Académique Documents
Professionnel Documents
Culture Documents
org/livres
CYBERESPACE
et CYBERATTAQUE
Comprendre
et se protéger !
Kidnapping numérique,
rançongiciel, vol de données.
Un monde, des menaces
et des armes à comprendre !
CYBERESPACE
et CYBERATTAQUE
Comprendre
et se protéger !
© AFNOR 2022
ISBN 978-2-12-465800-8
Édition : Dominique Cohen
Secrétaire d’édition : Jeanne Labourel
Création de maquette : Gilda Masset
Mise en page : Corinne Cadieu
Fabrication : Philippe Malbec
Crédit photo : Adobe Stock, 2022
Toute reproduction ou représentation intégrale ou partielle, par quelque procédé que ce soit, des
pages publiées dans le présent ouvrage, faite sans l’autorisation de l’éditeur est illicite et constitue
une contrefaçon. Seules sont autorisées, d’une part, les reproductions strictement réservées à
l’usage privé du copiste et non destinées à une utilisation collective et, d’autre part, les analyses et
courtes citations justifiées par le caractère scientifique ou d’information de l’œuvre dans laquelle
elles sont incorporées (loi du 1er juillet 1992 - art. L 122-4et L 122-5, et Code Pénal art. 425).
François-Bernard Huyghe
Les auteurs
Lucie Brenet est titulaire de deux masters de droit, public et privé. Au sein
d’une société de conseil, elle a travaillé à des dossiers dans ces deux domaines.
Elle s’est également investie sur des questions de veille « cyber » et de stratégie
en matière de relations internationales, de gestion des risques, ainsi que sur le
RGPD. Enfin, elle écrit des articles de vulgarisation, des notes et des dossiers
sur ces différentes questions, en réponse à des demandes pouvant émaner
d’organisations diverses.
Thierry Brenet est dirigeant d’une société de conseil, après avoir dirigé un
syndicat patronal et exercé différentes fonctions dans une chambre consulaire,
ainsi que dans des entreprises du secteur industriel, dans la grande distribution
et au sein d’une banque française. Il accompagne des entreprises sur le chemin
de la certification pour les normes ISO 9001/14001. Il forme des étudiants dans
le monde universitaire (L1M2) et en école de commerce, sur des thématiques
variées (dans les filières RH, marketing, gestion), la plupart utilisant des outils liés
au Web 2.0. Il anime également des formations destinées à de futures infirmières
IBODE et des cadres de santé.
Sommaire
Nous sommes deux à afficher nos noms en couverture de ce livre et, même si la
vie nous permet de partager nombre de souvenirs et d’expériences, nos parcours
ont suffisamment différé pour que se pose la question de l’organisation des
remerciements.
******
Par contre, s’il est un journaliste qui me nourrit et m’interpelle très régulièrement,
c’est bien Martin Untersinger, journaliste du quotidien Le Monde. Merci à lui de
ce rôle de vigie face au cyberespace et à ses acteurs.
Parmi les ouvrages qui m’ont donné envie d’engager ce travail avec ma fille
Lucie, L’ennemi à l’ère numérique1 de François-Bernard Huyghe a été un livre
de prise de conscience de certains aspects importants du monde cyber que
nous avons créé et dans lequel nous vivons sans toujours nous rendre compte
de ses dangers. Merci à lui.
Dans un domaine tout autre, je souhaite remercier Marc Lévy. Il a su, en effet,
donner vie, fort concrètement, à des hackeurs dans Le crépuscule des fauves 2,
sonder leur psychologie et nous donner à voir certaines de leurs actions.
C’est, je crois, un des rares textes où l’on se penche par-dessus l’épaule d’un
de ces mystérieux personnages.
Enfin, je souhaite remercier quatre personnes sans lesquelles vous ne me liriez pas.
1 PUF, 2001.
2 Robert Laffont/Versilio, 2021.
XII Cyberespace et cyberattaque – Comprendre et se protéger
Ensuite, et sans que ce mot induise une quelconque hiérarchie dans les
remerciements, je souhaite remercier Véronique, mon épouse. Elle est depuis
longtemps la relectrice attentionnée de tous mes textes et articles. Pour ce livre,
elle a mené ce difficile travail, certes de lire nos pages traitant d’un univers qui
n’était pas le sien, mais aussi de nous faire comprendre que parfois, nous n’étions
pas toujours très clairs.
Enfin, je tiens à remercier ma fille Lucie sans laquelle, c’est clair, ce livre
n’existerait pas. En effet, au fil de ses études, le monde cyber est devenu une
de ses spécialités. Elle a ensuite mené dans le cadre de mon entreprise plusieurs
missions et a beaucoup écrit. Lorsque je l’entendais et la lisais sur ces questions,
je ne pouvais que mesurer le fossé séparant son propos des généralités souvent
énoncées par de pseudo-experts convoqués sur les chaînes d’information en
continu.
Le problème c’est qu’une fois qu’elle accepta l’idée d’écrire ce livre, elle
m’embarqua dans l’aventure, parce que, effectivement, dans mes cours et
interventions en entreprise, je mettais souvent en lumière tel ou tel risque cyber.
Merci enfin à mon éditrice, Dominique Cohen. Elle sut en effet m’écouter lorsque
je lui parlai d’arme cyber, de monde cyber. Les pandémies numériques qui
ponctuent aujourd’hui nos semaines étaient alors moins nombreuses, moins
médiatisées et ne touchaient pas un panel de cibles aussi varié d’entreprises et
d’organisations autres. Merci à elle d’avoir mesuré tout l’intérêt d’écrire pour
le plus grand nombre.
Thierry Brenet
Remerciements XIII
Pour ma part, mes premiers remerciements vont à deux enseignants qui m’ont
marquée durant mes études supérieures.
Tout d’abord, merci à Pascal Chatonay qui a su éveiller mon intérêt pour le
monde cyber à une époque où ce terme restait peu connu.
Ensuite, merci à Ève Tourny, qui m’a confortée dans l’intuition que je trouverais
dans ce « nouveau monde » un chemin passionnant à défricher, un chemin
jamais monotone.
Merci à eux en espérant que ce livre leur donnera matière à aller plus loin dans
la sensibilisation de leurs salariés.
Lucie Brenet
Préambule
Le cyberespace renvoyait à des robots flottant dans l’espace, les hackeurs étaient
souvent vus comme de vieux anarchistes « baba cool » pratiquant l’informatique
pour le plaisir. Certes, des piratages avaient lieu, mais ils ne relevaient plus
dans la transposition de techniques d’espionnage d’État. De temps en temps,
on pouvait lire une brève sur les velléités russes ou américaines de « pirater »
leurs ennemis de toujours. Ces actes de piraterie interétatique, pas encore
qualifiée de numérique par le citoyen, pouvaient certes déborder sur d’autres
structures que les administrations, mais on restait dans la démonstration de
force et, partant, dans la démonstration de la faiblesse de la cible.
Malheureusement, parmi ces citoyens, nous pouvions ranger les chefs d’entreprise
et nombre de nos décideurs politiques.
Avec le RGPD, nous avons découvert que nos données personnelles avaient
de la valeur. Pire encore, qu’elles pouvaient faire l’objet de « fuites », être
revendues, etc. On ne faisait pas forcément le lien avec un nouveau monde,
le cyberespace où agissaient des pirates, mais il y avait un début de sensibilisation.
XVI Cyberespace et cyberattaque – Comprendre et se protéger
Dans le secret de leur Codir, les grands groupes privés recrutaient pour organiser
leur défense, construire des murs, mais parmi les PME et les ETI, la sensibilisation
« démarrait ».
Côté particulier, nous connaissions tous des personnes dont le compte bancaire
avait été piraté, mais comme les banques, généralement, couvraient la perte
financière, cela tenait plus de l’anecdote. Côté entreprises, si l’information
commençait à circuler, nous n’étions pas à une mobilisation massive pour se
protéger.
3 En 2014, une entreprise (Cambridge analytica) a utilisé les données personnelles de plus de
50 comptes Facebook pour analyser les comportements de leurs propriétaires et, ensuite,
tenter d’influencer leurs intentions de vote.
Avant-propos
Aussi, hormis certains cursus spécialisés, il est difficile d’accéder à autre chose
que des explications fragmentées sur ce qu’est tel ou tel vecteur permettant de
« hacker » un ordinateur. Avec cet ouvrage, nous avons souhaité faire la synthèse
de ce qui est nécessaire à un cadre, à un dirigeant d’entreprise privée ou de
service public pour comprendre le nouveau monde dans lequel il évolue et les
risques qu’il croisera ou qui atteindront sa structure.
Nous allons un peu plus loin, évidemment, et tout ce que vous trouverez dans
ces pages peut être utilisé pour concevoir une action préalable à une formation.
Vous pouvez reprendre nos infographies4 dans ce même objectif de sensibilisation.
Pour autant, le cyberespace et l’arme cyber, deux notions que nous allons définir
et développer, renvoient à un monde vivant et même secrètement mouvant.
Nous vous engageons donc à ne pas négliger les sources d’information que sont
les sites Internet des organismes que nous citons au fil des chapitres. Ce sera,
pour vous, le meilleur moyen d’ajouter des briques aux bases déjà conséquentes
que nous vous proposons ici.
Enfin, la conclusion de ce livre ne s’achèvera pas sans que nous vous donnions
le moyen de nous consulter si vous souhaitez aller plus avant sur tel ou tel point.
4 À l’exception d’une infographie utilisée avec l’accord de l’entreprise Deloitte (figure 3.3), et
d’un tableau présentant le « Schéma national de classement des attaques informatiques »
(figure 1.5), toutes les autres ont été créées par Thierry Brenet.
Introduction
La culture d’une majorité des Français en matière cyber n’est pas très développée.
Comment leur en vouloir lorsque l’on compte le peu d’ouvrages vulgarisant ce
sujet et donnant une vision globale de ce thème avec les interactions entre les
différents types d’acteurs et les armes existantes ?
Beaucoup pensent certainement que cela n’a rien de grave, le cyber étant un
domaine de spécialistes, à l’image de la chose militaire. Le problème est que
ce qui vaut pour l’art de la guerre – nous n’avons pas besoin de tous savoir
comment fonctionne un drone Ripper, ce qu’est le projet de SCAF5 ou comment
fonctionnent les munitions vagabondes6 – ne vaut pas pour le monde cyber et
les risques qui lui sont inhérents.
Comme nous l’écrivions plus haut, en utilisant l’image du gardien d’une cité,
s’il ne ferme pas le pont-levis, peu importe l’épaisseur et la hauteur des murailles,
les barbares pourront entrer dans la cité, la piller et repartir.
Dans le monde cyber, si un salarié de TPE, de PME ou d’ETI ouvre une pièce
jointe ajoutée à un mail et que celle-ci contient un malware, bien des protections
mises en œuvre ne serviront à rien.
Notre volonté, forts de cette certitude, a donc été d’offrir une caisse à outils aux
dirigeants et cadres de ces entreprises pour, dans un premier temps, leur faire
découvrir et comprendre ce nouveau monde et, ensuite, d’avoir la matière et les
modus operandi leur permettant de sensibiliser et former leurs salariés.
Pour ce faire, nous avons procédé en deux temps. À la manière de certaines pièces de
théâtre, romans ou films, nous avons commencé à planter le décor (première partie).
Cela fait, nous en sommes venus naturellement aux comportements qui doivent
être les nôtres, nous salariés, dirigeants d’entreprise et d’autres types de structures
(deuxième partie) et de rappeler qu’une grande partie de ce qui se passe dans
ce monde est lié aux doctrines et visions des États.
Dans la première partie, parce que cela nous semblait primordial, nous avons
défini le cyberespace et son champ de bataille (chapitre 1).
Ces nouvelles réalités – pas toujours agréables à découvrir, parce que pas
toujours confortables –, décortiquées, nous nous sommes attaqués à l’arme
cyber. Contrairement au revolver du truand, au char Leclerc ou au porte-avions,
cette arme se cache assez facilement, dans un document d’un smartphone, dans
des lignes de code d’un programme présent sur un ordinateur avec lequel on
passe n’importe quelle frontière, sur une clé USB ou dans un mail.
Pour clore la première partie de ce livre, dans notre chapitre 2, nous vous avons
concocté quelques bonnes pages – du moins, c’est notre souhait – sur l’utilisation
de cette arme cyber. Truands, salariés d’entreprise ou bien hackeurs professionnels,
ils sont nombreux ceux qui peuvent l’utiliser et, hélas, leurs commanditaires ne
manquent pas.
Bien évidemment, l’idée n’est pas de vous dire que « tout est foutu », comme
s’est exclamé un dirigeant d’entreprise auquel nous faisons une présentation
— le changement climatique se chargera bien tout seul de nous conduire à cette
échéance. Notre propos est de vous aider à comprendre ce monde, qui utilise cette
arme et pourquoi afin de mettre en place les actions de protection nécessaires,
lesquelles – vous l’avez compris – ne doivent pas se limiter à de nouvelles murailles
plus épaisses et plus hautes.
Le décor sera donc planté. Le contexte vous sera alors familier et vous connaîtrez
les différents uniformes (ou non uniformes) que peuvent endosser les acteurs,
il sera temps, alors de passer à la seconde partie de ce livre qui va traiter de
notre protection.
Introduction 3
Puisque vous avez compris ce qu’est l’arme cyber, vous ne serez pas étonné
des contre-feux que nous vous proposons. Cela passera, évidemment, par une
hygiène collective. Sans vouloir faire de mauvais jeux de mots, un certain nombre
de risques peuvent être évités en respectant et en promouvant auprès de ses
collègues, des salariés, des prestataires, etc., un certain nombre de gestes
barrières qui ont fait leurs preuves.
Pour n’en citer qu’un qui peut sembler particulièrement primaire, on n’ouvre pas
la pièce jointe associée à un mail que nous adresse une personne que nous ne
connaissons pas ! Bien entendu, s’il s’agit d’un échange important, on respecte
certaines règles et, si nous cochons toutes les bonnes cases, on peut se rassurer
et continuer…
Et puis, il y a des organismes dont la mission est de vous aider, des outils qui
ont fait leurs preuves dans le monde de l’entreprise. Nous en ferons le tour
ensemble. À vous ensuite de poursuivre l’approfondissement de ce que nous
vous apportons en prenant contact avec les organismes étudiés ici.
D’une part, on entend souvent dire du cyberespace que c’est un far west numérique
où aucun arsenal juridique n’existe pour nous nous protéger. C’est évidemment
faux. De plus, il est intéressant de connaître les sources du droit existant pour,
en cas de problème, savoir comment agir et vers quelle institution se tourner.
D’autre part, comme dans n’importe quelle guerre, les affrontements qui existent
entre pays, même par délégation, peuvent influer sur le quotidien des entreprises et
de nos infrastructures. Aujourd’hui, pour faire simple, lorsque tel pays s’insurge ou
s’oppose aux menées de tel autre grand pays, les infrastructures les plus diverses
du premier, comme par hasard, peuvent être bloquées. Cela signifie des difficultés
de fonctionnement de réseaux vitaux et – en bout de chaîne – des entreprises.
Qui dit agression potentielle, même indirecte, dit besoin de protection. Il importe
donc de savoir, face à ce danger, ce qui est développé. D’où l’intérêt de présenter
la doctrine de la France, celles de pays alliés et d’autres…
Afin de vous faciliter ce « picorage » ou, pour d’autres, de préférer une lecture
thématisée, chaque sous-partie de chapitre est encadrée par quelques lignes
intitulées : « Avant de plonger » et d’autres nommées : « Ce qu’il faut retenir. »
Chaque fois que cela nous a semblé utile, nous avons utilisé des infographies.
À une exception près, elles ont été créées par Thierry Brenet pour son site
Internet (https://www.thierrybrenet.fr/infographie/).
Il ne nous reste plus qu’à souhaiter que la lecture de ce livre vous soit utile et
– pourquoi pas – vous permette de diffuser la bonne parole.
Partie I
Cyber, comme
cyberarme,
cybercombattant
et donc cyberrisques
1
L’arme cyber et son
champ de bataille
1.1 Le cyberespace
Un ensemble de chiffres, des suites de « zéro » et de « un », des lignes de codes,
voilà l’image que nous renvoie le plus souvent le cyberespace. Mais une telle
représentation est-elle juste ? Peut-on réellement ne voir de cet espace que des
éléments qui existent sans pour autant être complètement réels ? Je crois qu’il
est temps pour nous tous de voir au-delà de ces approches.
AVANT DE PLONGER
Un peu d’histoire et des évolutions mises en lumière par quelques chiffres
sont souvent utiles, pour ne pas dire nécessaires, pour savoir où l’on « met
les pieds ».
On voit donc qu’à l’origine, ce réseau n’a nullement été conçu pour être globalisé
et être mis à disposition des 7,8 milliards d’habitants de notre planète.
8 Cyberespace et cyberattaque – Comprendre et se protéger
En 1971, les ingénieurs travaillant sur ce réseau sont parvenus à envoyer des
messages électroniques entre des ordinateurs situés à différents endroits des
États-Unis, inaugurant ainsi le premier e-mail.
En 1977, la National Science Foundation met en place Arpanet grâce à des centres
informatiques d’une très grande puissance. Ces plateformes permettent à un
plus grand nombre d’utilisateurs de se connecter depuis quasiment n’importe
où aux États-Unis.
La place prise par Internet, nous le savons, est importante, mais quelques
chiffres permettent d’en évaluer l’ampleur : en 2018, 4 milliards de personnes
sont connectées à Internet, soit 53 % de la population mondiale. Évidemment,
l’Amérique du Nord et l’Europe sont les plus connectées.
En 2020, 4,79 milliards de personnes seraient reliées à Internet, alors qu’il n’y
en avait que 1,97 milliard en 2010.
Internet n’est pour autant que la pointe émergée de l’iceberg. Cette partie
visible est un bon observatoire de son évolution, puisqu’elle permet de se rendre
compte de la place prise par le cyberespace dans notre histoire récente.
AVANT DE PLONGER
Imaginé par un auteur de science-fiction, le cyberespace s’est déplié partout
et nous est devenu indispensable.
Ainsi, dans les années 1990, ce terme de cyberespace fut repris par l’armée
américaine afin de désigner l’ensemble de ses réseaux d’échanges de données
numériques qui commençaient alors à émerger. On trouve ici un élément qui
rejoint notre usage quotidien du cyberespace : les réseaux d’échanges numériques.
7 Titre original : Neuromancer. Traduction française : La Découverte, 1985 (trad. par Jean Bonnefoy).
10 Cyberespace et cyberattaque – Comprendre et se protéger
Un autre système essentiel auquel on ne pense pourtant que trop peu est le
système bancaire, lequel repose essentiellement sur le système numérique.
En dehors de la monnaie que nous conservons pour les machines à café, nous
avons souvent fort peu d’argent liquide sur nous, puisque nous effectuons la
majorité de nos paiements avec des cartes bancaires. Comme vous le savez
lorsque nous utilisons notre carte de crédit, l’argent que nous dépensons ne
représente en réalité que des écritures numériques. Nos banques ne disposent
pas des sommes présentes sur nos comptes en monnaie sonnante et trébuchante.
Pour autant, s’il repose, peut-être en partie sur des lignes de codes, il ne peut
être limité à cela. C’est ce que nous allons nous attacher à détailler, car l’utilisation
de ces architectures numériques pour faire circuler aussi bien de l’argent que
des trains ou de l’eau et de l’électricité nous renvoie à des risques que le cinéma
ne manque pas de nous donner à voir. C’est le cas par exemple dans l’un des
volets de la célèbre série Die Hard qui met en avant un groupe de hackeurs
s’attaquant à des infrastructures étasuniennes afin de liquider les biens américains.
L’arme cyber et son champ de bataille 11
Pour commencer, ils coupent les communications avant de s’en prendre aux
places boursières ainsi qu’aux installations du gaz et de l’électricité.
AVANT DE PLONGER
La pandémie a accéléré notre basculement collectif et quotidien sur des
outils de communication numériques. Découvrez dans les quelques lignes
qui suivent comment nous nourrissons l’« ogre cyber ».
Par exemple, si je me suis tordu une cheville, je peux remplacer mon rendez-vous
physique par un rendez-vous en distanciel. Dans un tout autre domaine, avant
de partir faire une marche d’une journée dans les Alpes suisses, je peux vérifier,
toujours avec mon smartphone, la prévision météorologique ou la manière dont
vont tourner les vents. Au retour, je pourrai visualiser le circuit réalisé, le nombre
de kilomètres parcourus et même les calories dépensées…
Les échanges et les relations humaines ont été, et sont en permanence, impactés
par le développement du cyberespace. Cet espace s’est affranchi de certaines
contraintes classiques, tout particulièrement concernant le temps et la distance.
Ainsi, la vente via Internet fait que, si telle ou telle boutique n’est ouverte que
9 à 13 heures par jour, d’autres le seront 24 h/24, 7 jours/7, et ce pour des clients
se connectant même de l’autre bout de la planète.
12 Cyberespace et cyberattaque – Comprendre et se protéger
Vous vous souvenez des cartes postales envoyées d’un lieu de vacances ?
Nous devions les écrire assez tôt pour ne pas rentrer avant elles ! Là aussi,
dans des gestes anodins, le cyberespace a révolutionné le temps nécessaire
pour que deux individus puissent communiquer. Il n’est plus nécessaire
d’écrire une lettre, de se déplacer pour la poster, d’attendre qu’elle arrive à
son destinataire, que ce dernier la lise avant de rédiger une réponse qui suivra
le même cheminement postal. Désormais, tout cela, grâce au cyberespace,
ne prend plus que quelques secondes. Nous écrivons un message que nous
envoyons avec notre smartphone et presque aussitôt, celui-ci arrive à notre
correspondant, qu’il se trouve à 500 mètres de vous, 500 ou 5 000 kilomètres.
Il est devenu courant que l’on possède un ou plusieurs dispositifs nous reliant
au cyberespace. Comme moi vous possédez très certainement un ordinateur,
un smartphone, voire une tablette. Certains d’entre nous possèdent plusieurs
de ces éléments. Il y a le téléphone « professionnel » et le « personnel »,
l’« ordinateur du bureau » et celui que nous utilisons pour nos activités familiales,
etc. Même les plus jeunes en possèdent — le smartphone particulièrement est
très répandu chez les adolescents, qui en conserveront certainement tout au
long de leur vie. Un étudiant quant à lui possédera certainement, en plus de
son smartphone, au moins un ordinateur personnel et souvent une tablette.
Je ne doute pas qu’en plus de ces éléments certains parmi vous possèdent
également une montre connectée, une balance connectée, une enceinte
connectée, etc., qui nous font baigner dans le cyberespace. Celui-ci structure
insidieusement notre quotidien dans notre travail, dans notre vie personnelle,
dans nos démarches administratives, dans nos rendez-vous médicaux, etc.
AVANT DE PLONGER
Depuis quelques pages, nous nous sommes mis à parler du cyberespace.
Après en avoir tracé le périmètre, pour éviter le « hors-sujet », est venu le
temps de définir cette réalité qui, faisons simple, est la somme de trois strates
de réalités, des strates habituellement qualifiées de couches.
L’arme cyber et son champ de bataille 13
Je viens de vous parler de câbles et, contrairement à ce que l’on peut penser
parfois, un grand nombre des données que l’on envoie en utilisant Internet,
ne passent pas par des satellites ou des antennes, mais par des câbles qui
relient les continents entre eux. Pour nous comme pour l’immense partie de
la population, nous n’avons jamais vu et ne verrons probablement jamais l’un
de ces câbles puisque ceux-ci passent par les océans pour relier un continent
à un autre.
La planète est recouverte de ces câbles, mais tous les pays ne sont pas desservis
de la même façon, l’Europe comptant un grand nombre de câbles arrivant sur
ses côtes, alors que certains pays n’en disposent que d’un.
Prenons l’exemple d’un selfie réalisé avec votre téléphone. Vous n’avez pas
besoin de vous soucier de la marque du smartphone ni du logiciel de visualisation
qu’utilise la personne à laquelle vous souhaitez envoyer cette image. En effet,
un protocole a été créé pour gérer ce type d’échange.
D’autres données sont évidemment plus sensibles, mais toutes celles échangées
grâce à cette couche sont extrêmement convoitées, les capter ou faire dominer
sa propre information étant devenu un enjeu primordial dans notre société.
Ainsi, à partir des informations générées par les paiements aux médecins, une
société avait créé une sorte de répertoire des médecins avec les honoraires
pratiqués, et ce afin que tout un chacun puisse choisir un praticien en pleine
connaissance de ses pratiques financières.
Cette application a rapidement été interdite, ce qui n’est pas le cas, par exemple,
d’applications participatives permettant de savoir où, dans une ville par exemple,
l’essence est la moins chère.
Tout cela crée des montagnes de données, et c’est ce que l’on appelle le big data,
lequel vous l’imaginez sans peine est en plein essor.
Aussi, il n’est pas étonnant qu’à côté des sondages politiques, un grand nombre
d’entreprises désirent récolter nos données, car elles constituent des mines de
renseignements. Vos données permettent, par exemple, de cibler les publicités
que vous allez recevoir et ainsi vous proposer un produit que vous seriez plus
susceptible d’acheter.
Je suis certain que vous avez déjà vécu la situation suivante. Après être allé
consulter un site de vente d’équipements de sport pour connaître le prix de la
veste de pluie qui vous intéresse, ce produit, ainsi que d’autres articles similaires,
a été, comme par hasard affiché comme publicité ou pop-up sur les autres pages
Internet que vous consultez et qui ne traitent absolument pas d’équipement
sportif. Ce faisant, le vendeur du produit vous relance, alimente votre envie de
vous procurer cet article. Vous êtes constamment tenté, ce qui risque de vous
pousser à l’acheter.
16 Cyberespace et cyberattaque – Comprendre et se protéger
Là encore, nous étions sur l’utilisation des données d’une personne, mais si l’on
ajoute à vos données celles de milliers, voire de millions d’autres personnes,
alors l’intérêt est encore plus grand. Ces données vont permettre d’étudier des
comportements de société et ainsi trouver quel produit doit être développé
puisqu’il correspond à un besoin, quelle est la période la plus propice pour
annoncer sa sortie, etc. C’est également à partir de ces données qu’il est possible
d’aiguiller, non plus seulement les consommateurs, mais aussi les citoyens et les
électeurs vers différents choix et ainsi favoriser l’un d’eux.
Une autre technique est d’abreuver cette IA avec des milliers de dossiers médicaux
intégrant les métiers occupés et les maladies soignées, chacun correspondant
à une suite de données pour une personne. Dans un deuxième temps, vous
allez lui demander de comparer ces enregistrements et de créer des sortes de
familles homogènes. Imaginons que parmi ces dossiers, il s’en trouve provenant
de travailleurs de l’amiante. Notre IA va peut-être trouver un nombre de dossiers X
où il y a, à la fois « travail au contact de l’amiante » et « cancer des voies
respiratoires ». Plus le nombre de dossiers de travailleurs de l’amiante présentera
la seconde caractéristique, plus il sera clair que l’amiante intervient, d’une manière
ou d’une autre, dans le développement du cancer évoqué.
Sur cette question, plus les spécialistes en santé publique auront de données
à fournir à leur intelligence artificielle, plus elle pourra devenir précise et
performante.
Nous venons de passer en revue les trois couches les plus souvent présentées
comme constitutives du cyberespace. Les spécialistes en ajoutent deux autres
qui, à leur énoncé, ne devraient pas vous surprendre.
Cette structuration est essentielle pour le cyberespace, alors même que nous ne
la décelons pas au quotidien. Pour nous, le cyberespace est un tout. Malgré cela,
ces différentes couches sont source d’enjeux qui lui sont propres et confèrent
au cyberespace ses dimensions et sa complexité.
AVANT DE PLONGER
Les confinements liés à la pandémie de Covid-19 nous l’ont montré,
le cyberespace est une sorte de second monde, un monde de substitution
pour donner un cours, négocier, échanger des informations. Il est intéressant
d’aller plus loin et de faire le tour des outils qui nous amènent à voguer sur
des mers cyber, pas toujours calmes.
Il s’agit d’un espace universel, il est présent partout sur le globe et aucun aspect
de notre vie ne lui échappe. Même les pays en voie de développement ont à cœur
d’étendre les différents réseaux, téléphonie, Internet, etc. sur leurs territoires.
Nous avons une amende à payer ? Qu’à cela ne tienne ! Il n’est plus nécessaire
d’aller acheter des timbres fiscaux ou d’envoyer un chèque. Il nous est possible de
la régler directement grâce à une application téléchargée sur notre smartphone.
Autre exemple, avec un réseau social professionnel que l’on me dit être nécessaire
pour des recherches d’emploi 2.0…
Pour être lisible sur ce réseau, je vais donc créer mon profil. Les concepteurs
de ce réseau, pour me faire aller aussi loin que possible dans la description de
mes expériences, vont me rappeler que je peux encore compléter telle ou telle
rubrique. Je vais envoyer des invitations, réagir à un « post » et le commenter,
écrire des recommandations et en solliciter d’autres. Enfin, bref, je vais me
rendre visible, tisser une toile tout aussi visible, parce que digitale et utilisant
les algorithmes de ce réseau social.
Un rapprochement très net s’est opéré entre nos habitudes, nos comportements
quotidiens et le cyberespace.
Historiquement, on trouve cette démarche sur les blogs et les forums qui ont
émergé dès les premiers pas d’Internet. Les premiers grands réseaux sociaux,
MySpace (2003) et Facebook (2004) ont permis d’aller au-delà, créant une véritable
bulle virtuelle avec des contacts, des partages sur tous les sujets possibles, des
photos, des vidéos, etc.
Le développement de ces réseaux, sur la base des contenus que nous y déposons
tous de manière plus ou moins acharnée, amène certains chercheurs à évoquer
le terme de « médias sociaux ».
Aujourd’hui, parce que le Web 2.0 nous offre une multitude de supports, nous
pouvons très simplement et très facilement emprunter les voies de distribution
que nous offre le cyberespace sans « passer sous les fourches caudines des
gens de presse » pour le meilleur et, évidemment, pour le pire, comme nous le
constatons quasiment chaque jour.
À côté de ces réseaux sociaux, d’autres se sont développés avec des centres
d’intérêt plus ciblés, c’est le cas notamment d’Instagram qui se concentre sur les
photographies et sur les vidéos très courtes, ou de LinkedIn, qui est un réseau
social à but professionnel.
YouTube est également un réseau social très important, sur lequel des vidéos
sont partagées par des créateurs.
Mais les réseaux sociaux sont loin d’être le seul élément faisant du cyberespace
un espace social.
Parmi les équipes de jeux vidéo les plus connues, on peut citer le FaZeClan qui
rassemblait plus de 19 millions de followers en 2019.
Cette forme digitalisée du sport, qu’il est convenu de qualifier d’e-sport, est
apparue dans les années 1970, mais n’a réellement pris de l’ampleur que dans
les années 1990. À l’époque, les participants se retrouvaient à un même endroit
avec leur matériel personnel afin de s’affronter les uns les autres. La globalisation
d’Internet a permis à l’e-sport de prendre une dimension plus massive. L’e-sport
se pratique seul ou en équipes, qui peuvent être professionnelles ou semi-
professionnelles. Il n’y a plus de terrain pour s’affronter, ou plutôt si, un terrain
virtuel, sans localisation exacte, dans le cyberespace.
Une enquête réalisée pour France Esports, et portant sur l’année 2020, montre
à quel point ces sports numériques mobilisent. En effet, un peu moins de
8 millions des internautes de plus de 15 ans sont consommateurs d’e-sport et/
ou pratiquants8.
Sur ce registre social, et pour être exhaustifs sur les traces des comportements
que nous laissons dans ce nouveau monde numérique, reste à dire quelques
mots d’autres pratiques totalement digitalisées.
Pour continuer dans cette logique de jeux abordée avec l’e-sport, nous ne
pouvons pas laisser de côté une autre pratique liée aux jeux vidéo : le streaming.
La plateforme Twitch est l’une des plus connues en la matière puisque 15 millions
de personnes l’utiliseraient. Sur celle-ci, il y aurait 9 millions de chaînes dont
54 500 proposant du contenu en direct en même temps. En ce qui concerne les
téléspectateurs, la plupart auraient entre 18 et 34 ans.
Cette pratique est extrêmement populaire auprès des adolescents et des jeunes
adultes, qui peuvent ainsi découvrir le scénario d’un jeu vidéo et décider s’ils
veulent se le procurer ou non. Par ailleurs, certains jeux vidéo sont tellement
bien réalisés que lorsqu’une autre personne y joue, on peut la regarder jouer
comme s’il s’agissait d’un film.
Pour certains streamers, cette activité leur permet de dégager un salaire, grâce
à des abonnements ou des promotions de produits, comme un nouveau jeu vidéo.
Pendant la période de pandémie due au coronavirus en 2020-2021, l’étendue du
cyberespace a permis à nombre d’entre nous de continuer à travailler depuis leur
domicile. Le cyberespace, sans lequel le développement du télétravail n’aurait
pas été possible, s’est à nouveau enrichi de connexions multiples, et encore plus
de données sont partagées.
Cet enrichissement du cyberespace peut se voir comme un développement de
notre cerveau. Toute nouvelle activité à laquelle nous nous livrons permet de créer
de nouveaux chemins entre nos neurones, l’activation de neurones et de synapses.
Ces « autoroutes », une fois créées, ne demandent plus qu’à être utilisées.
Dans notre vie quotidienne, cela va se traduire par des utilisations familiales,
par exemple la vulgarisation des outils de visioconférence utilisés en famille ou
avec des amis pour entretenir les liens.
