La Chine sacrifie quelques hackers sur l'autel de la transparence... pas la Russie

Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, scrutent les rapports troubles qu'entretiennent des états avec les hackers. Avec d'un côté, la Chine qui dévoile avoir arrêté 460 cyber-déliquants au cours de l'année écoulée ; annonce qui tombe à pic après la divulgation de câbles diplomatiques par Wikileaks pointant la responsabilité de Pékin dans des cyber-attaques contre des intérêts américains. Et, de l'autre, la Russie qui semble enterrer toute enquête visant les hacktivistes prospérant sur son territoire.

Sommaire
1 - La Chine sacrifie 460 hackers sur l’autel de la transparence
2 - La Russie ne sacrifie aucun hacker sur l’autel de la transparence
3 - McAfee Focus Paris : le futur proche des cyber-menaces

1) La Chine sacrifie 460 hackers sur l’autel de la transparence

La Chine, via son Ministère de la Sécurité Publique, fait savoir qu’au cours de l’année écoulée, 460 hackers ont été arrêtés et 180 affaires de cyberattaques auraient été résolues. Cette information, tombée dans la journée de lundi dernier, suivait de peu la divulgation du « cablegate » provoquée par Wikileaks. Certaines notes d’ambassades révélées à cette occasion désignent Pékin comme étant la tête pensante de la cyberattaque Aurora.

Pourquoi ce sacrifice de 460 cybersoldats potentiels ? C’est probablement là le tribu que doit payer la diplomatie Chinoise pour désamorcer cette attaque politique imprévue. Les accusations émises par la Maison Blanche lors de l’affaire Google China ou du hack des messageries d’Adobe et de plusieurs grands groupes industriels américains s’étaient soldées par de vagues dénégations. Mais le « scoop » Wikileaks est d’une toute autre nature, totalement étrangère à la dialectique et aux conventions de la politique internationale. On est dans le discours crû et direct, cynique parfois, de la cuisine du pouvoir, sans dialectique, sans périphrase ou euphémisme. Les ambassadeurs décrivent leurs interlocuteurs tels qu’ils sont et non tels qu’ils voudraient paraître, et parlent ouvertement des coups bas de la cyberguerre sans employer les précautions de langage habituelles. Ce qui « fait vrai » et marque bien plus l’opinion publique.

Des courriers d’ambassades qui parlent donc d’un pilotage direct des « hacktivistes » chinois par le gouvernement. Ces alliances objectives d’intérêts et ce conditionnement patriotique propre aux pays collectivistes (ou anciennement collectivistes dans le cas de la Russie) ne sont un secret pour personne dans le milieu de la sécurité, mais pouvaient relever du fantasme à la James Bond pour le très cartésien lecteur du Monde. La fuite d’information organisée par Wikileaks transforme ce fantasme en forte probabilité, que seuls des chiffres sur la lutte contre la cyberdélinquance en Chine pouvaient amoindrir. Il est peu probable que les 460 « pirates » Chinois aient fait partie des cybertroupes d’élite de cette armée populaire d’un nouveau genre, et que seuls les plus encombrants et les moins doués aient fait les frais de cette opération. Rappelons tout de même que la peine de mort a déjà été prononcée (et mise à exécution) à l’encontre de hackers chinois, et que dans les cas les moins graves, les peines de prison sont souvent lourdes. Il serait imprudent et réducteur d’associer ces 460 arrestations comme 460 applications d’une sorte de « Lcen locale ».

