septembre 17, 2012
Appel à l’action : Internet devrait devenir une zone sans armée.
Quelle est la différence entre un missile militaire et un malware ?
Il ne s’agit pas d’une blague –un malware peut prendre le contrôle d’un missile, mais un missile ne peut pas être utilisé pour détruire un malware. Avec les bons outils un missile peut être détourné par un malware, mais aucune puissance, aussi grande soit-elle, ne peut détourner un software malveillant une fois qu’il est actif.
Contrairement aux armes traditionnelles, le logiciel malveillant peut se reproduire à l’infini. Tandis qu’un missile peut souvent être contrôlé d’une certaine façon, le malware a tendance à attaquer sans faire de distinction : personne ne sait qui il touchera, ni quel virage il prendra sur son chemin. Sur les trajectoires impénétrables du Web, aussitôt qu’un black hat lance un malware pour gagner de l’argent rapidement, tout peut arriver. Il est impossible de calculer l’effet qu’il aura, ce qui pourrait être affecté par accident, et même comment il pourrait nuire à ses créateurs via un effet boomerang. Les gens ont tendance à faire des erreurs dans tout ce qu’ils font – et écrire des codes, malveillants ou autres, n’est pas une exception. Il existe de nombreux exemples de ce genre « de dommages collatéraux » – lisez mon article précédent sur les fortunes d’Internet.
Au moins, nous sommes en train d’assister à des efforts communs pour combattre les cybercriminels.
L’industrie de la sécurité resserre l’étau sur eux, et les gros poissons tel que Microsoft s’investissent. D’autres organisations à but non-lucratif et intergouvernementales rejoignent aussi le mouvement. Les gouvernements commencent à comprendre qu’Internet peut être une autoroute vers l’enfer, et se lèvent pour prendre les choses en mains. Un progrès est donc en cours.
Cependant, je suis davantage concerné par un autre côté de la sécurité Internet. Les astuces d’un cybercriminel sembleront bien ridicules face à une cyber guerre à l’échelle du Web. Oui, vous lisez bien – une cyber guerre du Web ! C’est là que les choses commenceront à être bien plus compliquées et obscures.
Voici les faits :
Premièrement, dans différents pays, le secteur militaire est occupé à créer des cyber unités dédiées et à » fabriquer » des cyber armes (parmi ces pays : les Etats-Unis, l’Inde, le Royaume-Uni, l’Allemagne, la France, l’UE, l’OTAN, la Chine, la Corée du Sud et la Corée du Nord).
Deuxièmement, les cas d’espionnage industriel et les actions de sabotage sont connus de tous (voir les informations concernant des attaques très en vue avec des nations en arrière-plan comme Stuxnet et Duqu).
Troisièmement, les nouvelles d’attaques soigneusement planifiées sont révélées à une vitesse alarmante (nous avons tous une idée de qui sont les mauvais garçons derrière celles-ci). Un nouveau terme a même été inventé pour cela : APT.
Il n’y a aucun doute sur le fait que tout ceci n’est que la partie visible de l’iceberg. Quand nous découvrirons un nouveau malware du type Stuxnet il s’avèrera que :
- Le malware aura « été dévoilé » par erreur ou par accident.
- Il aura tranquillement été « assis » dans de divers réseaux depuis bien longtemps et nous ne pourrons qu’essayer de deviner ce qu’il a bien pu y faire.
- Beaucoup de caractéristiques techniques du malware – et la motivation de son créateur – seront toujours des interrogations.
Vous voyez où je veux en venir ?
Nous sommes assis sur un baril de dynamite, et nous scions la branche sur laquelle tout l’Internet est assis et toute l’infrastructure du monde assis juste à côté de cela. L’armée transforme progressivement Internet en un grand champ de mines. Une simple frappe pourrait potentiellement déclencher un tel chaos que personne n’en sortirait indemne. Appuyer malencontreusement sur un bouton pourrait tout interrompre –pas seulement des ordinateurs. La réaction en chaîne engloutirait des choses du monde réel, aussi bien que du virtuel – des centrales nucléaires, peut-être. Cela pourrait faire naître un conflit de réseau qui se convertirait rapidement en conflit militaire. Ce ne n’est pas une hyperbole qui a incité les États-Unis à riposter aux attaques de pirate informatique par une invasion – ils ont parfaitement conscience des conséquences possibles. Plus nous le regardons, plus il devient effrayant.
