Cyberarme
15/12/23 16:12
Il est fait référence assez régulièrement, notamment dans les media, aux cyberarmes. A mon sens il est important de distinguer les agents et logiciels malfaisants couramment rencontrés dans notre écosystème et les armes cybernétiques proprement dites. J’ai déjà abordé le point et personnellement je ne crois pas en la cyberguerre comme un déplacement des conflits du domaine physique vers le cyberespace. En tout cas dans un avenir proche. Mais il n’en reste pas moins que le cyberespace constitue un nouveau domaine opératif et que pour y opérer il faut disposer d’un arsenal adapté, c’est-à-dire de cyberarmes.
Comment pouvons-nous définir une cyberarme ? Les rançongiciels et les logiciels malfaisants en général peuvent-il être considérer comme des armes cybernétiques ?
Classiquement, l’analyse stratégique estime qu’une arme n’existe qu’en fonction de sa destination, l’arme suppose une intention malveillante. Cela se constate facilement dans le cas des biens dits à double usage qui sont dans la plupart des cas destinés à des applications civiles, mais qui peuvent être utilisés à des fins militaires. A ce titre, leur exportation est soumise à autorisation, c’est le cas notamment de tous les équipements et solutions disposant de capacité de chiffrement.
Les agents et logiciels du domaine cyber, comme les agents chimiques ou les lasers, sont des biens à double usage, ils peuvent être utilisés à des fins civiles et militaires. De plus, leur finalité peut être aussi bien pacifique que malveillante (exemple du Metasploit Framework et de beaucoup d’outils de ce type). Toutefois, l’inverse n’est pas vérifiable : s’il est possible de se servir d’outils ou biens divers pour en faire des armes, les biens fabriqués pour être des armes sont difficilement employables à autre chose. C’est le cas évident du rançongiciel, il est difficile de lui trouver une application pacifique et utile. Une autre particularité est qu’elles sont développées et utilisées par des acteurs différents pouvant entretenir des liens (ventes, mises à disposition, échanges de compétences, etc.). Ainsi, aux côtés des États, le secteur privé et des acteurs non étatiques, tels que des hackers et des groupes liés aux réseaux mafieux ou criminels, développent et utilisent ce que nous pouvons considérer comme des armes cyber.
La notion de cyberarme n’est pas radicalement nouvelle, même si elle est peu employée en général et assez récente dans l’arsenal à disposition des états. La relative faible fréquence d’emploi du terme, s’explique par plusieurs facteurs : un certain refus de considérer la conflictualité du cyberespace, la difficulté d’attribution de l’origine et de l’intention, la difficulté voire l’impossibilité de concevoir une arme cybernétique universelle ou à minima réemployable facilement.
Dans cet arsenal protéiforme d’armes cybernétiques et de biens à double usage, nous pourrions distinguer deux classes d’armement : celle générique de ressources utilisées de manière opportuniste, sans que la cible soit connue au préalable par l’attaquant et dont le but est essentiellement mercantile, et celle de ressources développées dans l’intention de mener une offensive sur une cible déterminée.
Une autre caractéristique, celle-ci générique à tout type d’arme, est que l’arme n’existe également qu’en fonction de la protection qui lui est opposée.
Si nous continuons l’analogie avec le domaine, militaire, ce qui semble logique lorsqu’il s’agit d’arme, l’arsenal, qu’il soit offensif ou défensif, n’est mis en œuvre que contre une cible explicitement connue et définie qui est l’ennemi dans le cas d’un conflit de haute intensité, autrement dit une guerre. Il n’est jamais fait usage d’armes de manière opportuniste sans ennemi identifié. Cela pourrait permettre de faire une distinction entre l’usage de ressources de manière opportunistes qui useraient de cyberattaques et l’usage ciblé contre un objectif déterminé qui mettrait en œuvre des cyberarmes.
Il faut se méfier de l’idée courante selon laquelle le milieu cyber est privilégié par les acteurs asymétriques grâce à ces caractéristiques supposées : faibles moyens et faible coût, représailles difficiles (difficulté de l’attribution), dégâts très importants. En effet, la très forte contextualisation d’une cyberarme fait qu’elle est en général conçue en fonction de la cible et suppose donc des moyens considérables : Stuxnet par exemple n’est adapté qu’à une seule cible particulière et son coût est donc très important.
J’en profite du coup pour faire un rappel sur Stuxnet, pour lequel il est maintenant communément admis qu’il s’agit de la première cyberarme publiquement connue.
Pour faire simple, Stuxnet est un ver informatique ciblant les systèmes de contrôle industriel des centrifugeuses Siemens servant à enrichir l'uranium et qui a été révélé en 2010.
