septembre 17, 2012
Flame a changé le monde
Aussi longtemps que je vivrai, je n’oublierai jamais l’Oktoberfest de 2010. Oui, j’aime la bière, en particulier l’allemande, et concrètement celle de l’Oktoberfest. Mais je ne me rappelle même pas de la bière, et ce n’est pas parce que j’en ai trop bu J C’est à ce moment-là que nous avons reçu les premières informations d’une tendance désagréable, que j’avais craint durant des années. En effet, c’était la première fois que Stuxnet montrait son côté obscur –le premier programme malveillant créé avec l’aide de l’Etat et conçu pour accomplir une mission militaire précise. C’est ce dont nous avions précisément parlé lors de notre conférence de presse à l’Oktoberfest : Bienvenue dans l’ère de la guerre cybernétique ! Il était déjà évident que Stuxnet n’était que le commencement.
Peu de choses ont changé entre ce mois de septembre et aujourd’hui. Tout le monde avait une idée assez précise de qui se cachait derrière Stuxnet et d’où il venait, bien qu’aucun pays n’en a assumé la responsabilité; de fait, ils se sont éloignés de sa paternité autant que cela leur était possible. Cette » avancée » eu lieu à la fin du mois de mai quand nous avions découvert un nouveau malware, qui laissait peu de doutes quant à ses origines militaires et ses objectifs.
Oui, je vous parle aujourd’hui du malware Flame.
Laissons les détails techniques de côté : Quelle est la signification historique de Flame ? Pourquoi tant d’agitation autour de ce malware en particulier ? Jusqu’à quel point est-il dangereux, et quel type de danger représente-t-il ? Les armes cybernétiques sont-elles capables de se convertir en une partie d’une doctrine militaire d’un Etat et de provoquer une course à l’armement ? Ces questions peuvent sembler étranges, voire inquiétantes –Ce n’est qu’un virus, pas de problème ! Après tout, ça ne va pas m’empêcher de manger mon croissant au petit-déjeuner (ou mon Dimsum J), n’est ce pas ? En fait, si le développement du malware militaire devient incontrôlable, alors, le fait de ne pas pouvoir manger de croissant ou de dimsum sera la dernière des préoccupations.
La semaine suivant la détection de Flame, nous avons reçu des informations de dernière minute inattendues. Cette nouvelle » améliorait » simplement la perception actuelle de la stratégique militaire et nous démontrait que des pays avaient déjà utilisé les armes d’attaques cybernétiques avec succès depuis plusieurs années.
Le 1er juin, The New York Times a publié un article capital qui démontrait la responsabilité de Stuxnet et pointait du doigt les Etats-Unis –et la nouvelle n’a pas été démentie par Washington. Bien au contraire –La Maison Blanche a exprimé son mécontentement pour la fuite de l’information et a ouvert une enquête. Au même moment, Israël a également fait savoir son agacement et, sans aller jusqu’à reconnaître sa participation à ces incidents, a admis finalement son intérêt pour le développement et la mise en pratique des armes cybernétiques.
Jetons maintenant un coup d’œil aux possibles répercussions de cette nouvelle.
Tout d’abord, Stuxnet, Duqu et Flame ont démontré que les armes cybernétiques : a) sont efficaces; b) sont bien moins chères que les armes traditionnelles; c) sont difficilement détectables; d) qu’il est difficile d’attribuer l’attaque à une personne en particulier (rendant ainsi les mesures proactives conservatoires de protections presque inutiles); e) qu’il est difficile de se protéger contre elle, étant donné toutes les fragilités logicielles inconnues; f) peuvent être reproduites sans frais supplémentaires. Et, de plus, l’apparence inoffensive de ces armes indique que leurs propriétaires ont peu de scrupules quant à ce qu’elles peuvent déclencher, et ne pensent pas aux conséquences. Et il y aura des conséquences –jusqu’au point de voir le scénario de Die Hard 4 avoir lieu. Vous trouverez les détails un peu plus bas.
