Une cyberattaque sophistiquée et de grande ampleur a visé depuis mars les Etats-Unis et ébranle le monde de la cyberdéfense. SolarWinds, un éditeur de logiciel américain, a été utilisé par les pirates pour s’infiltrer dans les systèmes informatiques des départements du Trésor et du commerce et des ministères de l’Intérieur ainis que de de la Santé. Laurent C., expert en cyberdéfense et enseignant à l’IEP Paris, analyse les enjeux de ces attaques.
Une attaque classique par la supply chain
Il semble aujourd’hui établi que l’attaque a débuté il y a plusieurs mois par l’infiltration de la société Solarwinds dont le logiciel Orion, logiciel spécialisé dans la gestion des grandes infrastructures informatiques, est très présent dans les administrations et les grandes entreprises américaines.
Cette infiltration initiale a permis de placer un malware discret dans une mise à jour d’Orion. Dès lors, tous les clients d’Orion ont de fait téléchargé le malware à l’occasion de la mise en place de la nouvelle version. Une fois installé, ce malware a constitué un harpon permettant de télécharger à l’insu de la victime des capacités plus importantes permettant à l’attaquant de se déplacer dans le réseau de la victime puis d’élever ses privilèges afin de mener ses actions, qu’elles soient de renseignement ou potentiellement de sabotage.
Potentiellement, tous les clients de Solarwinds ayant téléchargé la mise à jour ont aujourd’hui leur réseau compromis, c’est à dire qu’un attaquant pourrait prendre le contrôle de leur système d’information. En soi, cette technique d’attaque par la supply chain est assez classique.
Une cyberattaque innovante par son caractère industriel.
L’attaquant a réussi à trouver le moyen de pénétrer l’ensemble de ses principales cibles, les grandes entreprises et administrations américaines, en une seule action auprès d’un sous-traitant. C’est d’autant plus efficace que le logiciel Orion, en raison de sa tâche d’administration des systèmes d’information, dispose par défaut de privilèges élevés.
Il faut toutefois garder à l’esprit que cela ne représente que la première phase de l’attaque : derrière l’intrusion il y a toute la phase d’exploitation qui devra être réalisée cible par cible et exigera des ressources nombreuses et expertes. Cette phase d’exploitation devra combiner à la fois des capacités techniques pour mettre en place et sécuriser les accès à distance sans se faire repérer par les dispositifs défensifs de la victime mais aussi des capacités de renseignement « pures », c’est-à-dire de collecte et d’analyse pour déterminer les informations ayant de la valeur. Ces informations peuvent être de nature très différentes. Elles peuvent être des documents ayant une valeur intrinsèque, comme des plans, des stratégies, des formules directement exploitables mais aussi des connections avec d’autres entreprises ou organismes, des organigrammes… permettant potentiellement de conduire d’autres actions par rebond.
Lorsque l’on sait la difficulté dans les grandes structures, même pour un employé légitime, d’accéder à la bonne information pour réaliser son travail, il faut s’imaginer la difficulté pour un attaquant sous contrainte de temps et de discrétion, alors même qu’il ne maîtrise pas forcément ni la langue, ni le métier de sa cible. Pour pallier cette difficulté, les attaquants se mettent à utiliser de l’intelligence artificielle, notamment en détournant celle incluse nativement dans les moteurs de recherche disponibles dans les applications de bureautique courantes.
C’est d’ailleurs dans la phase d’exploitation au sein d’une des victimes (la société spécialisée en cybersécurité Fireeye) que l’attaque a été découverte.
Au final, la phase de pénétration a été menée de manière industrielle, mais son exploitation reste une entreprise plus artisanale.
La phase de pénétration a été menée de manière industrielle, mais son exploitation reste une entreprise plus artisanale.
La question russe
L’attribution d’une attaque à un Etat ou à un groupe particulier est un acte éminemment politique. Même si cette attribution peut être soutenue par des éléments techniques ou des hypothèses sur l’intérêt de l’attaque, il demeure toujours une part d’incertitude sur l’identité véritable de l’attaquant. Qui est véritablement derrière le clavier qui a mené l’attaque ? Des fausses indications, comme des caractères cyrilliques ou chinois, des adresses de connections géolocalisées peuvent être mises par les attaquants pour brouiller les pistes.
