Course aux cyberarmes, logiciels destructeurs dormants… Le difficile apaisement du cyberespace
Course aux cyberarmes, logiciels destructeurs dormants… Le difficile apaisement du cyberespace
Par Martin Untersinger
Les autorités françaises s’inquiètent de dégâts futurs importants liés à des attaques informatiques, dans un cyberespace en état de conflit larvé permanent.
« La guerre cyber a commencé », a averti, le 18 janvier, la ministre de la défense, Florence Parly, lors de la présentation de la doctrine offensive sur Internet de l’armée française. Si cette « guerre » n’a, pour l’instant, pas fait – officiellement – de victime de chair et de sang, cet avertissement martial fait écho à un alarmisme grandissant de la part des autorités et de certains cercles d’experts de la sécurité informatique.
Cela fait plus de dix ans qu’est évoquée la perspective d’un « Pearl Harbor numérique », un scénario où un virus informatique sèmerait le chaos et la destruction. Il relève encore, heureusement, de la mauvaise science-fiction.
« Un baril de poudre »
Plusieurs facteurs contribuent cependant à une instabilité croissante et réelle de l’espace numérique, qui fait craindre à court terme des dégâts d’ampleur. D’abord, un monde de plus en plus informatisé et interconnecté, des réseaux de transport ou d’énergie aux « smart cities » en passant par un nombre croissant d’usines et de chaînes de production. Ensuite, ce que la chercheuse Frédérick Douzet, titulaire de la chaire Castex de cyberstratégie, décrivait dans les colonnes du Monde comme « une véritable course aux cyberarmes ». A savoir la volonté d’un nombre croissant de pays de se doter de capacités hostiles sur Internet, d’une augmentation de leur savoir-faire et de la volonté d’une poignée d’entre eux de croiser le fer, en dépit des embryons de règles internationales en la matière.
Depuis plusieurs mois, le responsable de la cybersécurité de l’Hexagone, Guillaume Poupard, tire la sonnette d’alarme. Il l’a de nouveau fait, la semaine dernière, à Lille, lors du Forum international sur la cybersécurité (FIC) :
« Ce qui nous préoccupe le plus aujourd’hui, ce sont des attaques où l’on ne voit pas quel est l’objectif. Ce n’est pas de l’espionnage, du détournement de données personnelles. Ce n’est pas encore du sabotage, [mais] des gens de très haut niveau qui préparent les conflits de demain. »
En se défendant de toute « exagération », celui qui dirige les 600 experts de l’Agence nationale de sécurité des systèmes d’information (ANSSI) y voit le « prépositionnement de charges ». « Ceux qui sont derrière ne sont pas des petits pirates ou des cybercriminels mais des services [étatiques], avec des moyens financiers et techniques importants s’inscrivant dans la durée. Si on place des charges explosives sous toutes les piles de pont du monde au cas où cela serve un jour, ça va exploser. On est en train de constituer un baril de poudre », a-t-il encore averti.
Un discours à l’unisson de la ministre de la défense, Florence Parly, lors de la présentation de la nouvelle doctrine offensive française. Le cyberespace, a-t-elle lancé, est un « lieu d’immense violence » dans lequel « tous les coups sont permis » et où « nous n’avons encore rien vu ». « Le cyber est une arme d’espionnage, mais elle est aussi une arme que des Etats utilisent pour déstabiliser, manipuler, entraver, saboter », a martelé la ministre.
De plus en plus d’exemples dans la nature
De fait, les experts en sécurité informatique découvrent de plus en plus fréquemment des logiciels malveillants qui ont pour objectif non pas d’espionner mais de détruire des données et de perturber gravement le fonctionnement de systèmes entiers.
