Voici un résumé de la conférence de David E. Sanger qui s’est déroulée le 18 avril 2013 à l’école Militaire; évènement organisé par la Chaire CASTEL de cyber stratégie, sous le patronage de l’IHEDN et la fondation d'entreprise EADS.
Cette soirée a été particulièrement intéressante et a été l’occasion de mettre en perspective la place de la cyber sécurité, des cyber armes et du rôle des entreprises dans le contexte de la stratégie d’un pays comme les Etats-Unis.
Disclaimer : Le contenu de cet article est basé sur les notes prises en séance, il ne s’agit donc pas d’une retranscription exacte des propos tenus. J’ai pris aussi l’initiative de reformuler pour plus de clarté et j’ai ajouté des liens URL pour aller plus loin sur certains des sujets abordés.
le sujet
Le sujet de la conférence est "From Olympics Games to Chinese Intrusions : the Obama Administration on Offensive and Defensive Cyber Strategy".
L’intervenant est donc David E. Sanger, journaliste au New York Time. Il est le correspondant à la Maison Blanche pour les questions de sécurité et l’auteur du livre "Obama : Guerres et secrets, Les coulisses de la Maison Blanche", aux éditions Belin, Paris 2012.
le lieu de la conférence, porteur de signification en lui-même
Nous sommes à l'école Militaire, Paris, dans l'amphithéâtre Foch. Comme d'habitude pour ce genre d’événement le public est majoritairement masculin avec assez peu de personnes en képis. On reconnait quelques visages bien connus comme Mr Patrick Pailloux, le directeur de l'ANSSI.
En lui-même, le lieu où se déroule cette conférence est intéressant en tant que tel : l’école militaire est un lieu plein de symboles et ses relations évidentes avec le monde de la défense nationale. EN outre, le fait que cette conférence soit ouverte à un public large est aussi un signe : nous sortons des réunions régies par la règle de Chatham House ou encore des réunions à huis-clos dans des lieux hyper-protégés.
la tendance est au changement mais reste balbutiante
Le coté offensif de la sécurité informatique serait-il en train de devenir moins pudique ? En effet, la règle est de rester du « bon côté de la ligne » et donc de mettre toutes ses billes forces du côté de la protection et la réponse aux intrusions ; le volet « offensif » ou "frappe préventive" dans le monde du cyber était encore il y a quelques temps un sujet plus que controversé.
Tout le monde sait que pour se protéger de façon la plus efficace possible, il est nécessaire de connaitre les techniques de l’attaquant, de penser comme lui… Développer sa compréhension autour des cyber armes est donc important pour tout professionnel dans le domaine. Surtout que le sujet en est encore à ses balbutiements. C’est donc le bon moment.
la cyber guerre, un sujet encore flou aux enjeux forts
Le sujet « cyber guerre » affole les médias ; mais selon David E Sanger, dans 35 ans on ne parlera plus de la cyber guerre car celle-ci fera partie de tous les conflits, ce sera quelque chose de « normal ». Pour illustrer, David E Sanger fait le parallèle avec les changements que la cavalerie lors de la 1ère guerre mondiale, les avions ou l’arme nucléaire ont pu provoquer en leur temps dans le cadre de l’art de la guerre.
La technologie actuelle en terme de cyber armes n’est pas encore habituelle mais elle le deviendra dans le futur : cela changera très certainement les règles d’engagement mais pour le moment, on ne sait pas dans quelle mesure cela va changer les choses et à quelle rapidité ces changements vont se faire.
qualifier un acte de cyber guerre n’est pas simple
Définir ce qu’est un acte de cyber guerre est particulièrement compliqué. Ce type d’attaques est encore assez méconnu car elles n’en sont qu’à leurs balbutiements ; les experts ont des avis parfois bien différents et les termes utilisés portent à confusion. Si on prend le terme de « cyber guerre » celui-ci n’est pas forcément de la « guerre » au sens militaire… Les vols de données organisés par les gouvernements sont-ils des actes de « guerre » ? Pour certains oui, pour d’autres non. Selon David E Sanger ce serait plus de l’espionnage.
Si on revient sur les actions des USA et d’Israël pour détruire les centrifugeuses du programme nucléaire Iranien : Est-ce de la cyber guerre ou du sabotage conventionnel ? Selon David E Sanger, la question mérite d'être posée. La nature des « cyber armes » est donc encore floue...
les cyber armes, un moyen de faire « plus doux » ?