Les revendications sont rares dans les attaques cyber, l’anonymat permis par la technique reste la règle. Finalement, l’attribution n’est quasi-certaine que lorsque des révélations sont réalisées par un ex-agent, comme ce fut le cas avec Edward Snowden.
La Russie semble être en mesure de mener des attaques de ce type et cela pourrait s’inscrire dans son agenda de déstabilisation des Occidentaux. Le caractère étatique, direct ou indirect, de l’attaque semble néanmoins établi. Une structure criminelle guidée par une recherche de profit facile et rapide ne se serait probablement pas engagée dans une attaque aussi complexe et vaste et aurait trouvé un moyen de monétiser cette attaque (paiement de rançon, revente d’informations).
Pourquoi les Etats-Unis? Pourquoi maintenant?
Des attaques comme celle de Solarwinds ne sont pas des attaques d’opportunité, liées à une actualité particulière, elles s’inscrivent dans une logique de pression stratégique à l’encontre d’un adversaire. La mise en place d’une telle attaque nécessite, même pour des puissances étatiques, des mois d’efforts.
Par ailleurs, la découverte de l’attaque semble être fortuite. Il est probable, sans être certain, que l’attaquant aurait préféré ne pas être découvert pour pouvoir continuer à exploiter sa présence. Un service de renseignement cherche toujours à préserver ses sources. Néanmoins, cette découverte, qui va entraver son action, n’est pas totalement négative pour l’attaquant. Elle a permis d’adresser un message politique et technique clair : « j’ai la capacité d’être présent dans les systèmes d’information des opérateurs essentiels au fonctionnement de votre économie et de vos institutions, ne me mésestimez pas !». A la veille de l’investiture du nouveau président américain, il est évident que ce message a dû avoir un certain écho au sein de la future administration.
Que faire?
Au-delà de l’information des victimes potentielles et la sécurisation de la source de l’attaque (le logiciel Orion) pour éviter une poursuite de la contamination, dans les prochains jours les autorités américaines vont devoir mener une campagne dite de « threat hunting » chez l’ensemble des victimes potentielles. Cela consiste à investiguer dans les réseaux des victimes pour rechercher la présence de l’attaquant (malware vecteur de l’attaque, traces de comportement suspects) mais aussi de faire la lumière sur les actions qu’il aurait pu mener depuis son intrusion (exfiltration de données, modifications de données ou de réglages, création de faux comptes,…).
Ces investigations sont complexes, longues et coûteuses d’autant plus lorsque les systèmes des victimes sont hétérogènes et ont peu de moyens de détection.
Dans des systèmes d’information vastes et complexes, l’investigation peut être sans fin. Il est quasi impossible d’affirmer l’absence totale d’attaquant ou de dispositifs dormants permettant à l’attaquant de revenir si besoin. On est dans de la maîtrise des risques et non dans l’éradication des risques. La priorité est donc d’empêcher ou du moins de rendre l’exploitation de l’attaque beaucoup plus difficile.
La priorité est désormais d’empêcher ou de rendre l’exploitation de l’attaque beaucoup plus difficile.
Cette approche est efficace face à des cybercriminels qui sont dans une logique de retour sur investissement à court terme et qui n’insisteront pas pour des gains hypothétiques. A l’inverse pour des acteurs étatiques, la persistance est un facteur essentiel : maintenir le doute chez l’adversaire sur sa capacité à l’entraver le moment venu.
Sous réserve que l’attribution soit confirmée, la riposte peut prendre des formes très variées. Elle peut prendre la forme d’une protestation diplomatique publique ou confidentielle, des manoeuvres d’influence notamment, un « hack back » sous forme d’une attaque cyber similaire sur des cibles équivalentes, mais aussi des actions dans le champ physique comme des manoeuvres militaires. La réponse à une attaque cyber n’est pas nécessairement cyber, l’ensemble de la panoplie des actions est disponible.
