fbpx

Au lieu d'ouvrir des conflits par les obus, les États se lancent dorénavant de discrètes mais fréquentes attaques informatiques. Et les tensions grimpent.

par Servan Le Janne | 17 juillet 2020

Un concert de voix reten­tit de part et d’autre de l’At­lan­tique ce jeudi 16 juillet 2020. À l’unis­son, des agences de rensei­gne­ment améri­caine, cana­dienne et britan­nique accusent le gouver­ne­ment russe, à travers le groupe de hackers APT29, plus connu sous le nom de Cozy Bear, de tenter de voler des recherches sur le déve­lop­pe­ment d’un vaccin contre le Covid-19.

À en croire un ancien direc­teur du GCHQ – l’équi­valent de la NSA au Royaume-Uni – inter­rogé par le New York Times, l’uni­ver­sité d’Ox­ford et le groupe phar­ma­ceu­tique anglo-suédois AstraZe­neca comp­te­raient parmi les victimes de cybe­rat­taques « quasi certai­ne­ment » menées par les hackers de Cozy Bear, que les agences de rensei­gne­ment disent affi­lié au FSB.

Outre le GCHQ britan­nique (à travers son Natio­nal Cyber Secu­rity Centre), le même son de cloche est donné par le Centre de la sécu­rité des télé­com­mu­ni­ca­tions (CST) cana­dien et la NSA améri­caine. Elles affirment cepen­dant que les Russes ne visent pas cette fois-ci à désta­bi­li­ser des puis­sances rivales, mais à ne pas rester à la traîne en matière de vaccin contre le coro­na­vi­rus.

La couver­ture de l’ar­ticle de la BBC sur le « presque certain » hack russe

Ces accu­sa­tions inter­viennent au lende­main d’une annonce du minis­tère russe de la Défense, qui se féli­ci­tait mercredi 15 juillet des résul­tats promet­teurs des premiers essais cliniques d’un vaccin déve­loppé par ses cher­cheurs et ceux du Centre de recherches en épidé­mio­lo­gie et micro­bio­lo­gie Niko­laï Gama­leïa de Moscou. Le 18 juin dernier, les méde­cins russes ont vacciné 18 volon­taires pour parti­ci­per à ces essais, qui ont duré 28 jours sous étroite obser­va­tion. S’il est trop tôt pour crier victoire, les résul­tats sont semble-t-il suffi­sam­ment encou­ra­geants pour que le gouver­ne­ment russe nie avec aplomb les accu­sa­tions dont il fait l’objet.

« Nous ne savons pas qui a pu pira­ter des socié­tés phar­ma­ceu­tiques et des centres de recherches en Grande-Bretagne », a déclaré ce jeudi le porte-parole du Krem­lin Dmitri Peskov, inter­rogé par l’agence de presse russe TASS. « Tout ce que nous pouvons dire, c’est que la Russie n’a rien à voir avec ces attaques. Et nous ne tolé­rons pas ce genre d’ac­cu­sa­tions. » Natu­rel­le­ment, si la Russie est en vérité respon­sable de ces attaques, son admi­nis­tra­tion ne le recon­naî­tra pas.

Faute de sources non-gouver­ne­men­tales, qui faut-il croire ? Le camp NSA-GCHQ-CST, dont le réseau clan­des­tin de surveillance de masse avait été révélé par Edward Snow­den en 2013, et qui repré­sente l’unique source du New York Times et de la BBC ? Ou le camp du Krem­lin, dont les hackers comptent parmi les meilleurs du monde et ont mené par le passé des cybe­rat­taques de plus grande ampleur ? Ce qui est certain, c’est que ces deux camps se livrent une guerre invi­sible à l’échelle du monde. Et ils ne sont pas les seuls.

La grande simu­la­tion

À la télé­vi­sion israé­lienne, un voile noir recouvre l’écran. La musique s’ar­rête. Sur la chaîne Kan, mardi 14 mai 2019, la retrans­mis­sion de l’Eu­ro­vi­sion est inter­rom­pue par une alerte. En plein programme, les télé­spec­ta­teurs voient appa­raître l’inquié­tant message « risque de missiles, tous aux abris » sous le logo de Tsahal, l’ar­mée natio­nale. Pendant deux minutes, des images de bombar­de­ments de Tel Aviv défilent alors, ponc­tuées par la menace « Israël n’est pas en sécu­rité, vous verrez ».