Il empire. Ce logiciel malveillant, militarisé ou pas, a des erreurs de code. Une mouche posée sur le clavier du programmeur, c’était vendredi soir ou les testeurs ne l’ont pas testé correctement – quoi que ce soit peut arriver. Un bug basique dans le logiciel standard a d’habitude un effet maîtrisable – le système informatique s’effondrera tout au plus, une turbine de puissance s’arrêtera ou, dans le pire des cas, quelque chose, quelque part, s’effondrera. Dans le cas d’un engin téléguidé conventionnel il peut exploser au mauvais moment ou au mauvais endroit. Mais avec la nouvelle vague de malware militaire, une erreur peut avoir des conséquences tragiques. Et si les portées de codes dédiés atteignent non seulement la cible prévue, mais aussi toutes les cibles similaires dans le monde entier ? Comment peut-il distinguer des cibles réelles de cibles fortuites ? Si le logiciel malveillant vise une centrale électrique [nucléaire] spécifique, mais finit par frapper toutes les centrales électriques [nucléaires], alors que se passerait-il ? Internet n’a aucune limite et la plupart des centrales électriques sont construites avec un simple ensemble de normes standards. Bien qu’il puisse y avoir juste une cible, le nombre de victimes potentielles peut être bien plus grand – et elles peuvent se trouver où que ce soit dans le monde.
J’espère sincèrement que je ne suis pas une Cassandre, comme ce fut le cas avec les vers autopropulsés et les attaques ayant visé des projets industriels. Je voudrais VRAIMENT me tromper.
Ce malware militaire est soutenu par des professionnels de premier ordre, un financement généreux, et dispose d’un accès à des ressources techniques et matérielles puissantes. Sans cela, comment pensez-vous que quelqu’un pourrait personnaliser Stuxnet pour des centrifugeuses iraniennes ? Nous avons donc le sésame des certificats numériques, qui est actuellement la garantie de confiance sur le Web (une autre sonnette d’alarme, au passage). Je peux seulement évaluer les cyber armes qui sont amorcées et prêtes, mais l’avenir n’a pas l’air prometteur. Tout ce secteur échappe au contrôle de la société – c’est presque une anarchie où tout le monde fait ce qu’il veut. Comme Stuxnet le montre, la comparaison avec le missile est déjà très juste – le malware peut causer les mêmes résultats qu’une arme militaire conventionnelle.
Cependant, il existe une différence.
Toutes les armes, particulièrement les armes de destruction massive, avec la technologie nucléaire en général, sont plus ou moins contrôlées et régulées, au moins en théorie. L’ONU possède son Agence de l’Energie Atomique, il existe un système international d’accords de non-prolifération et le conseil de sécurité de l’ONU réagit vigoureusement à toutes tentatives voulant rejoindre le club nucléaire (comme celle de l’Iran). Bien sûr, la politique, le subterfuge et les doubles jeuxont tous un rôle dans cela – mais tout ça n’a rien à faire avec l’idée que je décris ici.
L’idée est la suivante.
En considérant le fait que la paix et la stabilité mondiale comptent fortement sur Internet, une organisation internationale doit être créée pour contrôler les cyber armes. Une sorte d’Agence Internationale de l’Energie Atomique, mais consacrée à l’espace virtuel. Dans un monde idéal il reproduirait les structures de sécurité nucléaires existantes, et les appliquerait à l’espace virtuel. Nous devrions considérer l’utilisation de cyber armes comme un acte d’agression internationale au même titre que le cyber terrorisme.
Idéalement, il serait bon de proclamer Internet comme une zone sans armée – une sorte de cyber Antarctique. Je ne suis pas sûr que ce désarmement soit possible. L’occasion a déjà été ratée, et des investissements ont été faits, des armes produites, la paranoïa est donc bien là. Mais les nations doivent au moins convenir de règles et de contrôles concernant les cyber armes.
Je me rends compte que mettre en œuvre cette idée serait loin d’être facile. La société considère toujours les ordinateurs et Internet comme une réalité virtuelle, des jouets qui n’ont rien à faire avec la vie réelle. C’est tout simplement faux ! Internet est une grande partie de la réalité quotidienne ! Et j’ai précédemment décrit où cette suffisance pourrait nous mener. Ce sujet fait partie des discussions du cercle restreint des professionnels de la sécurité depuis plusieurs années. Je suis simplement le premier à le rendre public.
Et s’il vous plaît, rappelez-vous de la première et plus importante règle de sécurité !
– Ne tuez pas Cassandre ! S’il vous plaît !-