Tout ce qui suit n’est que pure supputation puisqu’officiellement personne n’a reconnu ni revendiqué la paternité de ce malware.
L'origine de Stuxnet remonte probablement à 2005 sous la présidence de George W. Bush dans le cadre de l'opération Olympic Games, qui se voulait une alternative non violente pour enrayer le programme potentiel de développement d'armes nucléaires par l'Iran. Il est probablement le fruit de la collaboration de la NSA, de la CIA, et de l'unité de renseignement israélienne 8200. Officiellement, aucun gouvernement n'a reconnu le développement de Stuxnet, mais le fait que ce malware fut présenté comme un des succès de Gabi Ashkenazi lors de son départ en retraite en 2011 peut constituer une indication.
Stuxnet a été conçu comme un outil visant à faire échouer le programme de développement d'armes nucléaires de l'Iran, ou tout du moins le retarder. Il est probable qu'il y ait eu deux phases : une première introduisant des dysfonctionnements et des erreurs mais sans détérioration qui a pu passer inaperçu pendant un certain temps et une seconde plus violente débouchant sur la destruction des équipements. La sophistication du malware le fait appartenir à la classe des APT. Il exploitait quatre vulnérabilités zero-day de Windows ainsi que deux failles dans le PLC Siemens dont une zero-day. C'est un nombre anormalement élevé de vulnérabilités dans un malware. Évidemment, le complexe Natanz en Iran qui était ciblé, mettait en œuvre les approches de type douve (air gap) et les systèmes informatiques étaient déconnectés d'internet. Pour se propager, Stuxnet a été introduit à partir d'un support amovible (clé USB) par un employé, il s'est ensuite latéralisé sur le réseau local. Il avait des capacités rootkit en mode utilisateur et kernel qui pour s'installer utilisaient des pilotes signés numériquement dont les clés privées avaient été volées auprès des fabricants. Un très haut niveau de sophistication qui montre une implication étatique.
En ce qui concerne la spécialisation des armes cyber, ou pour le moins leur très difficile conditions de réemploi, certains rétorqueront que les infrastructures sont conçues selon des architectures identiques ou similaires et que cela facilite les attaques sur les points faibles connus. Mais justement, parce qu’ils sont connus, ce seront les premiers à être durcis et concevoir une cyberarme sur ces points est inefficace. Il faut donc concevoir des attaques ciblant des points de faiblesse peu ou pas connus, cela augmente considérablement le prix de l’arme ainsi élaborée, soit par l’achat de vulnérabilités zero day à des spécialistes, soit en les cherchant et découvrant soi-même ce qui nécessite une capacité et un investissement important.
Il n’y a donc pas, à ce jour et probablement pour longtemps, de cyberarme absolue pouvant être déployée de manière universelle cela a des conséquences stratégiques importante et limite le nombre d’organisations ou d’états ayant les capacités d’en concevoir une.
L’arme cyber est un somme toute un ajout récent à l’arsenal des États et sa signification stratégique reste difficile à déchiffrer. La difficulté d’attribution, et finalement le peu d’événements relatifs à son emploi n’aident pas à orienter son interprétation. Cette capacité récente est complexe et floue. Néanmoins, il est évident de cela représente un défi pour les mécanismes de sécurité hérités du passé. Comment organiser une dissuasion dans le cyberespace et comment contrôler la conflictualité qui s’y répand ?
Les doctrines stratégiques en vigueur ne semblent pas apporter de réponse satisfaisante à ces questions. En général la dissuasion consiste à affirmer que les cibles potentielles sont prêtes à répondre à une cyberattaque par la force, y compris dans des domaines opératifs distincts. Mais sans établir de seuils pour une telle réponse.
Un dernier point peut-être : du fait de l’extrême spécialisation des armes cyber, les risques de dommages collatéraux touchant des installations non directement visées semblent moins élevés que dans le cas d’attaques opportunistes mais cela ne veut pas dire qu’ils n’existent pas. En septembre 2011 alors qu'Areva subissait une cyberattaque, des media ont expliqué qu’elle était le fait de Stuxnet. L'IRSN a démenti, indiquant qu'en France, seul le réacteur nucléaire EPR en construction à Flamanville utilisait un système de contrôle-commande Siemens mais basé sur la technologie S5 et non pas S7 ciblé par le malware et que les ordinateurs de supervision n'étaient pas basés sur Windows. Cela ne fait que renforcer l’idée de la spécialisation des cyberarmes et la difficulté de leur réemploi. Il est probable qu’à moyen terme ce constat évoluera, les machines apprenantes, les évolutions constantes dans le domaine de ce qu’il est commun d’appeler l’intelligence artificielle permettrons probablement d’apporter une forme d’universalité aux armes cyber. Des essaims de petits automates évolutifs, interconnectés et dotés de capacités d’apprentissages permettrons peut-être de cibler avec succès n’importe quel objectif désigné. A n’en pas douter, il est probable que les capacités de défense évolueront aussi dans des proportions similaires.