« Nous savons avec un certain degré de certi­tude qu’il y a eu une tenta­tive, appa­rem­ment par le Hamas, de pira­ter notre retrans­mis­sion », affirme dans les heures qui suivent le direc­teur de Kan, Eldad Koblenz. « Mais je suis heureux de dire qu’en quelques minutes nous avons réussi à reprendre le contrôle. » Dix jours plus tôt, les forces israé­liennes ont tiré sur un immeuble de la bande de Gaza où se terraient d’après leurs infor­ma­tions des hackers du Hamas. Cette frappe est présen­tée comme la réplique à une attaque infor­ma­tique lancée par l’or­ga­ni­sa­tion armée pales­ti­nienne. Et c’est la première de ce genre dans l’his­toire.

Le Britan­nique Junaid Hussain a bien été tué par un drone améri­cain en août 2015, mais l’as­sas­si­nat visait offi­ciel­le­ment à neutra­li­ser la menace globale que repré­sen­tait ce pirate de l’État isla­mique. Depuis, les États ont pris de plus en plus au sérieux les manœuvres numé­riques, riva­li­sant de feux et de contre-feux. La Revue stra­té­gique de cyber­dé­fense publiée par le gouver­ne­ment français en 2018 prévoit de recou­rir à la force face à un pira­tage, pourvu qu’il soit assi­mi­lable à une « agres­sion armée » au sens de l’ar­ticle 51 de la Charte des Nations Unies.

Lorsque la France a pris la prési­dence du G7 en juin, elle a d’ailleurs orga­nisé avec ses alliés une grande simu­la­tion de cybe­rat­taque trans­fron­ta­lière, où 24 insti­tu­tions finan­cières ont testé leur réac­ti­vité, afin de se prépa­rer à pareille situa­tion. Les auto­ri­tés ne sont pas sans savoir qu’une entre­prise sur cinq a été affec­tée par un virus l’an passé. Or, les menaces sont de plus en plus sophis­tiquées. En recou­rant à la sténo­gra­phie, cette tech­nique qui consiste à inté­grer une ligne de code dans un fichier anodin, les groupes de hackers APT28 et APT29 (aussi appe­lés Fancy Bear et Cozy Bear) sont parve­nus à entrer dans la messa­ge­rie du Parti démo­crate améri­cain en 2016.

Le 20 février dernier, Micro­soft a mis en garde à son tour le Vieux conti­nent contre une tenta­tive de désta­bi­li­sa­tion des élec­tions euro­péennes. Le géant améri­cain a observé « de nombreux efforts d’États-nations et d’autres acteurs d’in­fluen­cer les scru­tins ». Autre­ment dit, les coups pleuvent. Pour s’en prému­nir, les États et les entre­prises doivent « enga­ger un hacker avant d’être hacké », comme le dit la confé­rence éponyme orga­ni­sée au salon pari­sien VivaTech vendredi 17 mai. Alors que le Parle­ment de Stras­bourg va bien­tôt être renou­velé, le sujet est d’au­tant plus brûlant en Europe que les pirates améri­cains, chinois et russes ne se gênent pas pour y opérer. On trouve même la trace de Fancy Bear jusqu’en Angle­terre.

L’arme du crime

À Oldham, au nord-est de Manches­ter, les chemi­nées d’usine ont arrêté de cracher leur fumée depuis des décen­nies. Aban­don­née par les grandes usines du siècle dernier, cet ancien fleu­ron de l’in­dus­trie textile a été nommé ville la plus défa­vo­ri­sée d’An­gle­terre en 2016. Mais une odeur de suie froide demeure. Parmi ses rangées de maisons en brique rouge, la BBC vient de retrou­ver ce que les Anglo-Saxons appellent un smoking gun, autre­ment dit l’arme du crime. Pour mener ses attaques, un groupe de hackers surnommé Fancy Bear a été hébergé par une entre­prise un temps basée ici, Crook­ser­vers.

Qui se cache derrière Fancy Bear ?

« Nous ne savons jamais comment un client utilise notre serveur », se défend son proprié­taire, Ousmane Ashraf. En 2015, appre­nant que des hackers s’en servaient, il aurait supprimé leur compte. Aujourd’­hui installé au Pakis­tan, l’homme sait le danger qu’il y a à être asso­cié à Fancy Bear. Ce dernier est accusé de s’en être pris au parle­ment alle­mand, au gouver­ne­ment nigé­rian et, surtout, au Comité natio­nal du parti Démo­crate améri­cain.

