne représente pas un pays ? Comment évaluer la riposte à mener ? Comment identifier les attaquants ? Les USA considèrent-ils Internet comme leur territoire d’action ? Quelles sortes d’attaques seront concernées ?…
Comment évaluer les proportions d’une riposte ?
Recourir à l’option militaire pose effectivement le problème de la proportionnalité de la contre-attaque. Il est évident qu’une cyber-attaque ne fait pas forcément de victimes civiles et ne tue généralement pas. Comment, alors, peut-on évaluer la riposte à mener ?
Selon les USA, cette stratégie est bel et bien conforme aux règles internationales concernant les conflits armés. Le Pentagone devrait se baser sur la notion « d’équivalence » pour décider de répondre par la force à ces attaques, c’est-à-dire que si les dommages causés par une attaque informatique sont comparables à ceux qu’auraient produit une attaque militaire traditionnelle, la force pourra être utilisée. Mais la décision dépendra aussi, et c’est bien la moindre des choses, de la précision avec laquelle la source de l’attaque pourra être identifiée.
La question de la légitimité de cette mesure se pose évidemment. En quoi les Etats-Unis seraient-ils habilités à prendre des décisions de façon unilatérale, sans se tourner vers l’OTAN et l’ONU ?
Comment définir la cible ?
Autre difficulté : lorsque l’on ne connait pas précisément son attaquant, sur qui tire-t-on ? Désigner un coupable est particulièrement délicat lors d’une attaque informatique. En effet, elle peut être mise au point par des pirates indépendants, qui défendent une idéologie, ou revendiquent quelque chose, à la manière des terroristes, ou alors par des hackers commandités par un Etat. Mais dans ce dernier cas, il est quasi-impossible de prouver qui a ordonné l’attaque.
Il est aussi particulièrement difficile d’identifier ne serait-ce que la provenance géographique d’une attaque massive. Lors d’une attaque DDOS (le site est submergé de requêtes, ne peut plus les traiter et les internautes ne peuvent plus y accéder) par exemple, ce sont des milliers de machines infectées à travers le monde qui mettent à mal un système. Comment, dans ce cas-là, peut-on précisément identifier le noyau dur et l’origine exacte de l’attaque ?
Alors généralement, lorsque l’on parle de cyber-défense, on pense à se protéger des attaques venues de Chine. Surtout que les Etats-Unis et la Chine se livrent une guerre informatique depuis longtemps car les deux pays ont la particularité d’avoir leur propre économie Internet : Baidu concurrence Google, Alibaba.com concurrence Ebay… En effet, la nationalité d’une entreprise en ligne sera donc déterminante, mais elle ne pourra pas non plus être une garantie. Un pirate peut facilement agir en se faisant passer pour un autre et faire ainsi accuser une entreprise en particulier. Et les entreprises, ou les sites, ne sont pas toujours liés à l’organisation d’une attaque.
On a eu récemment le cas lors de l’attaque des serveurs du PSN de Sony, le pirate s’est fait passer pour un membre du groupe de hackers Anonymous.
Riposter sans avoir de certitude sur l’identité de l’assaillant est impossible. Si une attaque semble provenir d’un serveur allemand, cela ne signifie pas que l’attaquant est lui-même Allemand, encore moins que l’Etat Allemand est derrière tout cela. C’est ce qu’il s’est passé en 2007 lorsque l’Estonie a subi une attaque de grande ampleur. L’OTAN conclu que sans certitude sur l’identité de l’assaillant, il ne fallait pas riposter. En réalité l’attaque provenait d’un groupe de jeunes commandité par les autorités russes. En constituant un réseau zombie, ils sont parvenus à mettre à mal l’Estonie.
Le problème se pose de plus en plus avec le cloud computing.
Sans compter que détruire un serveur peut amener à détruire en même temps d’autres fonctions vitales. Plusieurs personnes, structures, ou fonctionnalités, peuvent occuper un même serveur. Ainsi, on peut facilement imaginer qu’un groupe de pirates utilisent le même serveur qu’un hôpital, une centrale nucléaire, un barrage hydraulique…
Et le reste du monde dans tout ça ?
C’est précisément à cause de cette difficulté à identifier les attaquants qu’il n’y a pas de consensus international sur ce sujet. Des tentatives de régulation d’Internet ont été mises en place plusieurs fois mais sans succès. Il est délicat de désigner un coupable lorsqu’on sait qu’il peut s’agir d’un Etat allié, qui peut aussi être un concurrent en même temps.
Les Etats sont réticents à coopérer à ce sujet, c’est pourquoi les Américains ont pris les opérations en main. Mais les consciences commencent à s’éveiller : le Royaume-Uni commence à intégrer l’aspect informatique dans sa doctrine de défense, l’Europe remet en place l’ENISA (European Network and Information Security Agency) et la France met en place une stratégie de cyber-défense…
La notion même de cyber-attaque doit être définie au niveau international. Les attaques peuvent être de l’espionnage, de la modification de système à distance, de la mise hors-service de système informatique, ou encore du vol ou de la divulgation de documents confidentiels.
Le piratage : nouvelle arme de guerre ?
Les pires scénarios des films catastrophes modernes peuvent donc devenir réalité : banques et transports paralysés, électricité et eau coupées… Classée dans la même catégorie que le terrorisme ou le nucléaire, la guerre via Internet peut ainsi détruire entièrement l’économie d’un pays et nul n’en est à l’abri. Internet a d’ailleurs été déclaré « structure vitale » par la France et Washington.
Les Américains ont peur pour leur réseau électrique, vulnérable et fonctionnant à faible coût grâce à Internet. Des tentatives de sabotages ou de repérages ont déjà été détectées sur le réseau. Les appareils de défense américain peuvent aussi être touchés de la sorte (avions espions, avions de transports militaires, missiles…). Ce samedi 28 mai, le groupe Lockheed Martin, fournisseur d’armes et appareils pour la défense américaine, a révélé avoir été victime d’une attaque « importante et acharnée ». Elle a été détectée « presque immédiatement » et une action résolue a été mise en place pour protéger tous les systèmes et les données. Les dégâts ont été minimes mais la menace d’une cyber-attaque est plus que d’actualité.
On peut citer aussi Google, qui, en janvier 2010, avait dénoncé l’attaque de ses systèmes et immédiatement accusé Pékin. Puis, McAfee révéla en février dernier que plusieurs groupes pétroliers étaient visés par des attaques informatiques venues de Chine. Des diplomates américains, en poste à Pékin, affirment à propos des attaques perpétrées contre Google que « Un contact bien placé affirme que le gouvernement chinois a coordonné les récentes intrusions dans les systèmes de Google ». Les notes dévoilées expliquent que les opérations étaient dirigées depuis le Bureau politique du Parti communiste chinois.
Rappelons également que le virus Stuxnet, qui fit beaucoup de dégâts en Iran, serait une création israélo-américaine. Tous ces éléments semblent annoncer une guerre online, une sorte de «cyber guerre froide », dans laquelle les Etats-Unis auraient pris les devants pour mener la danse.