Petya Petrova - Fotolia

L’armée américaine veut s’approprier les cyberarmes de ses adversaires

L’agence du renseignement de l’armée américaine veut isoler, étudier, personnaliser et adapter les logiciels malveillants de ses adversaires pour les utiliser comme ses propres cyberarmes offensives.

L’agence du renseignement de l’armée américaine, la Defense Intelligence Agency, vient d’indiquer qu’elle souhaite adapter les logiciels malveillants de ses adversaires pour les utiliser, à son avantage, comme cyberarmes. Mais pour beaucoup, il pourrait moins s’agir d’un projet concret que d’un signal d’un changement d’approche, moins défensive et plus ouvertement offensive.

Le Lieutenant Général Vincent Stewart, directeur de l’agence, exprimait ainsi son intérêt pour les cyberarmes lors d’une conférence à Saint Louis, la semaine dernière : « une fois que nous avons isolé le logiciel malveillant, je veux que l’on l’adapte et que l’on le prépare pour l’utiliser contre le même adversaire qui a cherché à l’utiliser contre nous ».

Le discours renvoie directement à celui tenu par Art Coviello, alors président exécutif de RSA, début 2014. Il appelait alors les états à renoncer aux armes numériques, soulignant que « le point clé est que les cyberarmes peuvent être retournées contre leurs créateurs ». Art Coviello tentait d’interpeler : « On pourrait penser que je suis naïf d’imaginer que les nations vont abandonner les cyberarmes. Mais que se passera-t-il quand les terroristes mettront la main sur ces armes. Que se passera-t-il dans dix ou quinze ans lorsque l’Internet des objets ne sera plus constitué d’un milliard d’objets connectés, mais de deux cents voire trois cents milliards d’entre eux ? Et qu’un enfant, dans son sous-sol, développera une attaque destructrice et la lancera de chez lui sans réaliser ce qu’il est en train de faire ? Ne pensez-vous pas que l’on doive parler de ça ? »

Un simple effet de manches ?

L’histoire ne donne par l’impression que l’appel d’Art Coviello ait été entendu. Mais pour Jonathan Sander, directeur technique de Stealthbits Technologies, il convient de ne pas trop prendre au pied de la lettre les propos de Vincent Stewart. Pour lui, ceux-ci partent de l’idée selon laquelle les Etats-Unis auraient eu une posture limitée à l’approche défense, « mais les fuites des cyberarmes de la NSA, comme EternalBlue, montrent que c’est loin d’être vrai ». Pour lui, « il est claire que les Etats-Unis disposent d’une équipe rouge active et très capable qui découvre ses propres actifs numériques pour en faire des armes. Bien sûr, l’armée va aussi collecter, analyser et apprendre toute arme utilisée contre elle. Mais ce n’est pas vraiment une nouveauté ».

De la même manière, Mounir Hahad, directeur sénior de Cyphort Labs, estime que les propos de Vincent Stewart « sont étudiés pour convaincre d’une intention plus active que par le passé ». Pour autant, selon lui, « le gouvernement américain ne tirerait aucun avantage à réutiliser des logiciels malveillants développés par des adversaires. Les Etats-Unis sont pleinement capables de développer les leurs et de provoquer les dommages qu’ils veulent. Qui plus est, les cibles peuvent être radicalement différentes, d’un point de vue technologique. Une arme fonctionnant contre des cibles aux Etats-Unis peut être totalement inopérante contre une cible avec un niveau d’automatisation différent ».

Plus facile à dire qu’à faire

Mais ce n’est pas tout. Jake Williams, fondateur de Rendition InfoSec, souligne que la rétro-ingénierie « est une compétence bien plus spécialisée que la programmation. L’effort requis là est bien plus élevé que celui associé au développement de ses propres logiciels malveillants ».

Et c’est d’autant plus vrai que les attaquants les plus sophistiqués font tout pour rendre plus difficile et laborieux le travail des analystes se penchant sur leurs logiciels malveillants. Georgia Weidman, fondatrice et directrice technique de Shevirah, souligne ainsi les efforts de masquage du code, ou encore de protection contre les environnements d’analyse : les logociels malveillants sophistiqués « peuvent se comporter de manière différente selon l’environnement, tentant de détecter s’ils sont dans un bac à sable ou une machine virtuelle ».

Pour elle, c’est bien simple : « changer simplement l’information sur la cible dans un logiciel malveillant et le renvoyer dans la nature pourrait être dévastateur, avec des conséquences imprévues si le logiciel n’est pas pleinement compris ». Et justement, « il y a de nombreux exemples de code librement accessible en ligne qui doit soi-disant attaquer un ennemi, mais qui en fait attaque la machine qui cherche à lancer l’attaque, faisant de l’attaquant une victime ». Pour elle, le gouvernement ne devrait croire qu’il peut contrôler des cyberarmes qu’il n’a pas créées.

Avec nos confrères de SearchSecurity.com (groupe TechTarget)

Pour approfondir sur Cyberdéfense