Durant cette période troublée, le cyberespace a été une source de réconfort
et d’informations pour beaucoup d’entre nous. Il nous a offert également ce
confort avec de nouvelles façons de travailler en nous appuyant toujours plus
sur le cyberespace et ses avantages. Et, par ailleurs, ce nouveau monde a ouvert
de nouvelles mines débordantes d’informations sur nous-mêmes, nos activités,
nos comportements, etc. Il est désormais possible de consulter via une application
dédiée sur votre smartphone. Il est en effet possible de téléconsulter son médecin
généraliste autant qu’un spécialiste sur une plage horaire importante, et ce tous
les jours. Avec notre généraliste, ces consultations nous permettent d’obtenir
une ordonnance sans nous déplacer.
22 Cyberespace et cyberattaque – Comprendre et se protéger
AVANT DE PLONGER
Lorsqu’une technologie est développée, elle n’est ni bonne ni mauvaise, elle est
neutre. C’est l’utilisation qui en sera faite qui va lui conférer son caractère
positif ou négatif. Dans de nombreuses situations, une même technologie sera
utilisée pour des visées de progrès et d’autres, hélas, négatives. C’est le cas
de l’énergie nucléaire, par exemple. D’un côté, elle permet à la France d’avoir
une énergie bon marché, à court terme. Elle a permis de nombreuses avancées
dans le domaine de la science et de la médecine. Par ailleurs, sans même parler
de guerre nucléaire, le nucléaire peut être un danger pour notre santé.
Pour le cyberespace, la logique est la même. De la sorte, même si la presse se fait
régulièrement l’écho de piratages spectaculaires, on ne peut qualifier ce nouvel
espace de vie « sur support digital » de bon ou de mauvais dans l’absolu. On peut
avoir un usage positif du cyberespace, partager nos connaissances, télétravailler
pendant une pandémie, soigner à distance, transformer l’éducation pour le bien de
populations qui ne pouvaient accéder à certains savoirs, par exemple. Mais nous
sommes également obligés de constater qu’il est possible d’en avoir un usage
totalement dévoyé, en tentant de voler les informations bancaires d’une personne,
en l’utilisant pour espionner des entreprises, par exemple.
En cela, le cyberspace n’est qu’un outil dont nous disposons. Nous sommes les
acteurs et ce sont nos intentions qui comptent et qui vont avoir un impact sur
la technologie.
Le cyberespace nous apporte beaucoup au quotidien, mais il ne faut pas oublier
qu’il s’agit également d’un outil dangereux si l’on ne prend pas garde.
L’interconnexion profite également à ceux qui veulent tirer un profit personnel
du cyberespace. Il s’agit notamment des personnes qui conçoivent des logiciels
malveillants afin de s’enrichir personnellement ou pour causer du tort à autrui.
Parce qu’il est important de ne pas oublier les éventuels dangers qui peuvent
venir du cyberespace, nous traiterons un certain nombre d’entre eux plus loin dans
cet ouvrage. Notez dès à présent qu’il faut être attentifs lorsque nous utilisons
nos smartphones, ordinateurs, etc. Attentifs et débarrassés de toute naïveté
lorsque nous trouvons dans notre boîte mail des messages venant d’inconnus
et qui nous proposent d’ouvrir une pièce jointe… Idem, lorsqu’un message
vocal, laissé sur notre smartphone par une personne inconnue nous enjoint de
rappeler un numéro tout aussi inconnu. Le fait d’évoluer une bonne partie de
nos journées dans ou grâce au monde virtuel que, collectivement, nous avons
créé et faisons grandir, ne doit pas nous affranchir des principes de prudence
que nous appliquons dans le monde réel.
24 Cyberespace et cyberattaque – Comprendre et se protéger
AVANT DE PLONGER
Dans le cyberespace, il y a le mot « espace ». Cela peut donner envie de lever
la tête, d’autant plus qu’une partie des flux d’informations passent par ces
canaux. Pour autant, ce serait une erreur de ne le voir qu’au-dessus de nos
têtes. Rappelez-vous les trois couches évoquées plus haut… il est partout.
Partout, mais alors il ne connaît pas les frontières ? Pour le savoir… plongez !
Les frontières sont une caractéristique essentielle des États, puisqu’elles identifient
le territoire sur lequel leur souveraineté s’applique. Les frontières ont toujours
revêtu une importance particulière pour les États, car elles contribuent à assurer
leur identité. Elles suivent généralement des repères géographiques précis.
Ce n’est évidemment pas le cas dans le cyberespace et cela peut nous amener
à nous interroger sur le cyberespace et la façon dont cet espace sans frontière
coïncide avec nos territoires nationaux aux frontières parfois tourmentées.
En d’autres termes, cet espace virtuel n’étant pas un espace réellement physique,
a-t-il un impact sur les frontières que nous connaissons ?
Malgré ce qu’on pourrait croire au premier abord, le cyberespace ne laisse pas nos
frontières territoriales indifférentes. Cet espace, bien qu’essentiellement virtuel,
a permis d’ouvrir les frontières des États, notamment lors de la mondialisation.
Le cyberespace a en effet été l’un des outils de la mondialisation. Il est au centre
de la dématérialisation des échanges financiers, de l’amélioration des moyens
de communication, de la mise en relation des différents gouvernements et de
leurs citoyens, etc.
Une grande partie des biens manufacturés traversent le globe grâce à des
conteneurs. S’il est possible de suivre l’itinéraire d’un conteneur, de savoir
à qui il appartient, c’est grâce à la puce d’identification par radiofréquence qui
équipe les conteneurs. Il en va de même pour la livraison de vos colis. Si vous
commandez des chaussures manufacturées dans un autre pays, vous pouvez les
acheter en ligne. Elles vous sont expédiées depuis un pays étranger, mais vous
pouvez suivre l’acheminement depuis chez vous.
Les flux de toutes sortes ont pris une ampleur inégalée auparavant avec la
mondialisation et le cyberespace permet de gérer une grande partie de ces flux.
Prenons le cas du transport de pétrole brut par bateau ; pendant son transport
entre le lieu de chargement et son terminal d’arrivée, la cargaison va changer
plusieurs fois de propriétaire. Cela s’explique par des variations de cours liées
à des événements fort concrets (économiques, géostratégiques, par exemple)
et, là encore le cyberespace permet le transit, les reventes, mais aussi les
changements de route, car, qui dit changement de propriétaire peut signifier
changement de port de livraison…
AVANT DE PLONGER
Tous les ailleurs accessibles à l’homme – les océans, l’espace – ont fait au fil des
siècles l’objet de réglementations. Ces espaces, comme les ressources qu’ils
recèlent, sont couverts pour la plupart par la notion de « biens communs », ces
biens qui n’appartiennent à personne, tout en appartenant à tout le monde.
La France considère que l’espace aérien situé au-dessus de nos têtes ne
peut être utilisé n’importe comment et par n’importe quel pays. Des règles
organisent son utilisation. Idem pour les océans qui baignent nos côtes et
les ressources qu’ils contiennent. Un droit de la mer les régit avec des règles
qui vont différer selon la proximité ou l’éloignement de nos côtes. Cela posé,
quid du cyberespace ?
L’arme cyber et son champ de bataille 27
Il n’est pas illégal d’utiliser le deep Web. En revanche, il y a une troisième partie
plus sombre sur Internet, le darknet. C’est souvent cette partie que les criminels
utilisent en pensant y trouver une certaine impunité. Le darknet a une très
mauvaise réputation, car il permet de faire vivre un grand nombre de trafics et
activités illégales de toute nature.
C’est à ces usages illégaux développés à partir d’outils divers et variés, mais logés
dans ce darknet, que s’est attaqué en février 2021 un regroupement de polices
allant du Canada, des États-Unis, à Europol en passant par la Lituanie et de
l’Ukraine. Ce faisant, il semble que « le logiciel malveillant le plus dangereux au
monde », Emotet, ait été « perturbé ». L’objectif de cette opération de police,
de ce raid même d’ampleur mondiale était de prendre le contrôle d’Emotet et
d’arrêter des membres de ce réseau cybercriminel.
Emotet, faisons simple, est un logiciel implanté à votre insu dans un ordinateur,
ou un réseau informatique pour dérober, puis utiliser des informations sensibles
relatives à votre ou vos comptes bancaires. On parle aussi de cheval de Troie.
Repéré pour la première fois en 2014, Emotet était au départ un logiciel à visée
malveillante, ici bancaire, qui a évolué au fil des années comme n’importe quel
logiciel en se dotant de nouvelles fonctionnalités. Pour Emotet, cela passa par
un « service de diffusion de spams » et de malware.
Néanmoins, certains utilisent cette même partie sans mauvaises intentions.
Les dissidents politiques peuvent notamment s’en servir pour communiquer, ou
pour ceux qui désireraient envoyer un document à Wikileaks. Il s’agit d’un site
Internet créé en 2006 qui s’est donné pour objectif de publier des documents
confidentiels qui lui sont remis par des lanceurs d’alerte, dont le nom restera
anonyme.
Enfin, pour achever ce rapide tour d’horizon du darknet, il faut savoir qu’on ne
peut pas tomber par hasard dans le dark Web. Pour y accéder, il est nécessaire
d’utiliser un navigateur spécifique, Tor, qui permet entre autres de naviguer
anonymement sur Internet.
À l’origine, le cyberespace est neutre, mais nous avons su développer des outils
pour en tirer profit et pour reproduire les comportements les plus nuisibles
dont l’être humain est capable dans la vraie vie. Nous allons voir des matchs de
football au stade, nous pouvons aussi les voir en direct en ligne.
Il n’est pas étonnant que des personnes aient trouvé comment utiliser le
cyberespace pour leurs intérêts personnels au détriment de ceux des autres.
Ces outils ont pris une importance telle qu’ils sont aujourd’hui désignés comme
des armes virtuelles. Ces armes cyber représentent une nouvelle menace que
nous devons tous connaître pour nous en protéger.
30 Cyberespace et cyberattaque – Comprendre et se protéger
D’autant plus que cette arme n’existerait pas sans cette révolution numérique
que nous avons créée et l’expansion connue par le cyberespace. Il s’agit de deux
phénomènes relativement récents, surtout si l’on considère que la première arme
créée par un être humain remonte au xiiie siècle, en Chine.
Je pense que pour comprendre ce qu’est une arme cyber, il faut commencer
par définir ce qu’est une arme traditionnelle.
L’arme cyber et son champ de bataille 31
AVANT DE PLONGER
Les armes ne sont pas un élément inconnu de notre réalité. Même si,
au quotidien, la plupart d’entre nous n’en croisent pas, les médias ou les
séries télévisées nous ont tous familiarisés avec les armes blanches, les armes
à feu ou les armes improvisées. Y a-t-il des raisons pour que ces réalités
n’existent pas dans le cybermonde ? C’est ce que nous allons voir dans les
lignes qui suivent.
Dans notre quotidien, nous ne côtoyons des armes que dans les différents métiers
de la sécurité, dans le domaine militaire, sans oublier les activités réglementées
comme la chasse ou le tir sportif.
Dans le domaine de la défense, il est normal que les militaires, les gendarmes, les
policiers, les agents des douanes soient autorisés à porter des armes. Si l’on prend
la situation des militaires, le maniement des armes est au cœur de leur métier.
Chaque militaire apprend à manier une arme et à l’entretenir, et ce dans les trois
armées et pour tous les grades. L’arme est un élément essentiel du quotidien
d’un soldat. Chaque soldat est doté d’une arme précise avec un numéro de série
propre. Cette arme suivra le militaire durant ses différentes opérations, que ce
soit sur le territoire national ou sur d’autres théâtres d’opérations. Les soldats
français ont longtemps été équipés de fusils de type Famas, mais ces derniers
sont désormais progressivement remplacés par le HK 416. En plus de ce fusil
d’assaut, les soldats sont également équipés d’armes de poing, similaires à celles
qui équipent généralement la plupart des policiers, gendarmes, douaniers, etc.
Comme vous le voyez, il est assez facile de comprendre de quel type d’armes sont
équipés les militaires français. Il est tout aussi simple de trouver une définition
de ce que représentent ces armes. À titre d’exemple, le dictionnaire L’internaute
définit le fusil d’assaut comme : « Une arme destinée aux militaires qui se cale au
niveau de l’épaule pour assurer un tir d’une portée de 300 mètres, en rafales ou
au coup par coup, qui peut être équipée d’une lunette pour plus de précision. »
Par ailleurs, selon le site Internet Service public, une arme à feu de poing est :
« Une arme permettant le tir de plus de 21 munitions sans réapprovisionnement
avec un système d’alimentation de cartouches. »
32 Cyberespace et cyberattaque – Comprendre et se protéger
S’il est facile de comprendre ce qu’est une arme de poing ou un fusil d’assaut,
rien n’est aussi évident dans le domaine cyber. L’armée française dispose de
combattants spécialisés dans le monde cyber, mais il n’est pas aussi simple de
trouver des informations à ce sujet. En effet, en cherchant sur Internet ou dans
la presse généraliste, on ne trouve que peu d’éléments sur les méthodes de
formation des spécialistes cyber des forces armées françaises. Alors même que des
articles fleurissent sur la volonté de l’armée de recruter des « cybercombattants ».
On peut néanmoins trouver des éléments sur les cursus proposés, d’une part, par
l’école de Saint-Cyr Coëtquidan dans son mastère spécialisé cyberdéfense qui
aborde notamment des matières telles que : « Architecture, réseaux, plateforme,
OS », « Vulnérabilités and malwares », « Anticipation et renseignement » ; d’autre
part, l’école des transmissions de Rennes présente également dans ses formations
des matières comme : « Virologie », « Cryptologie », « Sécurisation d’un réseau de
type intranet ». Ces deux formations prennent en compte des éléments nécessaires
à la formation d’un spécialiste en arme cyber. Bien que ces éléments permettent
d’avoir une idée des cours dispensés par ces formations, on ne cerne toujours pas
ce que peut représenter un « cybercombattant », ou une « arme cyber ».
AVANT DE PLONGER
Notre monde – réel – peut sembler manquer de règles pour préserver les
peuples des guerres et de la sauvagerie. C’est à la fois vrai et faux. En effet,
un « droit de la guerre » existe et des instances internationales enquêtent,
sévissent et condamnent sur la base d’actes d’accusation documentés.
Pour ce faire, un certain nombre de définitions existent, qu’il s’agisse des
armes, des limites fixées à leur utilisation, voire leur interdiction. Sans un tel
cadre, difficile d’agir…
Aucune définition évidente n’apparaît dans les premières recherches, alors que
pour de nombreux termes, le moteur de recherche propose une définition,
même succincte, des termes. C’est notamment le cas lorsqu’on effectue une
recherche autour des termes : « cyberdéfense » ou « cyberattaque ». Ces requêtes
conduisent à une définition de chacun de ces termes dès la première page de
résultats. Même si ces définitions ne sont ni précises ni complètes, elles permettent
cependant d’obtenir une première approche sémantique.
Les choses sont très différentes si l’on effectue une recherche similaire, mais en
anglais cette fois. Si vous recherchez “cyberweapon”, vous pourrez constater que
le premier résultat mène à une page Wikipédia donnant une première définition
de ce terme. Sur cette page, on peut lire : “A cyberweapon is a malware agent
employed for military, paramilitary, or intelligence objectives.” En français, cela
signifie qu’une arme cyber est un agent malveillant employé à des fins militaires,
paramilitaires ou de renseignement.
Cette différence de résultat est fort dérangeante, d’autant plus que nombre
d’entre nous ne pensent pas à effectuer la même recherche dans une autre
langue. En l’absence d’une définition évidente, nous devrions peut-être remonter
le fil qui a mené à la création de cette arme.
Au xive siècle, les systèmes défensifs ont dû s’adapter après avoir été mis à mal par
l’apparition de l’artillerie. L’artillerie a instauré un nouveau niveau de puissance
et de capacité de destruction qui a révolutionné la manière de faire la guerre.
La violence des combats a changé de nature, de nouvelles blessures sont apparues,
de nouvelles stratégies offensives et défensives également. D’une certaine
manière, la violence était plus accessible.
Loin de n’être utilisées que par elles-mêmes, les forces aériennes sont également
couplées aux forces terrestres et maritimes afin d’enrichir les capacités
opérationnelles des États. Ces derniers ont ainsi pu développer des stratégies
plus pointues leur permettant d’atteindre une plus grande précision dans leur
action et limitant le nombre de soldats engagés sur une opération.
Puis une étape incontournable dans ces innovations a été le développement de
l’arme nucléaire à la fin de la Seconde Guerre mondiale. La conception de cette
arme a profondément marqué le monde entier. Cette arme dépasse toutes les
autres au niveau de sa puissance et de sa létalité. D’après les estimations, les
bombardements d’Hiroshima et de Nagasaki ont entraîné la mort de 155 000
à 250 000 personnes. Aucune autre arme n’est à même de provoquer autant
de dégâts à elle seule en une fois. Cette arme provoque des dégâts humains,
environnementaux, économiques et politiques majeurs.
C’est pour cela qu’il s’agit d’une arme de dissuasion, qui ne vise pas à être
utilisée. Elle a un rôle essentiellement politique. L’arme nucléaire est un des
piliers de notre arsenal de défense, qui s’appuie en grande partie sur le concept
de dissuasion. La peur découlant des conséquences de la destruction mutuelle
qu’elle instaure empêche les États d’y recourir. Cette crainte est d’autant plus
présente si l’on considère qu’après une première frappe, il est fort possible qu’un
autre détenteur de l’arme nucléaire riposte avec la même arme, engendrant une
destruction mutuelle de ces États.
Ces innovations ne sont que quelques exemples de toutes les révolutions
tactiques et stratégiques qui ont conduit à notre réalité.
Si l’on part d’une des définitions trouvées en anglais, une arme cyber est :
« Un logiciel ou un matériel informatique utilisé pour commettre une cyberguerre.
Cette arme cyber serait capable de modifier du texte et de l’audio, d’intercepter
des saisies au clavier et de perturber le trafic réseau. »
Nos policiers et nos gendarmes sont équipés d’armes, alors qu’ils ne participent
à aucun acte de guerre. Par ailleurs, d’autres personnes en France possèdent une
arme. Certaines y sont autorisées par la loi, c’est le cas par exemple de celles
qui pratiquent le tir sportif, les fonctionnaires des douanes, certains agents de
surveillance, des personnes pratiquant la chasse ou encore certaines personnes
dont la vie est particulièrement en danger.
En plus de celles autorisées à porter une arme, ne nous voilons pas la face,
il arrive que des personnes en possèdent une en toute illégalité.
Par ailleurs, les militaires sont équipés d’armes lors de toutes leurs missions.
Pourtant, toutes ces missions ne font pas partie d’une situation de guerre.
C’est le cas par exemple de la mission Sentinelle, opération déployée sur le
territoire national afin de renforcer la sécurité.
Les soldats participant à cette mission sont équipés d’armes, mais pour autant,
ils ne sont pas engagés dans une situation de guerre. Il en va de même lors de
missions de lutte contre l’orpaillage par exemple.
Si jamais lors de l’une de ces opérations, les militaires se retrouvent dans une
situation où ils doivent faire usage de leurs armes alors ils sont en droit de
le faire, du moment qu’ils respectent les conditions d’engagement prévues,
mais l’utilisation de leurs armes ne transforme pas l’opération en guerre. Ici, on
peut faire un parallèle avec l’éventuel usage de l’arme cyber. La seule utilisation
d’une arme cyber déclenche-t-elle automatiquement une situation de guerre
dans le cyberespace ?
Pour déclencher une cyberguerre, on peut envisager qu’il soit nécessaire que
l’arme cyber atteigne un certain niveau de létalité ou engendre des dégâts
suffisamment importants.
Différentes cyberattaques peuvent avoir des niveaux d’importance et des
conséquences extrêmement diverses. Imaginez, d’un côté, un collégien frustré
qui décide de modifier les résultats de ses examens, de l’autre côté, une
personne qui décide de défigurer le site Internet d’une banque, par exemple.
Ces deux attaques se passent sur le cyberespace, mais elles n’ont pas du tout la
même importance. Les conséquences de l’attaque du collégien sont extrêmement
limitées. En revanche, la défiguration du site Internet d’une banque peut avoir
des conséquences financières importantes ainsi qu’un impact sur la réputation
de cette dernière.
Nyman Gibson Miralis11 donne une autre définition de l’arme cyber. Pour lui,
il s’agirait « des logiciels et les systèmes informatiques qui, par le biais des
réseaux TIC, manipulent, perturbent, dégradent ou détruisent des systèmes ou
réseaux ». On observe ici une certaine continuité avec la première définition.
Elle met en avant le caractère destructeur de l’arme cyber et les effets ravageurs
qu’elle peut avoir. Néanmoins, ici, l’utilisation de l’arme cyber n’est pas limitée
à la cyberguerre.
Grâce à ces définitions, vous avez une approche assez générique de l’arme
cyber. On peut envisager cette arme comme un logiciel capable de modifier
les données contenues par une machine, de perturber un réseau, de sorte
d’engager, ou non, une cyberguerre. On commence donc à avoir une idée plus
précise de ce que peut être une telle arme.
Pour ceux qui recherchent plus de précision, Kaspersky Lab12 estime qu’il s’agit
des « logiciels malveillants utilisés au niveau national ou international pour recevoir
des données précieuses et atteindre des objectifs militaires et politiques ».
Cette définition introduit un nouvel élément. L’usage d’une arme cyber peut avoir
des conséquences au niveau national ou international. Cette distinction peut
avoir son importance. Selon le niveau auquel se situe l’attaque, cela fournit un
indice sur la qualité de cette attaque, s’il s’agit ou non d’un acte de cyberguerre.
Par ailleurs, cette définition se concentre sur la notion de « données précieuses »
qui doit attirer votre attention. La « donnée » a un caractère central et constitue
une cible essentielle des cyberattaques. Les données de nos entreprises ont une
importance vitale pour nous et pour la survie de nos entreprises.
13 éclaration de Mme Florence Parly, ministre des Armées, sur le volet de la cyberdéfense des
D
armées, à Paris le 18 janvier 2019.
L’arme cyber et son champ de bataille 39
Notez tout de même que si certaines cyberattaques peuvent avoir des conséquences
dramatiques sur la vie humaine, le plus souvent il s’agit d’une conséquence indirecte.
Par exemple, une incapacité d’accéder à certains sites Internet.
On peut tout à fait imaginer qu’une cyberattaque prive d’électricité un hôpital,
ce qui pourrait mettre en danger les patients dont la vie dépend de machines.
Même si l’on peut envisager que le but de cette cyberattaque soit de blesser une
personne précise, il y a de plus fortes chances qu’il s’agisse d’une conséquence
indirecte de l’attaque.
Le développement de ces armes et la numérisation toujours plus importante ne
permettent pas d’assurer que cette situation perdurera.
L’informatisation de notre quotidien augmente ce danger. Prenons l’exemple des
voitures connectées, ces dernières sont de plus en plus répandues, mais, comme
tout objet connecté, le risque de piratage est présent. Il est désormais tout à fait
possible de détourner à distance une voiture dont les systèmes sont connectés
à Internet. Il est tout à fait envisageable de développer une arme cyber capable
de prendre le contrôle du volant de la voiture, la personne à l’intérieur ne pouvant
plus contrôler la trajectoire et se trouvant en situation de grande vulnérabilité.
La connectivité de ces voitures est sans pareil et les attaques peuvent concerner
le système de verrouillage, les freins, les systèmes de conduite, etc.
Un grand nombre de composants de la voiture peuvent être la cible d’une
cyberattaque, il faut donc les prendre en compte et envisager la sécurité
nécessaire pour les protéger d’atteintes extérieures.
Par exemple, en 2020, à Lille, au Forum international de la cybersécurité,
un hackeur14 a fait la démonstration d’un piratage d’une voiture de série. Pour ce
faire, il passait par un émetteur-récepteur situé dans les valves de pneus des
voitures, ces valves transmettant des informations à l’ordinateur de bord des
voitures. En passant par cette valve, le hackeur démontrait la possibilité d’arrêter
la voiture.
Dès 2015, la presse américaine donnait des exemples de prises de contrôle de
voiture à distance, des prises de contrôle pouvant tout autant prendre la main
sur le niveau sonore de la radio que couper les freins !
Les armes cyber, contrairement aux armes traditionnelles, peuvent ne provoquer
aucun dégât matériel. Il s’agira notamment des codes qui visent seulement
à observer le fonctionnement d’une entreprise ou à voler des informations.
Ces codes doivent rester discrets pour être efficaces et pour cela, il est essentiel
qu’ils ne fassent pas de vague afin de ne pas être repérés.
14 Gaël Musquet se considère comme hacker « citoyen ». Il est membre du collectif YesWeHack.
40 Cyberespace et cyberattaque – Comprendre et se protéger
Pour l’heure, l’atteinte à la vie humaine n’est pas le principal objectif de ces armes.
Actuellement, pour neutraliser, blesser ou tuer une personne, le moyen le plus
efficace n’est pas – encore – d’utiliser une arme cyber. Par contre, s’il s’agit de
porter atteinte à des biens, de les endommager, il est tout à fait possible d’y
parvenir grâce à une arme cyber. Si vous voulez perturber le réseau de signalisation
routière, une cyberattaque sera plus adaptée que tout autre moyen d’action.
Elle permet ainsi à tous ceux qui le désirent et qui en ont la capacité de provoquer
différents types de dommages, grâce au cyberespace, sans pour autant agir en
pleine lumière, puisqu’il est difficile d’identifier la personne utilisant cette arme.
Ses utilisateurs peuvent poursuivre des buts très variés, politiques ou militaires,
et ce à la fois au niveau national et international. De plus, cette arme n’est pas
palpable et n’est pas détruite après avoir été utilisée comme l’est une balle ou un
engin explosif. On peut même envisager qu’un code malveillant puisse être réutilisé.
AVANT DE PLONGER
Du fait de ses particularités, lorsqu’on utilise l’arme cyber, les conséquences
seront différentes d’une arme traditionnelle. Ainsi, en utilisant l’arme cyber,
le besoin d’engager des forces humaines sur des théâtres d’opérations
est moins important. Dans le cadre de la logique militaire, cela permet de
préserver la vie de soldats.
Imaginons que je désire m’en prendre à une entreprise qui m’aurait licencié
récemment. Je n’ai pas besoin d’aller en personne cambrioler ses locaux,
ou vandaliser sa façade. En me déplaçant moi-même, je prends le risque d’être
filmé ou d’être aperçu par un gardien par exemple. Il serait donc idéal pour moi de
rester chez moi et tout de même réussir à commettre mon méfait. C’est possible,
si j’utilise le cyberespace. En effet, en utilisant le cyberespace je peux modifier
l’apparence du site Internet de l’entreprise, voler des données appartenant aux
employés ou aux clients de cette entreprise. Je peux causer beaucoup de tort
sans même me déplacer, la seule exigence étant de ne pas laisser de traces
permettant de m’identifier.
Une telle effraction est totalement illégale, puisqu’il est interdit de pénétrer
volontairement dans un système fermé, mais de même qu’en janvier 2021
un ingénieur au chômage a tué une directrice des ressources humaines et un
employé de Pôle emploi, il aurait pu s’en prendre depuis son écran d’ordinateur,
au système informatique de la société qui l’a licencié ou de celle qui n’a pas
souhaité l’embaucher.
Chacun de nous comprend bien que le cyberespace permet de faire l’économie
du déplacement humain.
Une autre caractéristique des armes cyber est qu’elles peuvent être utilisées
sans cibles définies. On peut envisager qu’une arme cyber soit libérée dans le
cyberespace sans cible précise. C’est par exemple ce qui s’est passé en 1988
avec le ver Morris. Ce dernier s’est répandu à partir du 2 novembre 1988 depuis
un ordinateur du MIT. Selon son créateur, l’objectif de ce ver était de mesurer
la taille du réseau Internet. Mais il n’est pas devenu célèbre pour être parvenu à
cette mesure, mais du fait des conséquences désastreuses et non prévues par
son créateur qu’il a entraînées. En effet, du fait d’erreurs dans son code, ce ver a
infecté un grand nombre de machines, les rendant chacune inutilisable. Selon les
estimations réalisées a posteriori, il aurait infecté 10 % des machines existantes
à l’époque.
En raison de l’importance des dommages causés par ce ver, la première
condamnation pour violation du Computer Fraud and Abuse Act a été prononcée.
Une condamnation qui nous paraît assez peu importante à l’heure actuelle, puisqu’il
s’agissait de 10 000 dollars d’amende et de 400 heures de travaux d’intérêt général.
Cette première cyberattaque a également été l’occasion d’alerter une partie du
grand public sur les considérations de sécurité liées à l’utilisation des ordinateurs.
Vous vous en doutez sûrement maintenant, l’arme cyber n’est pas aisée à contrôler
et peut échapper à son créateur, engendrant ainsi des conséquences non désirées
ou plus importantes que prévues. Cette arme n’évite pas les conflits, mais au
lieu de se dérouler aux yeux de tous, ils prennent place dans le cyberespace,
à l’abri de nombreux regards.
42 Cyberespace et cyberattaque – Comprendre et se protéger
Une cyberattaque d’envergure illustre cela. Une arme cyber a été utilisée à des
fins politiques et a ensuite échappé au contrôle de ses créateurs. Il s’agit du ver
informatique Stuxnet qui a touché les centrifugeuses de la centrale nucléaire
iranienne de Natanz.
En juin 2010, le ver Stuxnet a été repéré dans différents systèmes d’entreprises
dans le monde. Stuxnet reste célèbre dix ans après sa création pour plusieurs
raisons : son code était plus complexe que ceux utilisés pour d’autres
cyberattaques. En effet, il était en mesure de perturber le fonctionnement des
centrifugeuses de cette centrale sans que les opérateurs système s’aperçoivent
du dysfonctionnement.
Pour parvenir à ses fins, Stuxnet exploitait plusieurs failles Zero Day non rendues
publiques. Une faille Zero Day est une faille informatique qui n’a pas encore été
découverte par le propriétaire de l’infrastructure ou une faille pour laquelle
aucun correctif n’a encore été créé.
De plus, Stuxnet avait été conçu pour ne devenir opérationnel que lorsqu’il
détectait sa cible — en attendant, il restait en sommeil. Stuxnet se conduisait
comme un animal en hibernation, attendant que la saison douce revienne pour
s’éveiller. Selon les experts qui ont analysé cette arme, elle aurait été créée par la
NSA américaine ainsi qu’une unité israélienne spécialisée dans le domaine cyber.
La cible de Stuxnet était les centrifugeuses de Natanz ; en s’activant, il visait
à les perturber et ainsi ralentir le programme d’enrichissement nucléaire iranien.
L’une des conséquences indirectes, mais bien réelle, de cette cyberattaque a été
la signature de l’accord sur le nucléaire iranien du 14 juillet 2015.
Stuxnet illustre parfaitement comment une arme cyber peut être utilisée pour
atteindre un but politique ou stratégique en évitant d’utiliser des méthodes plus
classiques, et peut-être dans ce cas, plus dangereuses. On peut en effet imaginer
que le déploiement de troupes étrangères en Iran, même de façon discrète,
si elles avaient été découvertes, aurait pu déclencher un conflit potentiellement
lourd de conséquences.
Vous vous en doutez, l’Iran, une fois la cyberattaque découverte, a riposté.
Ainsi, les Iraniens ont mis hors service plus de 30 000 ordinateurs du groupe
pétrolier Aramco grâce à un virus de suppression des données. En ripostant
de cette façon, l’Iran a pu montrer sa capacité à utiliser le cyberespace pour
nuire et à développer des armes cyber pouvant servir ses intérêts. Vous aviez
probablement déjà entendu parler de Stuxnet. Cette attaque est souvent
considérée comme la première utilisation d’une arme cyber créée volontairement,
initiant ainsi le combat numérique.
Afin d’avoir une vision synthétique de l’impact de ces vers, la Figure 1.1 (voir
page 43) vous présente le fonctionnement de Stuxnet en sept points.
L’arme cyber et son champ de bataille 43
Stuxnet ne devait pas devenir une infection de grande échelle, mais en choisissant
ce mode de transport, ses concepteurs ne pouvaient contrôler sa dispersion.
44 Cyberespace et cyberattaque – Comprendre et se protéger
Malgré l’intention de départ, Stuxnet n’a pas touché que l’Iran. C’est l’innocence
d’un des employés de la centrale qui a permis à Stuxnet de se répandre dans le
monde. Pour infecter la centrale, le virus a été introduit via une clé USB piégée
transportée par un employé. Ce dernier, ne sachant pas ce que contenait sa
clé USB, l’a connectée à un ordinateur relié à Internet. C’est à ce moment que
Stuxnet a pu se répandre dans le monde entier.
Contrairement à Stuxnet, certaines attaques ont été conçues pour atteindre
différents pays. C’est le cas du ransomware Cryptolocker.
Le terme ransomware ne doit pas vous être inconnu (son équivalent en français est
rançongiciel). Il s’agit d’un logiciel malveillant développé pour prendre en otage
nos données, peu importe l’appareil utilisé. Que l’on soit un État, une entreprise
ou un individu, si l’on est touché par l’un de ces logiciels, l’accès à notre appareil
et à nos données nous sera impossible. On parle de rançongiciel, car comme lors
d’une prise d’otage classique, une demande de rançon est exigée, non pas en
échange de notre liberté, mais en échange de l’accès à nos données. Cet accès
est une forme de liberté de nos jours.