Selon David E Sanger, nous sommes désormais dans un monde, ou les Etats vont lancer des attaques informatiques pour éviter de s’engager dans des guerres conventionnelles.
La décision de lancer une attaque informatique à l’encontre du programme nucléaire Iranien aurait été motivée par deux raisons : D’un côté, ne pas intervenir aurait voulu dire laisser l’Iran accéder à l’arme nucléaire. De l’autre, ne rien faire aurait encouragé Israël à bombarder les installations nucléaires ; avec comme effet secondaire de nécessiter un engagement militaire des Etats-Unis en Iran… alors qu’ils étaient déjà engagés en Irak et en Afghanistan.
C’est la stratégie dite de « l'empreinte légère » (ou « light footprint ») adoptée par Obama. Ainsi ils cherchent à éviter les confrontations classiques qui sont très couteuses en matériel et en hommes. Cette stratégie se retrouve tant dans le cadre des cyber armes mais aussi des drones militaires.
L’attaque avec Stuxnet a donc été lancée et les centrifugeuses du centre de Natanz ont commencé à exploser… Les ingénieurs s’interrogeaient sur quelles erreurs ils avaient pu faire ou s’il s’agissait de défauts du matériel.
une fonction d’autodestruction caractéristique d’une arme
En juillet 2010, une nouvelle version de Stuxnet est introduite, mais un bug en son sein provoque sa diffusion sur Internet par le biais d’une clef USB utilisée par un ingénieur Iranien.
L’analyse du code montre qu’il est très perfectionné et comme il intégrait en outre des fonctions d’autodestruction, il est rapidement conclu qu’il s’agit d’une arme informatique développée par un Etat.
[Note: Pour plus de détails sur Stuxnet, je vous invite à lire cet article : IEEE Spectrum, The Real Story of Stuxnet, March 2013]
mais quelle est la place de la Chine dans tout ça ?
« Mais pourquoi diable la Chine est-elle cité dans le titre de cette conférence ? » : c’est la question que je me suis posé… Quelle relation avec le programme « Olympic Games » ?
Selon David E. Sanger, les attaques mises en évidence dans le rapport Mandiant sur APT1, attaques attribuées au gouvernement Chinois doivent être étudiées avec suffisamment de recul pour éviter de conclure trop rapidement.
En fait, il est compliqué de déterminer exactement quel est le réel objectif de ces attaques : s’agit-il d’espionnage économique ou est-ce que le vol de ces informations n’est qu’une étape nécessaire pour créer des cyber armes ?
David E. Sanger prend pour exemple une société Canadienne spécialisée dans les systèmes informatiques pour la commande à distance de vannes de gazoducs. Cette société ayant été attaquée on peut raisonnablement étudier différentes hypothèses : ou les données volées vont être utilisées pour fabriquer des systèmes similaires, ou alors il s’agit de collecter des informations pour préparer une attaque à l’encontre d’infrastructures de distribution d’énergie… voire les deux à la fois.
ce qu’il est possible de retenir
Les systèmes informatiques, et notamment ceux utilisés pour les fonctions critiques comme dans les télécommunications, les transports, l’énergie, la finance doivent être sécurisés de façon à être résilients aux attaques.
Les règles d’engagement ou d’utilisation des cyber armes restent à définir. C’est près de 25 ans qui ont été nécessaires pour encadrer l’usage de la force nucléaire et pour les drones le débat est encore ouvert.
Tout reste à définir autour des cyber armes, et contrairement aux technologies comme le nucléaire, les cyber armes ne sont pas réservées aux Etats… cette tendance a été amorcée avec les drones expérimentaux dans le conflit en Syrie. Et même si un traité venait à être défini et signé entre états, quid des acteurs comme les terroristes, groupes de pression ou individus isolés ? Ces derniers ne signant pas de traités...
Les cyber armes viennent compléter l’arsenal des Etats et leur offrent un éventail plus large et une façon différente de s’engager dans les conflits. C’est la stratégie dite de « l’empreinte légère » que j’évoquais plus haut. La montée en puissance des drones est un signe clair dans ce sens.
ce n’est pas fini !
Comme toute bonne conférence qui se respecte, nous avons eu le droit aux « questions et réponses ». Le présent article étant déjà assez conséquent (j’ai eu le droit à un « Jeff t’as écris une thèse ou quoi ? ») ; elles seront donc publiées dans un article à venir. Tout ce que je peux dire c’est qu’elles complètent bien ce qui a été dit en séance plénière. A très bientôt !
Jeff (Jean-François Audenard)
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens