Les "hacktivistes"
No peace in Cyberespace
REALIST: Nous avons voulu donner la parole à un ingénieur expert en cyber attaques qui a souhaité garder l'anonymat. Au delà du "dark-web", les spécialistes commencent à détecter des signaux alarmants qui se mettent en ordre de marche ...
Le cyberespace n'est encore pas ce monde paisible de pur progrès qui aurait pu compenser les désastres du monde réel, ces 10 dernières années laissent sans-illusion.
"L’amplification des tensions internationales se matérialisera inévitablement dans le Cyberespace" confirme G. Poupard le Directeur Général (ou Maréchal ?) de l'ANSSI. Car l'Agence Nationale de Sécurité de Système d'Information, Xème Armée, mène continuellement ses guerres et de plus en plus intensément. Contre qui exactement ? 10 États sont connus pour leur implication dans les cyberattaques, se cachant derrière des organisations. Criminelles ou terroristes ? Ou encore tactiques ou stratégiques ? Des enjeux internationaux sans qu'il n'y soit question de frontières, des cyber-armes sophistiquées ou massives, tout cela est-il bien REALIST ?
Ce qu'on perçoit du Cyberespace : internet et les terminaux (mobile, PC, tablette), les réseaux de télécommunication, serveurs voire datacenter et objets connectés. La face cachée : pas seulement le darknet mais tout ce qui s'interconnecte, diffuse ou traite de l'information et le cas échéant pilote la réalité, du tout petit quotidien de chacun au vital de larges régions du monde. Et de facto accumule un immense pouvoir de catastrophe. Intrigue, inquiète, fait marcher les imaginations…Panne géante, centrale nucléaire infernale, retour à la case avant-internet, plus de son plus d'images en temps réel, perte de contrôle en chaine, vies en danger : à ce jour circonscris à une zone, limité dans le temps ou évité, aucun Cyber 9 11 ou Cyber Covid n'a traumatisé ce début de 21 ème siècle. Jusque là…
REALIST : US, Chine, Russie, aujourd'hui qui domine le cyberespace ?
Tenter d'esquisser une Géopolitique du Cyberespace qui tienne compte des évènements les plus récents n'est pas plus aisé qu'il n'était possible de déterminer à l'automne 21 si l'inflation allait s'installer ou pas. Depuis des années, le monde de la cybersécurité regarde se forger les forces en présence tout comme les économistes ont pendant des années centré leurs recherches sur la mondialisation finalement toutes rabattues en ce début des années vingt, covid puis la guerre. On peut craindre un bouleversement identique en ce qui concerne la Géopolitique dont le cyberespace est devenu un facteur d'influence majeur. En donnant des signaux tels que la capacité à posséder telle information, ou la preuve de la capacité à pénétrer dans un système un autre rapport de force s’est établi entre les nations.
S'agissant d'organisations adossées à des pays, un recensement contemplatif s'est opéré : il s'est même crée une nomenclature pour ça, un trigramme suivi d'un numéro, les APT XX, Advanced Persistent Threat, et de nombreuses informations collectées, leurs territoires, leurs secteurs de prédilection etc... Commencé avec l'APT 1 "Unité 61398" ou " Comment Crew" en 2014, branche présumée de l'Armée populaire de Chine, on y trouve une très longue suite de Chine (APT 1 à 20 quasiment puis d'autres jusqu'à 40), Iran dans les APT-30, Corée du Nord, Russie, Vietnam…comme souvent en informatique leurs noms peuvent prêter à sourire : Maverick Panda, Fancy Bear, Double dragon, Uncool, Sushi Roll, PittyTiger…
La liste des secteurs visés (Défense, Instances Gouvernementales, Energie dont Nucléaire, Telecom…) et leurs faits d'arme efface tout sourire, et il ne reste plus aucun humour pour s'amuser des noms de leurs vecteurs d'attaque - les missiles… Connus et répertoriés comme la face apparente des icebergs, la lecture des rapports d’explorateurs de la recherche Cyber jette un grand froid.
Les US ne sont pas en reste, mais agissent plus pour signaler - regarde ce que sais faire, espionner et défendre. Premier employeur de mathématiciens des US, la NSA, énorme budget permettant une non moins énorme puissance de calcul, ils seraient surement les mieux placés pour relever les défis du chiffrement (encryption) qui est la clé (!) de la réussite en matière d'attaque. A ce propos, seuls les US et la Chine sont également crédibles en ce qui concerne la recherche en informatique quantique : en rupture tant dans la conception du matériel que d'une nouvelle algorithmique à inventer, c'est surement la menace la plus terrifiante puisque potentiellement capable de casser tous les codes connus à ce jour.