En 2013, Cryptolocker chiffrait les données des appareils infectés tout en stockant
sa clé de déchiffrement sur un serveur distant. Il s’est propagé par e-mails et
exigeait des propriétaires d’ordinateurs infectés le versement d’une rançon
en bitcoins ou en argent traditionnel, dans un délai déterminé s’ils voulaient
récupérer leurs données.
Pour les cyberattaquants, il s’agit d’un moyen relativement sûr de gagner de
l’argent. En effet, qui ne serait pas prêt à débourser une certaine somme d’argent
pour avoir accès à ses données ?
On constate que les cyberattaquants ne demandent pas nécessairement de
grosses rançons, mais plutôt de petites sommes à un grand nombre de victimes,
ce qui les incite à payer, sachant que le pactole global pour le cyberattaquant
reste conséquent.
Si l’on veut mettre toutes les chances de son côté pour éviter la plupart des
demandes de rançon, l’idéal est de conserver des sauvegardes de nos données,
sans elles nous sommes plus susceptibles de payer.
Pour qu’une telle attaque soit rentable, il faut cibler un grand nombre d’utilisateurs
au niveau mondial, les cyberattaquants augmentant ainsi leurs chances d’obtenir
un retour financier. Plus il y aura de personnes touchées par cette attaque, plus le
nombre de personnes prêtes à payer sera important.
Afin d’avoir une vision synthétique de la mécanique que lance un ransomware,
la Figure 1.2 (voir page 45) vous présente son fonctionnement en sept points.
L’arme cyber et son champ de bataille 45
Ces exemples montrent bien que les armes cyber qui s’attaquent à nos données
sont en mesure de provoquer des dégâts importants et de différentes natures.
46 Cyberespace et cyberattaque – Comprendre et se protéger
Par ailleurs, on n’est jamais à l’abri de ne jamais revoir nos données, même si
nous versons les rançons et pire, les preneurs d’otages peuvent tout à fait les
revendre à nos concurrents ou à toute entreprise intéressée. Ici, les attaquants
doubleraient leurs gains : nous les avons payés, mais en plus, ils sont payés par
un tiers désireux d’accéder à nos données. N’oublions pas que nous sommes
dans une économie où les données, la connaissance, sont cruciales et sont donc
très convoitées.
Une autre difficulté liée à l’arme cyber est qu’elle peut être réutilisée par une
autre personne que son créateur. Il est tout à fait possible de réutiliser une
arme cyber.
Contrairement à une grenade qui, une fois dégoupillée, explose et donc disparaît,
l’arme cyber, elle, ne disparaît pas après avoir été utilisée puisqu’elle continue
d’exister dans le cyberespace. Il est possible pour des personnes assez qualifiées
de créer de nouveaux logiciels malveillants beaucoup plus vite que s’ils avaient dû
les créer entièrement. Voyez cela comme une sorte de recyclage sans que l’on soit
dans un cercle vertueux comme le recyclage au nom du développement durable.
De plus, l’arme cyber peut être utilisée seule pour parvenir à un objectif défini,
mais elle peut également agir en complément d’opérations plus traditionnelles.
À ce titre il est possible de citer le général Lecointre : « On emploie l’arme cyber,
qui s’avère vraiment efficace et produit des effets tangibles sur le champ de
bataille – par exemple la localisation et la perturbation des réseaux ennemis en
Syrie ou en Irak15. » Si c’est vrai pour les forces armées, cela peut aussi s’appliquer
à des criminels. Ces derniers peuvent décider d’améliorer le rendement de
leurs opérations frauduleuses en les numérisant en partie. Par exemple, si des
criminels décident de voler une œuvre d’art dans un musée, ils peuvent utiliser le
cyberespace pour pirater les caméras de surveillance, surveiller les alentours, etc.
Les conséquences que peuvent avoir les armes cyber sont extrêmement
diversifiées, mais pour autant, selon les objectifs des attaquants, ils n’utiliseront
pas exactement les mêmes méthodes. Comme pour les armes traditionnelles,
on adapte le choix de l’arme cyber à la mission menée et aux objectifs à atteindre.
AVANT DE PLONGER
Les armes cyber prennent des formes très variées, selon du but recherché,
l’arme choisie ne sera pas la même. Elles sont généralement désignées par
le terme de malware, ou logiciel malveillant en français. Il s’agit d’un terme
générique pour désigner les logiciels créés pour causer du tort, quelle que
soit la méthode. Tous les malwares sont différents, car ils sont conçus pour
réaliser une cyberattaque précise. Même similaires, les cyberattaques ne
sont jamais identiques.
Nous avons vu précédemment qu’en prenant en otage des données pour obtenir
une rançon, l’agresseur utilise un ransomware. Passons à d’autres possibilités.
Ici, il ne s’agit pas de voler les données de force, mais, via une arnaque, de nous
contraindre à les confier de nous-même à l’attaquant.
Les données les plus recherchées sont nos informations bancaires, nos identifiants
et mots de passe. Nos données peuvent être utilisées par l’attaquant pour son
profit personnel. Dans certaines de ses formes les plus avancées, le phishing
peut permettre de voler notre identité.
Vous voyez forcément à quoi ressemble un acte de phishing, car nous sommes
certains que vous y avez déjà été confronté. Il s’agit d’e-mails tentant de se faire
passer pour notre banque, notre opérateur téléphonique, une administration
comme le service des impôts, ou une entreprise, qui pourraient nous amener
à être moins attentifs. En général, ces e-mails nous enjoignent à donner nos
coordonnées bancaires ou d’autres données personnelles ou à suivre un lien via
lequel nous devrions renseigner ce genre d’information.
Par exemple, vous recevez un mail imitant l’affichage de votre « relais colis »
habituel. Ce dernier vous prévient d’un problème de livraison engendrant un
surcoût, que l’on vous propose de régler en suivant un lien contenu dans l’e-mail.
48 Cyberespace et cyberattaque – Comprendre et se protéger
Il est aussi tout à fait possible que ce même e-mail vous informe qu’un colis
est arrivé dans votre point relais et que pour avoir plus d’information sur ce
point relais, il faut cliquer sur un lien. Évidemment, si vous cliquez, vous serez
redirigé vers une page qui vous proposera de télécharger un document et si
vous le faites, un virus infectera votre ordinateur. Dans cette hypothèse, le virus
en question pourra avoir plusieurs conséquences : le vol de vos données,
vous espionner, etc.
Ces campagnes de phishing, qui peuvent être associées à des spams, sont
envoyées à un très grand nombre de personnes afin d’augmenter les chances
que certaines baissent la garde et fournissent leurs informations recherchées.
Ces attaques fonctionnent grâce à la naïveté des internautes, mais aussi parce
que le flot d’e-mails que vous recevez vous empêche d’être parfaitement attentif.
À l’origine, les e-mails de phishing étaient très faciles à repérer, car ils étaient
pleins de fautes d’orthographe, les logos n’étaient pas forcément les bons ou pas
de la bonne couleur, etc. Avec le temps, leurs concepteurs se sont réellement
améliorés, ce qui rend difficile de les identifier.
Faites attention quand vous recevez un e-mail qu’il corresponde bien à une de
vos actions.
L’arme cyber et son champ de bataille 49
Pour déjouer encore plus notre attention, ces e-mails de phishing sont souvent
envoyés lors des périodes de pic d’activité pour les achats en ligne, pendant les
soldes, les fêtes de fin d’année, etc. Si vous recevez un e-mail vous demandant
de payer des frais de port supplémentaires pour un colis identifié par un numéro,
vous risquez de croire qu’il s’agit de l’une de vos commandes pour les fêtes,
alors que pendant une période plus calme ce colis ne correspondrait à aucune
commande.
Pour résumer la logique et l’impact d’une attaque DDoS, la Figure 1.3 (voir
page 50) synthétise son fonctionnement en sept points.
Wikipédia, par exemple, a subi une telle attaque en septembre 2019. Elle a rendu
inaccessible le site pendant plusieurs heures. Au début de l’attaque, quelques
requêtes sur le site n’arrivaient pas à aboutir, puis aucune n’a réussi à fonctionner.
Wikipédia ne parvenait pas à traiter les véritables requêtes de ses utilisateurs,
car il était submergé par les fausses requêtes envoyées par l’attaquant.
Ces attaques nous touchent moins en tant que particulier, pourtant, au niveau
des entreprises elles coûtent chaque année des millions de dollars. La Bourse
néo-zélandaise a subi une telle attaque, ce qui a complètement paralysé ses
services pendant plusieurs jours.
50 Cyberespace et cyberattaque – Comprendre et se protéger
Une attaque par déni de service est assez simple à mettre en œuvre, puisqu’elle
peut être réalisée grâce à un outil très simple d’usage, le low orbit cannon, qui
ne nécessite pas de connaissances poussées en informatique. Il est évidemment
illégal d’utiliser un tel outil.
Un virus est un autre programme malveillant qui va infecter notre ordinateur afin
de perturber son fonctionnement naturel. Il peut avoir différentes conséquences
sur notre système informatique, sachant que son objectif vise essentiellement
à corrompre ou supprimer nos données. Mais le point le plus important est
qu’après avoir pénétré notre ordinateur, il se reproduit avant d’infecter un autre
système. Il fonctionne comme les virus qui s’attaquent à notre santé et à l’instar
de la pandémie de la Covid-19 apparue en janvier 2020, ils peuvent se répandre
de façon incontrôlée. Les ransomwares sont une sorte de virus.
Très proche des virus, on trouve les vers informatiques. Un ver infecte un ordinateur
puis se duplique afin de se propager. Contrairement au virus, le ver n’a besoin
d’aucun autre programme pour se reproduire. Le virus a besoin d’un programme
actif pour se reproduire, alors que le ver exploite les ressources de l’ordinateur
qu’il a infecté.
Les vers peuvent avoir différents objectifs, l’espionnage, l’ouverture d’une porte
dérobée pour permettre aux pirates informatiques d’accéder à l’installation
informatique, de détruire des données, d’envoyer un grand nombre de requêtes
vers un site Internet. En plus de ces objectifs, le ver va souvent engendrer un
ralentissement, des difficultés de fonctionnement pour la machine et/ou le
réseau infecté.
Vous avez probablement entendu parler du ver “I love you”. Cette déclaration
d’amour numérique a causé bien des dégâts informatiques au début des
années 2000. Ce ver se répandait grâce à une pièce jointe attachée à un e-mail.
Une fois ouvert, il passait à l’attaque et modifiait les fichiers contenus dans
l’ordinateur et accédait au carnet d’adresses, lui permettant de contaminer vos
contacts en se répliquant. L’ordinateur se trouvait ralenti par cette attaque.
Ces cyberattaques sont souvent mises à l’œuvre dans le secteur des affaires ou
pour des motivations politiques.
54 Cyberespace et cyberattaque – Comprendre et se protéger
Le but de ce malware est de rester invisible afin de pouvoir voler le plus grand
nombre d’informations possible. Les spywares ne ciblent généralement pas
des personnes au hasard, mais plutôt certaines, dont les informations précises
peuvent être revendues, notamment.
Un autre type d’attaque que vous devez connaître est la menace persistante
avancée (APT16) qui correspond à une cyberattaque furtive, s’étendant sur une
très longue période. Pour réussir, ces cyberattaques doivent être très bien
organisées et prévues. La cible n’est pas choisie au hasard.
Une APT demande un niveau de dissimulation extrêmement important. Elle doit
en effet pouvoir vivre pendant un certain temps pour que son code malveillant
ait le temps de récolter suffisamment d’informations.
Généralement, les APT sont suffisamment furtives pour « passer sous les radars »
et ne pas être détectées. La manière la plus « simple » de repérer une APT vient
des flux – de l’activité réseau dirait un informaticien – circulant entre l’intérieur
et l’extérieur du système d’information. Ces flux « anormaux » d’informations
sont dus au contrôle de l’APT par le pirate, soit par le transfert de données par
l’APT vers le hackeur. La détection de cette activité, encore une fois « anormale »,
se fera au niveau de la couche réseau.
Ces attaques demandent beaucoup de préparation, car il faut réussir à pénétrer
le système de l’entreprise visée en utilisant des techniques d’ingénierie sociale
et probablement du phishing, tout cela uniquement pour pénétrer le système.
Ensuite, le malware principal doit prendre le relais et capter des informations en
restant le plus discret possible. Une fois la tâche accomplie, il faut également
retirer le malware et récolter les informations convoitées sans se faire remarquer.
Vous le constatez vous-même, il existe un grand nombre de cyberattaques, toutes
n’ayant pas été citées ici. La seule limite à la création d’une nouvelle attaque est
l’imagination de l’être humain et les avancées technologiques. Les armes cyber
étant développées en fonction des objectifs recherchés, on peut tout à fait
envisager que pour chaque nouvelle attaque, une nouvelle arme soit développée
avec ses caractéristiques propres et servant les objectifs de son créateur.
De façon simpliste, une arme cyber est un code malveillant à l’origine de nuisances
dans un système, mais peut-on considérer que tous les codes malveillants sont
des armes cyber ?
Pourtant, le premier consensus autour d’une arme cyber s’est fait dans le cas de
Stuxnet. On peut le comprendre, puisqu’il s’agit de la première arme cyber créée
par des États et d’une complexité incroyable. Elle a surtout permis d’atteindre un
objectif politique et ainsi a évité le déploiement de mesures plus opérationnelles.
Cette arme a en outre mis à mal un élément clé de souveraineté nationale
également considéré comme d’importance vitale, le nucléaire. Cette attaque
a eu des conséquences à plusieurs niveaux. Elle a tout d’abord interrompu le
fonctionnement de la centrale et ainsi retardé le programme initié par l’Iran,
mais elle a également contribué à la signature d’un traité au niveau international
du fait du retard pris par ce programme. L’impact de Stuxnet s’est donc manifesté
au-delà du système informatique avec des conséquences physiques concrètes.
56 Cyberespace et cyberattaque – Comprendre et se protéger
Cette attaque revêt une importance certaine qui dépasse celle d’autres attaques,
de nombreux logiciels malveillants ayant des finalités plus restreintes, notamment
la collecte d’informations. C’est du fait de sa complexité et de ses conséquences
qu’elle a marqué les esprits et n’est pas passée inaperçue, tant sur la scène
internationale que dans la presse généraliste.
Cette arme cyber évolue dans une sphère bien différente des attaques de
phishing que nous pouvons subir. On peut envisager une certaine hiérarchie
entre les armes cyber.
Toutes les armes cyber n’ont pas l’importance de Stuxnet et c’est sûrement une
bonne chose.
Même si ces armes sont moins destructrices que Stuxnet, elles provoquent tout
de même leurs propres dégâts. Elles sont en mesure de causer de grandes
perturbations et de déstabiliser des entreprises, plus ou moins grandes.
Bien qu’ayant des résultats moins impressionnants, les différents codes
malveillants sont des armes et auront des conséquences propres à leur objectif.
Comme les armes traditionnelles, ces armes cyber peuvent être classées selon
leur dangerosité.
C’est pourquoi il est possible de se fonder sur le schéma national de classement
des attaques informatiques exposé dans la Revue stratégique de cyberdéfense.
Il présente une échelle de gravité des menaces en fonction de l’impact que cette
menace peut engendrer (voir Figure 1.5, page 57).
Au plus bas de cette échelle se trouve le niveau de menace zéro, qui est un
événement dont l’impact est négligeable. Au-dessus, le niveau 1A représente
un événement significatif à impact faible, puis le niveau 1B est celui de l’incident,
dont l’impact est significatif et circonscrit.
Le niveau 2 est réservé aux incidents graves avec un impact fort, mais circonscrit.
Ensuite, le niveau 3, ou niveau de crise avec un impact fort et étendu, puis le
niveau 4, qui correspond à une crise majeure dont l’impact est très fort.
Enfin, le dernier niveau caractérise une situation d’urgence extrême, dont l’impact
est également considéré comme exceptionnel. Selon ce schéma, seul ce dernier
niveau peut engendrer la caractérisation de l’agression au sens de l’article 51
de la charte des Nations unies.
Je pense qu’on peut tout de même identifier d’ores et déjà deux grandes
catégories d’armes cyber : d’un côté, les codes malveillants plutôt génériques,
qui ont une capacité de nuisance variable. On peut ici envisager de ranger dans
cette catégorie la majorité des armes cyber. D’un autre côté, on pourrait trouver
les codes malveillants avec une portée plus stratégique, soit au niveau militaire
et/ou politique. Cela représente un nombre plus limité d’armes cyber.
L’arme cyber et son champ de bataille 57
Cette échelle pourrait être un point de départ pour élaborer une hiérarchie des
armes cyber. Effectuer ce classement est encore un peu délicat, compte tenu de
l’absence de consensus autour de ce qu’est une arme cyber. Un grand nombre
de facteurs doivent être pris en compte afin de pouvoir classer ces armes et
d’apprécier leurs impacts. De plus, une même arme sera plus ou moins dangereuse
selon qu’elle est utilisée à un niveau restreint ou international, qu’elles nous ciblent
nous, simples citoyens, ou des États ou des infrastructures très importantes.
Selon les armes cyber employées, leur impact peut être immédiat grâce
à la faible latence d’outils informatiques et la grande vitesse à laquelle elles
peuvent se propager ; ces armes représentent un danger tout autant que
les armes traditionnelles. Une cyberattaque peut parfois ressembler à un
bombardement. Après une phase de renseignements et de préparation de
l’attaque, les conséquences arrivent très rapidement. Dans le cadre de la
cyberattaque, c’est presque en simultané, alors que pour un bombardement,
il y a un peu plus de décalage. En revanche, les conséquences d’une cyberattaque
58 Cyberespace et cyberattaque – Comprendre et se protéger
17 rnaud Coustillière, « Cyberdéfense militaire : vers une nouvelle composante des armées »,
A
DSI, Hors série n° 52, février-mars 2017.
2
L’utilisation
de l’arme cyber
2.1 Qui utilise les armes cyber ?
2.1.1 L’arme avant son utilisateur ?
AVANT DE PLONGER
Si la possession et l’usage des armes traditionnelles sont très réglementés
en France, il n’en est pas de même pour les armes cyber. D’ailleurs, c’est quoi
une arme cyber ?
Par ailleurs, l’utilisation d’une arme traditionnelle est facilement visible, alors que
l’on ne peut pas tenir une arme cyber dans sa main et paraître menaçant pour
qui que ce soit.
Estimer qu’une personne détient une arme cyber sans en avoir la preuve est
extrêmement délicat. Vous vous doutez qu’obtenir cette preuve relève du
challenge. On ne va pas apercevoir cette arme comme une arme de poing
à la ceinture d’un braqueur de banque. L’arme cyber, elle, est conservée au sein
d’un ordinateur qui nous appartient et sur lequel personne ne peut accéder sans
notre consentement.
Qui plus est, contrairement à une arme à feu, elle peut être en cours de conception
et/ou de transformation avant sa potentielle utilisation.
60 Cyberespace et cyberattaque – Comprendre et se protéger
Une preuve irréfutable de l’existence de cette arme est son utilisation, mais à ce
moment-là, il est trop tard. Nous le verrons plus loin, mais les États et les agences
de sécurité développent des techniques pour pallier ces différentes difficultés.
Dès lors, elle est difficile à repérer, sauf si son créateur s’en vante en public,
par exemple.
Il est possible d’utiliser l’arme cyber avec n’importe lequel de nos outils
informatiques. Bien évidemment avec notre ordinateur, mais aussi avec un
smartphone ou une tablette, surtout lorsque ces derniers sont connectés
à Internet.
Pris chacun indépendamment, ces éléments ne constituent pas des armes cyber.
J’écris ces lignes sur un ordinateur portable qui pourrait tout à fait me servir
à développer une arme cyber, mais ce n’est pas mon objectif. Tout comme je
suppose que la plupart d’entre vous possèdent des smartphones performants
qui pourraient tout à fait vous permettre d’utiliser une arme cyber.
Tout seuls, ces éléments ne représentent pas une menace suffisante pour justifier
de mettre en œuvre d’éventuelles mesures de contrôle à l’achat de l’un d’entre eux.
De même qu’il est possible de fabriquer une bombe à partir d’éléments pouvant
être achetés aisément dans le commerce, dans le cyberespace, on peut créer
une arme, un outil destructif sans acquérir d’élément identifié comme dangereux
par la société.
AVANT DE PLONGER
L’arme ne vaut, généralement, que par l’objectif qu’elle permet de poursuivre,
voire d’atteindre, ce qui est étroitement lié à son utilisateur. Ainsi, une arme
de guerre peut tout autant servir à un soldat qu’à un gendarme, mais aussi
à un « braqueur », un déséquilibré ou encore à un terroriste. Il est donc
important de mieux connaître et comprendre qui sont celles et ceux qui se
servent des armes cyber.
L’utilisation de l’arme cyber 61
Qui utilise des armes cyber ? Essentiellement des hackeurs, que l’on présente
souvent comme de jeunes hommes peu sociables passant leur vie devant leur
écran d’ordinateur. Si le cliché du jeune homme boutonneux et solitaire est
dépassé, le terme hackeur n’est pas tout à fait obsolète.
Le terme “hackeur”
Ce terme est apparu pour la première fois le 5 avril 1955 lors d’une réunion
du Tech Model Railroad Club où ces paroles ont été prononcées : « M. Eccles
demande que tous ceux qui travaillent ou “hackent” sur le système électrique
coupent le courant pour éviter que les plombs ne sautent. » On se rend bien
compte que l’image des hackeurs à cette époque est très différente de celle
que l’on en a aujourd’hui. Ils sont alors considérés comme ceux tentant de régler
les difficultés techniques en privilégiant des méthodes plus innovantes que
les méthodes traditionnelles. Ils ont un rôle très positif, celui d’une personne
débrouillarde qui essaye par tous les moyens de résoudre les problèmes.
Le terme hacking
Hacking, est quant à lui tiré du vocabulaire culinaire puisqu’il signifie : « Le hachage
menu-menu ». On trouve ici un parallèle avec son usage actuel, puisqu’il est utilisé
lorsqu’un individu décortique le mode de fonctionnement d’un ordinateur pour
en comprendre ses rouages et peut-être, ensuite, le détourner de son usage
normal. Ce détournement a été utilisé de différentes manières au fil du temps.
Croyez-le ou non, Richard Stallman, qui a mis ce problème sur le devant de la scène
s’en est rendu compte suite à un bourrage de papier dans une imprimante. Il ne
pouvait rien faire pour régler le problème, car la machine l’empêchait d’ouvrir le
capot ou de faire quoi que ce soit. Le code de la machine empêchait d’accéder
à ses composants et il n’était pas possible de modifier ce code. C’est en réaction
à ce blocage qu’il a développé le principe de la licence libre.
À l’opposé de son idée ont été mis sur le marché des logiciels propriétaires.
Ce sont des logiciels conçus pour que, légalement ou techniquement, il ne soit pas
possible de les utiliser, d’en faire des copies, de reproduire ou modifier leur code
source. En restreignant la possibilité d’accéder à leurs logiciels, ces entreprises
se heurtent à la logique contraire prônée par les hackeurs, celle de la liberté.
Une opposition va donc naître entre la logique économique des entreprises du
secteur et la liberté que souhaitaient les hackeurs.
C’est donc contre cette fermeture que les hackeurs vont se battre et certains
vont consacrer leur vie à défendre des logiciels aux codes libres d’accès.
Le hacking malveillant
Mais tous les hackeurs ne sont pas dans cette approche bienveillante et
collaborative. Certains sont animés d’intentions malveillantes ou mercantiles,
voire de l’envie d’être reconnus pour leurs compétences.
Nos hackeurs modernes veulent prouver ce dont ils sont capables, qu’il s’agisse
de modifier ou subtiliser des informations ou de pénétrer au sein d’un système
considéré comme inviolable.
L’utilisation de l’arme cyber 63
Faire leurs preuves est également un moyen pour eux d’être reconnus par leurs
pairs et ainsi de forger ou de renforcer leur réputation et leur crédibilité.
Dans notre quotidien, le hacking est connoté très négativement. On associe à cette
pratique des intrusions non autorisées, donc illégales, dans nos propres systèmes
ou ceux d’autrui. C’est par exemple ce que l’on peut retenir de la mésaventure
d’Adobe en 2013. Ce géant de l’informatique a subi une cyberattaque massive
qui a permis de pirater les comptes clients de plus de 2 millions de personnes.
Ici, les conséquences ont été extrêmement importantes puisque les attaquants
ont eu accès à des données personnelles et bancaires. Auparavant, des produits
de cette entreprise avaient déjà été pris pour cibles, permettant aux attaquants
d’accéder aux codes sources de certains d’entre eux.
Ce qui est arrivé à Adobe correspond à ce que nous envisageons lorsque l’on
nous parle de hacking, ce genre d’histoire ayant pris une place importante dans
nos journaux.
Plus récemment, Ubisoft, Gefco, Ouest France ont subi une cyberattaque utilisant
un ransomware.
D’après les informations dont nous disposons, aucune demande de rançon n’a
été explicitement formulée, mais les cyberattaquants attendent de la victime
qu’elle s’engage dans une négociation sous peine de rendre publics l’incident
et les informations volées.
Le hacking « d’entreprise »
Avant d’aborder les différentes catégories de hackeurs, il faut tout de même
souligner qu’il existe une autre face à cette médaille. Le hacking peut également
être un élément positif. Il s’agit ici de hacking souhaité par une entreprise.
Pourquoi une entreprise voudrait-elle se faire hackeur, allez-vous me dire ? Eh bien,
tout simplement pour tester la fiabilité de sa sécurité informatique. C’est pourquoi
il existe des professionnels du hacking qui mettent leurs compétences au service
de votre sécurité. Ces derniers sont embauchés par des entreprises pour réaliser
des tests d’intrusions. Il s’agit d’une forme légale de hacking, encadrée par un
contrat.
64 Cyberespace et cyberattaque – Comprendre et se protéger
Se faire tester devient d’autant plus important que le Règlement général sur la
protection des données (RGPD) impose aux entreprises de veiller à la sécurisation
des données qu’elles détiennent et que les entreprises doivent informer les
victimes en cas de violations de données. Je ne sais pas pour vous, mais moi,
je préfère savoir que mes données bancaires ou de santé sont entre les mains de
personnes potentiellement malveillantes. De la sorte, je ferai ce qu’il faut pour
sécuriser ce que je peux sécuriser, par exemple en changeant de mot de passe.
C’est encore plus vrai pour les entreprises, quelle que soit leur taille, et c’est
pourquoi, tester leur sécurité n’est plus une option, mais une nécessité.
AVANT DE PLONGER
Avec ces trois groupes, nous en savons assez pour l’instant. Nous verrons
plus tard qu’ils se regroupent en familles, tribus et autres mouvements.
Pour l’instant, intéressons-nous à ce qui fait d’une personne un de ces hackeurs.
On ne naît, en effet, pas hackeur, on le devient…
Vous allez facilement trouver des guides complets vous expliquant les étapes
à suivre pour devenir un hackeur. On vous expliquera quel système d’exploitation
utiliser, quel langage informatique apprendre, comment faire, etc. Il s’agit
d’informations sur les fonctions techniques du métier de hackeur. Mais certains
vont plus loin et vous donnent également des informations sur la façon de penser
des hackeurs, comment faire pour vous en rapprocher, comment s’adapter à leur
idéologie, etc.
Les guides d’apprentissage les plus complets vont jusqu’à vous expliquer comment
gagner le respect de vos futurs pairs hackeur. Même si les hackeurs semblent
souvent agir seuls, ils font partie d’une communauté soudée par des mêmes
valeurs. C’est auprès de cette communauté qu’ils doivent faire leurs preuves et
ensuite gagner leur respect. Pour cela, certains conseillent aux apprentis hackeurs
de commencer par tester de nouveaux logiciels afin d’apprendre à déceler leurs
failles. En toute logique, il faut bien comprendre le fonctionnement d’un logiciel,
la manière dont il est conçu, afin d’être ensuite en mesure de le modifier à souhait.
AVANT DE PLONGER
Au paragraphe 2.1.2, nous avons commencé à évoquer les différentes familles
et tribus de hackeurs. Maintenant que nous avons compris leur cheminement,
voyons ce qu’ils deviennent, « en activité ». Suivez bien. Il va être question
de chapeaux de couleurs différentes, notamment.
Il n’existe pas un seul type de hackeurs et l’on peut les regrouper en trois
catégories en fonction de leurs intentions.
Le premier type de hackeurs ce sont les “white hats”. S’ils identifient une faille
dans le réseau d’une entreprise, ces hackeurs vont l’informer afin qu’elle puisse
intervenir et la corriger. Ils ne cherchent pas à tirer profit de leur découverte,
mais interviennent dans un but altruiste pour sensibiliser des personnes moins
averties qu’eux-mêmes. Ils maîtrisent parfaitement un domaine complexe et
ont envie d’attirer l’attention sur telle ou telle faille – ce qui est une façon de se
faire reconnaître comme compétents. Ce sont les gentils hackeurs, mais comme
les bonnes intentions sont rarement gratuites, ils sont animés soit d’un besoin
de reconnaissance, soit de la volonté de se positionner comme futur sauveur
d’une entreprise menacée.
À leur opposé, vous avez les “black hats”, qui cherchent également des failles,
mais vont plutôt être tentés de les vendre, notamment. Lorsqu’ils en découvrent,
ils vont plutôt les vendre au plus offrant ou les rendre publiques pour que d’autres
hackeurs puissent s’en servir. On retrouve là l’idée de communauté.
À mi-chemin entre eux il y a les “grey hats” qui agissent de façon éthique, ou non,
selon la situation dans laquelle ils se trouvent et leurs motivations.
18 Source : https://www.ladn.eu/tech-a-suivre/interview-boris-razon-hackers-bouleversent-guerre/
L’utilisation de l’arme cyber 67
Autre distinction à faire parmi les hackeurs, avec les nouveaux venus qui
ne mesurent pas encore l’impact réel de leurs actions, que l’on appelle les
“curious Joe”. Cette communauté a aussi sa hiérarchie avec les wannabees qui
sont la future élite des hackeurs.
Il est important de savoir que tous les acteurs du cyberespace ne cherchent
pas à vous nuire, une grande partie d’entre eux veulent seulement améliorer
leur compréhension des systèmes, des logiciels, de leurs failles éventuelles.
Tous les passionnés d’informatiques ne deviendront pas des hackeurs, mais certains
d’entre eux seront tentés de dépasser le stade de l’analyse et de pénétrer un
système où ils n’ont aucun droit d’être. Ce sont ou des passionnés ou des « jusqu’au-
boutistes », comme on peut en trouver dans tous les domaines.
Les “lamers” sont souvent associés aux “script-kiddies”. En effet, eux aussi
n’ont que très peu de connaissances en informatique. Vous pouvez voir ici le
stéréotype de l’adolescent curieux, qui n’a aucune expertise dans le domaine
et qui est très loin d’être un prodige. Ils ne représentent pas de réel danger,
car leur champ d’action est très limité.
Tous sont des nouveaux venus dans le cyberespace et cherchent à montrer ce
qu’ils peuvent faire de leurs maigres capacités. Leur dangerosité vient du fait
qu’ils ne réalisent pas quelles conséquences peuvent avoir leurs actes. À titre
d’exemple, s’ils décident de modifier les plannings de cours de leur collège,
ce n’est pas vraiment dangereux, mais cela entraînera une pagaille importante.
Je m’en tiendrai là, car l’apprentissage ne me semble pas être impacté.
Ces nouveaux venus dans le cyberespace cherchent à montrer leurs capacités,
mais ils peuvent présenter un danger, car ils ne maîtrisent pas les conséquences
de leurs actes. C’est pour cette raison qu’ils sont les derniers dans l’échelle
des pirates.
Il existe une catégorie un peu à part, les “phreakers”, vous pouvez les considérer
comme les ancêtres des pirates et des hackeurs. Ils sont connus pour avoir piraté
des téléphones dès les années 1960 afin de ne pas payer leurs communications
téléphoniques. Dans les années 1960, dans certains paquets de céréales se trouvait
un sifflet capable d’émettre un son sur la même fréquence que celle des lignes
téléphoniques. Concrètement, après avoir composé un numéro de téléphone, au
moment de la tonalité, il fallait utiliser le sifflet, ce qui permettait de se trouver
directement connecté avec une ligne libre. John Drapper a fait cette découverte
en utilisant ce sifflet près d’une série de téléphones dans un aéroport. Ce sifflement
a déconnecté tous les appels qui étaient en cours de fonctionnement.
Cette découverte fortuite fait de lui le père des hackeurs modernes.
Cette pratique nous fait presque rire aujourd’hui, car nous pouvons très facilement
communiquer avec le reste du monde sans passer par un standard téléphonique.
Les phreakers ne sont tout de même pas si différents des hackeurs qui les ont suivis.
Tous ces individus, peu importe leur mode opératoire, ont des motivations
différentes.
Vous vous doutez que pour certains, cette motivation est financière, c’est évident,
mais ce n’est pas le cas pour tous.
Pour chaque hackeur, la motivation sera différente19. Celle-ci pourra être influencée
par leur profession, leur origine culturelle, leur objectif et leur cible.
19 Par souci de simplicité, nous préférons n’employer que le terme de hackeur pour le reste de
cet ouvrage.
L’utilisation de l’arme cyber 69
Le challenge est une motivation très courante parmi les hackeurs. Le challenge
peut être provoqué par un tiers, comme c’est le cas lorsqu’une entreprise
propose une récompense à la personne qui arrivera à hacker l’un de ses produits.
C’est comme cela que Microsoft a recruté l’un de ses plus jeunes employés, un
Irlandais de 14 ans. En 2011, ce dernier avait réussi à pirater le jeu Call of Duty:
Modern Warfare sur Xbox 360 et a envoyé un message d’alerte à des millions
de joueurs en même temps. Interpellé par son action, Microsoft a décidé de
l’aider à développer son talent et l’a recruté au sein de son entreprise.