La convic­tion de la commu­nauté du rensei­gne­ment améri­cain est faite : ce gang russe a dérobé les e-mails du parti d’Hillary Clin­ton à l’été 2016. Le Krem­lin aurait même été à la manœuvre d’après les entre­prises de sécu­rité améri­caines Crowd­strike, FireEeye, Threat­con­nect et Secu­reWork. « On ne sait pas qui est derrière », rela­ti­vise l’ex­pert en cyber-sécu­rité étasu­nien Jeffrey Carr. « Ce n’est pas comme un club dont les membres auraient une carte de visite sur laquelle est écrit “Fancy Bear”. C’est juste le nom qu’on a attri­bué à un groupe asso­cié à ces attaques. Il est rare d’avoir la confir­ma­tion que ces groupes existent bel et bien ou que l’at­tri­bu­tion est effec­ti­ve­ment correcte. »

La décou­verte de Crook­ser­vers peut-elle aider à démasquer Fancy Bear ? Rien n’est moins sûr. Les hackers sont habi­tués à navi­guer de serveur en serveur sans lais­ser de trace. Ils n’ont du reste proba­ble­ment pas de bureau au Krem­lin. Quand ils s’in­té­res­saient aux sites propa­geant de fausses infor­ma­tions favo­rables à la candi­da­ture de Donald Trump, plusieurs jour­na­listes ont réussi à rencon­trer leurs gérants à Veles, un petite village de Macé­doine lui aussi victime de la désin­dus­tria­li­sa­tion. Mais on n’a jamais su qui les payait.

La cyber­guerre menée par les États possède une géogra­phie étrange. « Il y a un morcel­le­ment du théâtre des opéra­tions », constate Nico­las Arpa­gian, cher­cheur à l’INHESJ. Auteur du livre La Cyber­sé­cu­rité, dans la collec­tion Que sais-je ?, il parti­cipe à la confé­rence de VivaTech sur  le hacking. « Sur Inter­net, des gens élaborent des outils offen­sifs, d’autres s’en servent et d’autres encore en sont béné­fi­ciaires. » En outre, les infor­ma­tions peuvent être faci­le­ment copiées. Dans ces condi­tions, il est non seule­ment diffi­cile de détec­ter une attaque mais plus encore de l’im­pu­ter.

Crédits : Curt Merlo

« Alors que l’en­vi­ron­ne­ment inter­na­tio­nal s’est beau­coup judi­cia­risé, les États appré­cient l’émer­gence d’un domaine où règne une rela­tive impu­nité », pense Nico­las Arpa­gian. « Ça ne coûte pas cher et personne ne peut remon­ter jusqu’à soi. » Bien qu’il n’y ait pas de décla­ra­tion de guerre offi­cielle, chacun, selon sa doctrine en la matière, lance des opéra­tions plus ou moins discrètes. En public, les échanges restent cordiaux. Mais leur atmo­sphère compas­sée trahit une tension perma­nente des rela­tions inter­na­tio­nales.

Brouillard de guerre

Il y a cent ans, en pleine révo­lu­tion d’oc­tobre 1917, Niko­laï Ogar­kov voit le jour dans le village de Molo­kovo, au nord de Moscou. Entré dans l’ar­mée en 1938, ce fils de paysans diplômé en ingé­nie­rie mili­taire gravit pied à pied tous les éche­lons au sein de l’état-major. Devenu membre du comité central en 1971, il est nommé, promo­tion suprême, maré­chal en janvier 1977. Ayant observé atten­ti­ve­ment la débâcle améri­caine au Viet­nam, Niko­laï Ogar­kov n’est pas sûr qu’une inter­ven­tion russe en Afgha­nis­tan serait couron­née de succès. Moscou s’y embourbe quand même.