En décembre 2015, au cœur de l’hiver, le logiciel malveillant BlackEnergy privait de courant des milliers de foyers ukrainiens. Un an plus tard – même lieu, même saison – le virus Industroyer, plus précis et plus évolué que son prédécesseur, mettait à l’arrêt un transformateur au nord de Kiev. Moins de six mois plus tard, le rançongiciel WannaCry se répandait comme une traînée de poudre et infectait des milliers d’entreprises et d’organisations, le système de santé britannique au premier chef. Rebelote un mois plus tard lorsque le logiciel NotPetya partait d’Ukraine pour se répandre dans le monde entier, occasionnant, selon les estimations les plus conservatrices, plus d’un milliard de dollars de dégâts. En 2017 apparaissait Triton, un logiciel conçu spécifiquement pour s’attaquer aux mécanismes de sûreté industrielle. L’année suivante, des chercheurs mettaient la main sur OlympicDestroyer, un programme malveillant destiné à perturber le fonctionnement des Jeux olympiques de Pyeongchang. Peu de temps après, à la veille de ligue des champions (en Ukraine, encore), les mêmes chercheurs retrouvent la trace de VPNFilter, capable de « couper l’accès à Internet de centaines de milliers de victimes ».
Les logiciels destructeurs « étaient plutôt rares et déployés dans des contextes spécifiques, mais ces cinq dernières années, la tendance s’est accentuée. De plus en plus d’Etats recourent à cette technique », éclaire Saher Naumann, experte des logiciels destructifs chez BAE Systems. « Les nouvelles attaques sont beaucoup plus impactantes que les premières. Il y en a de plus en plus car c’est un moyen rapide et efficace de perturber un environnement », explique aussi Thomas Roccia, qui a également analysé ce type de logiciels pour l’entreprise McAfee. « Dans certains cas, la capacité destructive d’un logiciel malveillant est présente mais n’est pas utilisée, comme s’il s’agissait d’envoyer un message sur ses capacités », précise Mme Naumann. « On n’est pas en guerre, mais on n’est plus en paix. Les Etats sont en permanence en train de tester leurs frontières. Ce sont comme les avions qui passent une frontière pour évaluer les capacités de détection et de réaction », compare Loïc Guézo, directeur de la stratégie de l’Europe du Sud de l’entreprise Trend Micro.
« Il faut élever nos défenses »
C’est pour parer à cette instabilité, en tentant de décourager ses adversaires de s’en prendre à elle, que la France a voulu afficher très publiquement les grandes lignes de sa doctrine militaire, alors que Paris mène des opérations offensives depuis une dizaine d’années. Quitte à contribuer, en retour, à cette instabilité ? Absolument pas, selon la ministre, pour qui l’usage de cette nouvelle arme satisfera aux exigences « de proportionnalité, de distinction et de nécessité » et respectera « le droit international ».
C’est que la France, comme de nombreux pays, est encore à la recherche de la bonne équation pour pacifier le cyberespace. Contrairement à certains de ses alliés comme les Etats-Unis, la Grande-Bretagne ou l’Allemagne, la France a jusqu’ici refusé de pointer publiquement du doigt des Etats responsables de cyberattaques. Là où Américains et Britanniques accusent, la France règle ses différends à l’abri des regards. Désormais, on montre un peu plus de muscles afin de décourager les attaques. Lors de la présentation de la doctrine militaire, la ministre de la défense a fait un deuxième geste en ce sens, plus discret mais tout aussi parlant. Elle a accusé directement le groupe de pirates informatiques Turla d’une attaque contre le ministère des armées. Une allusion bien plus signifiante qu’elle n’en a l’air : chez les experts qui étudient depuis des années ses victimes et son mode opératoire, il ne fait guère de doute que ce groupe est piloté depuis Moscou.
Une telle annonce constitue « une mise en tension, c’est très clair », a décrypté Guillaume Poupard lors d’une conférence de presse dans le cadre du Forum international de la cybersécurité de Lille. « Il faut élever nos défenses et en même temps mettre une certaine pression sur ceux qui sont à l’origine de l’attaque, préconise-t-il. La doctrine française est d’éviter l’attribution trop publique pour conserver des espaces de dialogues pour la désescalade. Mais cela peut changer. »
L’autre volet de la difficile pacification de l’espace numérique n’est ni technique ni militaire, mais diplomatique et juridique. L’assemblée générale de l’ONU vient de créer deux instances qui pourront reprendre des discussions interrompues en 2017 au sujet de normes de comportement dans le cyberespace. Fin 2018, Emmanuel Macron a présenté L’Appel de Paris, un texte non contraignant qui vise à relancer ces négociations sensibles et complexes. Il a été signé, selon un récent décompte, par soixante-quatre Etats. Les Etats-Unis et la Russie manquent encore à l’appel.