Au-delà des conférences organisées ont lieu des concours de toutes sortes, pour
créer le plus long réseau WiFi, pénétrer un système précis ou, le plus connu, la
capture de drapeau. Pour ce dernier, les concurrents sont répartis en équipes
et l’une doit attaquer un réseau en utilisant certains logiciels tandis que l’autre
équipe doit assurer la défense de ces mêmes réseaux.
Parmi les autres concours de ce type, certains sont organisés par de grandes
entreprises du domaine informatique ou par des universités comme pour l’école
d’ingénieurs Grenoble INP-Esiar qui a déjà organisé la Cyber Security Awareness
Week (CSAW) en 2018. Il s’agit de la plus grande compétition académique de
cybersécurité pendant laquelle s’affrontent des étudiants du lycée au doctorat
venant d’une centaine de pays différents. Pendant 36 heures, les équipes vont
tenter de pirater un système d’information extrêmement bien sécurisé pour en
extraire les données.
70 Cyberespace et cyberattaque – Comprendre et se protéger
D’autres épreuves sont organisées afin de tester les compétences des étudiants.
AVANT DE PLONGER
Comme dans d’autres domaines médiatisés, il y a des stars qui agissent seules
et aiment à être reconnues. Et puis, nous avons les inconnus, les petites mains,
celles qui agissent dans une certaine forme de taylorisme du hacking…
On ne peut résumer les hackeurs à une dichotomie entre, d’un côté, de gentils
hackeurs bienveillants qui nous informent de failles existantes, de l’autre,
des hackeurs malveillants qui veulent usurper notre identité et vider notre
compte bancaire.
Dans le monde réel, il existe des nuances dans les personnalités et dans les actes
de chacun et cela se retrouve dans le cyberespace. On peut tout à fait trouver
des hackeurs luttant contre la censure, des hackeurs nationalistes qui veulent
défendre les intérêts de leur pays, des hackeurs religieux, des « hacktivistes »,
etc. Vous noterez que j’ai employé le pluriel pour parler de ces différents types
de hackeurs, car souvent ils n’agissent pas seuls, mais plutôt en groupe.
Parmi les hackeurs qui travaillent seuls, on peut citer quelques noms.
Gary McKinnon a, quant à lui, donné des sueurs froides aux responsables
informatiques militaires américains. Il a piraté, par pur challenge, une centaine de
réseaux militaires américains. Son seul but était de prouver qu’il en était capable
et de récupérer des informations sur les extraterrestres. S’il est considéré comme
un criminel pour avoir pénétré ce système, il ne se considère pas comme tel, et
a même laissé comme message : « Votre sécurité est une merde. »
Mais la plupart des hackeurs agissent en groupe, ce qui leur permet de se répartir
les différentes étapes d’une cyberattaque. L’un d’entre eux va évidemment se
charger de pénétrer le réseau ciblé et de récupérer les informations qu’il contient.
Mais pour que cela fonctionne, il aura fallu qu’un autre étudie le fonctionnement
de l’entreprise visée afin de déceler une faille ou de la provoquer. Il s’agira par
exemple de laisser des clés USB infectées d’un code malveillant aux alentours
de l’entreprise. Ils peuvent décider d’en disposer dans le parking de l’entreprise
ou dans le café fréquenté par les salariés, etc.
Un autre membre de l’équipe aura, seul ou avec un autre, rédigé le code malveillant
en fonction de la mission que le groupe souhaite remplir.
Il arrive que les groupes de hackeurs soient engagés par un tiers pour mener
une mission précise. Dans ce cas, en plus des membres actifs du groupe, il y aura
un commanditaire qui définira la cible et l’objectif à atteindre. Il s’agira par
exemple d’espionnage industriel avec une intrusion très discrète des hackeurs
qui collecteront les informations dont a besoin le commanditaire.
Il ne s’agit là que d’un schéma qui permet de comprendre que les hackeurs ne
sont pas que des individus solitaires et qu’ils peuvent, comme des criminels
classiques, s’organiser en bande afin de répondre à une commande ou agir de
leur propre chef.
La structuration (voire la spécialisation) des hackeurs mercenaires prend de
l’ampleur et la terminologie qui en rend compte s’enrichit. C’est le cas par exemple
de Dark Basin, un groupe de hackeurs recrutés pour des missions d’espionnage
industriel ou d’intimidation. Ce groupe visait des ONG, des journalistes,
des dirigeants d’entreprises, des personnalités politiques de différents pays.
Ils opéraient notamment grâce à des e-mails de phishing tentant de reproduire
une véritable alerte Google, des messages privés de réseaux sociaux ou
des notifications d’abus d’identité. Ce groupe était très performant, car ces
mercenaires numériques disposaient d’informations précises sur la personne
ciblée et les techniques les plus adaptées pour parvenir à leurs fins.
Bien qu’agissant dans l’ombre, certains membres de ce groupe n’hésitent pas
à afficher sur leur profil LinkedIn des compétences en « espionnage industriel »
ou en « cyberespionnage », compétences qui peuvent certes attirer, mais qui
démontrent une propension certaine aux activités illégales.
72 Cyberespace et cyberattaque – Comprendre et se protéger
Les groupes comme celui-ci, bien qu’illégaux, ne sont pas rares. Nous allons
voir que les hackeurs se regroupent dans des groupes parfois très connus et
très étendus à l’échelle planétaire, tout en défendant une idéologie précise.
AVANT DE PLONGER
Allez, un peu d’archéologie… Parmi les groupes de hackeurs qui existent, l’un
d’entre eux défraye régulièrement la chronique, les « hacktivistes ». Il s’agit
de hackeurs particuliers, car ils sont motivés par une idéologie sociale ou
politique très précise et très forte.
Le premier groupe d’hacktivistes a été fondé en Allemagne dans les années 1980,
il s’agit du Chaos Computer Club. Ce club avait pour but de promouvoir la
liberté de l’information et la communication et d’éviter toute forme de censure.
Il s’est fait connaître en 1984 avec une cyberattaque contre le Minitel allemand.
Les actions de ce club étaient motivées par de grands idéaux de protection des
données, de contournement de la censure et de neutralité du Net. Leur projet
était d’améliorer un système dont ils n’adhéraient pas aux principes.
Dans les années 1990, un autre groupe émerge, Rtmark avec comme devise de
« lutter contre les abus des sociétés commerciales envers la loi et la démocratie ».
Ils militent contre la consommation comme le montre l’opération dans laquelle
ils ont échangé les boîtes vocales des poupées Barbie et GI Joe avant de les
rapporter dans les magasins.
Aujourd’hui, ce groupe n’est plus aussi actif, mais à l’origine il s’était spécialisé
dans le sabotage de produits.
Ces groupes démontrent bien que les cyberattaques sont devenues un moyen
pratique et apprécié pour revendiquer ses idées. En choisissant bien sa cible
et son mode opératoire, une cyberattaque peut être largement médiatisée et
marquer durablement les esprits.
20 E xtrait des revendications du Chaos Computer Club pour un « net viable » énoncées à
l’occasion du Chaos ComputerCongress 27 c3 qui s’est tenu à Berlin du 27 au 29 décembre
2010.
74 Cyberespace et cyberattaque – Comprendre et se protéger
Ces documents ont été mis au jour par Bradley Manning21 qui avait également
fait fuiter des documents classifiés concernant les guerres en Afghanistan et en
Irak. Ces documents mettaient en avant des actes de torture de prisonniers et
des bavures commises pendant ces guerres ayant entraîné la mort de nombreux
civils. Ces documents ont notamment permis de remettre en question le nombre
de civils qui auraient été tués durant ces conflits.
Avant même ces événements, Wikileaks s’était fait connaître en diffusant plus
de 500 000 messages échangés par des bipeurs qui avaient été interceptés le
11 septembre 2001. Ces messages provenaient d’agences américaines comme le
Pentagone, le FBI, mais aussi des messages échangés par des citoyens américains.
Puis en 2015, des documents démontrant que la NSA avait espionné d’anciens
présidents de la République française ont été publiés. Ces enregistrements
concernaient Jacques Chirac, Nicolas Sarkozy et François Hollande ainsi que
certains de leurs collaborateurs.
Wikileaks permet aux lanceurs d’alerte d’avoir une audience et une plateforme
permettant de rendre publics des documents secrets qui n’ont pas été rédigés
pour être lus par le grand public. Ils dénoncent ainsi des comportements violant
les droits de l’homme ou relevant de l’espionnage et de la corruption. Ces actions
correspondent à la volonté de Wikileaks d’abolir le secret, tout en libérant la
presse, en révélant les abus qui ont pu être commis par les États. Wikileaks se
considère comme le service de renseignements du peuple en partageant des
informations qui, sans cela, seraient restées secrètes.
Si une grande partie de la population s’est réjouie de pouvoir accéder à ce type
d’informations, nombreux furent ceux qui ont critiqué la méthode employée.
Il n’en demeure pas moins que Wikileaks dispose d’une visibilité extrêmement
importante grâce à son site Internet sur lequel sont publiés les documents
confidentiels qu’ils ont recueillis ainsi que des articles pour les accompagner.
Son rédacteur en chef, Julian Assange, est également connu pour être un hackeur
ayant appartenu au groupe International Subversives.
La notoriété de Wikileaks s’est notamment construite sur la publication d’une
vidéo montrant deux personnels de l’agence Reuters tués par un hélicoptère
américain alors en opération à Bagdad. C’est cette même démarche qui a conduit
à la publication de télégrammes de la diplomatie américaine, entre 2010 et 2011.
Les Anonymous sont une autre communauté de cybercriminels extrêmement
connue de chacun de nous. Ces derniers se réunissent derrière une devise qui sied
parfaitement à leur manière d’agir : « Nous sommes Anonymous. Nous sommes
Légion. Nous ne pardonnons pas. Nous n’oublions pas. Préparez-vous. »
21 Ancien analyste militaire américain qui a été condamné et incarcéré pour trahison.
L’utilisation de l’arme cyber 75
Les propos de Chris Lander22 illustrent bien ce que représente cette communauté :
« Anonymous est la première superconscience construite à l’aide de l’Internet.
Anonymous est un groupe semblable à une volée d’oiseaux. Comment savez-
vous que c’est un groupe ? Parce qu’ils voyagent dans la même direction. À tout
moment, des oiseaux peuvent rejoindre ou quitter le groupe, ou aller dans une
direction totalement contraire à ce dernier. »
Ces hackeurs mènent des actions très médiatisées, notamment en raison des
cibles ou des moyens qu’ils emploient. Pourtant, n’importe qui peut devenir un
cyberhacktiviste, puisqu’il n’est pas nécessaire d’être déjà un hackeur « formé »
pour faire partie des Anonymous. En effet, le groupe se charge de former
les nouveaux membres notamment grâce à ses forums mettant en relation
les nouvelles recrues avec des membres plus aguerris. Cette formation est
importante pour tous ceux qui évoluent en tant que hackeurs dans le monde
cyber. Mais ici, l’implication du groupe est importante, d’autant plus qu’il est
très difficile d’apprendre seul et d’agir seul dans ce domaine. La présence du
groupe permet d’appréhender les choses de différentes manières, de favoriser
l’entraide, mais aussi de croiser les regards sur le travail produit.
S’il n’est pas nécessaire initialement d’être un hackeur pour rejoindre les
hacktivistes, au final, tous doivent disposer de compétences relativement
poussées.
Vous les connaissiez peut-être avant, mais pour la majorité du grand public,
les Anonymous sont apparus en 2008. À ce moment-là, ils ont lancé une série
d’attaques visant l’Église de scientologie. Cette série d’attaques est connue
sous le nom de projet Chanology et a permis de montrer au monde entier que
les Anonymous ne sont pas que des marginaux, mais qu’il s’agit de personnes
de tous les horizons manifestant pour leurs idées.
C’est à l’occasion de cette attaque que les membres des Anonymous ont
commencé à porter un masque. Ils voulaient pouvoir manifester en personne
devant des lieux de culte de cette Église, mais en restant anonymes. En cherchant
un masque facile à trouver et à acheter, ils se sont tournés vers le masque de
Guy Fawkes, qui était membre d’un groupe catholique anglais et qui a planifié
la Conspiration des poudres en 1605. Les images des manifestants portant ces
masques sont devenues virales et le masque est devenu leur emblème. Le choix
de ce masque est intéressant puisque, à son époque, Guy Fawkes était perçu
comme un terroriste. Depuis quelques années, cette figure est souvent associée
aux valeurs révolutionnaires.
Puis, le site Internet de la télévision nationale tunisienne a été piraté afin de faire
afficher en arabe : « Les journalistes condamnent la répression de la police et
exigent la libération de Slim Amamou. » Ils ont également fourni des conseils
à la population tunisienne sur les méthodes à utiliser pour se protéger de la
censure.
Ils se sont également attaqués à des sites néonazis en divulguant les noms de
leurs sympathisants présumés. Les groupes néonazis visés étaient essentiellement
allemands, mais des groupes nationalistes français ont également été touchés
par des défacements de leurs sites Internet.
23 n defacement est une attaque qui consiste à modifier des pages Web, plus généralement la
U
page d’accueil. Les hackeurs substituent au texte initial des revendidications souvent politiques.
L’utilisation de l’arme cyber 77
Dans la même veine, ils ont également mené une cyberattaque contre le compte
Twitter du KuKuxKlan et ont divulgué des informations comme le nom de leurs
membres. Cette attaque était une réponse à des moqueries issues du KuKluxKlan.
Plus récemment, après la mort de George Flyod et les émeutes qui ont eu lieu
à Minneapolis, les Anonymous ont piraté le site de la police de Minneapolis et
ont diffusé une vidéo menaçant de dénoncer des agents de police corrompus.
Ils ont également perturbé la radio de la police au cours des manifestations.
Vous constatez bien que les actions des Anonymous sont assez variées, mais
toutes s’inspirent de leur philosophie de défense des droits et de la liberté
d’expression. Ils n’ont pas de cibles prédéfinies, ce qui les rend d’autant plus
dangereux ou efficaces, selon que l’on est victime de leurs actions ou bénéficiaire
de leurs informations.
Pour agir, ils utilisent notamment les attaques par déni de service contre les
sites de sociétés ou de gouvernements qu’ils considèrent comme leurs ennemis
ou portant atteinte aux valeurs qu’ils défendent. C’est cette technique qui a
été utilisée contre l’entreprise Mastercard, alors que celle-ci avait interrompu
les services qu’elle rendait à Wikileaks. Certains assimilent ce mode d’attaque
à des sit-in virtuels.
Même si les Anonymous forment un groupe assez opaque, ils suivent un code
éthique. En vertu de ce code, les membres d’Anonymous ne doivent pas chercher
à retirer une quelconque gloire personnelle de leurs actions, mais mener ces
actions sous la bannière Anonymous au nom et pour le bénéfice du groupe.
Malgré ce que l’on pourrait croire, ce groupe ne suit pas la ligne d’un parti
politique, mais obéit à de grands idéaux.
Vous imaginez bien qu’il serait difficile pour un groupe avec un si grand nombre
d’entités, disséminé dans de nombreux pays et sans incarnation réelle de suivre
une même ligne politique.
Même si dans leurs actions, les Anonymous sont amenés à critiquer certains
journalistes ou certains médias, ce groupe défend la liberté de la presse et
s’oppose aux attaques contre les médias.
Comme vous vous en doutez, ils ont dû subir les conséquences de leurs actions.
Ce fut, par exemple, le cas lors de l’opération lancée par Interpol, Unmask
en 2012, pendant laquelle vingt-cinq Anonymous ont été arrêtés. Ils avaient entre
17 et 40 ans et leurs origines étaient variées. Certains de leurs membres ont été
arrêtés, mais cela n’a en rien freiné l’activité du groupe dont les membres sont
restés actifs notamment pendant les périodes sensibles des Printemps arabes
ou les attentats de Paris.
78 Cyberespace et cyberattaque – Comprendre et se protéger
Internet et les réseaux sociaux sont donc un nouvel atout pour les terroristes et
il est extrêmement difficile de les empêcher de mettre en œuvre leur dessein.
Contrer la propagande en supprimant des comptes n’est pas efficace, puisqu’ils
en ouvrent immédiatement d’autres, cherchant en permanence de nouvelles
méthodes pour augmenter le nombre de convertis.
24 Mark M. Pollitt « Cyberterrorism : Fact or Fancy ? » Computer Fraud and Security, février 1998.
L’utilisation de l’arme cyber 79
Dans le cas de Stuxnet, ce sont des groupes étatiques qui ont été mobilisés
pour concevoir cette arme cyber et l’utiliser.
L’une des unités les plus emblématiques est israélienne, il s’agit de l’unité 8200
qui est rattachée au ministère de la Défense. Cette unité créée en 1952 est
responsable du renseignement d’origine électromagnétique et du décryptage
des codes, au sein du renseignement militaire israélien. Le renseignement
électromagnétique utilise les communications par ondes radio ou satellitaires
qui peuvent provenir de n’importe quel instrument. Ce renseignement inclut la
surveillance des courriers électroniques, des photocopieurs, des télégrammes
ainsi que les autres communications électroniques pouvant exister.
Le réseau de renseignement électromagnétique le plus connu est le réseau
Échelon des États-Unis, de l’Australie, du Royaume-Uni, du Canada et de la
Nouvelle-Zélande. Il s’agit d’un système d’interception de communications,
publiques ou privées, à l’échelle mondiale.
Grâce à cette unité, Israël peut concevoir de façon indépendante les armes cyber
dont elle peut avoir besoin. On peut tout à fait envisager qu’il s’agisse de codes
à visée offensive ou défensive. Cela présente un avantage certain puisque cette
unité peut concevoir les armes les plus adaptées à chaque mission, en connaître
les moindres détails pour affiner son fonctionnement et être à même de les
modifier pour d’autres usages.
Israël atteint également un objectif plus global, celui de disposer d’un net
avantage sur ses voisins, à la fois au niveau de ses capacités de renseignement
ainsi que dans les actions militaires qu’elle peut mener.
Cette unité est extrêmement réputée au niveau international et vous en avez
probablement déjà entendu parler dans les médias. Elle est souvent mise en
avant comme une unité d’excellence en la matière. Si elle parvient à conserver
ses capacités de haut niveau, c’est grâce aux recrutements qu’elle effectue parmi
des étudiants au meilleur potentiel.
Vue sous cet angle, cette unité agit comme le ferait une entreprise privée
cherchant les meilleurs profils pour ses opérations. Cette technique va de
pair avec la volonté de maintenir le niveau d’excellence de cette unité dans
le cyberespace. D’anciens membres de cette unité ont lancé des entreprises
largement connues au niveau mondial. Vous utilisez certainement Waze dans
vos déplacements en voiture, sachez que cette application a été développée
par d’anciens membres de cette unité. C’est également le cas de CheckPoint25
ou encore des produits développés par Palo Alto Network26.
25 olutions numériques de protection des systèmes d’information éditées par la société Check
S
Point Software Technologies.
26 Palo Alto Network a été créée par Nir Zuk, un ancien ingénieur de Check Point.
L’utilisation de l’arme cyber 81
C’est grâce aux révélations d’Edward Snowden que nous connaissons l’existence
de ce groupe. Les membres de cette unité sont réputés pour leurs capacités
à infiltrer la majorité des réseaux, ce qui leur permet d’être capables d’intercepter
des informations sur un très large spectre.
Cette technique est redoutable, car en tant qu’internaute, il vous est quasiment
impossible de détecter que vous êtes sur un faux site.
Cette technique peut être déclinée à l’envi, ce qui la rend d’autant plus dangereuse.
Ainsi, il est également possible d’injecter « des malwares lors de requêtes DNS
(“Quantum DSN”), de téléchargement de fichiers (“Quantum Copper”), d’un échange
de messagerie instantanée MSN/XMPP (“Quantum Spim”), de requêtes de bases
de données (“Quantum Squeel”)27 ».
La NSA aurait créé différentes techniques pour injecter des logiciels malveillants,
qui sont tous regroupés sous le terme de Quantum Theory.
Les capacités de la NSA ne s’arrêtent pas là, puisqu’elle dispose également
d’outils automatiques permettant de récolter des informations. Vous connaissez
sûrement le plus célèbre d’entre eux, le programme PRISM. C’est encore une fois
une révélation d’Edward Snowden qui a permis de faire connaître ce programme.
Le but de ce programme a pour but de « scanner les communications numériques
échangées sur plusieurs services en ligne très appréciés du grand public (AOL,
Apple, Facebook, Google, YouTube, Microsoft, Skype, Paltalk et Yahoo !)28 ».
Grâce aux données collectées, les services américains sont en mesure de constituer
une base de données leur permettant de répondre à leurs besoins futurs, et
ce alors même qu’ils ne sont pas censés utiliser ces données de cette manière.
Ce programme n’est pas le seul développé par la NSA, qui est également à l’origine
de programmes, comme XKeyscore, outil très simple à utiliser permettant d’effectuer
des recherches dans les données récoltées par la NSA. Ce dernier a été développé
avec la coopération de la Nouvelle-Zélande, du Canada, de l’Australie et du
Royaume-Uni.
Ces deux programmes contribuent à la surveillance de masse mise en place
par la NSA et à l’utilisation du cyberespace au maximum des capacités dont
elle dispose.
Un autre groupe de cyberespionnage semble être lié à la NSA : l’Equation Group.
Ce nom lui a été donné par l’entreprise Kaspersky Lab en raison de l’appétence
de ce groupe pour les méthodes de chiffrement élaboré. Ce groupe aurait
exploité différentes failles de sécurité qui n’avaient pas encore été rendues
publiques dans les systèmes de Microsoft Windows, Internet Explorer et Java.
Ce groupe a développé un certain nombre de logiciels complexes pour mener
à bien ses opérations de cyberespionnage. L’un d’entre eux est particulièrement
résistant et peut résister à un reformatage du disque dur.
Ce groupe existerait depuis 2001 et aurait ciblé une trentaine de pays, dont la
Russie, l’Inde, la France, le Brésil, l’Iran, la Malaisie, etc. Il n’aurait pas pris pour
cible que des organisations gouvernementales, s’attaquant également à de
grandes entreprises ou à des individus directement.
Ici encore, les actions semblent très variées, mais il est difficile d’obtenir des
informations précises, ces groupes évoluant dans des sphères où le secret règne
et s’attachant forcément à ne rien faire fuiter de ses activités.
28 Damien Leloup et Michaël Szadkowski, « Prism, Snowden, surveillance : 7 questions pour tout
comprendre », Le Monde, 8 août 2013.
84 Cyberespace et cyberattaque – Comprendre et se protéger
Parmi les autres faits d’armes de ce groupe, on lui attribue des campagnes de
phishing ciblées, soit exactement la méthode utilisée à l’encontre de la chaîne
de télévision. En général, il envoie un e-mail très bien conçu sur la messagerie
de la victime, qui ne remarque pas qu’il s’agit d’un faux et lorsqu’elle clique sur
le lien du message, elle ouvre la possibilité aux cyberattaquants de récupérer
ses identifiants.
Cette attaque n’a pas été la seule attribuée à ce groupe, qui est également
soupçonné d’avoir commis des attaques d’ampleur à l’encontre d’organisations
politiques, par exemple contre le site Internet du parti « en Marche » en
2017. Ce groupe russe serait l’auteur d’une campagne de phishing visant des
collaborateurs du candidat Emmanuel Macron, ce qui amène Loïc Guézo,
directeur de la stratégie pour l’Europe du Sud chez Trend Micro, à estimer
que : « Nous sommes sûrs à 99 % qu’il s’agit d’attaques en provenance de
Russie. » Selon cette même source, cette entreprise aurait identifié des noms
de domaines contrôlés par le groupe russe, onedrive-en-marche.fr, portal-
office.fr, mail-en-marche.fr, accounts-office.fr, et ces adresses ont été utilisées
pour piéger l’équipe de campagne du candidat.
Cette technique a également servi lors de la campagne présidentielle américaine
de 2016 qui a connu un certain nombre de perturbations dont la principale victime
a été le parti démocrate – et plus particulièrement John Podesta, le directeur
de campagne d’Hillary Clinton.
Ce dernier a été victime d’une campagne de phishing lors de laquelle un e-mail
a été distribué demandant aux destinataires de modifier leur mot de passe.
En cliquant sur le lien, ils étaient redirigés vers un site factice hébergé par
les cyberattaquants qui étaient alors en mesure de voler leurs identifiants de
connexion et de prendre le contrôle de leurs ordinateurs.
Un rapport des agences de renseignement américaines estime que l’origine
de ces attaques peut être attribuée à ce groupe. Récemment entendu dans le
cadre d’une commission d’enquête, Robert Mueller (ancien directeur du FBI)
a estimé que ce type de menaces persistait, affirmant : « J’espère que ce n’est
pas la nouvelle normalité. Mais je le crains. »
Globalement, les actions de ce groupe visent à collecter des informations
gouvernementales ou venant de différentes organisations pouvant intéresser
son commanditaire, lequel est certainement le gouvernement russe.
Au-delà des États-Unis et de la France, l’OTAN a également été victime d’attaques
informatiques entre 2014 et 2016, ces attaques visant notamment le piratage
des messageries électroniques des fonctionnaires de l’OTAN.
86 Cyberespace et cyberattaque – Comprendre et se protéger
Selon de nombreuses sources, APT 28 n’est pas le seul groupe à œuvrer pour l’État
russe. En effet, il existe également Cozy Bear, aussi connu sous le nom APT 29
qui serait associé au Service fédéral de sécurité de la Fédération de Russie (FSB)
et au Service des renseignements extérieurs de la Fédération de Russie (SVR).
Ce groupe aurait infiltré le parti démocrate américain avant même Fancy Bear,
dès 2015.
S’il est délicat d’attribuer avec certitude la liste des actions initiées par ces
deux groupes, les objectifs de Cozy Bear sont similaires à ceux de Fancy Bear
et leurs actions tout aussi complexes.
Il est très difficile d’attribuer avec certitude une attaque à son auteur, cela l’est
d’autant plus lorsqu’il s’agit d’un groupe affilié à un État. Forcément, lorsqu’on
se situe au niveau des États, entre en considération le contexte politique et
géopolitique qui peut nous amener à accuser un peu rapidement un État, peut-
être à tort.
La Russie est souvent l’objet de soupçons, du fait notamment du grand nombre
de pirates et de hackeurs qui y sont présents, mais aussi en raison des tensions
que la Russie entretient avec d’autres pays.
La Chine n’est pas absente du monde cyber. Elle dispose d’une unité dédiée
au sein de l’armée populaire de libération, l’unité 61398, qui se charge de la
conduite des opérations militaires sur les réseaux. Cette unité, qui existerait
depuis 2006, est spécialisée dans le cyberespionnage.
Cette unité « aurait compromis 141 entreprises dans une vingtaine de secteurs
d’activité. 87 % des sociétés ciblées ont leur siège social dans des pays où l’anglais
est la langue maternelle.29 » Que ce chiffre soit exact ou non, il est difficile de croire
que depuis 2013, le nombre d’entreprises compromises aurait diminué. Mais ici
encore, le verrouillage pratiqué par la Chine ne permet que des supputations.
Il n’en demeure pas moins que la Chine a démontré au monde entier ses capacités
à collecter un grand nombre de données potentiellement sensibles.
C’est certainement sur cette unité que nous avons le moins d’informations
disponibles. C’est un rapport de la société Mendiant, spécialiste de la sécurité
informatique, qui pointe du doigt cette unité comme étant derrière une vaste
opération de cyberespionnage. Vous vous en doutez : le gouvernement chinois
a nié être à l’origine de cette attaque.
29 Jacques Cheminat, « Unité 61398 : groupe secret de l’armée chinoise dédié au cyberespionnage »,
Le Monde informatique, 19 février 2013.
L’utilisation de l’arme cyber 87
La Corée du Nord n’est pas en reste et aurait également ses propres groupes,
nommés APT 37 et Lazarus (APT 38). Ce dernier serait spécialisé dans les
opérations visant le domaine financier, et peut infiltrer en profondeur les systèmes
informatiques des banques. Selon certains spécialistes, le ransomware Wannacry
serait une création de la Corée du Nord.
Ces États ne sont pas les seuls, mais vous avez compris la logique. Chaque État
le désirant et disposant des moyens adéquats peut agir dans le cyberespace
à son échelle et pour répondre à ses ambitions.
Pour certains, ces actions passent par des groupes à leur solde, ce qui permet
ensuite de nier toute implication, car la paternité de l’attaque en question ne
pourra pas être prouvée. Nous n’avons que des soupçons et c’est important
de s’en souvenir.
Une autre possibilité s’offre aux États, ils peuvent recourir aux unités de leurs
forces armées, lesquelles sont formées pour agir dans le cyberespace, au nom
et pour le compte de leur nation. Il s’agit notamment des unités citées ci-dessus
qui sont intégrées aux armées nationales, ou sont simplement réputées comme
travaillant au service d’un État.
Tous les États tendent à développer leurs compétences et leur arsenal dans le
domaine cyber et cela passe par la création de ces unités intégrées. Il est donc
nécessaire de s’intéresser à la manière dont les États appréhendent les évolutions
du cyberespace.
Cette action d’un État envers un autre est naturellement duplicable aux entreprises
qui, grâce au cyberespace, peuvent s’attaquer à des concurrents.
Les actions des États peuvent avoir une influence indirecte sur les cibles d’attaques
cyber. C’est le cas de l’activisme du nouveau président des États-Unis au cours
de l’été 2021. En effet, depuis le mois de juin, celui-ci agit auprès du président
russe, Vladimir Poutine pour que ce dernier fasse la police en Russie parmi les
différents groupes de cyberpirates connus ou suspectés d’agir sur le territoire
américain ou, plus globalement, contre des intérêts de ce pays.
Pour les spécialistes, cet activisme américain a porté ses fruits. Malheureusement,
si l’on peut applaudir l’action de Joe Biden, ces mêmes spécialistes cyber craignent
que l’Europe, au travers de l’ensemble de ses organisations publiques et privées
en fasse les frais. Il faut dire que l’Europe n’a pas de doctrine de riposte aussi
claire que celle énoncée par Joe Biden…
Concernant ce petit monde de hackeurs, pirates et autres cyberterroristes,
la figure suivante les répartit en sept grandes familles, en sachant qu’évidemment,
appartenir à la famille des white hats n’a rien de contradictoire avec la
participation d’une action d’un groupe de cyberactivistes comme les Anonymous.
L’utilisation de l’arme cyber 89
Pour résumer les logiques et « objectifs » des hackeurs et pirates, la Figure 2.1
est en quelque sorte le jeu des sept familles du pirate numérique…
De plus en plus, les agressions contre nos réseaux seront considérées comme,
non seulement des actes criminels, mais comme des actes terroristes, voire des
actes de guerre32. »
Si l’on n’est pas convaincu ou que l’on pense que ces propos sont alarmistes,
prêtons attention à ce qui s’est produit en Estonie en 2007.
Pour l’époque, l’Estonie était déjà un pays très connecté et c’est ce qui a permis
de l’atteindre jusqu’à le déstabiliser. Au cours du mois d’avril 2007, ce pays a
subi une série de cyberattaques par déni de service à l’encontre de ses sites
gouvernementaux puis de ceux des banques, de médias ainsi que de partis
politiques.
Aucun pan de la société n’a été épargné puisque même les numéros d’urgence
ont été rendus indisponibles. L’Estonie a été complètement déconnectée des
réseaux, rendue invisible et ainsi placée en position de vulnérabilité. L’origine de
cette attaque viendrait de la décision du gouvernement estonien de déplacer une
statue représentant un soldat soviétique, ce qui aurait entraîné le mécontentement
et des émeutes au sein de la communauté russophone d’Estonie.
Pour de nombreux experts, cette attaque serait d’origine russe – la Russie aurait
pris ombrage de cette décision estonienne.
Cet exemple montre comment une cyberattaque est en mesure de paralyser
complètement un pays. La réussite de cette attaque reposait sur l’utilisation d’un
très grand nombre d’ordinateurs contrôlés à distance par le cyberattaquant,
des ordinateurs zombies. Chacun de nos ordinateurs peut être l’un d’entre eux :
à notre insu, une partie est peut-être contrôlée par un cybercriminel qui va
l’utiliser pour répandre son logiciel malveillant, tout en dissimulant son identité.
Dans le cas de l’attaque contre l’Estonie, les ordinateurs étaient également
nécessaires pour disposer de la puissance nécessaire pour saturer les serveurs
visés, par l’envoi d’un nombre très important de requêtes.
Pour Linnar Viik, un spécialiste estonien du domaine cyber : « La mobilisation
d’une telle armada informatique dépasse de très loin le stade de l’initiative
individuelle, voire mafieuse. Rien de tel ne peut se faire à cette échelle sans la
coopération d’un État, et de plusieurs opérateurs télécoms.33 »
Depuis 2007, d’autres attaques ont marqué les esprits du fait de leur importance
et de leur audace. C’est notamment le cas de celles qui ont visé des villes entières
un peu partout dans le monde.
L’épreuve subie par l’Estonie a démontré que les États n’étaient pas épargnés
par des cyberattaques d’ampleur.
Aux États-Unis, les cyberattaques ciblant des villes se sont développées à tel
point que des maires se sont réunis afin de protester après que 22 villes ont été
prises pour cibles rien que pendant l’année 2019.
Lors d’une conférence les réunissant à Honolulu, ces derniers ont déclaré :
« Nous resterons unis contre le paiement des rançons dans le cas d’un piratage
de nos infrastructures. » Cette union vient de leur volonté de décourager d’autres
cyberattaques de ce type en ne payant pas les rançons.
Pourquoi les cyberattaquants prennent-ils pour cibles des villes ? Ces dernières
ont, a priori, des moyens financiers conséquents permettant aux cybercriminels
d’espérer une rançon relativement élevée. C’est pour cela que les pirates ne
prennent pas seulement pour cibles des villes de petites envergures, mais aussi
des villes d’importance comme Atlanta ou Baltimore.
Le maire de Baltimore est à l’origine de la proposition de ne pas céder face aux
chantages des pirates informatiques. Il a en effet dû affronter une cyberattaque
lorsque le réseau informatique de sa ville a été infecté par un ransomware en
2019. Les auteurs de cette attaque réclamaient une rançon de 100 000 dollars,
que la ville n’a pas voulu payer. Lors de cette attaque, 10 000 ordinateurs
auraient été infectés et verrouillés. Comme dans la plupart de ces attaques,
les services de la ville ont dû revenir à l’utilisation du papier puisque les boîtes
courriel étaient inutilisables, comme tous les logiciels-métiers. Même sans payer
la rançon demandée, les conséquences financières ont été extrêmement lourdes.
Parce que ses sauvegardes étaient récentes, la ville a pu les utiliser afin de
restaurer son système informatique. La ville a également pu préserver la partie
saine de son parc informatique en déconnectant les ordinateurs non infectés
du réseau Internet, mais elle a dû financer de nouveaux ordinateurs, serveurs,
etc., le montant total déboursé s’élevant à 18 millions de dollars.
Ce montant astronomique couvre la remise en état du système informatique,
ainsi que la perte de revenus estimée du fait de cette attaque. Évidemment,
une telle somme appelle à réfléchir, et l’on peut se demander quel aurait été le
coût si la ville avait accepté de payer la rançon demandée.
Il semble que cette attaque ait été rendue possible par l’utilisation d’une faille
déjà connue et pour laquelle un correctif avait été rendu public. Cette faille est
connue sous le nom d’Eternal Blue et avait été identifiée par la NSA qui a un peu
tardé à la rendre publique. Sauf que des pirates lui ont volé cette faille en 2016
et l’ont rendue publique en 2017. À ce moment-là, la NSA a informé la société
Windows de cette faille afin qu’elle puisse concevoir un correctif, ce qui a été
fait – il s’agit du correctif MS17-010, de mars 2017.
L’utilisation de l’arme cyber 93
Il n’avait pas tort, puisque ces dernières années des villes françaises ont également
été victimes de telles cyberattaques. Ainsi, en 2018, dans le Var, les serveurs
de la commune de La Croix-Valmer ont été touchés et leurs fichiers cryptés,
paralysant les services municipaux pendant une semaine, avant qu’une demande
de rançon ne soit faite. Pour autant, la ville a refusé de payer la rançon demandée.
En 2019, c’est la ville de Sarrebourg qui a également connu une attaque due à un
ransomware dont l’auteur demandait une rançon de 53 400 euros, somme qu’elle
n’a pas payée.
94 Cyberespace et cyberattaque – Comprendre et se protéger
Ces attaques ont des conséquences sur les habitants de chacune des villes
puisqu’un certain nombre de services sont paralysés et que les administrations
doivent se réorganiser afin de maintenir un semblant de service minimum.
Ces attaques, outre les dégâts qu’elles peuvent causer, ont une importance
symbolique, car si des structures de cette taille, organisées et dotées de personnels
compétents, peuvent être attaquées, c’est le signe de l’extrême vulnérabilité de
tout notre fonctionnement en réseau. Ces attaques ont également une puissance
symbolique puisqu’elles sont capables de handicaper une ville, démontrant une
capacité de nuisance remarquable. Or, la vulnérabilité des réseaux, quel que
soit leur propriétaire, ne doit pas nous conduire à une angoisse paralysante,
mais au contraire nous inciter à redoubler de prévention en matière de sécurité.
Si l’on est victime d’une cyberattaque et que notre dernière sauvegarde est
ancienne, il est clair que nous aurons beaucoup plus de difficulté à reprendre
pied que si les sauvegardes avaient été faites récemment. De même, si notre
structure est agile, elle sera très vite en capacité de travailler sans messagerie
et parfois sans téléphonie.
Les collectivités sont désormais des cibles pour les cybercriminels au même
titre que les entreprises le sont depuis longtemps. Les rançons demandées aux
collectivités sont souvent plus importantes que celles demandées aux entreprises
et aux individus. À l’instar des prises d’otages d’êtres humains, les autorités
déconseillent de payer. Mais nous l’avons vu, certaines victimes décident de payer
quand même afin de préserver la viabilité de leur organisation et de retrouver
au plus vite un fonctionnement normal.
Si les collectivités sont de plus en plus vulnérables c’est aussi parce qu’elles
proposent de plus en plus de services numériques, qui constituent des portes
d’entrée pour les cyberattaquants. Naturellement, le fait que le nombre
d’ordinateurs ait drastiquement augmenté constitue autant de points d’accès
pouvant être utilisés par des cybercriminels.
L’utilisation de l’arme cyber 95
Les collectivités locales doivent donc se protéger d’autant plus. Cette tâche peut
s’avérer difficile puisque certaines collectivités utilisent des logiciels trop vieux et
dont la sécurité est totalement obsolète. Seul l’usage de logiciels récents pour
lesquels des correctifs sont développés lorsqu’une faille est détectée permet
une sécurité d’ensemble. Il faut savoir que lorsqu’un logiciel est trop ancien, les
développeurs ne s’occupent plus de concevoir des mises à jour et des correctifs
pour corriger d’éventuelles failles de sécurité.
Évidemment, dans un monde parfait, tous les services publics pourraient avoir
leurs logiciels et leur système d’exploitation constamment à jour. Dans la réalité,
on s’en doute, ce n’est pas financièrement possible. Maintenir tout le parc
informatique d’une administration – ou même d’une entreprise – à jour représente
un coût budgétaire important qui n’est pas toujours la priorité, du moins tant
que la structure n’a pas eu à affronter une cyberattaque.
Le facteur humain doit également être pris en compte ici. Pour qu’une mise
à jour soit réalisée au sein d’une administration, ou d’une entreprise, il est
souvent nécessaire de s’y prendre à plusieurs fois. Ne cliquons-nous pas tous sur
l’option « me le rappeler demain » lorsque notre ordinateur nous propose une
mise à jour ? Au travail, il en va de même. La proposition de mise à jour n’arrive
jamais au bon moment et nous avons tendance à la repousser, nous mettant
ainsi, nous et nos collègues en danger.
Les villes ne sont pas la seule cible de choix des cyberattaquants. Ils se sont,
malheureusement, découvert un intérêt particulier pour une autre cible qui ne
peut se permettre de voir son travail perturbé : les hôpitaux.
C’est ainsi que début 2021, les hôpitaux de Dax et Villefranche-sur-Saône ont dû
faire face à des cyberattaques au moment même où ils étaient déjà très sollicités
par la crise sanitaire de la Covid-19. On imagine tous les conséquences d’une
telle paralysie avec des opérations qui ne peuvent plus être effectuées, des
examens impossibles à réaliser, des patients devant être redirigés vers d’autres
établissements, des standards téléphoniques hors circuit, une organisation
globale qui dans l’urgence doit reposer sur le papier et le crayon, voire sur
quelques ordinateurs pouvant fonctionner hors réseau.
Ces attaques mettent en danger tant la prise en charge des patients que leur santé,
puisque la plupart des machines utilisées pour traiter les patients dépendent à un
moment ou un autre de l’informatique. La confidentialité des données personnelles
des patients est également mise à mal dans les attaques de ce type, ce qui peut
également ternir la réputation des établissements. Les patients risquent de ne
plus faire confiance à des hôpitaux qui ne savent pas s’organiser pour sécuriser
leurs données les plus sensibles. Par ailleurs, si le personnel n’a plus accès aux
dossiers des patients, cela peut poser problème s’ils ne savent pas quelle dose
de médicaments le patient a déjà reçue ou s’il est allergique à certains, etc.
96 Cyberespace et cyberattaque – Comprendre et se protéger
AVANT DE PLONGER
Les entreprises sont une cible historique des cyberattaquants, lesquels ont
développé leurs savoirs afin de voler, espionner ou ruiner la réputation des
entreprises ciblées. Mais le premier risque pesant sur vos organisations ne vient
pas de la supériorité des cyberattaquants. Il trouve son origine au sein même
de votre entreprise. L’humain commet en effet des erreurs ou des négligences
qui sont une source de grands dangers pour toutes les organisations.
Au sein des entreprises, il est récurrent que la faille de sécurité soit d’origine
humaine. En effet, selon une étude réalisée en 2018 par le cabinet Deloitte auprès
de ses clients, « 63 % des incidents de sécurité proviennent d’un employé actif au
sein des effectifs34 ». Ces employés ne trahissent pas forcément volontairement
leur entreprise, une grande partie d’entre eux commettent des erreurs par
inadvertance, erreurs qui ont des conséquences potentiellement dommageables
pour leur organisation.
Le risque est d’autant plus grand pour les employés quittant l’entreprise en
mauvais termes qui sont susceptibles de vouloir nuire à leurs anciens employeurs.
C’est pour cela qu’il est important que tous les collaborateurs soient sensibilisés
au risque cyber et aux bonnes pratiques à mettre en œuvre. Comme pour les
gestes barrières en période de pandémie, nous les connaissons, mais nous avons
toujours de bonnes raisons de nous en affranchir ou de les oublier. Là aussi, il ne
faut pas hésiter à faire de la pédagogie pour que ces gestes soient bien ancrés
dans les esprits de chacun et deviennent des automatismes. Il ne faut pas laisser
son écran déverrouillé lorsqu’on n’est pas dans son bureau ou laisser en évidence
son mot de passe écrit traîner sur son bureau, ne pas ouvrir les pièces jointes de
e-mails suspects même si les e-mails infectés sont parfois difficiles à détecter.
L’avantage de l’erreur humaine, c’est que l’on peut réellement agir et prodiguer
des conseils sur la manière dont vous aimeriez que les choses se passent.
Il faut bien être conscient que même si vos employés ou vos prestataires
respectent bien ces règles prudentielles, il demeure le risque d’une cyberattaque,
qui comme un robinet qui fuit insidieusement va dégénérer en un dégât des
eaux, va attaquer en toute discrétion votre réseau informatique.
Un type de cyberattaque souvent oublié est celle permettant de vous voler des
données, pendant plusieurs mois, voire plusieurs années en toute discrétion.
Oui, toutes les cyberattaques ne sont pas rapides et dévastatrices, certaines
se font en toute discrétion et peuvent tout autant vous nuire. Une « advanced
persistent threat » (APT) est une cyberattaque particulière qui, contrairement
aux autres cyberattaques, se prolonge dans le temps.
Nous avons d’ores et déjà évoqué le terme APT lors des paragraphes consacrés
aux groupes de cyberattaquants. Ici, je ne parle pas du groupe mettant en œuvre
des attaques de pointe, mais des attaques en elles-mêmes.
Dans le cadre d’une APT, un groupe de pirates va s’introduire dans notre système,
sans en avoir le droit, et y rester pendant une très longue période. Cette présence
dans le système va essentiellement leur permettre deux choses, de surveiller ce
qui se passe sur notre réseau et de nous voler toutes les données susceptibles
de les intéresser.
Une fois que les attaquants ont récolté toutes les informations préalables,
ils mettent en œuvre le scénario de l’attaque tout en restant invisibles pour les
systèmes de protection. Généralement, les cyberattaquants ne prendront pas
pour cible les ordinateurs dirigeants pour s’introduire dans le système informatique
de l’entreprise visée. Ils privilégieront ceux des employés moins importants
dans la chaîne hiérarchique, mais qui ont tout de même accès aux bons réseaux
de façon à moins attirer l’attention. Même si leurs ordinateurs ne disposeront
certainement pas des données sensibles intéressant le cyberattaquant, cela
leur permettra d’avoir un pied dans le système et à partir de ces ordinateurs,
d’accéder aux parties du réseau les plus importantes pour eux.
Ces APT ne sont pas mises en œuvre au hasard, mais viennent souvent d’un
commanditaire qui engage des cybercriminels afin d’attaquer une entreprise
particulière et lui fournir les informations récoltées dans le système.
Il est important pour toutes les organisations d’avoir conscience des failles qui
existent dans leur système. Les grandes entreprises ont d’ores et déjà débloqué
des moyens et pris des mesures pour assurer la protection de leur réseau.
Malgré toutes les protections que vous avez peut-être également prises, restez
attentif aux éventuelles failles qui subsistent. Aucun système n’est exempt de
failles et certaines ne peuvent pas être corrigées en raison d’un coût financier
trop important, par exemple.
Cette conscience des failles existantes doit se doubler d’une perception claire de
l’apparition régulière de nouveaux dangers. De la sorte, vous restez vulnérable,
tout en étant dans une logique d’amélioration continue. C’est en effet nécessaire,
car les cyberattaquants potentiels développent constamment de nouvelles
techniques sans pour autant que la réciproque existe du côté des entreprises
qui sont plus dans la réaction que dans la prévention.
À l’origine, ces systèmes de contrôle n’ont pas été pensés pour être reliés à des
réseaux comme Internet et forcément, lors de leur conception, aucune mesure
pour se protéger d’une cyberattaque n’a été mise en place. Lorsqu’ils sont une
cible de cyberattaques, les compromettre permet de provoquer, en une seule
attaque, d’importants dommages sur une chaîne de production.
À titre d’exemple, il est possible de perturber les chaînes de production d’un
nouveau modèle de voiture de marque X pour permettre à une entreprise
concurrente de devancer son concurrent dans la sortie de son modèle de gamme
similaire. Au-delà des industries classiques, on trouve également ces automates
dans des domaines pouvant s’avérer sensibles tels que la distribution d’eau ou
encore le transport de gaz ou d’électricité.
En 2015, le nord-ouest de l’Ukraine a connu une panne d’électricité plongeant
230 000 personnes dans le noir. Cette panne provenait d’un fichier Excel infecté
par un code malveillant, introduit dans le système du fournisseur d’électricité.
Ce code malveillant a ensuite pris le contrôle des Scada de ce fournisseur.
Grâce à cette prise de contrôle, les attaquants ont été en mesure de désactiver
à distance de nombreux postes électriques, entraînant cette panne généralisée,
considérée comme la première panne prouvée pouvant être attribuée à une
cyberattaque contre un Scada.
En Allemagne une usine fabriquant de l’acier a également connu une attaque
de son réseau informatique du fait d’une campagne de phishing qui a permis
aux agresseurs de s’introduire dans le système de l’usine, puis dans son réseau
industriel. Selon le rapport du bureau de la sécurité informatique allemande,
cette attaque a eu de lourdes conséquences sur « les modules de contrôle,
mettant à l’arrêt un haut-fourneau et causant des dommages majeurs ».
Tous les systèmes de ces entreprises stratégiques ou d’intérêt national sont
vulnérables, car, pour la plupart, ils ont été conçus bien avant que les outils
informatiques soient en mesure de les prendre pour cible. Ils fonctionnent
souvent avec des systèmes d’exploitation très anciens, comme Windows NT4
par exemple, pour lesquels les mises à jour ne sont plus prévues, ce qui les
rend vulnérables aux cyberattaques. Le problème est que nous ne sommes pas
toujours conscients de la vulnérabilité de ces systèmes dont la sécurité n’était pas
la priorité au moment de leur conception. Par exemple, nous étions beaucoup
moins éduqués sur la manière de choisir un mot de passe résistant à l’époque,
quand nous ne laissions pas le mot de passe par défaut.
Nous pouvons, et même nous devons, mettre en garde tous nos personnels sur
le fonctionnement et les risques liés à une campagne de phishing afin qu’ils ne
tombent pas dans ce piège qui pourrait donner accès à nos réseaux. Informez-les
également des risques et conséquences que ce genre d’actions peut générer,
sur les logiciels et les versions utilisés.
L’utilisation de l’arme cyber 103
Parmi les mesures pouvant vous permettre de déceler ces attaques, il y a l’analyse
des logs35, qui revient à mettre en place une surveillance de l’activité effectuée
sur le réseau afin de détecter les éventuelles activités anormales. En analysant
ce qui se passe sur votre réseau, vous pourrez différencier une activité normale
du début d’une attaque. Les spécialistes sont en effet en mesure d’identifier les
perturbations pouvant représenter des signes avant-coureurs d’une cyberattaque.
AVANT DE PLONGER
Il ne vous a pas échappé que les objets connectés sont de plus en plus
communs, certains ayant déjà intégré notre quotidien. Pourtant, ces derniers
constituent une nouvelle forme de menace, qu’il s’agisse des montres
connectées, des enceintes connectées, voire des réfrigérateurs connectés.
Selon les estimations, il y avait 7 milliards d’objets connectés en 2018 et il y
en aura 21,5 milliards en 2025, dans le monde.
35 Journal regroupant tous les événements d’un système informatique de manière chronologique.
104 Cyberespace et cyberattaque – Comprendre et se protéger
Ces objets ont très facilement intégré notre quotidien et notre vie personnelle,
certains nous accompagnant quelle que soit notre activité. Lorsqu’on possède une
montre connectée, on la porte le plus souvent au quotidien et sans discontinuer.
Notre montre dispose donc de toutes nos données relatives à notre santé,
qu’il s’agisse de notre sommeil, de nos activités sportives, de notre fréquence
cardiaque, etc. Accéder à ces données peut être une violation certaine de notre
vie privée, mais notre montre, si elle dispose d’un GPS, peut également être
utilisée pour nous suivre à la trace. Nous vivons dans un paradoxe, en disposant
d’outils pour améliorer ou faciliter notre quotidien, dont nous ne mesurons pas
forcément les risques.
Ce risque est encore accru lorsque ces objets mal sécurisés sont liés à nos
moyens de paiement.
FaceApp a fait l’objet de cette ruse via une seconde application, FaceApp pro.
Celle-ci prétendait donner accès gratuitement à toutes les fonctionnalités de
la première, alors que l’application FaceApp était payante.
Il est tout à fait possible d’installer un antivirus sur votre smartphone, il en existe
plusieurs, tout comme pour les ordinateurs. Il faut tout de même être attentif
aux applications que l’on télécharge, notamment en vérifiant qu’elles sont notées
par certaines personnes et en ne les téléchargeant que sur le Google Play Store
L’utilisation de l’arme cyber 105
ou sur l’App Store. Une application ayant une autre origine sera sûrement source
de dangers pour vous. Et n’oublions pas que nos smartphones aussi ont besoin
d’être mis à jour – qu’il s’agisse des mises à jour des applications que vous
installez, mais aussi du système de votre smartphone.
Nous sommes tous concernés par la faible sécurité de ces objets, et même les
plus sensibles aux exigences de sécurité peuvent se retrouver piégés. Ainsi les
trajets effectués par des militaires dans leur vie personnelle et dans leur vie
professionnelle ont pu être retracés à partir de leur montre connectée. On mesure
ce qu’une personne mal intentionnée pourrait faire à partir de telles données
offertes en toute innocence par des personnes pourtant aguerries à la prévention
des risques.
Ce n’est qu’un exemple des possibilités qu’offrent ces objets connectés, brouillant
les frontières de la vie privée et permettant d’obtenir des informations auxquelles
nul n’aurait pu avoir accès auparavant.
Nous sommes tous concernés par ces risques, tant dans le milieu professionnel
que dans notre vie personnelle. Chaque strate de la société devient vulnérable
et il est important que chacun en prenne conscience afin de se protéger et d’agir
avec le plus de sécurité possible.
AVANT DE PLONGER
Le cyberespace est un monde qui ressemble, d’une certaine manière, à une
pièce de théâtre où tout le monde avance masqué, voire en cherchant à se
faire passer pour autrui. Pour vous en convaincre, venez avec nous dans le
brouillard cyber.
Contrairement à une arme classique, on ne voit pas qui détient l’arme cyber au
moment de s’en servir. L’attribution d’une cyberattaque n’est donc pas chose
simple. Pourtant, dans certaines situations, cela peut s’avérer nécessaire pour
d’éventuelles « représailles » (actions en justice dans le domaine « commercial »,
voire plus au niveau étatique).
Reste qu’une fois cette posture adoptée, affirmée et affichée, rien n’est réglé.
En effet, même lorsqu’un groupe cybercriminel revendique une action, comment
être sûr qu’il s’agit bien de l’auteur de l’attaque ? Des idées préconçues peuvent
nous guider dans une direction qui se révélera erronée par la suite.
Dans tous les cas, il s’avère de plus en plus difficile de savoir si l’auteur agit
pour son propre compte, pour un commanditaire ou encore, dans une sorte de
billard à double, voire triple bande pour faire porter la responsabilité par un
autre acteur…
L’attaque contre TV5 Monde permet d’illustrer cela. Les premières constatations
laissaient à croire que l’attaque venait du Cyber Caliphate, un groupe de pirates
informatiques prétendant être liés au groupe islamique Daesh, en raison de l’évident
soutien que les messages publiés apportaient à leur cause. Or, les investigations
ont prouvé que ce n’était pas le cas – mais il aurait été facile de s’en tenir à une
accusation désignant de façon trop évidente le mauvais coupable. Ces investigations
plus poussées ont pointé du doigt des groupes russes, du fait de traces spécifiques,
telles que des traces de russe dans le code, d’horaires de création de certains
logiciels ou encore des réglages de langue.
Pour cette raison, il ne faut pas s’arrêter aux premiers indices, mais en réunir
tout un faisceau permettant de désigner un éventuel coupable.
Pour que ces articles s’appliquent, il faudra sûrement des attaques d’envergure
engendrant des pertes matérielles, informationnelles importantes. Ce genre
d’attaques pourraient même faire des victimes humaines.
Les attaquants ont également intégré l’intérêt stratégique à brouiller les pistes
de l’origine de l’attaque pour faire accuser un groupe ou un pirate en particulier.
Se faire passer pour un autre groupe d’attaquants permet, classiquement,
d’induire en erreur une autre partie et potentiellement de l’inciter à des représailles
contre le mauvais groupe, voire le mauvais État.
108 Cyberespace et cyberattaque – Comprendre et se protéger
Mais laissons ces actions de cyberespionnage menées par les États pour revenir
aux « vrais » pirates…
Ceux-ci sont également tout à fait capables de couvrir leurs traces, de dissimuler
leurs actions autant que leur identité. Cela les rend d’autant plus dangereux,
car outre le fait qu’ils usent de moyens discrets, voire invisibles, pour nous
attaquer, ils nous privent de mettre un nom sur notre agresseur et peut-être de
la possibilité de comprendre pourquoi nous avons été attaqués.
Ceux qui ne veulent pas revendiquer pleinement une attaque peuvent tout de
même laisser quelques traces afin d’amener à penser qu’ils sont à l’origine de
l’attaque. Reste qu’il s’agit d’un exercice d’équilibriste, car ils doivent veiller
à ne pas laisser trop d’indices, ce qui pourrait amener les autorités de police
à les poursuivre.
Si nous laissons de côté cette question – non négligeable – d’ego, reste une
dernière interrogation : à qui profite le crime ?
110 Cyberespace et cyberattaque – Comprendre et se protéger
Au quotidien, les hackeurs nous semblant le moins dangereux sont sûrement ceux
qui désirent seulement se prouver à eux-mêmes, et aux autres, qu’ils sont capables
d’accéder à différents systèmes. S’ils vous attaquent, c’est probablement par
hasard ou parce que votre système présente certaines particularités auxquelles
ils veulent se confronter. Il peut s’agir d’une protection originale dont vous
disposeriez ou de la manière dont votre système est conçu.
L’utilisation de l’arme cyber 111
Le but de votre attaquant sera seulement, par pur jeu intellectuel, de trouver une
faille dans votre système ou de casser vos protections, mais il ne vous causera
pas de véritable nuisance. Évidemment, cette attaque provoquera quelques
dégâts devant être réparés dans vos systèmes, mais le but défini n’est pas de
vous nuire. Ici, c’est le défi technique qui compte.
Des cybercriminels peuvent également utiliser nos serveurs comme s’ils étaient les
leurs, agissant en quelque sorte comme des squatteurs numériques. Dans ce cas,
le cyberattaquant souhaite s’insérer dans notre réseau pour profiter de notre bande
passante. C’est un peu comme utiliser à son insu le réseau WiFi de son voisin, car
il est de meilleure qualité. L’objectif n’est pas de causer du tort, mais simplement
de contourner quelques règles et systèmes de sécurité. Ce n’est pas du tout
légal, mais encore une fois, les conséquences sur votre entreprise seront limitées.
Reste que la majorité des cyberattaques ont un but crapuleux. Il s’agit d’un vol qui
peut être de nature financière, mais pas que. Il peut aussi s’agir de voler des secrets
industriels, de fabrication, mais aussi des données personnelles ou commerciales.
Le vol est courant dans le cyberespace. Nos ordinateurs, nos téléphones,
nos appareils connectés, tous sont vulnérables et pourtant remplis de données
personnelles ou sensibles qui intéressent nos agresseurs. Ces derniers peuvent
commettre ces vols pour revendre ces informations, pour nous nuire, nous faire
chanter ou tout simplement pour assurer leur propre satisfaction. Les motifs de
vol sont extrêmement variés et continuent à se développer.
Certains vols seront très spécifiques, notamment ceux concernant le vol de nos
coordonnées bancaires. Vous l’avez compris, le but est purement de voler nos
accès pour ensuite pouvoir nous dépouiller, c’est un classique. Le vol de carte
bleue, de portefeuille, de bourse, etc., existe depuis toujours, il est tout à faire
logique que les criminels poursuivent leurs opérations avec des moyens cyber.
L’arme cyber est également en mesure de troubler le fonctionnement d’un service
ou d’une entreprise, ce qui représente une avancée certaine pour les cybercriminels.
Hormis la nécessité d’une approche psychologique fine dans certains cas, ils n’ont
plus besoin d’élaborer des scénarios complexes pour agir, ils peuvent se contenter
de perturber le fonctionnement des ordinateurs, de la climatisation, des téléphones
de l’équipe qui leur pose problème. Les cybercriminels peuvent très bien décider
de couper l’électricité d’un de vos bâtiments ou d’éteindre à distance certaines
machines. Ne vous méprenez pas : ici vos agresseurs auront probablement besoin
pour agir d’avoir accès aux alentours de votre entreprise. La sécurité physique de vos
bâtiments ne doit pas être distinguée de la sécurité de vos réseaux informatiques.
Parfois, des cyberattaquants vous prennent pour cible afin de s’aider eux-mêmes.
C’est le cas par exemple d’une attaque par déni de service où les attaquants ont
besoin de créer un réseau d’ordinateurs zombies qui va leur fournir la protection
et la bande passante nécessaires pour donner de la puissance à l’attaque.
112 Cyberespace et cyberattaque – Comprendre et se protéger
Il est fort probable que parmi vous, lecteurs, certains aient connu des
ralentissements de leurs ordinateurs, car une partie de ses capacités étaient
utilisées pour attaquer une autre cible. Les cyberattaquants profitent ainsi d’une
faille dans votre réseau qui va leur servir pour leur véritable attaque.
Les cyberattaquants peuvent également utiliser les attaques par rebond, c’est-à-
dire qu’ils utilisent un intermédiaire dans leur attaque. Cette technique permet de
donner l’impression que l’attaque vient d’un ordinateur situé dans une région X
alors que ce n’est pas du tout l’ordinateur du pirate, mais seulement l’ordinateur
derrière lequel il se cache pour ne pas être repéré.
Vous comprenez aisément que protéger votre ordinateur personnel, et professionnel,
permet d’éviter de vous rendre complice, sans le savoir, d’une cyberattaque.
L’arme cyber permet de servir de nombreux objectifs et ses caractéristiques
confèrent des avantages à ses utilisateurs. Si l’on compare l’arme cyber aux armes
traditionnelles, sa modernité lui confère un premier avantage. Elle permet de
multiplier les effets d’échelle et ainsi d’augmenter drastiquement les gains d’une
cyberattaque sans pour autant faire d’efforts supplémentaires. Leurs auteurs
prennent certes des risques à utiliser cette arme, mais les gains sont plus
importants, ce qui est un pari attractif pour les cybercriminels.
Avec un seul code, vous pouvez réaliser un vol de petite envergure, voire une
série de petits vols, mais aussi décider de l’utiliser pour récolter des millions de
dollars. En 2016, des pirates se sont introduits dans le système informatique de
la banque centrale du Bangladesh et ont ainsi pu subtiliser le certificat nécessaire
pour autoriser les transferts de fonds et, ensuite, dérober 81 millions de dollars.
Sans conteste, cette opération a été un succès pour les pirates et la méthode
utilisée, voire peut-être le code informatique, pourrait servir de base pour une
autre attaque construite sur le même modèle.
Ces armes présentent également l’avantage de se propager extrêmement
facilement et rapidement, ce qui n’est pas possible avec une arme classique.
En lançant une campagne de phishing ou un ransomware, ces logiciels malveillants
pourront facilement se répandre, et ainsi atteindre un plus grand nombre de
victimes. Si plus de victimes sont touchées, les gains sont plus importants,
l’attaque est un plus grand succès, plus de données sont subtilisées, etc.
Ces armes ont souvent une courte durée de vie, elles profitent d’une faille
dans un système et une fois exploitée, cette faille est révélée. Ensuite, elle sera
certainement comblée et l’arme qui avait été conçue pour l’utiliser est inutile.
C’est pour cela que les pirates recherchent toujours de nouvelles failles, pour les
exploiter ensuite. En cela, n’importe qui peut utiliser l’une de ces armes, il n’y a
pas de prérequis ou de barrières empêchant un nouveau venu de développer
sa propre arme cyber.
L’utilisation de l’arme cyber 113
AVANT DE PLONGER
Dans la première partie de ce chapitre, nous nous sommes intéressés à celles
et ceux qui utilisent l’arme cyber avant, dans la seconde partie, de passer au
« pourquoi cette arme ? ». Et, si les entreprises – les organisations au sens
large – sont omniprésentes parce qu’étant des cibles de choix, plus faciles
à rançonner qu’un particulier, certaines d’entre elles sont loin d’être des
victimes. Au moment où nous écrivons ces lignes, l’actualité mondiale – excusez
du peu ! – a mis en lumière une entreprise israélienne commercialisant un
logiciel permettant d’espionner des personnes, qu’elles soient chefs d’État,
ministres ou encore chefs d’entreprise, journalistes et même opposants
déclarés à certains régimes pas très démocratiques.
Sans entrer ici dans les détails, il est intéressant de constater que ce logiciel espion
a évolué au même rythme que la technologie de nos téléphones, pour aboutir
aujourd’hui à une possible infection d’un téléphone, sans que son propriétaire
ait eu à répondre à un SMS, ouvrir une pièce jointe, etc. Ce logiciel utilise des
failles dites Zero Day, ce qui veut dire des vulnérabilités inconnues à ce jour par
les concepteurs et diffuseurs de logiciel.
Dans cette course à l’échalote permanente et mondiale pour trouver des failles
techniques utilisables, l’entreprise commercialisant Pegasus a un service de
recherche et développement dont le travail consiste à trouver ces failles et il
semble qu’elle achète toute trouvaille faite par des hackeurs.
Enfin, même si l’affaire Pegasus a fait grand bruit au début de l’été 2021,
il est important de noter que la création et la commercialisation d’une telle
arme cyber ne sont pas une première mondiale. Par exemple, l’Azerbaïdjan
faisait déjà l’acquisition d’un tel logiciel espion. En 2020, l’armée colombienne
était soupçonnée d’avoir acheté un tel outil à une entreprise espagnole…
L’organisation dont vous faites partie ou que vous dirigez évolue dans un
environnement que vous connaissez bien : un environnement fait de concurrents,
de clients, de fournisseurs et organisé avec des règles que vous pensez
maîtriser. Et puis, depuis une bonne dizaine d’années, il se trouve qu’elle évolue
– sans même le vouloir – dans un second monde, le cyberespace. Après vous
avoir emmené arpenter le cyberespace, vous avez découvert les armes créées
pour ce nouveau monde et leurs utilisateurs. Nous avons ensuite fait un point
– autant que cela est possible lorsque la matière est plutôt… « sensible » et
évolutive – sur les motivations de ces acteurs.
Arrivé là de votre voyage, vous avez conscience des risques inhérents à ce monde.
Le temps est donc venu de s’immerger dans « tout » ce que vous devez connaître
pour évoluer au mieux dans ce monde qui recèle à la fois des opportunités,
mais aussi des risques…
Ce « tout » que nous évoquons là ne doit pas vous donner envie de vous sauver
en courant, car il est structuré de manière à vous permettre de progresser à votre
rythme et puis, si besoin, de revenir à tel ou tel point précis, parce que vous
souhaitez mettre en œuvre tel outil, contacter tel organisme ou débroussailler
tel aspect pris en compte par notre droit.
Et puis, pour terminer à la fois sur une note concrète et enjouée, voici deux
exemples de ce à quoi le cyberespace nous confronte.
Si, lorsque nous trouvons un tel e-mail dans notre boîte de réception et si nous
sommes en relation professionnelle avec cette banque, nous pourrions être
tentés d’aller plus loin que sa simple ouverture. Mais après une soixantaine de
pages dans le cyberespace, j’espère que vous êtes devenu précautionneux et
là, il n’est pas difficile de flairer un piège un peu « lourd », presque insultant
par rapport à notre sagacité. Retenez quand même que, comme nous vous le
disions plus haut, ce genre de phishing est lancé à la volée dans le cyberespace
et certaines personnes se font encore prendre !