La puis­sance ne peut pas tout. D’au­tant moins en Union sovié­tique, où la guerre froide prend une tour­nure dange­reu­se­ment déséqui­li­brée. « La tech­no­lo­gie sovié­tique a une ou deux géné­ra­tions de retard sur celle des États-Unis », concède le maré­chal à un jour­na­liste améri­cain en 1982. « Dans notre pays, les petits enfants jouent avec des ordi­na­teurs que nous n’avons pas même dans chaque bureau du minis­tère de la Défense. Et pour des raisons que vous connais­sez, nous ne pouvons pas les rendre acces­sibles à tous. » Quelques-uns pour­raient toute­fois s’en servir afin de rempor­ter la guerre de l’in­for­ma­tion, de plus en plus déci­sive. Ogar­kov compte sur ces « nouvelles méthodes tactiques » pour refaire son retard.

Niko­laï Ogar­kov

À sa suite, Washing­ton s’adapte aux tech­no­lo­gies. Plus que les méthodes d’es­pion­nage anciennes, cette « Revo­lu­tion in mili­tary affairs » doit, en se jouant des fron­tières physiques, dissi­per le « brouillard de guerre » dont le stra­tège prus­sien Carl von Clau­se­witz théo­ri­sait les dangers. Autre­ment dit, trans­pa­rence ne rime­rait avec défiance qu’en poésie. « Connais ton ennemi », disait le géné­ral Sun Tzu. Sauf que le brouillard est en réalité telle­ment épais sur les réseaux qu’on y aperçoit rare­ment le fameux smoking gun.

Le premier appa­raît fina­le­ment pour partie en Esto­nie, 90 ans après la révo­lu­tion d’oc­tobre. Au prin­temps 2007, l’an­cienne répu­blique sovié­tique décide de dépla­cer une immense statue en bronze repré­sen­tant un fantas­sin de l’ar­mée rouge. Dans la nuit du 26 au 27 avril, des mani­fes­ta­tions contre la mesure dégé­nèrent. Une personne meurt. Des millions d’or­di­na­teurs se connectent alors, à l’insu de leurs proprié­taires, aux sites de l’ad­mi­nis­tra­tion, des banques et des médias du pays pour les satu­rer.

À Tallinn et à Washing­ton, on a tôt fait d’in­ter­pré­ter l’at­taque comme une manœuvre de Moscou en défense de la commu­nauté russe, laquelle s’était mobi­li­sée contre le dépla­ce­ment du monu­ment. Cepen­dant, aucune mesure de rétor­sion n’est prise, ni par le pays balte ni par ses alliés du traité de l’At­lan­tique nord. « Les auto­ri­tés de l’Otan ont renoncé à appliquer l’ar­ticle 5 », rappelle Nico­las Arpa­gian. Celui-ci prévoit qu’une attaque contre l’un de ses membres est consi­dé­rée comme une attaque contre tous. Or, dans ce cas, « comment dési­gner avec certi­tude l’as­saillant ? », pour­suit le cher­cheur.

La tâche paraît plus aisée lorsque le suspect opère des manœuvres mili­taires. C’est le cas en août 2008. La Géor­gie lance une offen­sive vouée à expul­ser les soldats russes déployés dans une de ses régions, l’Os­sé­tie du Sud. L’in­verse se produit. Repoussé, le pays du Caucase se plaint alors d’avoir subi, en paral­lèle, une série d’at­taques infor­ma­tiques. « Mais cela pour­rait aussi bien prou­ver l’in­verse de ce que les experts géor­giens et occi­den­taux prétendent », estime Yasha Levine. « La Géor­gie avait prévu son inva­sion mili­taire. » D’après le jour­na­liste russe, l’in­té­rêt de Moscou à affec­ter l’In­ter­net géor­gien balbu­tiant était faible. Tbilissi pouvait en revanche gagner à se préva­loir du statut de victime.

Méfiance partout

En arri­vant sur la scène du Air and Space Museum de New York, ce 11 octobre 2012, Leon Panetta arbore un large sourire au-dessus de son nœud papillon noir. Un portrait dithy­ram­bique de son action vient d’être dressé. Le secré­taire d’État à la Défense et ancien direc­teur de la CIA remer­cie, parle base­ball et lance quelques blagues. Puis, il fronce le sour­cil droit. Les États-Unis, prévient-il, courent le risque d’être ciblés par « des attaques infor­ma­tiques au niveau de leurs infra­struc­tures, en même temps que physique­ment ». Cela repré­sen­te­rait « un Pearl Harbor cyber­né­tique qui pour­rait provoquer une destruc­tion physique et tuer, para­ly­ser et choquer la nation, et enfin créer un profond senti­ment de vulné­ra­bi­lité ».