Comme dans toute zone de conflictualité, les évolutions des capacités offensives et défensives s’alimentent entre elles.
Comment pouvons-nous définir une cyberarme ? Les rançongiciels et les logiciels malfaisants en général peuvent-il être considérer comme des armes cybernétiques ?
Classiquement, l’analyse stratégique estime qu’une arme n’existe qu’en fonction de sa destination, l’arme suppose une intention malveillante. Cela se constate facilement dans le cas des biens dits à double usage qui sont dans la plupart des cas destinés à des applications civiles, mais qui peuvent être utilisés à des fins militaires. A ce titre, leur exportation est soumise à autorisation, c’est le cas notamment de tous les équipements et solutions disposant de capacité de chiffrement.
Les agents et logiciels du domaine cyber, comme les agents chimiques ou les lasers, sont des biens à double usage, ils peuvent être utilisés à des fins civiles et militaires. De plus, leur finalité peut être aussi bien pacifique que malveillante (exemple du Metasploit Framework et de beaucoup d’outils de ce type). Toutefois, l’inverse n’est pas vérifiable : s’il est possible de se servir d’outils ou biens divers pour en faire des armes, les biens fabriqués pour être des armes sont difficilement employables à autre chose. C’est le cas évident du rançongiciel, il est difficile de lui trouver une application pacifique et utile. Une autre particularité est qu’elles sont développées et utilisées par des acteurs différents pouvant entretenir des liens (ventes, mises à disposition, échanges de compétences, etc.). Ainsi, aux côtés des États, le secteur privé et des acteurs non étatiques, tels que des hackers et des groupes liés aux réseaux mafieux ou criminels, développent et utilisent ce que nous pouvons considérer comme des armes cyber.
La notion de cyberarme n’est pas radicalement nouvelle, même si elle est peu employée en général et assez récente dans l’arsenal à disposition des états. La relative faible fréquence d’emploi du terme, s’explique par plusieurs facteurs : un certain refus de considérer la conflictualité du cyberespace, la difficulté d’attribution de l’origine et de l’intention, la difficulté voire l’impossibilité de concevoir une arme cybernétique universelle ou à minima réemployable facilement.
Dans cet arsenal protéiforme d’armes cybernétiques et de biens à double usage, nous pourrions distinguer deux classes d’armement : celle générique de ressources utilisées de manière opportuniste, sans que la cible soit connue au préalable par l’attaquant et dont le but est essentiellement mercantile, et celle de ressources développées dans l’intention de mener une offensive sur une cible déterminée.
Une autre caractéristique, celle-ci générique à tout type d’arme, est que l’arme n’existe également qu’en fonction de la protection qui lui est opposée.
Si nous continuons l’analogie avec le domaine, militaire, ce qui semble logique lorsqu’il s’agit d’arme, l’arsenal, qu’il soit offensif ou défensif, n’est mis en œuvre que contre une cible explicitement connue et définie qui est l’ennemi dans le cas d’un conflit de haute intensité, autrement dit une guerre. Il n’est jamais fait usage d’armes de manière opportuniste sans ennemi identifié. Cela pourrait permettre de faire une distinction entre l’usage de ressources de manière opportunistes qui useraient de cyberattaques et l’usage ciblé contre un objectif déterminé qui mettrait en œuvre des cyberarmes.
Il faut se méfier de l’idée courante selon laquelle le milieu cyber est privilégié par les acteurs asymétriques grâce à ces caractéristiques supposées : faibles moyens et faible coût, représailles difficiles (difficulté de l’attribution), dégâts très importants. En effet, la très forte contextualisation d’une cyberarme fait qu’elle est en général conçue en fonction de la cible et suppose donc des moyens considérables : Stuxnet par exemple n’est adapté qu’à une seule cible particulière et son coût est donc très important.
J’en profite du coup pour faire un rappel sur Stuxnet, pour lequel il est maintenant communément admis qu’il s’agit de la première cyberarme publiquement connue.
Pour faire simple, Stuxnet est un ver informatique ciblant les systèmes de contrôle industriel des centrifugeuses Siemens servant à enrichir l'uranium et qui a été révélé en 2010.
Tout ce qui suit n’est que pure supputation puisqu’officiellement personne n’a reconnu ni revendiqué la paternité de ce malware.