118 Cyberespace et cyberattaque – Comprendre et se protéger
Pour commencer, il faut savoir qu’à côté des attaques très bien « montées », il y a
encore de nombreux pièges numériques grossiers. C’est le cas de cet e-mail
que j’ai reçu récemment :
Mais regardons bien, nous qui maintenant savons qu’un e-mail venant d’une
organisation avec laquelle nous n’avons pas de relation d’affaires peut s’avérer
dangereux…
Tout d’abord, l’objet assez énigmatique. Soyons sérieux, quand une banque
nous écrit, son représentant n’aura-t-il pas envie d’attirer notre attention par
un objet concret en rapport avec une affaire en cours ? Ensuite, autre indice, le
destinataire (ici effacé). Si nous remarquons qu’il ne correspond pas à notre nom,
il ne nous est pas destiné. On n’ouvre donc pas la pièce jointe (ici, a priori un
fichier compacté). Pas de curiosité déplacée ! Dernier point, l’émetteur de l’e-mail.
En guise de conclusion à cette première partie 119
En cliquant dessus, vous vous rendrez compte que c’est une personne inconnue.
Dès lors, vous avez suffisamment d’indices pour glisser cet e-mail dans votre
poubelle, ou le faire suivre à la personne en charge des risques pour qu’elle
sensibilise d’autres personnes…
Pour clore ce chapitre sur une note drôle, j’ai choisi de vous parler du piratage
d’enceintes sans fil, ces enceintes que nous disposons un peu partout chez
nous. Parmi les marques les plus connues, figure Sonos. Certains utilisateurs
ont eu la surprise d’entendre chez eux le son de portes qui claquent, un bruit
d’eau, des rires ou des pleurs. Cela s’explique par le piratage de ces systèmes
utilisant Internet.
Pour autant, certains chercheurs ont utilisé ce mode de piratage pour faire
émettre à une enceinte Sonos des commandes vocales exécutables par Alexa,
l’assistant personnel développé par Amazon. C’est là que le côté drôle de la
chose s’efface. En effet, Alexa peut être utilisé en domotique pour fermer et
ouvrir des serrures…
AVANT DE PLONGER
L’usage de plus en plus courant de l’outil numérique fait grandir les risques
pesant sur nous et certaines pratiques sont plus dangereuses que d’autres.
Qu’il s’agisse d’emporter son ordinateur ou tout autre périphérique personnel
au travail, du télétravail, des voyages d’affaires, ces pratiques devenues
courantes sont source de nouveaux dangers.
En 2020, au cours d’une pandémie mondiale, nous avons connu quatre fois
plus de cyberattaques qu’auparavant, selon les estimations de Gérôme Billois,
expert en cybersécurité au cabinet de conseil Wavestone.
Les cybercriminels inventent chaque jour de nouvelles armes pour leur propre
usage ou pour les vendre. Ainsi avec des modalités variables dans notre vie
personnelle, mais surtout professionnelle, nous sommes des cibles potentielles
souvent fragiles.
Les évolutions technologiques que nous avons connues ces dernières années sont
à l’origine de notre vulnérabilité avec notamment des ordinateurs portables plus
performants que nos ordinateurs de bureau, des tablettes qui se sont multipliées,
des objets connectés qui irriguent tous les pans de notre vie. Chacun d’entre
eux engendre de nouvelles difficultés que nous et nos organisations devons
apprivoiser. J’adore mon ordinateur portable, il est performant, léger, je suis
plus à l’aise qu’avec mon ordinateur fixe de bureau, donc pourquoi ne pas
l’utiliser au travail ? Après tout, si c’est plus confortable pour moi de travailler
avec celui-là, alors je serai plus efficace, et qui n’aime pas un employé efficace ?
Malheureusement, comme souvent, les choses ne sont pas si simples.
124 Cyberespace et cyberattaque – Comprendre et se protéger
Le BYOD
Le fait d’apporter son propre matériel au travail est plus communément connu
sous l’acronyme BYOD (bring your own device). Cette pratique ne peut pas se
mettre en place de façon sauvage, elle doit être encadrée, car utiliser son matériel
personnel crée une brèche de sécurité. En effet, nos ordinateurs personnels sont
souvent moins bien sécurisés que ceux présents sur notre lieu de travail. Une large
partie du travail des services informatiques est d’assurer la sécurité de notre
réseau et des machines qui la composent. Quand vous introduisez une nouvelle
machine dans l’entreprise, elle doit respecter les mêmes règles et le même
niveau de sécurité que celles déjà présentes. Elle doit être considérée comme
une nouvelle « brique » du système d’information de l’entreprise, sauf à accepter
d’en diminuer le niveau de protection global.
C’est pour cela qu’autoriser ou non l’utilisation de ces outils personnels est un
choix offert à chaque employeur. Il est possible d’interdire l’utilisation de ces
outils ou de les autoriser selon certaines conditions que vous êtes libres de définir.
Aux dirigeants et cadres de ces petites entités, nous ne pouvons que conseiller de
ne pas considérer ce comportement comme anodin. Au minimum, cette pratique
doit être anticipée (sensibilisation, note de service, etc.) et – si elle est acceptée –
mise en œuvre selon des procédures claires et, le cas échéant, assorties de
sanctions. Le plus simple, en l’absence de DSI ou de service informatique sur
lesquels vous appuyer, est de consulter le prestataire informatique avec lequel
vous travaillez. Ce dernier saura vous mettre en garde contre les risques de
faire coexister dans une même structure des postes de travail sécurisés et
d’autres… moins ! Ce prestataire saura vous accompagner dans la mise en
place de procédures d’intégration de ces appareils « extérieurs », nécessaires
garde-fous, si vous estimez utile au fonctionnement de votre organisation de
permettre à certains employés d’utiliser leurs machines personnelles.
Cette logique vaut autant pour les ordinateurs que pour les tablettes ou encore
pour les smartphones. À propos de ces derniers, qui sont dans les poches de
tout un chacun aujourd’hui, permettez-nous une mise en garde particulière.
Construire notre protection 125
Pour autant, si l’on met en place des règles encadrant cet usage d’outils
personnels dans un cadre professionnel, il faut prendre garde à ne pas aller
trop loin. Ainsi, alors que la pandémie a banalisé le travail en distanciel et,
souvent un usage mixte des terminaux informatiques, il ne faut pas que ces
règles empêchent un usage standard, dans sa vie privée, d’un appareil fourni
par son employeur.
Les prestataires avec lesquels vous travaillez et – évidemment – les DSI vous
proposeront des solutions techniques éprouvées. Pour illustrer cette affirmation,
sachez que chaque ordinateur utilisé pour écrire ce livre est doté d’un disque
dur « partitionné ». À partir de l’une de ces parties, nous pouvons librement
aller sur Internet, lire nos e-mails et dans l’autre partie nous avons les fichiers
sensibles. Entre les deux parties, un mur étanche.
36 Éric Nunes, « Les universités, cibles de choix des hackeurs », Le Monde, 21 avril 2021.
126 Cyberespace et cyberattaque – Comprendre et se protéger
Cela posé, nous ne devons pas oublier que le fait d’utiliser des appareils privés
au travail va flouter la frontière entre votre vie privée et professionnelle, ce qui
peut être dangereux sur le long terme. Il faudra donc prendre cet élément
en compte avant de choisir si l’on autorise cette pratique ou non et l’assortir
d’actions d’accompagnement régulièrement réitérées.
Enfin, à vous utilisateurs d’appareils personnels sur votre lieu de travail, n’oubliez
pas que vous devez respecter les mêmes règles que si vous utilisiez le matériel
fourni par votre employeur. Cela vaut par exemple pour le RGPD, les données
que vous gérerez sur votre ordinateur personnel au travail devront respecter les
règles établies par le RGPD, vous devrez inscrire les traitements sur le registre,
assurer la sécurité des données, etc.
Le shadow IT
Une pratique assez proche du BYOD, dont on entend de plus en plus
parler, est le shadow IT. Ce terme recouvre une pratique aussi courante que
problématique, à savoir l’utilisation de logiciels ou d’appareils qui n’ont pas été
validés – et qui souvent restent méconnus – par la DSI ou le service informatique
de la structure.
Enfin, on ne peut nier que certains outils que nous utilisons dans notre vie
personnelle sont particulièrement fluides, beaux et simples à utiliser, ce qui n’est
pas toujours le cas des outils dont nous disposons au travail. C’est pourquoi
il peut être tentant d’utiliser des solutions grand public sur lesquelles nous
sommes plus à l’aise.
Par exemple, comme cela a été évoqué plus haut, des employés peuvent trouver
une application pour partager des fichiers lourds plus efficace que celle mise
à disposition par leur employeur, ou tout simplement pour répondre à une
problématique à laquelle personne n’avait encore répondu. Il est indéniable que
les salariés sont ainsi plus performants et que leur travail est facilité. Le problème
est que le logiciel choisi par ces employés n’a pas été validé par le service
informatique, ce dernier ne sachant peut-être même pas qu’il est utilisé. Il peut
donc entraîner des pertes de données ou ne pas s’accorder avec les autres
logiciels utilisés au sein de cette entreprise, ce qui sera certainement le cas si
la plateforme utilisée n’est pas suffisamment sécurisée.
C’est le cas d’entreprises de toutes tailles qui, dans le domaine des ressources
humaines, font l’acquisition d’un SIRH37. Celui-ci est constitué de différentes
briques logicielles et souvent d’une « messagerie » ou de salons numériques pour
faciliter les échanges. Malheureusement, ces outils ne sont pas toujours pensés
avec une volonté de développer la convivialité. Pas intuitifs comme le sont les
réseaux sociaux que nous utilisons tous depuis des années, ils ne supporteront
pas leur conséquence. Aussi, il n’est pas rare de voir ces outils professionnels
délaissés au profit de réseaux sociaux personnels – au détriment de la sécurité
des données.
Dans tous les cas, il importe de comprendre pourquoi lorsqu’un besoin a émergé,
les salariés ont préféré trouver une solution en dehors de celle prévue par le service
informatique. Les lenteurs du service informatique, la trop grande complexité
des solutions proposées par ce service peuvent expliquer le contournement
opéré par les salariés. Si l’on ne comprend pas ce « pourquoi », il est probable
qu’il sera difficile de supprimer ce risque.
Cette pratique a entraîné une augmentation des risques pesant sur notre sécurité
numérique, que ce soit des tentatives de phishing fondées sur le coronavirus
ou d’autres types de cyberattaques. Selon l’ONU, les cyberattaques auraient
augmenté de 600 % depuis le début de l’épidémie – et de 569 % selon Interpol.
Parmi toutes les personnes qui ont dû travailler depuis leur ordinateur personnel
du jour au lendemain, certaines avaient des ordinateurs déjà compromis par un
logiciel malveillant. Ces ordinateurs contaminés se sont donc trouvés connectés
aux outils de l’entreprise, paradoxalement parfois en utilisant un réseau sécurisé,
mais le mal était déjà fait puisque l’ordinateur transportait avec lui la menace,
ouvrant ainsi la porte à un éventuel piratage. Ce piratage peut prendre n’importe
quelle forme, selon les désirs du pirate, de l’enregistreur de frappe jusqu’au
ransomware, en passant par l’attaque par déni de service.
C’est pour cela qu’il est important de fournir autant que possible des machines qui
ont été sécurisées avec le niveau d’exigence retenu par chaque organisation, faute de
quoi les salariés agiront comme ils le peuvent avec les moyens dont ils disposent.
Construire notre protection 129
Nombre d’études montrent que même lorsque la crise sanitaire sera enrayée,
le télétravail continuera à avoir une place importante, ce qui justifie que nous
soyons collectivement très attentifs à la sécurité numérique. Nous n’en avons
donc pas fini de privilégier des outils numériques pour échanger avec nos
collègues et nos clients.
Pour travailler, nous avons besoin d’échanger des données – beaucoup, souvent –
par e-mail ou via des plateformes dédiées aux fichiers volumineux, et il faut nous
assurer que ces échanges sont sécurisés. Le meilleur moyen est de chiffrer au
maximum ce que nous partageons ; en ce cas, même si des informations sont
interceptées, elles ne pourront pas être utilisées.
Quand ce n’est pas le cas, cela donne par exemple ce type de situation :
en novembre 2020, le journaliste néerlandais Daniël Verlaan a pu suivre une
visioconférence secrète de l’Union européenne sans mettre en œuvre de piratage
complexe. En effet, il a suffi que ce journaliste découvre un identifiant et une
partie d’un code confidentiel permettant d’accéder à cette réunion sur une
image qui était visible sur le compte Twitter de la ministre néerlandaise de la
Défense Ank Bijleveld !
Comme nous l’avons déjà écrit dans ces pages, nombre de piratages sont rendus
possibles du fait de nos erreurs et, dans une moindre mesure, de notre naïveté.
D’où l’intérêt pour les solutions de cryptage.
Pour ce faire, n’hésitons pas à casser les barrières entre DSI ou service informatique
et – au moins – ces salariés externalisés. Si vous nous permettez l’expression,
il est trop risqué de les laisser « bricoler » des solutions, alors que le service
informatique détient peut-être des solutions tout à fait adaptées. Après tout,
cela fait partie du travail des informaticiens de comprendre les besoins et de
voir s’ils peuvent y répondre, comme ils ont pu le montrer lors de la mise en
place – soudaine, pour le moins – du premier confinement. À cette occasion,
nombre d’entre eux ont d’ailleurs pu démontrer qu’ils n’étaient pas là seulement
pour nous rappeler de faire nos mises à jour.
Cela fait certes partie de leur travail et ce n’est pas ici que l’on passera cela sous
silence, mais ce sont aussi les mieux placés pour nous conseiller sur la manière de
sécuriser nos ordinateurs, notre réseau WiFi à la maison, sur la marche à suivre
pour changer le mot de passe de votre box Internet par exemple.
Créer du dialogue, faire participer les informaticiens aux réunions d’une autre
filière métier permet de créer des émulations d’idées au sein de votre entreprise
et plutôt que d’aller chercher une solution sur Internet, vous pourrez très bien
voir cette solution émerger dans vos murs.
AVANT DE PLONGER
Évidemment, pour assurer notre sécurité, il existe des moyens techniques,
des logiciels, mais il me semble qu’il convient de commencer par « réguler »
notre propre comportement. Nous pouvons tous adopter des comportements,
parfois assez simples, qui peuvent suffire à assurer en partie notre protection.
Ces règles ressemblent aux règles d’hygiène que l’on applique tous
quotidiennement depuis notre enfance et qui nous permettent de rester
en bonne santé.
Cependant, si nous sommes loin d’imaginer tous ces risques, nous devons en
même temps être convaincus qu’en intégrant un certain nombre de règles
à notre portée, nous pouvons faire avancer individuellement la sécurité globale
de notre organisation.
La cible qui prête attention au contenu de cet e-mail se rend rapidement compte
que ce n’est pas crédible. Par exemple, il s’agirait d’une convocation envoyée par
– ou pour le compte de – la direction de police judiciaire installée à Bruxelles et
un détachement du département de la préfecture de police de Paris !
132 Cyberespace et cyberattaque – Comprendre et se protéger
Pendant que nous écrivions ce livre, nous avons reçu le courriel suivant :
Cet exemple est l’occasion de vous donner un conseil simple. Après l’instant de
stupeur à la découverte d’une telle convocation, lisez-le contenu de l’e-mail avec
attention. Vous verrez déjà apparaître certains éléments curieux pour ce genre
de convocation. Et puis, allez sur un moteur de recherche chercher les noms
des personnes citées. Souvent, comme dans ce cas, vous n’êtes pas la première
personne à être visée et la presse s’est déjà fait l’écho de la supercherie.
Certains appareils nous sont livrés avec un mot de passe composé de lettres,
en minuscules et en majuscules, de chiffres et de symboles. Ce mot de passe
n’est pas facile à retenir et ne semble pas suivre une quelconque logique, alors
pourquoi nous demande-t-on de ne pas le conserver ?
La mesure du risque
En tant qu’entreprise, ou plus largement en tant qu’organisation, ces questions
peuvent être mises en lumière si vous effectuez une analyse interne des risques
encourus. Cette analyse peut surprendre, et même faire peur, car on n’a pas
toujours envie de voir les problèmes. Pour autant, les repousser n’est pas non
plus une solution viable. Même si l’on n’est pas risk-manager, on sait que c’est
le meilleur moyen pour que ce soit l’incident – et toutes ses retombées – qui
nous fasse mesurer le prix de la naïveté et de la négligence…
Il est évident, pour nous, de mettre en place une stratégie, même simple,
de gestion des risques, laquelle commencera par un travail de fourmi, certes,
mais un travail d’identification. Cette analyse devra se faire en explorant deux
domaines :
le premier vise à mesurer la dimension stratégique ou sensible des données
avec lesquelles vous travaillez. Il y a celles qui viennent de l’extérieur (clients,
fournisseurs, par exemple). Et puis, il y a celles qui vous appartiennent en
propre, celles que vous fabriquez (« recette » de fabrication, par exemple) ;
le second vise à mesurer la qualité – ou la faiblesse – des circuits par lesquels
passent ces informations, leur lieu de stockage et ceux qui les manipulent.
Construire notre protection 135
Ensuite, les constatations faites dans les deux domaines sont à rapprocher,
le pire étant d’avoir des données stratégiques dont l’utilisation et le stockage
présentent des faiblesses, voire pire.
Ce faisant, vous posez les bases d’un futur plan d’amélioration et donc d’action.
Je ne doute pas en effet que ces travaux menés à bien vous conduiront à une
prise de conscience de la nécessité d’agir, pour anticiper ce qui peut l’être.
Cette analyse peut par exemple révéler une sécurité insuffisante sur certains
ordinateurs dans des open-spaces ou des lieux de passage ou pour une machine
utilisée par plusieurs personnes. Pour remédier à cela, on peut envisager de mettre
en place une sécurité à double authentification, avec un mot de passe à saisir
et en outre, l’utilisation de son empreinte digitale ou d’une carte magnétique.
Une règle essentielle consiste, pour chaque utilisateur, à ne pas laisser sans
surveillance son ordinateur, sa clé USB, son smartphone et tout autre appareil
contenant des données. Sans tomber dans la paranoïa, il faut toujours se méfier
même des personnes que l’on côtoie et ne pas négliger les risques de perte
ou de vol.
Les déplacements
Cette vigilance doit également être mise en œuvre durant nos trajets lorsque nos
outils numériques peuvent être la proie de prédateurs occasionnels qui peuvent
voler un ordinateur rempli de données précieuses ou simplement s’intéresser
à ce qui défile sur votre écran. À nous de ne pas tenter le diable comme dirait
ma grand-mère.
Pour vous protéger des regards indiscrets, il est possible d’installer des filtres
teintés sur vos écrans d’ordinateurs portables ou de smartphone, qui empêchent
une personne regardant en coin de voir ce qui se trouve sur votre écran.
Votre voisin ne peut ainsi pas lire vos messages même si vous êtes à côté de lui.
Il est d’ailleurs préférable de ne pas voyager avec un ordinateur contenant
toutes vos données de travail et de privilégier un ordinateur portable vierge de
toutes données de l’entreprise et connecté à un cloud sécurisé une fois arrivé
à destination afin de télécharger les données dont vous avez besoin.
Il existe aussi une solution permettant de voyager avec son ordinateur portable
et ses données dessus, mais en ayant chiffré le disque dur en entier ou seulement
les données sensibles qu’il contient avant de quitter l’entreprise. Si quelqu’un
vole l’ordinateur ou qu’il est perdu, personne ne pourra lire ni exploiter les
données qu’il contient.
En tant que simple utilisateur, nous n’avons pas besoin de droits élargis, juste ceux
nécessaires à notre travail.
Lors d’une analyse de sécurité de nos entreprises, une difficulté revient souvent,
celle de la question des droits d’accès accordés aux employés. Ce sont ces droits
qui vont permettre d’utiliser les ordinateurs et les autres machines de l’entreprise
et qui, traditionnellement, sont accordés par le service informatique lors de
l’entrée d’un agent dans l’entreprise. Ces droits sont également ouverts pour
des stagiaires, des vacataires, etc. L’un des problèmes qui se pose, c’est lorsque
l’agent quitte l’entreprise et que par négligence ou tout simplement parce que le
service informatique n’en a pas été informé, les droits qui lui avaient été ouverts
ne sont pas fermés. C’est beaucoup plus fréquent qu’on ne l’imagine et cela
peut être grave lorsqu’il s’agit de salariés qui ont quitté l’entreprise en mauvais
termes avec elle, de stagiaires mal intentionnés ou même d’espions déguisés
en stagiaires. Ne pas fermer rapidement les droits d’accès d’un ancien agent
est un risque important, mais encore trop peu pris en compte.
En réalité, nous sommes souvent tentés de vouloir disposer d’une liberté aussi
grande sur notre ordinateur professionnel que sur notre ordinateur personnel et
nous demandons donc au service informatique de nous accorder les autorisations
nécessaires pour cela. C’est à éviter. Même si nous avons l’habitude d’installer
les logiciels que nous voulons sur notre ordinateur personnel ou de configurer
le système à notre convenance, nous n’avons pas forcément besoin de disposer
de possibilités trop élargies au travail. Oui, c’est tentant, mais en réalité si tout
le monde se met à « bidouiller » les choses selon ses préférences ou ce qu’il
croit souhaitable au vu de son statut, alors il devient impossible pour le service
informatique de protéger l’entreprise et ses systèmes. Cela vaut pour chacun
d’entre nous, quel que soit notre statut, puisque, en général, nous n’avons pas
besoin de privilèges pour administrer notre ordinateur de travail. Au cas où
une raison particulière justifierait ce besoin, une dérogation spéciale devra être
présentée au service informatique, lequel accordera des droits temporaires et
tracera la manière dont ils ont été utilisés. Surtout, il devra veiller à retirer ces
droits une fois la tâche accomplie.
AVANT DE PLONGER
Point clé de la sécurité, les mots de passe sont trop souvent traités comme
un élément négligeable de la sécurité informatique qui ne mérite que peu
d’effort. Après avoir abordé plus haut la question des mots de passe par défaut,
entrons dans le vif du sujet. Ici se trouve l’un des premiers comportements
que l’on doit modifier.
La clé de voûte de l’hygiène numérique qui doit nous permettre d’éviter d’être
contaminés par un virus virtuel se trouve dans nos mots de passe. Vous connaissez
sûrement certains de ces conseils, enfin je l’espère, mais je vais quand même
commencer par rappeler ce qui sera, je n’en doute pas, des évidences pour
vous, avant de passer à des conseils plus pointus.
Ce n’est pas vraiment une histoire d’amour qui nous lie à nos mots de passe,
nous en avons beaucoup trop, il faut les retenir et nous avons tendance à oublier
ceux que nous utilisons moins.
Nos mots de passe sont précieux, ils permettent d’accéder à nos différents
comptes, qu’il s’agisse de notre compte bancaire, de notre réseau WiFi,
de notre boîte mail personnelle ou professionnelle, de nos réseaux sociaux,
etc. Pour chaque site sur lequel nous passons une commande, nous créons un
compte et donc nous créons un nouveau mot de passe. Le grand nombre de
mots de passe que nous possédons nous pousse à la « flemmardise ». Est-ce
vraiment grave que j’utilise plusieurs fois le même mot de passe ? Personne ne
va fouiller mon bureau, je peux bien les écrire tous sur une feuille que je cache
sous mon clavier ou dans mon tiroir fermé à clé, etc. Voilà une erreur courante,
noter ses mots de passe pour mieux les retenir est un risque trop important.
Alors, comment retenir tous nos mots de passe ? Vous n’en avez pas besoin,
il existe désormais des gestionnaires de mots de passe, des logiciels qui font
le travail de mémoire à votre place. Vous pouvez les voir comme un coffre-fort
virtuel au sein duquel vous entreposez vos mots de passe pour qu’ils ne soient
pas volés. Pour y accéder, vous devez seulement retenir un mot de passe maître
qui déverrouillera le coffre. Il est important que le mot de passe choisi pour
déverrouiller ce coffre soit assez solide. Comprenez-moi bien, tous les mots de
passe ne sont pas égaux en matière de sécurité. Si vous avez choisi « 1234 »,
« a1b2c3d4 » ou encore « azerty » comme mots de passe, vous n’êtes pas très
original et en la matière, cela pose problème. Plus les mots de passe sont simples,
plus ils sont certes faciles à retenir pour vous, mais aussi à deviner par autrui.
Construire notre protection 139
Par ailleurs, il existe des listes de mots de passe populaires. Il s’agit par exemple
de : Password, qwerty, football, iloveyou, admin, welcome, passw0ord, hello,
123123, trustno1, monkey, password2, soleil, princesse, 11111 (qui se décline
évidemment avec tous les autres chiffres), motdepasse, etc.
En plus, il faut que vous soyez en mesure de retenir votre mot de passe, sans
pour autant qu’il soit trop évident. Pour cela, vous pouvez utiliser une suite
de termes qui vous sont familiers sans pour autant avoir de lien entre eux,
« agendasportthésoleil » par exemple. Dans cette hypothèse – des mots familiers –,
évitez d’associer des mots trop communs ou que l’on associe trop facilement
ensemble, par exemple, « soleillumièrerayon », car en cas de cyberattaque par
force brute, le logiciel malveillant va essayer des combinaisons assez évidentes
comme celle-là. Évitons donc les citations ou les enchaînements de mots trop
évidents, les armes cyber pouvant aller piocher dans des bases de données en
ligne ou dans des livres afin de trouver des associations de mots qui auraient
pu être utilisées comme mots de passe.
Vous pouvez également fonctionner en utilisant une phrase complète que vous
transformez en mot de passe. Par exemple avec la phrase « j’ai acheté 7 DVD
pour 10 euros cet après-midi » va devenir : « ght7DVD10E7am ».
S’il y a un piège à éviter, c’est celui des mots de passe choisis en fonction
d’informations personnelles. Celles-ci sont généralement trop évidentes pour un
hackeur digne de ce nom. Ce sera le cas, par exemple de votre date de naissance,
des noms et prénoms de vos proches ou de vos animaux de compagnie.
Enfin, si vous pensez qu’une personne a pu capter votre mot de passe, n’hésitez
surtout pas à le remplacer immédiatement.
Par exemple, il n’est pas inconcevable d’installer dans votre service une
routine pour que les mots de passe soient remplacés tous les quelques mois.
C’est le meilleur moyen de conserver un haut niveau de sécurité et c’est un objectif
simple à énoncer et partager. Si certains membres de votre équipe rechignent
à cette gymnastique, expliquez-leur que l’intérêt collectif, la pérennité de leur
entreprise et donc de leur job peut tenir à de tels gestes. Aussi, face à de tels
enjeux, il est important de ne pas faire preuve de naïveté, voire de négligence…
Maintenant que vous savez comment choisir un bon mot de passe, mettez cela en
pratique et surtout, n’utilisez pas un même mot de passe pour plusieurs comptes.
Vous devez absolument avoir des mots de passe à usage unique, car réutiliser
un même mot de passe constitue une faille de sécurité inutile.
Si vous voulez tester la solidité de vos mots de passe, vous pouvez utiliser le
site How secure is my password ?38 qui va vous indiquer le temps que mettrait
un ordinateur à trouver ce mot de passe. Ce temps peut aller de quelques
secondes à un nombre conséquent d’années, mais je vous laisse essayer avec
vos propres mots de passe.
Un autre site Internet qui peut vous aider est I have been Pwned 39 qui vous
permettra de savoir si vos mots de passe ont été compromis ou non.
38 https://howsecureismypassword.net
39 https://haveibeenpwned.com
Construire notre protection 141
AVANT DE PLONGER
Attaquons un autre élément prédominant de notre quotidien, nos e-mails.
On en reçoit énormément et l’on nous en envoie tout autant. Et puis,
parce qu’ils sont souvent d’une banalité affligeante, ils restent néanmoins
porteurs de risques. Nous devons donc faire preuve de vigilance en ce
domaine. Et la vigilance en la matière, ça s’apprend facilement. La preuve
ci-après.
Dans la masse d’e-mails que l’on reçoit chaque jour, certains sont frauduleux
et cherchent à nous piéger. Il y a en effet, de nombreux hackeurs utilisant des
outils, peut-être sommaires, mais qui, semés en grande quantité, finissent
par atteindre leur objectif, à savoir compter sur nos gestes parfois irréfléchis,
souvent automatiques, pour nous piéger.
Face à cette sorte de « cyberattaque low cost », nous devons être attentifs. Pour ce
faire, notre première parade est de ne jamais passer en revue les e-mails que
nous recevons, en faisant autre chose, par exemple, en répondant au téléphone.
C’est – pardon de l’expression – irresponsable !
Ainsi, des pirates pourraient tenter de vous faire croire que votre facture
téléphonique de l’opérateur « Orrange » n’a pas été réglée. Or, si vous êtes
attentif, vous constaterez que l’orthographe du nom de l’opérateur n’est pas
la bonne, mais en lisant rapidement et sans penser à ces risques, vous pourriez
bien d’être certain qu’il s’agit de votre opérateur qui vous a écrit en ayant même
la gentillesse de vous prévenir avant de vous appliquer des pénalités pour non-
règlement dans les temps.
Il est d’autant plus facile d’être trompé que de nombreux pirates imitent très
correctement la charte graphique de la société dont ils veulent usurper l’identité.
Restent, pour nous sauver, les fautes d’orthographe !
142 Cyberespace et cyberattaque – Comprendre et se protéger
Quand vous recevez un e-mail douteux ou un peu trop beau pour être vrai,
commencez par passer votre curseur sur le nom de l’expéditeur afin de voir
son adresse. Ainsi, vous verrez si l’adresse semble légitime ou non. Faites-le
également si la charte graphique du mail ne correspond pas tout à fait à celle de
l’entreprise ou de l’administration que les pirates tentent d’imiter. Ici, il peut s’agir
d’erreurs flagrantes, que ce soient des images de mauvaise qualité, des fautes
d’orthographe, ou un problème dans les couleurs de la charte de l’entreprise.
De plus en plus, ces techniques de phishing sont déclinées vers nos smartphones,
au travers des SMS, et l’on parle alors de smishing. Les pirates envoient des
messages combinant une demande semblant venir d’une entité de confiance,
comme notre opérateur téléphonique, notre banque ou une administration,
et nous présentent une demande urgente en utilisant un outil assez personnel
pour nous prévenir. Ces éléments nous donnent l’impression que nous devons
répondre rapidement. Cette précipitation peut nous faire baisser la garde et
commettre une erreur en fournissant des données à un pirate.
Ainsi, si nous ne décelons pas le subterfuge, nous transmettons des données
qui peuvent permettre au pirate de nous voler notre identité ou nos économies
ou simplement de nous contaminer avec un logiciel malveillant. Pour éviter cela,
lorsqu’un numéro inconnu formule une demande de ce genre, nous devons
commencer par vérifier si le numéro est référencé comme une arnaque,
en regardant sur Internet.
Ensuite, il faut prendre son temps et réfléchir afin de ne pas commettre une
action spontanée que l’on pourrait regretter. Une fois les données transmises,
il n’est plus possible de revenir en arrière et nous pourrions regretter amèrement
notre précipitation et notre manque de vigilance.
Nous sommes nombreuses et nombreux à utiliser nos smartphones à la fois
pour un usage personnel et professionnel. Un tel usage brouille les frontières
et rend moins étonnant de recevoir des SMS d’origine inconnue. Dans ce cas,
il est important de se ménager des plages de temps durant lesquelles on se
glisse dans une bulle de calme, l’esprit focalisé sur ces messages. Pour chacun
d’eux, on va répéter une routine simple permettant d’éventer les supercheries.
Nous vous laissons le soin de créer votre propre routine, par exemple avec la
méthode « QQOQCP40 ».
En plus de nous méfier de possibles pièges contenus par les SMS que l’on
reçoit, nous devons également prendre garde aux sites Internet que l’on visite.
Parmi ceux sur lesquels il nous est proposé de nous rendre, nombreux sont
ceux auxquels on ne peut pas se fier, leur seul but étant de voler nos données
personnelles ou seulement nos coordonnées bancaires.
Pas toujours simple de débusquer le piège et, encore moins, de relever une
faiblesse de la page Web sur laquelle nous nous apprêtons à évoluer. Pour ce faire,
là encore, soyons aux aguets. Nous devons avoir à l’esprit en « débarquant »
sur Internet que nous sortons de la vraie vie pour entrer dans un monde digital
où tout est création numérique, tout est créé, assemblé, organisé grâce à des
logiciels et des algorithmes.
Ceux-ci peuvent être créés par des entreprises et prestataires fiables ou des
personnes et organisations malhonnêtes. Entre les deux, il y a aussi des réalisations
approximatives qui, de ce fait, peuvent recéler quelques faiblesses en termes
de sécurité.
Alors oui les données sont transférées en toute sécurité, mais les propriétaires
du site Internet ne sont pas des personnes de confiance. Malgré tout, nous
devons toujours vérifier que ce cadenas est présent avant de fournir nos données
personnelles, bancaires, etc. à un site Internet. Si le site n’a pas ce cadenas,
144 Cyberespace et cyberattaque – Comprendre et se protéger
Il est également possible que le cadenas soit jaune ou accompagné d’un triangle
d’avertissement, dans ce cas la connexion est partiellement chiffrée.
Ne prenons pas ce cadenas pour plus qu’il ne l’est, à lui seul il ne promet pas que
le site Web est à la fois sûr et légitime, mais s’il n’existe pas, le site est à éviter.
Cela posé, à propos du cadenas, il faut vérifier que le site sur lequel on navigue
comporte bien un https (hyper text transfer protocol secure) dans son URL et
pas seulement un http. Cette seule lettre implique une grande différence.