Deuxièmement, les exemples récents ont justifié l’utilisation des armes cybernétiques, tant d’un point de vue éthique que légal. Je suis sûr que d’autres continents ont également utilisé ces technologies, mais jadis cela n’était pas traité et tout avait lieu en toute tranquillité, peu à peu et secrètement. Maintenant, personne ne va pouvoir arrêter ça. Et les pays qui n’ont pas d’armes cybernétiques seront considérés comme des retardataires par l’ » honnête société militaire « . En conséquence, à court terme, les budgets militaires cybernétiques seront multipliés plusieurs fois et nous assisterons à une course à l’armement dans la cyber-dimension. Comme nous le savons bien, les pistolets servent à tirer.
Troisièmement, l’absence de toute convention internationale (c’est-à-dire, un accord sur les » règles du jeu « ) sur le développement, l’implémentation et la distribution des armes cybernétiques et, de tout tribunal d’arbitrage, donnera lieu à plusieurs menaces réelles :
- L’apparition de malwares particulièrement dangereux qui délibérément, par accident ou par un effet » boomerang » toucheront les infrastructures sensibles, capables de déclencher des désastres sociaux, économiques ou écologiques au niveau régional ou mondial.
- L’utilisation des armes conventionnelles en réponse aux attaques cybernétiques. L’année dernière, les Etats-Unis annonçaient qu’ils se réservaient le droit de répondre à une attaque cybernétique par les moyens militaires traditionnels.
- Une imitation, provocation ou mauvaise interprétation d’une attaque cybernétique pour justifier une attaque militaire contre les Etats-Unis. Un genre de cyber Pearl Harbor.
Actuellement, peu de personnes comprennent le danger des armes cybernétiques. Il est difficile de croire qu’un virus, quelques kilos ou mégabits de codes puissent causer tout à coup, par exemple, un accident dans une centrale nucléaire, un incendie dans un oléoduc ou un accident d’avion, n’est ce pas ? Mais l’humanité est chaque fois plus dépendante de la technologie de l’information.
Revenons par exemple au croissant.
Il est fait dans une boulangerie, où les ordinateurs sont utilisés par le département administratif, le magasin et dans les systèmes en charge du mélange de la pâte et du contrôle des fours. Les ingrédients sont fournis aux boulangeries d’autres fabriques, qui sont pareillement automatisées. Toute leur logistique implique les ordinateurs et les réseaux. L’électricité, l’eau, les égouts et autres services municipaux sont aussi fournis par des entreprises informatiques. Même des monte-charges qui transportent les croissants jusqu’aux cafétérias à la mode sont dirigés par un système IT élaboré. En dernier lieu, on utilise la carte de crédit pour payer notre croissant… Bref, dois-je en rajouter ?
Il s’agit de potentiels objectifs d’attaque cybernétique. Et nous avons vu comment Stuxnet a réussi à désactiver des centrifugeuses dans les installations nucléaires de l’Iran. Il est peu probable qu’une boulangerie ou une station de traitement des eaux aient davantage de protection. En fait, c’est bien pire –les installations industrielles et les infrastructures critiques utilisent des systèmes SCADA vulnérables, qui par-dessus tout, sont généralement connectés à Internet. Et la paresse des développeurs de ces systèmes lorsqu’il s’agit de résoudre des vulnérabilités (qui peuvent être exploitées dans le but de réaliser une attaque cybernétique) a donné lieu a un nouveau terme » forever days « .
En ce qui concerne leur potentiel destructif, les armes cybernétiques ne sont absolument pas inférieures aux armes nucléaires, biologiques ou chimiques. Mais, à l’inverse de ces armes de destruction massive, les armes cybernétiques ne sont sujettes à aucun type de contrôle et ont l’avantage d’être invisibles, omniprésentes et » précises » (certains » experts » sont même allés plus loin en affirmant qu’en réalité les armes cybernétiques contribuent à la paix dans le monde), ce qui rend encore plus grande la tentation de les utiliser.
