Spécial sécurité : la cyber-guerre de Troie aura-t-elle lieu ?
Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, reviennent sur un rapport signé McAfee, un rapport très inquiétant sur la sécurité des systèmes Scada, conçus pour le pilotage d'infrastructures industrielles ou de réseaux électriques, et utilisés dans nombre d'infrastructures critiques. Avant de s'amuser des donneurs de leçons a posteriori, après l'attaque terroriste ratée contre les Etats-Unis en fin d'année dernière.
1 - La Cyber-guerre de Troie aura-t-elle lieu ?
2 - Terrorisme : idées reçues et intérêts privés
1) La Cyber-guerre de Troie aura-t-elle lieu ?
Qu’il s’agisse de la tentative d’attentat d’Abdul Mutallab (voir ci-dessous) ou de la cyber-attaque chinoise, il n’y a pas de différence fondamentale dans les réactions des médias d’actualité : toujours la même confusion entre la critique à posteriori et la tentative d’analyse « post mortem ». Dans les colonnes d’InformationWeek, rubrique Government Blog tenu par John Foley, l’on peut lire un déchirant « Nous le savions, nous avions les signes » et de citer le fameux rapport Grumman dont nous mentionnions l’existence début novembre dernier. Las, cela fait déjà plusieurs années que les chefs militaires de la République Populaire de Chine mentionnent dans leurs études les avantages économiques d’une cyber-guerre : investissements faibles, parades pratiquement impossibles compte tenu de la surface de vulnérabilité de l’adversaire et du prix des contre-mesures, absence de « preuves » tangibles quand à l’origine de l’attaque, effet de levier médiatique entraînant des réactions disproportionnées de la part du pays visé, totale opacité des liens entre les « groupuscules nationalistes incontrôlés » et les hautes sphères de l’Etat…
Et c’est avec un à-propos (ou un opportunisme) singulier que l’Avert de McAfee publie un pavé de 44 pages : In the Crossfire, Critical Infrastructure in the Age of Cyber War. Il y est question des risques probables d’attaques contre les infrastructures Scada aux USA comme dans le reste du monde. L’étude s’est penchée sur les témoignages de 600 responsables IT d’infrastructures nationales répartis dans 14 pays, qui, tous, semblent avoir connu des expériences semblables : près de 40 % de ces responsables avouent avoir essuyé des assauts à grande échelle ou des tentatives d’infiltration sophistiquées qui « seraient probablement provoquées à l’initiative de gouvernements étrangers » (sic). Pessimistes, les personnes interrogées pensent que le problème ne peut qu’empirer et que 80 % des architectures pourraient faire les frais d’une compromission dans les 5 ans à venir par un ennemi de l'extérieur. Un « étranger » étant, dans 36 % des cas, les Etats-Unis, et dans 33 % des cas la Chine. Le seul coût des temps d’immobilisation de ces attaques est estimé par les chercheurs de McAfee à près de 6,3 millions de dollars par jour. Si l’on se penche spécifiquement sur les responsables d’infrastructures Scada, près de 76 % d’entre eux avouent que leurs systèmes sont connectés à Internet ou à d’autres réseaux IP, et que ce pontage pose, dans la moitié des cas, des « problèmes de sécurité non résolus ».
Ces craintes et ces constats chiffrés impressionnent par leur ampleur… peut-être moins par leurs conséquences. Plusieurs passages du rapport de McAfee soulèvent un point rarement évoqué dans d’autres études du même genre : la gravité, les conséquences d’une cyberattaque sont directement proportionnelles à l’état d’avancement technologique du pays victime, quelle que soit l’importance de son réseau de machines. Cela s’explique probablement par la possibilité (ou la croyance) d’un retour aux techniques de traitement traditionnelles « d’avant l’informatique » et de la proportion que représente l’informatisation des réseaux sensibles. A cela s’ajoute le niveau de sensibilisation de la population. Ainsi, malgré le niveau très élevé des investissements consacrés à la protection des réseaux, le « taux de victimisation » est considérablement plus faible en Chine qu’aux USA ou en Europe. A contrario, la situation est considérablement plus critique en Inde, où le niveau de protection est considéré comme très bas. En conséquence de quoi, le nombre de botnets et de postes infectés y atteint des taux plus élevés que ce que l’on peut mesurer en additionnant les métriques de Chine et de Russie.
S’ajoutent aux risques grandissants de perméabilité des réseaux d’infrastructure la rapide obsolescence des logiciels spécialisés… qui, eux, sont rarement remis à jour. Une lenteur attribuée à la trop grande interdépendance entre le logiciel et le matériel à asservir, lequel date parfois des années d’après-guerre. Les remplacer serait à la fois excessivement complexe et coûterait une fortune. Dans ces conditions, explique l’un des interviewés, « il ne peut y avoir le moindre mécanisme pour revoir le système et le modifier chaque fois qu’une vulnérabilité y est découverte ».