Pour résumer l’hygiène numérique – collective – qui doit prévaloir dans une
organisation soucieuse de se protéger, la Figure 3.2 (voir page 145) synthétise
ce que doivent être nos comportements – interdits compris.
AVANT DE PLONGER
Chaque entreprise fonctionne différemment avec des besoins de sécurité
spécifiques. Il est essentiel que les règles adoptées correspondent à ces
besoins et ne soient pas de simples « copié-collé ». Les conseils et règles de
sécurité à suivre et respecter ne sont pas toujours évidents et/ou sont difficiles à
retenir. C’est pourquoi il est important d’écrire la politique de sécurité retenue.
Cela peut se matérialiser par une charte, un guide ou tout autre document,
l’important étant que tous les collaborateurs de l’entreprise partagent ce
document, avec une attention particulière pour les nouveaux arrivants.
Vous l’avez deviné à la lecture des pages qui précèdent, il est essentiel d’adopter
une charte de bonne conduite numérique. Ce document ne sera pas une suite
d’interdits sans explication, sous peine de rester lettre morte. Nous vivons
aujourd’hui à une époque où la plupart d’entre nous n’obéissent pas à une
injonction sans réfléchir. Il est nécessaire pour y adhérer de nous expliquer le
pourquoi des choses, les objectifs collectivement poursuivis ; je dirais même
que c’est la meilleure manière de nous motiver dans un changement d’habitude,
dans le respect d’une certaine règle, dans l’application de consignes.
Ensuite, il faut être clair et logique. En cela, une charte est le support parfait pour
laisser une trace de la logique que vous souhaitez mettre en place, les obligations
légales auxquelles nous devons tous nous soumettre ainsi que les règles de
l’organisation dans son fonctionnement quotidien. Parmi les règles – à prendre
au sens de comportement à adopter de manière systématique –, on trouvera
de façon indispensable la manière d’utiliser les équipements durant un voyage,
la non-divulgation des mots de passe, la connexion ou non d’équipements
personnels au réseau, la détection et le signalement d’événements suspects,
les procédures de sécurité que chacun doit mettre en place sur son poste.
Loin de nous décourager, ces audits sont l’occasion de mesurer la distance qu’il
reste à parcourir entre le niveau de sécurité déjà atteint et l’objectif souhaité.
Ces audits seront utiles pour mobiliser les plus sceptiques de vos collaborateurs,
mais ils seront aussi la preuve pour vos partenaires, clients et futurs clients de
l’importance que vous attachez à votre cybersécurité. Il est à noter que ces
audits sont également une étape utile pour se mettre en conformité avec les
dispositions du RGPD.
Une fois que l’audit a mis en lumière certaines failles de sécurité, nous allons
pouvoir prévoir quelles mesures mettre en place pour limiter ces failles et
comment gérer un éventuel incident de sécurité impliquant l’une de ces failles.
Il est impossible qu’il n’y ait aucune faille dans une organisation, car même les
plus sécurisées recèlent des vulnérabilités. En revanche, il y a une très grande
différence entre avoir conscience qu’une faille existe et être en mesure de la
corriger ou du moins d’anticiper ses conséquences et se laisser surprendre par
cette faille sans être préparé.
AVANT DE PLONGER
Vous avez certainement joué « au château fort » étant enfant, ou vous
avez regardé y jouer vos frères et sœurs. Vous savez donc qu’à l’époque
de ces constructions, en cas de danger, le bon peuple venait s’y réfugier.
Cette protection était obtenue sur la base d’une succession de lignes de
défense. C’est que vous pourrez découvrir ici, avec trois lignes de défense
successives.
Au-delà des comportements que nous pouvons adopter, il existe également des
outils bien tangibles que l’on peut mettre en place pour se protéger. Qu’il s’agisse
de leurre ou de logiciel de protection, il ne faut pas oublier d’en équiper nos
outils informatiques.
Les cyberattaques ne se ressemblent pas toutes et pourtant elles instillent en
nous la même peur et le même désir de protection. Pourtant nous ne sommes
pas des agneaux vulnérables face à une attaque de loup puisque nous pouvons
mettre en place des mesures pour nous protéger.
Se protéger signifie en premier lieu – nous l’avons vu – de se comporter du mieux
que l’on peut sur nos ordinateurs. Cela ne veut pas dire que nous ne serons
pas infectés et, pour cette raison, nous devons également mettre en place des
lignes de défense numériques. En écrivant ces mots, je suis certain que vous
pensez aux logiciels antivirus et aux pare-feu, mais il existe d’autres éléments
que l’on peut utiliser.
Si je poursuis le parallèle avec le château fort, dans un premier temps, vous allez
tenter de piéger les attaquants par surprise. Pour ce faire, vous allez utiliser
des appâts. Ceux-ci sont souvent désignés par l’expression anglaise honey pot,
une sorte de pot de miel permettant d’attirer les pirates informatiques vers des
ressources choisies.
Si vous avez en interne les compétences nécessaires, ces appâts vont vous
permettre de mettre en place une défense active en attirant les pirates vers
un pot de miel mis en place à cet effet et qui les détournera du reste de votre
système informatique.
Cet appât permettra d’identifier, voire de neutraliser, votre agresseur, mais il
sera aussi un moyen très concret de sensibiliser vos équipes au fait que personne
n’est immunisé contre les cyberattaques.
Le honey pot fonctionne peut-être seul, mais vous êtes toujours là pour surveiller
ce qu’il se passe.
150 Cyberespace et cyberattaque – Comprendre et se protéger
Ces pots de miel risquent d’attirer facilement les pirates informatiques, mais,
sans précaution adaptée, ils peuvent représenter un danger plus important qu’en
utilisant des leurres de moindre envergure, à faible interaction.
Ainsi, pour que ces leurres fonctionnent, ils ne doivent pas être complètement
hermétiques. Ils doivent évidemment permettre au hackeur de s’inviter sans
vous en demander l’autorisation. De plus, ils doivent laisser circuler des flux de
données. Si ces flux ne circulent pas « sous les yeux » du hackeur, s’il se rend
compte qu’il ne peut rien « faire sortir », il saura qu’il est tombé dans un piège.
Il se retirera alors très vite et changera de stratégie pour pénétrer votre système
d’information.
Ces pots de miel sont donc un véritable challenge puisqu’il faut maintenir un
équilibre – forcément précaire – entre le niveau de sécurité que l’on veut conserver
et le risque que l’on est prêt à courir de voir des informations piratées, sachant
que l’on joue avec des cyberattaquants qui ne sont pas des enfants de chœur
et qui sont d’une compétence redoutable.
Construire notre protection 151
Évidemment, on peut utiliser des pots de miel un peu moins attractifs, mais plus
simples à gérer. Ils permettront néanmoins de recueillir des informations très
précieuses. Par exemple, Niels Provos41 a créé Honeyd, un leurre permettant de
simuler un réseau de machines destinées à tromper les hackeurs informatiques.
Il en existe bien d’autres qui permettent d’accéder à telle ou telle partie d’un
système et selon ce qui nous intéresse, nous utiliserons un pot de miel qui
permettra d’attirer le hackeur là où on le souhaite. Par exemple, si ce qui nous
préoccupe concerne la sécurité de nos sites Internet, nous pouvons très bien
utiliser un site comme appât. Ces leurres ne seront efficaces que sur un point
précis et auront une efficacité limitée, mais ils seront plus simples à gérer.
Mais cette solution n’est pas parfaite. Les hackeurs savent que nous pouvons
recourir à cette technique pour les leurrer, et certains sont assez expérimentés
pour nous leurrer avec notre leurre. Pour cela, ils vont lui faire croire que le leurre
n’est pas vraiment attaqué, mais qu’il s’agit d’un faux positif ou faire croire à vos
leurres qu’une cyberattaque est en train de se produire alors que ce n’est pas
le cas, détournant ainsi notre attention, ce qui va leur permettre d’attaquer
tranquillement une autre partie du système sans que l’on s’en rende compte.
Si ces leurres peuvent avoir leur utilité, ils ne suffisent pas à nous protéger et
peuvent s’avérer contre-productifs si nous avons affaire à un pirate plus fort
que nous.
En agissant comme l’un de nos attaquants éventuels, ces hackeurs éthiques vont
trouver les failles que d’autres hackeurs moins bien intentionnés utiliseraient
pour pénétrer au sein de notre réseau. Cette méthode est extrêmement efficace
pour améliorer notre niveau de protection, car une fois l’attaque fictive finie,
notre protection peut être grandement améliorée par l’analyse des conséquences
de l’attaque et de la réaction ou de l’absence de réaction de la communauté de
l’entreprise. De cette analyse découleront de précieux conseils que les salariés
seront beaucoup plus enclins à appliquer une fois qu’ils auront constaté par
eux-mêmes combien la cybermalveillance peut être dévastatrice.
La cybersécurité repose avant tout sur l’humain, mais un humain averti et conscient
des risques sera un acteur convaincu et efficace de la culture de la cybersécurité
au sein de l’entreprise.
On pense souvent à faire intervenir ces spécialistes alors que nos systèmes sont
déjà en place et opérationnels, mais il est tout à fait possible d’avoir recours
à leurs services lors de la création de ces systèmes afin d’éviter des erreurs de
conception qui nous exposerait à des risques inutiles. La sécurisation de nos
systèmes se fait alors dès leur plus jeune âge.
Ces programmes ne sont pas forcément des virus au sens strict du terme, il peut
s’agir de cheval de Troie, de ransomware, etc., mais ici, entendons le terme de
virus dans son acception la plus générale.
Ces logiciels sont tout à fait capables de détecter la présence d’un ver ou
d’un ransomware. Pour détecter s’il y a un logiciel malveillant dans un fichier,
les antivirus utilisent une base de données comprenant la signature de nombreux
logiciels malveillants afin d’identifier si l’un d’entre eux est présent. La signature
d’un virus correspond à un morceau de code ou à différents caractères qui
permettent de différencier un virus d’un autre.
Cette méthode a ses limites, puisqu’elle n’est efficace que si la mise à jour de
la base de données des signatures est faite consciencieusement.
Désormais, les antivirus vérifient également ce qui se passe sur les sites Internet
que l’on visite afin de se prononcer sur la légitimité de ces sites. Ils peuvent
également nous prévenir en cas de réception d’un e-mail contenant un virus.
Ce logiciel est donc essentiel pour rester en sécurité et nous prévenir en cas
de difficulté. Si un virus est détecté par l’antivirus, celui-ci, non seulement va
nous prévenir, mais surtout va nous informer de la marche à suivre. Il est tout à
fait possible de supprimer le fichier identifié comme problématique, soit en le
faisant nous-même, soit en laissant le logiciel le faire. On peut aussi tenter de
réparer le fichier en utilisant le logiciel antivirus. Cette option ne fonctionne pas
toujours, mais il convient tout de même d’essayer.
Enfin, il est possible de mettre en quarantaine le fichier, pour une durée limitée,
l’antivirus le déplaçant dans une partie plus sûre du disque dur, car il n’est pas
encore en mesure de s’en occuper.
Les antivirus ne sont pas suffisants pour être en sécurité, il est souvent nécessaire
de les combiner à un pare-feu. Les pare-feu ne fonctionnent pas de la même
façon, ils sont utilisés comme filtre à l’entrée de nos systèmes informatiques afin
de ne laisser passer que les utilisateurs ou les informations autorisées.
Le pare-feu peut être un logiciel que l’on installe sur notre ordinateur, mais il se
peut aussi qu’il s’agisse d’un élément bien concret que l’on installe pour séparer
la box fournie par notre opérateur et le réseau de l’entreprise. Enfin, un pare-feu
est aussi présent au sein de nos box d’opérateur.
154 Cyberespace et cyberattaque – Comprendre et se protéger
Les pare-feu sont plutôt des barrières ou des filtres qui contrôlent les échanges
entre l’ordinateur et Internet, que l’échange vienne de l’ordinateur en direction
d’Internet ou inversement. Cet outil empêche certaines pièces jointes de pénétrer
le réseau d’une entreprise, par exemple. Ce qui passe au travers des mailles du
pare-feu correspond au trafic autorisé. Le pare-feu agit comme un mur filtrant
entre l’ordinateur et toutes connexions extérieures.
AVANT DE PLONGER
Le problème avec les cyberattaques, c’est que leurs coûts ne se limitent pas
au domaine financier. En effet, leurs conséquences vont plus loin qu’une
perte temporaire de revenus ou un besoin de remplacement de son parc
informatique.
Les conséquences et les coûts des cyberattaques sur nos entreprises sont
beaucoup plus variés que l’on ne peut le croire au premier abord. Le cabinet
Deloitte en a recensé quatorze et les représente sous la forme d’un iceberg
(voir Figure 3.3, page 155) avec seulement une petite partie visible, émergée.
Cette image n’est pas choisie au hasard et illustre bien que si seuls certains
coûts sont évidents, ils en existent d’autres à ne pas négliger.
Enfin, après une attaque, il est fort probable que l’entreprise doive s’acquitter
de différents frais, notamment d’avocats ou de justice. Si beaucoup de victimes
n’ont guère d’espoir que leurs cyberattaquants soient sanctionnés, il importe
néanmoins de ne pas renoncer à porter plainte, car il arrive que la justice puisse
remonter jusqu’à certains auteurs. Tel fut par exemple le cas avec le Russe
Alexander Vinnik auteur du rançongiciel Locky.
Ces impacts sont aujourd’hui relativement faciles à imaginer, mais ce ne sont pas
les seuls que les entreprises devront affronter. C’est pour cela que le cabinet
Deloitte utilise l’image de l’iceberg, avec sa partie immergée, souvent plus
importante, voire plus dangereuse que celle visible de tous. Dans cette partie
immergée, Deloitte liste encore sept impacts.
Pour résumer la logique qui prévaut à la construction d’un PCA/PRA, la Figure 3.4
(voir page 159) synthétise les sept étapes de sa mise en place.
AVANT DE PLONGER
Un élément souvent oublié de la sécurité informatique se cache dans les CERT,
organismes qui sont une autre ligne de défense au service des entreprises.
Les CERT, pas forcément à la portée de toutes les tailles d’organisations,
pourraient être développés pour les PME et, pourquoi pas, les TPE.
Dans certaines grandes entreprises, le risque cyber est tel que d’importants
moyens lui sont consacrés. Elles ne se contentent pas de trouver des antivirus
et des pare-feu performants, elles vont plus loin et développent leur propre
computer emergency response team42 (CERT). Il peut s’agir d’un département de
l’entreprise qui se charge de prévenir et de gérer les alertes et incidents de sécurité
menaçant leur entreprise, ou d’un CERT autonome. Les CERT indépendants
offrent une gamme de services spécifique aux entreprises désireuses d’améliorer
leur cybersécurité sans pour autant vouloir gérer cela en interne. Extérioriser
son CERT peut venir d’une décision purement économique ou d’un souci d’avoir
à disposition les meilleurs spécialistes en matière de cybersécurité.
42 Que l’on peut traduire par « centre d’alerte et de réaction aux attaques informatiques ».
Construire notre protection 159
Les CERT vont accompagner les organisations dans la gestion des incidents de
sécurité c’est évident, mais leur rôle va plus loin, puisqu’ils peuvent également
les accompagner dans la mise en œuvre de leur politique de sécurité.
Ces entités sont mises en place pour les grandes entreprises et les établissements
de taille intermédiaire (ETI). Si nous avons décidé d’en parler ici, ce n’est pas
pour le simple plaisir d’être complets dans la panoplie des défenses cyber.
Non, notre objectif est ailleurs. En effet, à l’image de ce que l’on voit apparaître
avec le RGPD et l’embauche de DPO à temps partagé (syndicats de communes,
regroupement d’entreprises d’un même secteur géographique, par exemple),
il nous semblerait pertinent que des structures regroupant des entreprises
puissent réfléchir à la mise en commun de moyens pour des CERT sectoriels,
transversaux ou autres.
En cas d’incident tout d’abord, il est essentiel de savoir comment réagir et pour
cela, il faut déjà connaître la nature réelle de l’incident et son importance. Le CERT
permet cela, ses experts pouvant estimer et faire remonter le niveau d’alerte
correspondant à la difficulté rencontrée par l’entreprise. Cette dernière pourra
ensuite agir en fonction de ces informations tout en étant soutenue par le CERT.
Les CERT sont essentiels pour adapter le niveau d’alerte, et donc la vigilance
et la capacité de réaction, à la difficulté rencontrée, suivre l’évolution de la
situation et réagir en fonction. Si les CERT détectent un incident, suspecté ou
avéré, ils vont pouvoir réagir de concert avec l’entreprise, après l’avoir informée
de ce qu’il se passe et des risques qu’elle encourt.
Mais les CERT jouent également un rôle plus proactif en assurant une veille
technologique, en réalisant des audits et des évaluations du niveau de sécurité
de l’entreprise et des outils qu’elle utilise. Ils contribuent également à diffuser les
informations nécessaires pour améliorer la sécurité et le respect de ces règles.
La menace cyber ne se gère pas uniquement pendant et juste après une attaque,
assurer une veille, un contrôle et sensibiliser les employés est essentiel.
Pour mener à bien leurs missions, les CERT disposent de spécialistes. Ceux-ci sont
en permanence en état d’alerte, sont en mesure de réagir en cas d’incident,
mais jouent également un rôle en matière d’éducation, de veille et de surveillance.
Ces éléments sont tous nécessaires pour disposer d’une véritable politique de
cyberdéfense au sein de l’organisation. Le travail des CERT couvre tous les pans
de la gestion de la sécurité, ils peuvent apporter leur aide pour rédiger le plan
de continuité d’activité et le plan de reprise d’activité, deux éléments essentiels
à la vie de toute entreprise :
Construire notre protection 161
Pour réussir cela, le plan part des conséquences d’une crise pour élaborer
les procédures à suivre.
162 Cyberespace et cyberattaque – Comprendre et se protéger
Les CERT sont donc un soutien permanent, mais ils ne sont pas la seule organisation
sur laquelle on peut s’appuyer. Il existe un socle d’organisations grâce auquel
nous pouvons améliorer notre approche des menaces cyber.
AVANT DE PLONGER
Avant même de parler des organisations qui ont été mises en place pour nous
soutenir, il importe de connaître les structures qui nécessitent un besoin de
protection particulier, car si les cyberattaques ont toujours des conséquences
non désirées, lorsqu’elles touchent certaines organisations, c’est l’économie
entière qui peut être menacée. C’est donc au nom de l’intérêt général que
ces structures doivent bénéficier d’une attention particulière en matière de
cyberrisques.
Le Code de la défense apporte quelques précisions sur ce que l’on peut entendre
par OIV. Il s’agit de : « Secteurs d’activité d’importance vitale, mentionné
au 1° du II de l’article R. 1332-1 [qui] est constitué d’activités concourant à un
même objectif, qui :
h 1° ont trait à la production et la distribution de biens ou de services
indispensables :
a) À la satisfaction des besoins essentiels pour la vie des populations ;
b) Ou à l’exercice de l’autorité de l’État ;
c) Ou au fonctionnement de l’économie ;
d) Ou au maintien du potentiel de défense ;
e) Ou à la sécurité de la Nation,
dès lors que ces activités sont difficilement substituables ou remplaçables ;
h 2° Ou peuvent présenter un danger grave pour la population. »
Concrètement, les OIV concernent les secteurs essentiels à notre vie quotidienne,
qu’il s’agisse des transports, du secteur bancaire, du secteur de l’alimentation,
mais aussi du secteur de la santé, de l’énergie, etc. Chacun de ces secteurs est
nécessaire à un fonctionnement normal de notre pays et il n’est pas envisageable
que des interruptions ou des défaillances affectent les services rendus à la
population, ainsi qu’aux entreprises et services publics.
Pour protéger ces OIV, un dispositif a été mis en place en 2006 avec, pour objectif,
la « sécurité des activités d’importance vitale » pour les activités concourant à « la
production et à la distribution de biens ou de services indispensables à l’exercice
de l’autorité de l’État, au fonctionnement de l’économie, au maintien du potentiel
de défense ou à la sécurité de la Nation ». Un tel dispositif rassurera tout un chacun.
164 Cyberespace et cyberattaque – Comprendre et se protéger
Même s’il s’agit d’une réalité effrayante, il ne faut pas oublier qu’un État peut voir
sa stabilité mise à mal par une cyberattaque, notamment si elle cible un service
de communication ou d’énergie. En paralysant une entreprise de communication,
on peut perturber les communications d’une grande partie d’un pays, ce qui
aura nécessairement des conséquences sur d’autres pans de sa vie économique
et sociale.
Tant les secteurs public que privé – et que l’ensemble des citoyens – ne peuvent
fonctionner sans moyens de communication et il n’est pas rare que la coupure
des communications, même partielle, entraîne un vent de panique au sein de la
population, surtout si les services d’urgence sont rendus inaccessibles. Le manque
d’accès aux communications serait très déstabilisateur, surtout dans notre société
où nous sommes habitués à une hyperconnectivité constante.
43 J ean-David Raynal, « Une cyberattaque oblique les Pays-Bas à revenir au fax », Le Point
international, 14 septembre 2019 (https://www.lepoint.fr/monde/une-cyberattaque-oblige-
les-pays-bas-a-revenir-au-fax-14-09-2011-1373298_24.php).
166 Cyberespace et cyberattaque – Comprendre et se protéger
L’importance de ces réseaux a été soulignée par Patrick Pailloux, ancien directeur
de l’ANSSI, pour qui : « Nos sociétés dépendent de l’informatique et des
communications électroniques pour vivre. Ces technologies sont désormais les
systèmes nerveux de nos nations. Notre survie, au sens étroit du terme, dépend
parfois du bon fonctionnement des systèmes d’information.44 »
Il en va de même dans le domaine des transports de l’énergie, des transports
de marchandises et de matières ou de la santé, évidemment.
Une atteinte au réseau du transport entraînerait des coupures paralysantes
que l’on peut aisément imaginer. Les exploitants de tunnels, par exemple,
se trouveraient alors dans l’impossibilité de contrôler les circuits d’air. Un tel
risque placerait l’attaquant dans une position de force indéniable.
S’attaquer aux péages pourrait également perturber les flux de circulation et
bloquer un grand nombre d’automobilistes en des lieux précis, embolisant
rapidement la circulation.
Perturber le réseau énergétique, que ce soit l’électricité, l’eau ou le gaz, causerait
également des troubles importants sur la population, laquelle pourrait avoir des
réactions en chaîne, notamment de panique, difficiles à canaliser et maîtriser.
De plus, il n’est pas certain que certaines infrastructures soient à même de
supporter de telles défaillances, rendant leur redémarrage difficile dans des
délais raisonnables.
Cette menace n’est pas improbable, car en 2016 le réseau de transport d’électricité
(RTE) aurait, selon son rapport annuel, déjoué plus de 4 000 attaques. Par ailleurs,
l’attaque subie par l’Ukraine illustre concrètement la fragilité de ce type de réseau,
comme ce fut le cas avec l’attaque déployée contre les réseaux énergétiques
britanniques par le groupe Dragonfly. Ce dernier est parvenu à entrer dans ces
réseaux « en imitant à la perfection une plateforme Web sur laquelle se rendaient
des employés d’une usine, afin de récupérer des codes d’accès45 ».
Une défaillance générale et durable de l’un de ces réseaux du fait d’une
cyberattaque provoquerait inévitablement des mouvements de panique,
voire d’émeute, avec des impacts économiques certains.
Une attaque sur un seul de ces réseaux pourrait avoir de graves conséquences
et la situation serait encore plus délicate si plusieurs de ces réseaux étaient
attaqués simultanément, ce qui constituerait une situation inédite et extrêmement
difficile à gérer.
44 J ulien Lausson, « La France identifie 122 services essentiels qui doivent être protégés des
cyberattaques », Numérama, 13 novembre 2018 (https://www.numerama.com/politique/439080-
122-services-essentiels-a-la-nation-sont-des-cibles-privilegiees-pour-les-cyberattaques.html).
45 V incent Gaillard, « Cyberattaques des réseaux électroniques : un enjeu politique majeur »,
Les Smart grids, 13 mars 2019 (https://les-smartgrids.fr/reseaux-electriques-cyberattaques-2-2/).
Construire notre protection 167
Cette directive poursuit quatre objectifs. Le premier vise à renforcer les capacités
nationales des États membres en matière de sécurité des systèmes d’information,
le deuxième doit permettre une meilleure coopération entre les États membres,
le troisième et le quatrième correspondent à une volonté d’établir un cadre
réglementaire pour les OSE et enfin l’établissement d’un cadre réglementaire
pour les fournisseurs de services numériques.
Selon Olivier de Maison Rouge 47, cette directive « fixe un cadre européen
compatible avec la loi de programmation militaire française dont elle s’est
largement inspirée ».
Cette directive met en place une nouvelle classification qui se traduit par les OSE,
mais ces derniers ont des similitudes importantes avec les OIV.
En plus des organisations que l’on sait vitales pour notre société, les experts en
cybersécurité redoutent une menace encore plus vaste, illustrée par les propos
de Henri Verdier à l’occasion du Forum international de la cybersécurité (FIC)
de 2019 : « Ici dans la salle, tout le monde le sait […]. On aura un jour l’arrêt
total d’un hôpital, de dix hôpitaux, le gel total d’une ville, la perte de milliards
de dollars… Ça va arriver. Bien sûr, on va essayer de calmer tout ça, de durcir
les sécurités, mais cette possibilité existe. »
Ce qu’il évoque ici est plus souvent connu sous le terme de « cyber-Pearl Harbor »,
soit une attaque d’une ampleur majeure engendrant des pertes économiques
et des dommages au sein de la société. Cette attaque d’ampleur pourrait se
manifester, par exemple, par une série d’attaques surprises et stratégiques,
prenant pour cible simultanément, des hôpitaux, des services de transports,
de communication. Quelle que soit l’ampleur de ces attaques, leur simultanéité
peut avoir des conséquences dramatiques sur la vie de notre société.
C’est en raison du caractère surprenant, majeur et dévastateur de cette attaque
qu’elle est assimilée à l’attaque-surprise subie par les forces américaines à Hawaï
le 7 décembre 1941 par les forces japonaises.
Cette expression aurait été utilisée pour la première fois, en 2012, par
Léon Panetta48, secrétaire américain à la Défense et ancien directeur de la CIA.
Il est clair que cette hypothèse ne relève pas de la fiction, car les éléments
techniques et les compétences permettent une attaque de typer « cyber-Pearl
Harbor » sans qu’il soit possible de prévoir quelles actions pourraient être
commises et surtout, par qui.
Il n’est pas très compliqué d’envisager un scénario d’attaque-surprise pour
lequel aucune réponse n’aurait été envisagée. C’est pourquoi il est nécessaire
d’établir des scénarios anticipant un maximum de types d’attaque et de prévoir
les processus de réaction les plus adéquats pour chaque type.
En effet, selon Léon Panetta : « Il y a de fortes chances que le prochain Pearl Harbor
soit une cyberattaque qui paralyse notre approvisionnement énergétique,
les flux financiers et notre réseau de transports. »
L’utilisation d’armes cyber, du fait de leurs conséquences sur les infrastructures, les
paralysies et carences déjà évoquées créent un profond sentiment de vulnérabilité
pour chacun d’entre nous.
Ce sentiment est accru du fait du caractère souvent flou du fonctionnement des
armes cyber, et cette méconnaissance renforce le sentiment diffus d’angoisse
que nous pouvons tous ressentir.
Pour gérer au mieux ces difficultés, plusieurs organisations ont été créées afin de
nous aider dans ce domaine. En matière civile, deux organisations sont leaders en
la matière et peuvent nous apporter des conseils quotidiens, la CNIL et l’ANSSI.
D’autres organisations plus spécifiques peuvent également nous soutenir.
Sur son site, je vais trouver toutes les informations nécessaires sur mes droits,
la manière dont je peux les exercer.
Enfin, elle intervient également pour contrôler les actions que nous menons pour
assurer la conformité de notre organisation au RGPD. Si jamais nous ne nous
conformons pas aux dispositions de ce règlement, la CNIL a l’autorité nécessaire
pour nous sanctionner.
Ses pouvoirs sont étendus puisque la CNIL peut aussi infliger des sanctions en
cas de manquement à nos obligations en matière de protection des données.
Ces sanctions se traduisent essentiellement par des amendes dissuasives dont
le montant peut aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires
mondial de l’entreprise (le montant de l’amende sera le plus élevé des deux).
Ces montants sont bien plus dissuasifs que ce qui a pu exister auparavant et
c’est le gage de leur impact pour faire respecter le RGPD.
Pour résumer la logique du RGPD, dont la CNIL est le garant en France, la figure
suivante synthétise les droits accordés aux citoyens français et, plus largement
européens, ainsi que les obligations qui en découlent pour les organisations.
Elle permet ainsi d’assurer un haut niveau de sécurité de nos réseaux et systèmes
d’information et pour ce faire, elle peut intervenir de plusieurs façons :
en tant qu’expert, elle apporte son aide aux institutions européennes et
aux autorités nationales qui en ont besoin ;
elle contribue à diffuser les bonnes pratiques pouvant aider les organisations.
De façon plus classique, elle peut apporter son aide aux États désireux d’améliorer
leur stratégie en matière cyber et elle publie régulièrement des études ainsi que
des rapports liés aux enjeux de cybersécurité51. Ces derniers peuvent traiter de
la protection des données, de la manière de détecter les menaces, des nouvelles
technologies qui se développent, etc.
51 our en savoir plus sur les études réalisées par l’ENISA, consulter son site Internet (enisa.
P
europa.eu).
174 Cyberespace et cyberattaque – Comprendre et se protéger
AVANT DE PLONGER
Aux côtés de la CNIL, l’Agence nationale de la sécurité des systèmes
d’information (ANSSI) est l’autre structure essentielle en matière de
cybersécurité pour toutes les organisations et les citoyens français.
« Répondre aux enjeux de sécurité du monde numérique est un facteur clé de succès
collectif. Je souhaite que cette stratégie nationale pour la sécurité du numérique
enclenche une dynamique à la fois protectrice et libératrice d’énergies ». Ces propos
sont ceux de Manuel Valls, alors Premier ministre, en guise de propos introductif
à la Stratégie nationale pour la sécurité du numérique (2015). Ce document
présente les orientations stratégiques françaises qui s’organisent autour de la
gouvernance, l’économie et la sécurité. D’après ce document, la France veut se
donner les moyens de « défendre ses intérêts fondamentaux dans le cyberespace.
Elle consolidera la sécurité numérique de ses infrastructures critiques et œuvrera
pour celle de ses opérateurs essentiels à l’économie. »
Pour atteindre cet objectif, il a été nécessaire de mettre en place une organisation
structurée permettant d’arriver aux finalités fixées. Cette démarche débute
en 2008 dans le cadre militaire avec le Livre blanc sur la défense et la sécurité
nationale qui prend réellement en compte le domaine cyber comme une menace
pour la France. Une fois celle-ci identifiée, il est nécessaire de définir les moyens
de réponse à lui opposer. La France a donc instauré un modèle de cyberdéfense
distinguant les capacités offensives des capacités défensives.
Ce livre blanc de 2008 crée une agence nationale ayant la charge de traiter les
différentes attaques informatiques et la protection des systèmes d’information
de l’État, ainsi que des infrastructures critiques : l’ANSSI.
L’ANSSI est créée par décret du 7 juillet 2009. Elle est rattachée au secrétariat
général de la Défense et de la Sécurité nationale (SGDSN) et se trouve sous
l’autorité du Premier ministre.
Avant que cette agence soit créée, différents organismes assuraient la sécurité
des données sensibles de l’État.
En guise d’exemples marquants, les États-Unis ont connu entre mai et juin 2021
deux grandes cyberattaques. L’une a visé une entreprise privée distribuant grâce
à ses oléoducs pas loin de 40 % du carburant dans le pays et la seconde a visé
la filiale américaine d’un des grands acteurs mondiaux de l’agroalimentaire (JBS,
société brésilienne).
Construire notre protection 175
Concernant cette seconde attaque, il faut savoir que certains grands acteurs
de l’agroalimentaire sont issus d’entreprises dans lesquelles la culture cyber
n’était pas un point fort.
Demain une telle cyberattaque peut toucher, par ricochet, une entreprise
implantée en France, comme dans l’affaire JBS où les retombées ont atteint les
côtes australiennes.
D’où l’intérêt de cette culture évoquée plus haut et dont l’ANSSI est porteuse.
Selon son directeur général, cette agence a comme rôle « de faciliter une prise en
compte coordonnée, ambitieuse et volontariste des questions de cybersécurité
en France. »
De plus, l’ANSSI « accompagne les entreprises en fonction de leur profil par des
actions de conseil, de politique industrielle et de réglementation afin de rendre
disponibles des produits de sécurité et des services de confiance. »
52 https://www.ssi.gouv.fr/agence/cybersecurite/lanssi/historique-de-lanssi/
176 Cyberespace et cyberattaque – Comprendre et se protéger
La première d’entre elles est un centre opérationnel pour la sécurité des systèmes
d’information (COSSI). Il fait partie de la sous-direction « Opérations » qui assure
« au niveau opératif et tactique, la mise en œuvre de la fonction d’autorité de
défense des systèmes numériques d’intérêt pour la nation. »
Le COSSI est responsable de l’analyse des menaces, de l’identification des
différentes vulnérabilités des outils et systèmes existants, de la recherche et de la
qualification des attaques, de la définition des mesures à adopter en réponse à une
attaque et enfin de l’aide pour la mise en œuvre de mesures correctrices urgentes.