Cyberattaques et avenir de la guerre
Cette attaque confirme, s’il en était besoin, que l’espace numérique est devenu un champ de confrontation à part entière entre les puissances. Le numérique est devenu vital dans nos sociétés contemporaines, et de ce fait un champ dans lequel il est possible de faire pression sur son adversaire ou compétiteur. Impact, flexibilité, anonymat sont les caractéristiques principales des attaques dans le champ cyber ce qui explique les investissements massifs réalisés par toutes les puissances dans ce champ.
Néanmoins, ces mêmes puissances, dont l’économie et l’activité dépendent fortement du numérique, n’ont pas intérêt à le déstabiliser complètement ni à s’engager dans un conflit ouvert. La conflictualité dans l’espace cyber s’apparente ainsi davantage à de la guérilla que de la guerre à proprement parler. Il s’agit d’exploiter le cyber (renseignement, influence, sabotage,…) pour servir ses intérêts sans pour autant atteindre un seuil d’engagement des forces armées.
Pour être plus précis sur la nature de la conflictualité dans l’espace numérique il faut considérer ce dernier comme étant composé de trois couches : la couche physique avec les serveurs, les composants, les câbles sous-marins, les satellites mais aussi en extrapolant les matières premières nécessaires comme certaines terres rares, l’énergie électrique ; la couche logicielle avec l’ensemble des systèmes d’exploitation et les applications ; et enfin la couche sémantique comprenant les informations, idées et opinions véhiculées dans l’espace numérique, en particulier sur les réseaux sociaux.
Chacune de ces couches peut être exploitée dans la conflictualité cyber. Un acteur souhaitant accéder au rang de puissance cyber devra disposer de capacités dans chacune des trois couches et les combiner avantageusement pour atteindre ses objectifs. L’observation des récentes attaques attribuées à la Russie laisse penser qu’ils ont désormais un véritable savoir–faire dans les trois couches. On a ainsi entendu parler de manœuvres hostiles à proximité de satellites, de dispositifs d’interception sur les câbles sous-marins. L’attaque de Solarwinds est une illustration parfaite de maîtrise de la couche logicielle. Enfin, les actions de manipulation à l’occasion de l’élection américaine de 2015, la promotion de Russia Today ne laisse que peu de doutes quant à la capacité russe à utiliser la couche sémantique.
On peut donc considérer que la Russie constitue une puissance cyber complète, cercle jusqu’ici restreint aux seuls Etats-Unis.
La Russie constitue une puissance cyber complète, statut jusqu’ici réservé aux Etats-Unis.
Il se dessine donc progressivement, à l’image du monde physique, un monde numérique multipolaire mais, à date, sans instances ni organisations multilatérales.
La difficulté est de disposer d’une appréciation partagée du niveau de seuil. Les initiatives pour définir des normes de comportement dans l’espace numérique (interdiction de toucher les intérêts nucléaires, les systèmes politiques,…), premier pas avant d’envisager du droit, ont à ce jour toutes été des échecs. L’espace numérique est donc à date un océan bleu où chacun cherche à pousser son avantage.
Cyberguerre et dissuasion
Parler de capacité dissuasive pour le cyber semble, à date, excessif. En effet, contrairement aux capacités nucléaires, les capacités cyber n’ont pas encore ce caractère implacable, massif et destructeur, démontré par l’histoire et des essais réguliers, des frappes nucléaires. Le cyber est, contrairement au nucléaire, utilisé de manière courante et produit des effets, certes importants, mais sans commune mesure avec ceux d’un bombardement nucléaire.
Par ailleurs, une attaque cyber même préparée avec minutie reste sans garantie de succès. Un changement de configuration, la détection par la victime de signes de compromission et toute l’attaque peut être remise en cause. Néanmoins, sans atteindre « le caractère égalisateur de l’atome », le cyber permet à certains Etats de développer une capacité d’influence, de pression voir de rétorsion rapidement et avec des moyens relativement limités, du moins en comparaison des capacités conventionnelles.
« Une cyberattaque, même préparée avec minutie, reste sans garantie de succès »
EurAsia Prospective 