A travers le développement des armes cybernétiques, nous sommes en train de couper la branche sur laquelle nous sommes assis. Par conséquent, les pays les plus développés seront ceux qui souffriront le plus, car ils sont les plus informatisés.
Pour être honnête, je suis pessimiste. Et j’espère me tromper. Je ne pense pas qu’il soit actuellement possible que les pays se mettent d’accord sur les règles de la guerre cybernétique. En ce moment, nous conseillons techniquement l’Union Internationale de Télécommunications des Nations Unies (UIT). Ils travaillent sur la création d’au moins un système qui régule le cyberespace dans la lignée de l’IAEA. Mais même certains articles dans les médias montrent que quelques pays refusent de faire ces efforts. En effet, qui a besoin de régulation pour de si prometteuse et » inoffensives » armes ? Je crois que les gouvernements n’ont conscience du danger réel dans sa globalité qu’une fois qu’ils sont frappés par des forces, comme cela a été le cas de la côte nord-ouest des Etats-Unis durant 2003 – Ils ont essayé d’éviter que quelque chose de mauvais n’ait lieu une fois que cela était déjà arrivé, et que la situation ne pouvait être changée. Je me demande si au cours du XXIème siècle nous serons plus intelligents.
Conclusions :
- La communauté internationale doit essayer d’atteindre un accord sur le développement, l’application et la prolifération des armes cybernétiques. Cela ne résoudrait pas tous nos problèmes, mais au moins, cela aidera à établir les règles du jeu, l’intégration des nouvelles technologies militaires dans les structures des relations internationales, empêchant ainsi le développement non-contrôlé et l’utilisation imprudente.
- Les installations des infrastructures industrielles, financières et des systèmes de transports, services publics et autres aspects importants devraient reconsidérer leur approche de la sécurité de l’information, tout d’abord en ce qui concerne leur propre isolement d’Internet, et la recherche d’alternatives de software en adéquation avec les nouveaux défis pour les systèmes de contrôle industriel.
- Bien que l’industrie de la sécurité se soit focalisée sur la lutte des épidémies massives pendant plusieurs années, son arsenal inclut des technologies de protection qui sont probablement capables de prévenir des attaques dirigées par les armes cybernétiques. Néanmoins, ceci requiert que les utilisateurs reconsidèrent le paradigme de la sécurité et introduisent un système de protection multi-niveaux.
- Stuxnet, Duqu et Flame ne sont que la partie visible de l’iceberg. Nous ne pouvons devinez que ce que les autres armes cybernétiques entreprennent à travers le monde. Je suis certain que nous ferons davantage de découvertes prochainement. J’espère juste qu’elle ne nous ferons pas trop peur.
- Etant une entreprise mondiale dont la première mission est de s’inquiéter de la sécurité de ses clients, nous déclarons officiellement que nous lutterons contre tout type d’armes cybernétiques indépendamment de leurs pays d’origine et contre toute tentative nous forçant à » collaborer « . Nous considérons que tout accord à ce sujet est incompatible avec nos principes éthiques et professionnels. La guerre cybernétique soutenue par un état est une menace réelle qui vient de faire ses premiers pas vers l’adoption massive. Plus vite les gouvernements comprendront les possibles conséquences, plus sûres seront nos vies. Je ne peux plus être d’accord avec Bruce Schneier :
Les traités sur la Cyberguerre, aussi imparfaits soient-ils, sont l’unique forme de contenir la menace.
Pouvez-vous imaginer l’ordre du monde sans traités internationaux sur l’énergie / le nucléaire / la chimie / les armes biologiques ? L’Agence Internationale de l’Energie Atomique IAEA n’a pas empêché que l’Inde, Israël, la Corée du Nord et le Pakistan développent leurs propres armes nucléaires. Néanmoins, ces traités indiquent clairement ce qui est bon ou non, établissant ainsi les règles du jeu.