Un chapitre entier du rapport s’attache à une question quasi-surréaliste : « pensez-vous que le cadre juridique en place offre une quelconque efficacité contre les cyber-attaquants ». Question à laquelle, en moyenne, 48 % des personnes interrogées pensent que « non » (dont plus de 70 % en Russie, et à peine plus de 35 % en Allemagne, 48 % en France). Cela montre à quel point les DSI ont une vision très éloignée de celles des responsables des cellules sécurité : dans l’état actuel du droit international, les chances de voir une loi « fonctionner » en dehors des frontières est proche de l’inverse de l’infini. En revanche, une large majorité de personnes pense effectivement qu’un surcroît de règlementations et de législation représenterait « une masse d’activités aussi inutiles que coûteuses, et qui n’apporterait que très peu, voire pas la moindre amélioration de la situation d’un point de vue sécurité ».
Le dernier volet de l’étude est de loin le plus intéressant, car il dessine une « nouvelle carte » des influences militaro-politiques revues à la sauce cyber. A la question « quel est l’ennemi que vous craignez le plus, les Etats-Unis sont cités essentiellement par les responsables chinois, brésiliens, espagnols, mexicains, russes et allemands. La Chine, quand à elle, effraye majoritairement les Britanniques, Français, Italiens, Japonais et bien entendu les Etats-Uniens. L’Arabie Saoudite est plus inquiète lorsqu’elle regarde du côté de la Russie. Les craintes, fantasmées ou non, s’avèrent donc parfois relativement éloignées de ce celles provoquées par les tensions géopolitiques classiques. C’est notamment le cas d’un Mexique qui se méfie très nettement de son voisin immédiat. C’est le cas également des Allemands qui, historiquement, d’un point de vue politique, défendent généralement une position atlantiste. Peut-être est-ce là le résultat d’une perception équilibrée qui reflète l’inconscient des deux Allemagnes d’antan. Une position qui tranche d’ailleurs d’avec celle observée par les autres pays-membres, qui tremblent devant cette marotte d’un nouveau péril jaune.
2) Terrorisme : idées reçues et intérêts privés
L’attentat manqué du Vol 253 a immédiatement été suivi d’une série de mesures prétendant corriger les erreurs tant des infrastructures de sécurité à l’embarquement que des services de l’immigration. Après la mercuriale qu’ont dû essuyer les responsables de la Sécurité Intérieure des Etats-Unis, et après une campagne de presse dévastatrice conjuguée sur le ton de « on aurait pu l’éviter », fleurissent les premiers rapports et contre-arguments.
En tout premier lieu, ce rapport à l’Intérieur intitulé « Flight 253: Learning Lessons from an Averted Tragedy » que nous offre Cryptome. Beaucoup de précautions de langage, des tonnes de « nous sommes déterminés à faire mieux ». Mais surtout quelques points importants, à commencer par l’aveu d’impossibilité d’abaisser un peu plus le seuil d’alerte à l’attaque anti-terroriste. C’est là un point que les administrateurs d’IDS ou d’antispam connaissent bien : au-delà d’une certaine limite intrusive, il se crée un phénomène d’avalanche tel que le niveau d’alertes bloque le bon fonctionnement du service ou l’écoulement du flux. Bits, octets et voyageurs transatlantiques : même combat.
Le second point important tient en une phrase, situé en fin de ce bref rapport : « Chaque jour, le NCTC (National CounterTerrorism Center,ndt)reçoit littéralement des centaines de renseignements du monde entier, et vérifie des centaines de noms différents, et ajoute à la « liste de surveillance » (la liste des « interdits de vol ») plus de 350 noms »… et d’ajouter que les indices en question sont « autrement plus sérieux » que ceux qui avaient été collectés à propos d’Abdul Mutallab. 350 noms par jour, c’est près de 130 000 identités de plus qui viennent s’ajouter soit à la « no flight list », soit aux fichiers d’individus suspects nécessitant un filtrage plus attentif ou un traitement particulier. Or, le NCTC sait fort bien que cette escalade du filtrage entraîne non seulement un engorgement des structures chargées de la vérification desdites listes : les services de renseignements occidentaux utilisaient eux-mêmes ces méthodes dans les années 80 pour saturer la capacité d’analyse du KGB. Si les outils de tri et de traitement moderne (surtout américains) n’ont rien à voir avec ceux de l’URRS d’autrefois, le volume de « faux positifs » que génère cette nouvelle forme de conflit asymétrique a également crû de manière exponentielle.
Sur le chapitre du « on aurait pu éviter », Bruce Schneier rebondit sur un article publié sur le blog QandO et à la réponse qu’en fait le journaliste d’investigation Kevin Drum sur Mother Jones : il est toujours tentant de confondre analyse post-événement et critique à posteriori. Il est tout aussi aisé de découvrir les « faisceaux d’évidence » une fois les catastrophes survenues. Surtout si certaines de ces évidences sont grossies à la lueur du passé, relèvent de l’invention, du fantasme, ou de la « preuve par répétition d’une information non vérifiée », voir de la juxtaposition de faits sans rapport direct. Ainsi le récent battage médiatique à propos de l’espionnage de l’industrie pétrolière américaine dévoilé par hasard dans la semaine suivant l’affaire Google. Tout çà n’est ni du journalisme, ni de « l’analyse forensic » sérieuse.