Leon Panetta cite en exemple la compa­gnie pétro­lière d’État saou­dienne Aramco, récem­ment victime d’un virus. Des données ont été effa­cées sur les disques durs de 30 000 ordi­na­teurs. Sans donner de preuve, Washing­ton pointe la respon­sa­bi­lité d’un concur­rent du royaume wahha­bite, l’Iran. Il faut dire que Téhé­ran a lui-même été touché par Stux­net, en 2010, un programme malveillant conçu par les États-Unis et Israël. Le gouver­ne­ment améri­cain prétend néan­moins qu’il lui a échappé.

« Aujourd’­hui, il n’y a pas un ascen­seur, un système de trans­port, un système de trai­te­ment des eaux, un système de pilo­tage d’armes qui ne soit pas géré par un système infor­ma­tique », détaille Nico­las Arpa­gian. À côté de la tradi­tion­nelle diplo­ma­tie physique a donc émergé une diplo­ma­tie numé­rique. Chacune s’exerce dans les trois dimen­sions stra­té­giques des rela­tions inter­na­tio­nales : la force mili­taire, poli­tique et écono­mique. « Les États les plus puis­sants sont ceux qui ont de l’in­fluence dans ces domaines tant par les canaux tradi­tion­nels qu’en ligne », avance Jared Cohen, PDG de Jigsaw, la filiale de Google spécia­li­sée dans les problèmes d’ac­cès à l’in­for­ma­tion et de cybe­rat­taques.

La Russie, prend en exemple Jared Cohen, « a ressus­cité beau­coup de sa tactique de la guerre froide, plus dans le monde numé­rique que physique ». Son enga­ge­ment en Syrie prouve toute­fois qu’elle est loin de délais­ser le terrain. Singa­pour ou l’Es­to­nie sont quant à eux clai­re­ment mieux dotés en infor­ma­ti­ciens qu’en soldats.

Jared Cohen
Crédits : Google Jigsaw

Leon Panetta ne le dit pas mais, en 2012, les États-Unis ne font pas que craindre l’at­taque d’un ennemi. Ils espionnent aussi… leurs alliés. L’an­cien direc­teur tech­nique de la Direc­tion géné­rale de la sécu­rité exté­rieure française (DGSE), Bernard Barbier, découvre un malware dans le système infor­ma­tique de l’Ély­sée. Convaincu qu’il provient des États-Unis, il traverse alors l’At­lan­tique. Gênée aux entour­nures, la Natio­nal Secu­rity Agency (NSA) finit par admettre devant lui sa respon­sa­bi­lité. « Les alliés diplo­ma­tiques sont des concur­rents sur le plan écono­mique », analyse Nico­las Arpa­gian. « Or, ces outils peuvent être utili­sés à des fins écono­miques. » Afin d’être épar­gnés, les services de rensei­gne­ments alle­mands auraient par ailleurs accepté d’es­pion­ner la France pour le compte de la NSA.

Si même le « couple franco-alle­mand » est concerné, une méfiance géné­ra­li­sée n’est-elle pas en train de gagner le concert des nations ? La sphère infor­ma­tique apaise rare­ment les choses. « Cela démul­ti­plie les champs d’ex­po­si­tions aux risques », consi­dère le cher­cheur français. « Là où on avait des théâtres d’opé­ra­tion exté­rieures, on a aujourd’­hui un état de tension perma­nente. » Le début des hosti­li­tés dans l’est de l’Ukraine, en 2014, a été suivi par une vague d’at­taques infor­ma­tiques. Ni les combats sur le terrain, ni les opéra­tions en ligne n’ont depuis vrai­ment cessé.

« Je pense que dans le futur, toutes les guerres commen­ce­ront par être des cyber­guerres », suppose Jared Cohen. Cet ancien conseiller de Condo­leeza Rice et de Hillary Clin­ton au secré­ta­riat d’État plaide pour la défi­ni­tion d’un corpus de règles, une sorte de droit inter­na­tio­nal de la diplo­ma­tie numé­rique. Mais comment véri­fier son appli­ca­tion si une attaque ne peut être tracée ? À Oldham, au nord-est de Manches­ter, rien n’a filtré.


Couver­ture : Cyber­war. (Ulyces.co)


Plus de monde