2) La Russie ne sacrifie aucun hacker sur l’autel de la transparence

Les cybercriminels sont intouchables, s’exaspère Brian Krebs, qui nous raconte la vie mouvementée de Sergey Kozerev, étudiant de l’Université de Technologie de Saint Petersburg, reconverti en cyber-parrain spécialisé dans le trafic d’informations bancaires volées. Zo0mer (ainsi se fait-il appeler désormais), est devenu le roi de l’identité bancaire en gros. Sa marchandise est commercialisée à grand renfort de publicités flash affichées en bandeau de certains sites Web spécialisés et propulsée par un site de vente (une « place de marché » sur Internet) où se retrouvent régulièrement les chefs de réseaux de mules qui viennent ici acquérir à peu de frais de quoi alimenter leurs pompes à phynance. Tout ceci sous l’œil impavide de la police de Saint Petersburg, pourtant vaguement formée à la lutte contre les cybertrafiquants depuis le démantèlement du RBN, le Russian Business Network.

Même indolence de la part de la police russe et des magistrats, qui, rappelle Krebs, condamne à 6 ans de prison avec sursis l’un des cerveaux de la bande à l’origine du cyber-casse de 9 millions de dollars perpétré sur les comptes de RBSWordpay. C’était mal, ne recommencez pas… et fermez la porte en sortant s’il vous plaît. Le film des évènements est rapporté par nos confrères de Wired.

Plus proches de nous, le cas de Torpig, alias Sinowal ou Anserin, un redoutable cheval de Troie qui parvint à dérober près de 500 000 identités bancaires, en Europe comme aux Etats-Unis. C’est l’Oclctic qui remonte à la source, découvre l’identité de l’auteur du malware et la communique aux services de police de Moscou. Lesquels ne feront rien, strictement rien.

L’on pourrait ajouter également l’absence totale d’action dans l’affaire McColo ou énumérer l’interminable liste de sites mafieux parfaitement connus et localisés par des chercheurs indépendants, tel Dancho Danchev. Plus qu’un problème d’extraterritorialité et de constitution d’un réseau EuroJuges ou InterPol, la lutte contre la cyberdélinquance est un problème militaro-politique. Pour l’heure, les armées du monde entier ne possèdent pas encore ni le contingent, ni la maîtrise technique, ni même le recul nécessaire pour estimer l’efficacité d’une cyberarmée. Il est donc logique qu’elle cherche à employer des mercenaires… L’Affreux, qu’il soit « cyber » ou utilisant des armes conventionnelles, a l’avantage de coûter nettement moins cher qu’une armée entretenue en permanence. S’il tombe sous les coups de l’ennemi, il ne représente aucune perte. S’il se fait prendre, il ne porte ni uniforme, ni élément pouvant le relier avec certitude à un quelconque Haut Commandement. Il est donc intéressant d’en protéger les meilleurs éléments, même si ce ne sont pas des modèles de rectitude morale. Tant que durera cette situation, tant que les militaires du monde entier n’auront pas soit assimilé, soit rejeté l’idée d’un cyber-contingent doté d’armes techniques « maison », la cyberdélinquance organisée continuera de couler de longs et paisibles jours.

3) McAfee Focus Paris : le futur proche des cyber-menaces

C’est le premier McAfee Focus qui se déroule à Paris, cette journée du 2 décembre. Un Focus certes moins « grandiose » que ceux organisés trois jours durant à Las Vegas, mais orchestré avec la même partition : établir un contact direct avec les grands clients et partenaires, dresser un tableau du marché d’une part et de la cyberdélinquance d’autre part, et apporter les informations techniques à ceux qui le désirent… sans pour autant tomber dans les excès d’une « developer’s conference » ou d’un cycle de présentations sur le hacking de haut niveau. Focus, c’est la « RSA Conf » ou le « Check Point Tour » de McAfee, le plus ancien de tous les chasseurs de virus présents sur le marché.

Evènement Parisien, mais surtout évènement francophone, les conférences analogues étant jusqu’à présent toutes tenues par des orateurs d’expression anglaise. L’occasion pour Gert Jan Schenk, président EMEA de l’entreprise, de brosser à grands traits la future stratégie « McAfee 3.0 » du groupe, devant un parterre d’auditeurs belges, français, luxembourgeois et suisses.