Quant au terrorisme, à l'instar de "Cybercaliphate" qui en 2015 a été le volet cyber de la tragique vague d'attentats islamistes avec l'attaque de TV5 Monde les organisations terroristes manquent de moyens pour être réellement menaçantes. De même les hacktivistes agissant indépendamment d'un état sont sur des coups mais ne déroulent pas une stratégie et surtout ne disposent pas de puissance de frappe.
REALIST : Les impacts sont souvent bien décrits et faciles à appréhender, mais la curiosité générale concernant la manière de procéder à une attaque butte très souvent sur le jargon employé et la méconnaissance des Réseaux et des Systèmes Informatiques. Comment se font les attaques à grande échelle et comment s'en défendre ?
Si la recette pour extorquer une rançon d'une entreprise mal préparée est finalement plutôt simple et bien connue, à la portée d'un individu un peu habile en technologies de l'information, il n'en va pas de même pour la "kill chain" des APT.
Kill chain c'est le plan de bataille qui se déroule à l'abris de tous les contrôles : phase de reconnaissance, armement et préparation, intrusion et installation de la charge (malware, ransomware, backdoor, script, cryptolocker) ou simplement sabotage, ou encore action répétée au cours du temps comme l'aspiration de données. Ne pas se décourager, il faut du temps pour comprendre exactement comment fonctionnent ces armes mais ces charges permettent des impacts et des bénéfices pour l'attaquant variables : tout est question d'objectif et de puissance.
La kill chain diffère pour les APT en ce sens que lorsque les états soutiennent, tout est infini ou presque : le renseignement se fait en continu par des agence étatiques à gros budgets, le choix des armes adaptatif dans un arsenal en perpétuel développement, toujours plus spécifique (il existe des outils ultra spécialisés pour cibler les dispositifs de production industriels ICS / SCADA), les moyens de pénétrations multiples… l' installation des charges peut se faire sur une longue durée, l'exploitation souvent persistante et invasive, telle une occupation pendant laquelle chaque prise est à son tour enrôlé pour servir à augmenter la potentielle force de frappe…
Quant aux effets réels, la connaissance en est toute relative : seul l'attaquant en connait l'exhaustivité.
La défense contre ces APT est plurielle : agences (ANSSI pour la France, CISA pour les US, NIS pour l'Europe), les nombreux organismes de recherche en cybersécurité souvent privés qui conseillent entreprises et pays, et l'implication de toutes les cibles potentielles. Toutes, pas seulement les OIV (opérateurs d'infra vitales) que sont les opérateurs d'Energie, l'Armée, les Opérateurs Télécom, les Hôpitaux…
REALIST: Aujourd'hui que peut-on craindre exactement?
A part les 3 premiers jours de la guerre en Ukraine ou les attaques contre l'armée et les institutions gouvernementales ont augmenté de 200% (196%, according to Check Point Research (CPR)) elles ont baissé partout dans le monde sur cette période spéciale. Immédiatement les media ont déployé des efforts considérables et pris des risques démesurés pour tout nous montrer mais quasiment rien sur la face cachée numérique. Si les volontariats de tous acabits ont fait l’objet de toutes les attentions, Europe, Pologne, ukrainiens à l'étranger ou étrangers révoltés, on peut aussi s’émouvoir d’une toute nouvelle forme plus discrète de solidarité humaine : 400,000 multinational hackers se sont constitués en une « IT army » pour mener la guerre sur cet autre champ de bataille.
Au fil de l'observation des évènements de ces derniers mois se dessine un phénomène bien moins positif :
Par exemple un sabotage de l'opérateur Vodafone Portugal en Fevrier, plus aucun service ni 4G ni internet ni TV, sans revendication et sans trace. Comme un galop d’essai…surement des mois de préparation et des moyens conséquents pour saboter le socle de tous les services de l'opérateur et s'assurer d'une remise en service considérablement complexifiée. Encore un signal fort ?
Par exemple le Costa Rica qui se trouve désormais sous la coupe d'attaquants rançonneurs paralysant les instances gouvernementales et de santé. Evidente la fragilité d'un grand nombre de petits pays en retard dans leur système de défense, de très grands comme l'Inde ayant pris la mesure accélèrent la cadence.
Par exemple les attaques DDOS (déni de service par invasion d’un grand volume de serveurs) que subissent Opérateurs d’Infrastructures et acteurs majeurs de l'internet (GAFA, opérateurs de cloud etc…) qui sont de plus en plus puissantes (pouvant atteindre le Terabit/s) et fréquentes.
Autant de signes récents d’une hacktivité pourtant souvent bien dissimulée par les pays victimes, toujours plus sophistiquée, intense, toujours à la limite de la catastrophe mais jusqu’à quand… ces essais grandeur nature dont les auteurs ne sont pas clairement identifiés et les parades inégalement efficaces pourraient bien être l'annonce que de très grosses pièces sont en train de se mettre en place sur l'échiquier.