L'origine de Stuxnet remonte probablement à 2005 sous la présidence de George W. Bush dans le cadre de l'opération Olympic Games, qui se voulait une alternative non violente pour enrayer le programme potentiel de développement d'armes nucléaires par l'Iran. Il est probablement le fruit de la collaboration de la NSA, de la CIA, et de l'unité de renseignement israélienne 8200. Officiellement, aucun gouvernement n'a reconnu le développement de Stuxnet, mais le fait que ce malware fut présenté comme un des succès de Gabi Ashkenazi lors de son départ en retraite en 2011 peut constituer une indication.
Stuxnet a été conçu comme un outil visant à faire échouer le programme de développement d'armes nucléaires de l'Iran, ou tout du moins le retarder. Il est probable qu'il y ait eu deux phases : une première introduisant des dysfonctionnements et des erreurs mais sans détérioration qui a pu passer inaperçu pendant un certain temps et une seconde plus violente débouchant sur la destruction des équipements. La sophistication du malware le fait appartenir à la classe des APT. Il exploitait quatre vulnérabilités zero-day de Windows ainsi que deux failles dans le PLC Siemens dont une zero-day. C'est un nombre anormalement élevé de vulnérabilités dans un malware. Évidemment, le complexe Natanz en Iran qui était ciblé, mettait en œuvre les approches de type douve (air gap) et les systèmes informatiques étaient déconnectés d'internet. Pour se propager, Stuxnet a été introduit à partir d'un support amovible (clé USB) par un employé, il s'est ensuite latéralisé sur le réseau local. Il avait des capacités rootkit en mode utilisateur et kernel qui pour s'installer utilisaient des pilotes signés numériquement dont les clés privées avaient été volées auprès des fabricants. Un très haut niveau de sophistication qui montre une implication étatique.
En ce qui concerne la spécialisation des armes cyber, ou pour le moins leur très difficile conditions de réemploi, certains rétorqueront que les infrastructures sont conçues selon des architectures identiques ou similaires et que cela facilite les attaques sur les points faibles connus. Mais justement, parce qu’ils sont connus, ce seront les premiers à être durcis et concevoir une cyberarme sur ces points est inefficace. Il faut donc concevoir des attaques ciblant des points de faiblesse peu ou pas connus, cela augmente considérablement le prix de l’arme ainsi élaborée, soit par l’achat de vulnérabilités zero day à des spécialistes, soit en les cherchant et découvrant soi-même ce qui nécessite une capacité et un investissement important.
Il n’y a donc pas, à ce jour et probablement pour longtemps, de cyberarme absolue pouvant être déployée de manière universelle cela a des conséquences stratégiques importante et limite le nombre d’organisations ou d’états ayant les capacités d’en concevoir une.
L’arme cyber est un somme toute un ajout récent à l’arsenal des États et sa signification stratégique reste difficile à déchiffrer. La difficulté d’attribution, et finalement le peu d’événements relatifs à son emploi n’aident pas à orienter son interprétation. Cette capacité récente est complexe et floue. Néanmoins, il est évident de cela représente un défi pour les mécanismes de sécurité hérités du passé. Comment organiser une dissuasion dans le cyberespace et comment contrôler la conflictualité qui s’y répand ?
Les doctrines stratégiques en vigueur ne semblent pas apporter de réponse satisfaisante à ces questions. En général la dissuasion consiste à affirmer que les cibles potentielles sont prêtes à répondre à une cyberattaque par la force, y compris dans des domaines opératifs distincts. Mais sans établir de seuils pour une telle réponse.
Un dernier point peut-être : du fait de l’extrême spécialisation des armes cyber, les risques de dommages collatéraux touchant des installations non directement visées semblent moins élevés que dans le cas d’attaques opportunistes mais cela ne veut pas dire qu’ils n’existent pas. En septembre 2011 alors qu'Areva subissait une cyberattaque, des media ont expliqué qu’elle était le fait de Stuxnet. L'IRSN a démenti, indiquant qu'en France, seul le réacteur nucléaire EPR en construction à Flamanville utilisait un système de contrôle-commande Siemens mais basé sur la technologie S5 et non pas S7 ciblé par le malware et que les ordinateurs de supervision n'étaient pas basés sur Windows. Cela ne fait que renforcer l’idée de la spécialisation des cyberarmes et la difficulté de leur réemploi. Il est probable qu’à moyen terme ce constat évoluera, les machines apprenantes, les évolutions constantes dans le domaine de ce qu’il est commun d’appeler l’intelligence artificielle permettrons probablement d’apporter une forme d’universalité aux armes cyber. Des essaims de petits automates évolutifs, interconnectés et dotés de capacités d’apprentissages permettrons peut-être de cibler avec succès n’importe quel objectif désigné. A n’en pas douter, il est probable que les capacités de défense évolueront aussi dans des proportions similaires.
Comme dans toute zone de conflictualité, les évolutions des capacités offensives et défensives s’alimentent entre elles.