Ce fut également l’une des rares occasions d’écouter, « en Français dans le texte », les interventions de quelques chercheurs du laboratoire Avert, venus là pour apporter ce crédit technique indispensable à une telle réunion. Et notamment François Paget, un spécialiste des rouages cybermafieux, que l’on a plus souvent l’occasion de lire sur le blog de l’Avert.

L’exposé que j’ai écrit pour la circonstance s’intitule «  cyberinsécurité : profits illicites, hacktivisme et campagnes extrémistes». Il montre à quel point le cybercrime se porte bien, mais la lutte contre cette cyberdélinquance ne va pas mal non plus. En en 2010, nous avons été témoins de beaucoup d’activités de la part des services de police … activités qu’accompagnent de fructueuses interpellations. Démonstration également de l’existence d’étroites relations tant politiques, humaines et économiques entre ces différentes menaces. Simplifions l’analyse en la réduisant à 4 points principaux :

Point numéro un, l’hacktivisme sur internet : tout comme la cybercriminalité dans les années passées, l’hacktivisme se professionnalise et se diversifie. L’on rencontre de moins en moins de cas d’égotisme militant, et beaucoup plus d’utilisations d’outils techniques tels que les botnets et les attaques en dénis de services ciblées (ndlr : campagnes altermondialistes, groupements de protestations nationalistes chinois ou russes…). Cette guérilla hacktiviste s’accompagne d’apparitions d’organismes qui ne se cachent plus, qui montent des campagnes sur le net en appelant les sympathisants à intervenir à une heure précise, coordonnant des « blitz » numériques… Cette année notamment, a vu une très nette recrudescence d’actions conduites par des groupes dans la mouvance de Pirate Bay et visant les Majors de l’édition musicale. L’on peut également mentionner les appels de communautés d’internautes israéliens qui organisent des attaques visant des sites pro-palestiniens. Sans oublier la Chine et son réservoir d’hacktivistes plus ou moins manipulés.

Vient ensuite la question de la cyberguerre qui peut fort bien reposer sur la manipulation de mouvements nationalistes tel que cela a été constaté dans l’Est. Cette forme de bataille rangée à coup d’ordinateurs n’en est qu’à ses débuts, et demeure, pour des raisons évidentes de secret quasi militaire, relativement inconnue. Tout au plus peut-on dire que certains « guerriers compétents » sont convoités par les militaires des différents pays, même si par le passé leurs actes étaient répréhensibles. A ce sujet, l’historique de torpig, le troyen utilisé il y a 18 mois à 2 ans contre les banques françaises est un exemple peut-être à ne pas oublier. L’Oclctic a pourtant « logé » l’auteur, mais les services russes n’ont pas réagi… Par certains aspects, la cyberguerre n’offre que de faibles différences avec l’hacktivisme.

Le cyberterrorisme, de son côté, s’inspire directement des techniques de cyberguerre et du cyberhacktivisme : même si aucune preuve formelle d’action directe n’a été rencontrée jusqu’à présent, l’on est certain que ces groupes utilisent Internet d’une manière plus courante que l’on ne l’imagine. Je montre notamment, lors de ma présentation, l’exemple de trois personnes issues de la mouvance Al Quaida qui emploient l’image vidéo pour revendiquer l’assassinat de personnalités. Internet est un vecteur de propagande que sait très bien exploiter des mouvements tels que le Gimf, Global Islamist Media Front, sorte de « cabinet de relations publiques » des mouvements islamistes. (ndlr : Gimf qui est à l’origine de l’expression « online Jihad », qui illustre ce propos)

Dernier point enfin, qui recoupe peu ou prou le second, celui de la cyberguerre, le cas Stuxnet. Tout le monde en a parlé tant sous un angle technique que politique ou stratégique. Mais ce n’est qu’un début. « Grâce » à lui, aujourd’hui, on peut commencer à imaginer ce que pourrait-être un programme malveillant à des fins de cyberguerre ou à des fins terroristes dans les années à venir. »

Pour approfondir sur Menaces, Ransomwares, DDoS