Pour ce faire cette sous-direction est composée, premièrement, d’une division
« Connaissance et anticipation » qui est chargée d’acquérir ces connaissances,
de les analyser puis de transmettre les informations concernant les menaces
et vulnérabilités dans le champ de rayonnement de l’ANSSI. Une deuxième
division, celle de la « Détection », conçoit les capacités de détection et assure la
supervision de la sécurité au profit des services étatiques. Une troisième division
est celle en charge de la réponse en cas d’incidents qui agit à partir du moment
où l’incident est détecté, signalé et ce, jusqu’à ce qu’une solution soit trouvée.
De plus, c’est au sein de cette sous-direction que se trouve le CERT-FR. Il s’agit
du « computer emergency response team », c’est-à-dire une équipe de réaction
face aux incidents informatiques. C’est ce CERT qui sera le point de contact,
au niveau international, en cas d’incident cyber en France.
Il assure le soutien en matière de gestion d’incidents dans les ministères,
les juridictions, les institutions, les OIV, les collectivités territoriales et les autorités
indépendantes.
Il maintient une permanence 7 j/7 et 24 h/24 et présente sur son site Internet
différentes alertes de sécurité, avis de sécurité, des bulletins d’actualités et des
notes d’information. Cela correspond à ses missions, puisqu’il doit détecter
les différentes vulnérabilités des systèmes, notamment grâce à une veille
technologique. Il doit aussi piloter la résolution des incidents et, pour ce faire,
peut utiliser, si nécessaire, le réseau mondial des CERT. Il est également en
charge de déployer les moyens permettant de se prémunir d’éventuels incidents
et enfin, il lui appartient d’organiser un réseau de confiance.
Ensuite vient la sous-direction « Expertise » qui « porte la mission globale d’expertise
et d’assistance technique de l’agence. » Cette sous-direction a la charge d’apporter
un soutien global aux autres sous-directions ainsi qu’aux industries, aux OIV,
aux prestataires de sécurité et aux ministères. Pour rester performante, elle doit
anticiper les évolutions et si besoin, proposer des adaptations.
Elle apporte également son assistance technique à la mise en œuvre d’un niveau
suffisant de sécurité au plan technique pour les systèmes d’information des OIV
et des administrations.
Construire notre protection 177
53 ttps://www.ssi.gouv.fr/actualite/face-aux-nouveaux-enjeux-du-numerique-de-nouvelles-
h
ambitions-pour-lanssi/
54 https://www.ssi.gouv.fr/agence/cybersecurite/lanssi/
178 Cyberespace et cyberattaque – Comprendre et se protéger
Cette agence permet d’agir au quotidien afin de prendre les mesures adéquates,
d’arrêter des méthodes de travail les plus sûres pour éviter toute contamination
en cas d’acte de cybermalveillance.
Nous ne pouvons que vous engager à contacter l’ANSSI dès la découverte d’une
vulnérabilité ou d’une faille de sécurité dans un système. Si elle le juge utile, au
vu des éléments techniques qui lui seront fournis, l’ANSSI agira pour prévenir
toute structure ou population pour leur permettre de se protéger efficacement.
La veille permanente qu’assure l’ANSSI lui permet, dès lors qu’elle repère
l’apparition – ou la propagation – d’un virus, de prévenir les acteurs économiques
et institutionnels locaux. Ces acteurs sont alors invités à consulter un expert qui
va les accompagner.
Ce site est également une mine de conseils, notamment sur les bonnes pratiques
que l’on peut appliquer ou sur la manière de nous protéger des cyberattaques.
Construire notre protection 179
Si ces acteurs sont incontournables dans le monde civil, d’autres jouent un rôle
dans le domaine de la sécurité et dans le monde militaire.
AVANT DE PLONGER
Avec la CNIL et l’ANSSI ont été évoquées des notions d’aide, d’accompagnement
et de bonnes pratiques. Pour les organisations qui souhaitent aller plus loin
dans ces directions, de manière à se prémunir au mieux des dangers liés
à des cyberattaques, on peut ajouter AFNOR.
Pour les entreprises déjà organisées en conformité avec l’ISO 9001 et/ou 14001,
elles ne seront pas dépaysées par l’ISO 27001. Celle-ci, en effet, accompagne dans
la construction d’un système de management. Pour ce qui est de l’ISO 27002,
son apport est quelque peu différent, puisqu’elle ne propose pas moins d’une
centaine de bonnes pratiques.
Vous l’aurez compris, rendre son management conforme à cette norme conduit
donc les organisations intéressées à s’armer pour faire face au risque cyber.
Dernier point sur cette norme, la notion d’amélioration continue. Comme ses
cousines, 9001, 14001, par exemple, l’ISO 27001 pousse à mettre en œuvre
une logique d’amélioration continue et, s’il y a un domaine où c’est important
aujourd’hui, c’est bien le domaine cyber.
L’ISO 27002, quant à elle, peut être considérée comme un excellent complément
à l’ISO 27001, dans le sens où elle propose des bonnes pratiques. En d’autres
termes sur la base du SMSI défini et développé dans l’ISO 27001, cette deuxième
norme déroule 35 objectifs de sécurité pour l’information à l’appui desquels sont
énoncées 114 mesures que l’on assimile à des bonnes pratiques, qu’il s’agisse
de sécuriser l’information dans les ressources humaines, dans les relations avec
les fournisseurs ou encore, en matière de cryptographie.
Ce n’est donc pas une norme au sens habituel que l’on donne à ce type d’outil
– par exemple avec la possibilité d’obtenir une certification –, mais c’est une
belle caisse à outils avec une série d’autocontrôles.
Enfin, la branche de la SDLC que l’on connaît certainement le mieux est l’Office
central de lutte contre la criminalité liée aux technologies de l’information et
de la communication (OCLCTIC) qui met à notre disposition deux plateformes
bien connues.
55 Pour joindre la plateforme « info Escroqueries » sur Internet, utiliser cette adresse :
https://www.police-nationale.interieur.gouv.fr/Actualites/Dossiers/Info-Escroqueries
Construire notre protection 183
AVANT DE PLONGER
Avec Europol, changement de niveau puisque nous allons passer en revue
l’organisation de la répression contre les cyberpirates au-delà de nos frontières.
Europol, initiée pour construire une Europe plus sûre, est l’agence spécialisée
en matière de répression de la criminalité. En plus de son personnel classique,
Europol dispose d’un grand nombre d’officiers de liaison à travers les États
composant l’Union européenne. Le rôle de ces derniers est important puisqu’ils
interviennent en appui dans plus de 40 000 enquêtes internationales chaque
année. C’est essentiel, car la cybercriminalité dépasse souvent les frontières
nationales et il convient que la répression puisse s’organiser en s’affranchissant
des limites étatiques.
Europol, en tant que pilier de la sécurité européenne, peut venir en appui aux
services répressifs des autorités nationales, elle permet également de faciliter
les échanges d’informations dans le domaine criminel et agit comme un centre
d’expertise.
Cela peut sembler diablement loin de nous, mais n’oublions pas que cette
nouvelle forme de piraterie s’est totalement internationalisée. En d’autres
termes, l’e-mail piégé (phishing) que vous recevrez peut-être demain matin
a pu être envoyé de n’importe quel point du globe par une personne travaillant
pour une organisation criminelle implantée « ailleurs ».
En plus de contribuer à ces opérations, l’EC3 publie tous les ans un document
évaluant le niveau des menaces issues du monde cyber.
Pour avancer, l’EC3 se repose sur les capacités répressives d’Europol tout un
offrant un soutien aux États membres. En plus de ce soutien, son expertise lui
permet également de fournir des produits d’analyses stratégiques particulièrement
utiles lors des prises de décisions.
AVANT DE PLONGER
Le fait que certains États n’utilisent plus seulement leurs forces armées
pour mener des guerres « à bas bruit » fait que les nôtres sont forcément
intéressées au premier chef. C’est la raison pour laquelle, à côté des structures
non militaires évoquées plus haut, la France a complété son dispositif cyber.
On peut se dire que ce dispositif militaire a peu à voir avec la vie de nos
entreprises, de vos entreprises. À cela nous répondrons : « Oui, mais… »
En effet, ce dispositif est une des briques constituant l’ensemble des mesures
cyber assurant la défense de notre pays, de ses infrastructures, entreprises,
et donc de notre santé, de nos emplois, etc. Et puis, comme toute brique
constitutive d’un mur, si vous l’enlevez…
Construire notre protection 185
C’est grâce au COMCYBER que la France peut mener des actions dans le
cyberespace qu’elles soient défensives ou offensives.
Pour mener à bien ses missions, le COMCYBER peut s’appuyer sur trois organismes
interarmées : le CRPOC, le CASSI et le CALID.
Le CRPOC
Le Centre de la réserve et de la préparation opérationnelle de cyberdéfense
(CRPOC), créé en 2015, est l’un des organismes sur lesquels s’appuie le
COMCYBER. Il organise, entre autres, des exercices d’entraînement connu
sous le nom de DEFNET qui permet d’entraîner la « chaîne cyberdéfense
au déploiement d’une cellule de crise au sein du centre opérationnel et au
déploiement des équipes opérationnelles des armées pour établir les réseaux
et les systèmes attaqués ». Cet exercice permet de tester les réactions des
différentes entités du ministère en cas de cyberattaque d’envergure.
186 Cyberespace et cyberattaque – Comprendre et se protéger
Le CASSI
Un autre élément essentiel du COMCYBER est le Centre d’audit de la sécurité
des systèmes d’information (CASSI), créé en 2008. Le CASSI exerce sa mission
d’audit dans deux domaines différents, le premier est la sécurité des systèmes
d’information et le second celui des signaux parasites compromettants. Ces deux
domaines sont extrêmement importants pour la sécurité des emprises et des
systèmes du ministère ; c’est pour cela que ses missions sont mises en œuvre
sur le territoire national, mais également sur les théâtres d’opérations.
Le CALID
Créé en 2006, le Centre d’analyse en lutte informatique défensive (CALID) est
le « centre opérationnel expert en lutte informatique défensive » qui assure en
permanence la détection, le traitement et la réponse aux cyberattaques.
Pour autant, le cyberespace est un espace si particulier qu’il n’est pas possible
de lui appliquer des règles établies pour des délits similaires, utilisées dans la
« vraie vie » et espérer que cela suffise. Par exemple, le harcèlement classique
ne s’immisçait pas dans l’intimité et dans la vie privée des victimes comme le
fait le cyberharcèlement. Les règles juridiques ont donc dû être adaptées aux
nouveaux enjeux induits par cet espace.
Une définition du terme cyberharcèlement a été donnée par la loi d’août 2014,
modifiée en 2018 et insérée au sein du Code pénal à l’article 222-33-2-2 selon
lequel : « Le fait de harceler une personne par des propos ou comportements
répétés ayant pour objet ou pour effet une dégradation de ses conditions de
vie se traduisant par une altération de sa santé physique ou mentale est puni
d’un an d’emprisonnement et de 15 000 € d’amende lorsque ces faits ont causé
une incapacité totale de travail inférieure ou égale à huit jours ou n’ont entraîné
aucune incapacité de travail. »
57 h
ttps://www.demarches.interieur.gouv.fr/particuliers/cyber-harcelement-harcelement-internet
Le cyberespace, entre droit et doctrines nationales 189
Ici, le RGPD illustre parfaitement les adaptations que les règles juridiques ont dû
connaître pour être pertinentes actuellement. Si ce règlement européen, qui vise
à assurer la protection de nos données personnelles, s’applique aux sites de
e-commerce, cela s’explique en grande partie par la quantité impressionnante
de données, de traces que nous laissons dans le cyberespace, parfois sans
mesurer les risques que nous prenons.
Il ne faut pas oublier que le cyberespace est une construction particulière, puisqu’il
est à la fois un espace propre et indépendant, mais aussi un espace qui permet
de connecter entre eux les autres espaces. Cette capacité d’interconnexion
nous donne souvent un sentiment de proximité et l’impression que les
mêmes règles peuvent leur être appliquées. Mais une simple transposition ne
suffit pas à appréhender les particularités du cyberespace. Il transcende les
réalités géographiques des frontières, il favorise l’anonymat, les données sont
extrêmement volatiles, etc.
C’est le cas, par exemple, de la loi américaine Helms-Burton qui impose des
sanctions à Cuba. Celles et ceux qui s’intéressent, ou pratiquent, le commerce
à l’échelle internationale, connaissent également une autre disposition de son
droit s’appliquant hors de ses frontières, celle qui porte sur le contrôle du
commerce avec des pays sous embargo américain.
Les data centers sont également des équipements bien réels et essentiels au
fonctionnement du cyberespace et l’on en trouve partout dans le monde. On les
connaît comme moyens de stocker un nombre impressionnant de données,
mais ils permettent également d’héberger des sites Web et applications en tout
genre. C’est ce qui explique que ces data centers puissent être tantôt un local
au sein d’une entreprise, tantôt un entrepôt complet.
Ils sont peut-être indispensables, mais ils sont également source de challenges,
l’un d’entre eux étant que les données, comme les sites Internet, doivent toujours
être accessibles. L’un des challenges est que l’on veut toujours pouvoir accéder
aux sites Web et applications que l’on utilise, il faut donc que les data centers
fonctionnent en permanence et sans discontinuité.
Le cyberespace, entre droit et doctrines nationales 191
L’applicabilité du droit est peut-être délicate, mais comme elle est indispensable
des solutions ont été trouvées. Pour ce faire, il a fallu commencer par définir les
termes liés au cyberespace afin de parvenir à des terminologies internationalement
reconnues.
Si l’on prend l’exemple du RGPD qui concerne tous les États de l’Union
européenne, dans les premiers articles du règlement, on trouve la définition
des termes importants. Vous y trouverez par exemple ce que le règlement
considère comme une « donnée à caractère personnel » ou un « traitement ».
Sans définition précise de ces termes, chacun pourrait avoir une idée différente
de ce qu’est une donnée personnelle et donc ne pas appliquer le règlement
correctement. Ensuite, a été déterminé le périmètre physique au sein duquel
ces données étaient protégées (les citoyens de l’UE). Dès lors, toute personne et
toute organisation de par le monde qui contreviendraient aux règles édictées par
le RGPD, dans ce périmètre et sur les données à caractère personnel pourraient
être poursuivies et sanctionnées. Ce pourrait être un hôpital français, un site de
e-commerce installé au Japon ou encore un GAFAM.
Comme nous l’avons déjà vu dans la première partie de ce livre, si les évolutions
technologiques sont souvent rapides et améliorent de façon flagrante notre
quotidien, il n’en est pas de même des évolutions juridiques. Le droit suit en
effet un temps qui lui est propre, ne serait-ce qu’avec la durée incompressible
d’adoption des lois et règlements, puis la formation de la jurisprudence. En outre,
ces textes n’interviennent bien souvent qu’en réaction aux difficultés rencontrées
alors même qu’idéalement, il aurait été préférable que le droit puisse anticiper.
Pour cela, il faut avoir une série de preuves permettant de remonter de l’incident
à la personne qui l’aurait provoqué. Dans un crime traditionnel, après sa découverte
par la police, une enquête est menée pour réunir des preuves et ainsi découvrir
qui est à l’origine du crime. La logique est la même pour des crimes cyber
évidemment, à la seule réserve que les preuves sont plus délicates à récolter.
Les pirates informatiques savent comment couvrir leurs traces, ils disposent
d’outils leur permettant de dissimuler leur identité, le lieu de commission
des faits ou la motivation des auteurs. Les preuves numériques sont difficiles
à récolter, car elles peuvent facilement être dissimulées ou détruites et seules
des investigations poussées, menées par des agents spécialement formés,
peuvent permettre d’identifier l’auteur d’une cyberattaque et ses motivations.
Ces preuves n’ont pas toutes la même durée de vie. Par exemple, chaque
hébergeur choisit de conserver des données pendant un temps qui lui convient
et n’a pas besoin de respecter une norme précise en la matière.
Il faut également que les enquêteurs puissent prouver que les preuves n’ont pas
été altérées. Pour ce faire, les enquêteurs doivent remonter à l’origine du délit,
à son auteur, pour obtenir une preuve dont l’authenticité ne pourra être remise
en cause. Agissant sous pseudonyme, les enquêteurs ne peuvent évidemment
pas initier l’infraction, ou inciter à la commettre. En revanche, une fois que
celle-ci a eu lieu, ils peuvent participer aux échanges, extraire et conserver les
éléments de preuves nécessaires ainsi que des informations sur les personnes
soupçonnées de commettre une infraction. C’est par ce type d’enquête dans le
cyberespace qu’il est possible de construire des dossiers solides, surtout si l’on
considère que certaines infractions sont commises au sein de réseaux fermés
où personne n’inviterait un agent des forces de l’ordre.
Pour établir le lien entre le méfait et son auteur, les enquêteurs doivent réunir
les indices qui permettront de prouver la culpabilité d’un individu et c’est là que
la situation est complexe. En effet, comme nous l’avons vu dans la première
partie de ce livre, les cybercriminels disposent des moyens de préserver leur
anonymat, quand ils ne laissent pas de faux indices permettant d’attribuer le
méfait à un autre cybercriminel ou collectif.
Ce sont ces raisons qui justifient le renversement de la charge de la preuve qui
s’opère actuellement. Cela signifie que, progressivement, la logique n’est plus
celle de l’identification de la personne en suivant des indices, mais plutôt de
rechercher un faisceau d’indices afin d’identifier à qui profite la cyberattaque.
Une présomption de culpabilité va peser sur l’État auquel l’attaque profite,
ce qui n’est pas un raisonnement strictement juridique, mais qui répond à une
préoccupation éminemment pragmatique.
Comme pour des enquêtes classiques, les investigations sont menées par la police
ou la gendarmerie. L’OCLCTIC et le C3N (voir les paragraphes 3.3.1, page 181)
assument le rôle essentiel de détection des comportements illicites et mènent
à bien les investigations techniques nécessaires pour récolter les preuves et
identifier les personnes responsables. Ces enquêteurs sont précieux pour mener
ce genre d’enquêtes, car les preuves devant être récoltées doivent suivre des
procédures adaptées au monde numérique ; si tel n’est pas le cas, ces preuves
peuvent être compromises et donc être inutilisables par les enquêteurs.
Prouver qui est l’auteur d’une cyberattaque s’avère extrêmement difficile,
leurs auteurs se cachant derrière des pseudonymes. Démasquer ces personnes
n’est pas chose aisée puisqu’elles sont très habiles pour brouiller les pistes ou
utiliser des techniques les rendant particulièrement difficiles à identifier.
Contrairement aux standards juridiques courants pour lesquels il est nécessaire
de collecter les preuves qui permettent d’identifier l’auteur d’un acte, dans le
cyberespace, l’auteur de l’acte pourra être désigné du seul fait que c’est à lui
que profite le crime.
Pourtant, il existe déjà des réglementations applicables particulièrement
concernant les actions de cybercriminalité.
AVANT DE PLONGER
Malgré les écueils qu’impose le cyberespace à l’application du droit, certaines
règles s’appliquent déjà. Des infractions sont qualifiées et peuvent donc être
réprimées… en distinguant la place et le rôle de l’informatique.
Dans le cyberespace, tout est informatique. Vous ne serez donc pas étonné que
dans certaines situations, cette informatique est la cible, alors que dans d’autres,
elle n’est que le support de l’attaque.
Pour les infractions dans lesquelles l’informatique est la cible, en termes de règles,
de textes déjà applicables, on peut immédiatement penser à la loi Godfrain
de 1988. Son application permet de réprimer tous les actes de criminalité
informatique et de piratage. Cette même loi introduit dans le Code pénal le
chapitre III intitulé « De certaines infractions en matière informatiques ».
Grâce à cette loi, est condamnable à deux ans d’emprisonnement et 30 000 euros
d’amende le fait d’accéder ou de se maintenir frauduleusement dans tout ou
partie d’un système de traitement automatisé de données. S’il s’agit d’un système
mis en œuvre par l’État, cette peine peut s’élever à cinq ans d’emprisonnement
et 75 000 euros d’amende.
58 L a base de données des titres électroniques sécurisés qui sert à la délivrance des passeports
biométriques est un STAD.
Le cyberespace, entre droit et doctrines nationales 195
Cette loi peut sembler assez ancienne pour traiter d’un sujet aussi actuel, mais elle
reste tout à fait applicable et peut déjà jouer un rôle d’épouvantail pour certains
hackeurs. De plus, ayant été rédigé en des termes assez larges, ce texte est
aisément utilisable malgré des avancées technologiques.
De plus, elle a connu une certaine modernisation en 2004 avec l’ajout d’une
sanction en cas de vente d’équipements ou de logiciels permettant de lancer des
attaques contre un système informatique. Cette sanction s’avère particulièrement
utile lorsqu’il s’agit de faire face à des marchés numériques opérés sur le darknet.
Depuis plusieurs décennies, il est donc possible de poursuivre des personnes
ayant commis des infractions via le cyberespace. En conséquence, les personnes
responsables de compromission de données, de défiguration de site Internet,
d’actions de cyberespionnage encourent bel et bien des sanctions juridiques.
Le cyberespace facilite également l’usurpation d’identité, c’est pourquoi
depuis 2011, le Code pénal prend en compte cette option et prévoit que
l’usurpation d’identité peut être réalisée grâce au cyberespace.
Il existe également des infractions où l’informatique n’est que le vecteur qui
permet de commettre l’infraction. Ici, il s’agit notamment d’offre illégale de
paris en ligne, de contrefaçon, de pédopornographie, de grooming 59, etc.
Il n’existe pas une seule loi regroupant ces méfaits sur laquelle se fonder pour une
condamnation, mais tous ces comportements peuvent entraîner des sanctions
du fait de leur propre qualification juridique.
Ces infractions sont réalisées grâce au cyberespace, mais elles peuvent être
rattachées à des lois préexistantes au développement de cet espace. En effet,
en cas d’escroquerie dans le domaine cyber, les poursuites seront fondées sur le
même texte que celui utilisé pour des cas d’escroquerie dans un environnement
classique. Il n’a donc pas été nécessaire d’adopter une loi spécifique pour
l’escroquerie utilisant les moyens numériques, puisque les éléments constitutifs
du délit sont les mêmes, que son auteur escroque ses victimes de manière
classique ou via les réseaux numériques.
Par ailleurs, en matière de pornographie, le texte fondant les poursuites sera
le même qu’en dehors du monde cyber, mais le fait d’utiliser les instruments
numériques pour diffuser, fixer, enregistrer ou transmettre l’image pornographique
d’un mineur sera une circonstance aggravante. En effet, si les faits sont réalisés
de façon « traditionnelle », la peine encourue sera de cinq ans de prison et
75 000 euros d’amende, alors que le vecteur du délit est Internet, la peine pourra
aller jusqu’à sept ans de prison et 100 000 euros d’amende.
59 Il s’agit d’un majeur se faisant passer pour un mineur et qui fait des propositions sexuelles
à un mineur grâce à des moyens de communications électroniques, que ce soit des forums
de discussion, des sites de jeux vidéo, etc.
196 Cyberespace et cyberattaque – Comprendre et se protéger
Dans la lignée des violences sexuelles et sexistes, une nouvelle infraction a été
introduite dans le Code pénal qui permet de réprimer l’upskirting, c’est-à-dire la
pratique consistant à filmer ou photographier les parties intimes d’une personne
à son insu, et souvent de les diffuser sur Internet. Cette infraction, qui s’est
développée ces dernières années, est punie de deux ans d’emprisonnement et
d’une amende de 30 000 euros si les images prises sont transmises ou enregistrées.
60 ratique consistant à se venger d’une personne en rendant publics des contenus pornographiques
P
la représentant, sans son accord et dans le but de l’humilier.
Le cyberespace, entre droit et doctrines nationales 197
La convention de Budapest
La Convention de Budapest de 2001 est le premier texte européen abordant
les questions relatives aux mauvais usages du cyberespace. Cette convention
manifeste la volonté de disposer de textes répressifs au niveau international.
Malheureusement, on en est resté au stade de volonté puisque seuls 63 pays l’ont
ratifiée en 2019, alors qu’elle date de 2001. Cela représente un trop petit nombre
d’États pour espérer que cette convention soit suivie des changements importants.
Cette convention traite de différentes infractions possibles, notamment au regard
du droit d’auteur, des actes de fraude, de la sécurité des réseaux.
Rien que son existence est une bonne chose pour la répression de ces actes,
mais le faible nombre de signataires en limite sa portée.
En ce qui concerne les actions commises dans et grâce au cyberespace, il est
certain que, pour l’instant, le niveau de coopération entre les États n’est pas
encore suffisant. Il est extrêmement courant que des cyberattaquants s’en
prennent à un État ou une entreprise située dans un autre pays que le leur.
Au quotidien, ce manque de coopération est nuisible à la résolution de certaines
enquêtes et à l’élaboration de règles juridiques communes applicables à cet
espace et aux crimes qui y sont commis.
198 Cyberespace et cyberattaque – Comprendre et se protéger
Cela est, hélas, cohérent avec la position de certains pays qui « utilisent »
les services de groupes de hackeurs pour mener une guerre de l’ombre et réaliser
des attaques dont ils ne veulent en aucun cas se voir attribuée la paternité…
et puis, pour faciliter la mise en place d’un arsenal juridique à l’échelle du
cyberespace, peut-être serait-il pertinent de différencier ce qui relève de la
cybercriminalité du cyberespionnage, sport pratiqué par les États et qu’ils n’ont
pas envie de voir criminaliser…
Le RGPD
L’autre texte principal existant au niveau européen est le Règlement général
sur la protection des données (RGPD) dont nous avons parlé précédemment.
Mais en dehors de ces textes, le corpus juridique européen en matière de cyber
criminalité reste à construire. Les choses ne sont guère plus encourageantes au
niveau international puisqu’il n’existe qu’un seul texte. Le manque de texte au
niveau international ne pose pas de problème qu’en matière de cybercriminalité,
car le cyberespace a également été utilisé lors de conflits impliquant des États.
Le manuel de Tallinn
Au niveau international, le seul texte que l’on peut recenser est le manuel de
Tallinn. Ce dernier a été écrit à la suite de la cyberattaque qui a pris l’Estonie
pour cible en 2007. L’ampleur de cette attaque a été telle qu’elle a permis
aux Nations unies de prendre conscience de la nécessité d’établir des règles
juridiques au niveau international afin de réguler les actions mises en œuvre
dans le cyberespace. Une série de cyberattaques a suffi à déconnecter un pays
de tous les réseaux. Pas seulement une entreprise, mais un pays !
Ce genre d’événement n’était encore jamais arrivé et a permis une prise de
conscience des nouveaux risques pesant sur les États, les infrastructures, les
entreprises et – par voie de conséquence – sur la population dans sa globalité.
C’est pour cela qu’en 2008 l’OTAN crée le Cooperative Cyber Defense Center
Of Excellence (CCDCOE) qui vise à : « Améliorer les capacités, la coopération
et le partage d’informations au sein de l’OTAN, des pays membres de l’Alliance
et de ses partenaires dans le domaine de la cyberdéfense grâce à l’éducation,
la recherche et le développement, la concertation. »
Entre 2009 et 2013, une première version du manuel de Tallinn a été élaborée pour
permettre de s’accorder sur la définition des termes propres au cyberespace ainsi
que les règles de droit international pouvant s’appliquer en cas de cyberconflit.
Cette première version ne traitait que de cyberattaques d’une certaine envergure,
notamment entre des États, et laissait complètement de côté les cyberattaques
de moindre importance qui sont pourtant les plus courantes et qui doivent être
prises en compte.
Le cyberespace, entre droit et doctrines nationales 199
En février 2017, une seconde version de ce manuel a été publiée et, cette fois, y
figuraient des cyberattaques moins importantes. Les experts, qui ont participé à la
rédaction de ce manuel, ont établi 95 règles relatives à la guerre cybernétique,
la première d’entre elles étant : « [qu’]Un État peut exercer un contrôle sur les
cyberinfrastructures et les activités au sein de son territoire souverain. » L’une de
ces règles définit une violation de souveraineté comme : « Toute ingérence d’un
État dans une cyberinfrastructure à bord d’une plateforme, où qu’elle se trouve,
qui jouit de l’immunité souveraine. »
Par ses principes, on voit bien que le manuel de Tallinn souhaite une adaptation
de certaines règles préexistantes du droit international au cyberespace. Parmi ces
principes reconnaissables, on trouve notamment, le sort des prisonniers,
le traitement des journalistes, la non-entrave à l’effort humanitaire. Il est assez
clair que l’hypothèse de la cyberguerre n’est pas laissée de côté et comme il ne
s’agit pas d’un risque théorique, ce manuel essaye d’anticiper en identifiant les
règles à appliquer.
200 Cyberespace et cyberattaque – Comprendre et se protéger
Pour les experts qui ont travaillé sur ce texte, il semble clair que le « jus ad bellum »
(droit de la guerre) tout comme le « jus in bello » (droit international humanitaire)
peuvent être appliqués au cyberespace et donc aux États prenant part à une
guerre dans ce milieu. En suivant la logique de ce texte, les États engagés dans
une cyberguerre devraient donc respecter des principes similaires à ceux qu’ils
respectent lors de guerres traditionnelles – le respect des prisonniers de guerre,
des civils, etc. Ils assurent ainsi la protection des citoyens et le respect de ces
principes fondamentaux.
Les avancées et autres points positifs de ce manuel ne doivent pas faire oublier
des « carences » et il a subi des critiques. Parmi celles-ci, on peut en trouver une
concernant les auteurs de ce texte, la majeure partie du comité ayant travaillé
à sa rédaction étant anglo-saxonne. De ce fait, certains considèrent que les
principes énoncés sont teintés de l’origine dominante de ces auteurs et ne
seraient donc pas adaptés à tous les États. Il est vrai que plus la diversité est
importante au sein d’un groupe de travail, plus il y a de chance que de nouvelles
idées émergent et conviennent à un plus grand nombre d’États.
Ces armes ne sont plus un aléa, elles sont intégrées aux côtés des armes
traditionnelles comme le montre la démonstration de force réalisée par Israël
en 2019 – lorsque cet État a répondu à une cyberattaque qu’ils ont attribuée
aux Palestiniens par un bombardement en direction du bâtiment d’où provenait
l’attaque.
Le cyberespace, entre droit et doctrines nationales 201
Par ces représailles, Israël a été le premier État à répondre à une cyberattaque
en utilisant, non pas des armes de même nature, ce qui aurait pu être envisagé,
mais un autre type d’arme. Cette réponse pourrait fort bien être une illustration
de la manière dont les États considèrent comme de même niveau les armes
traditionnelles et les armes cyber.
Avec ce logiciel, nous avons ce que l’on appelle un « bien à double usage »,
comme l’entend l’arrangement de Wassenaar depuis 2017.
Les biens et technologies visés sont listés dans les annexes de ce document et
sont régulièrement réactualisés.
Ainsi, depuis décembre 2017, cette liste s’est ouverte aux biens et technologies en
rapport avec les « logiciels d’intrusion ». Elle évolue régulièrement, par exemple,
en fonction des progrès du numérique. Elle avait déjà fait l’objet de mise à jour
en 2012-2013 intégrant des biens « pouvant servir aux logiciels d’intrusion »,
mais les termes utilisés n’étaient pas assez adaptés à ces logiciels, d’où la
révision de 2017.
202 Cyberespace et cyberattaque – Comprendre et se protéger
Par ailleurs, lors de de la 72e session de l’ONU (19e et 20e séances), Louis Riquet61
a réaffirmé que, désormais les gouvernements considèrent la cybersécurité
comme une priorité et qu’en l’état du droit, particulièrement du droit international
humanitaire et de la charte des Nations unies, le droit international est applicable
au cyberespace. En effet, selon lui : « Chaque État est tenu de respecter l’obligation
de régler ses différends par la coopération et la négociation, sans remise en
cause de son droit à prendre des mesures techniques et proportionnelles pour
répondre à une cyberattaque. » Une attaque informatique peut donc être
une agression armée au sens de l’article 51 de la charte, condition nécessaire
à l’exercice de la légitime défense.
Il s’agit là d’une belle « ouverture » puisque, comme évoqué plus haut, certains
États pourraient accepter un renforcement du droit international cyber dès
lors que certaines actions étatiques seraient précisément distinguées d’actions
purement criminelles.
Il est donc admis au niveau international que la légitime défense est possible en
cas de cyberattaque atteignant un niveau d’intensité suffisant. Cela signifie que,
pour recourir à la légitime défense, il faut donc être en mesure de démonter
pourquoi cette attaque relève de l’agression armée, en s’intéressant à son
intensité, à l’existence d’un risque pour la souveraineté d’un État ou pour son
intégrité territoriale ou son indépendance politique et à l’imputabilité de cet
acte à un État. Si les deux premières conditions sont applicables sans trop de
difficultés, le troisième risque d’être plus délicat à appliquer puisque dans le
cyberespace, il est difficile d’attribuer avec certitude une attaque à son véritable
auteur. Pour cela, les enquêteurs doivent se fonder sur un certain nombre d’indices
constituant un faisceau d’indices les menant à la probable origine. Reste qu’il
est extrêmement difficile, voire impossible, d’être certain de l’attribution de
l’attaque. Ainsi, en France, l’Assemblée nationale relevait en 2018 : « [qu’]Une
conséquence majeure de cette difficulté ́ d’attribution est de rendre partiellement
inopérants les mécanismes de défense collective existants : article 51 de la
Charte des Nations unies, article 5 du traité de l’Atlantique Nord, article 42-7
du traité sur l’Union européenne. » Il est cependant possible d’envisager que
les attaques les plus conséquentes et les plus graves permettront l’application
de cet article, notamment du fait de dégâts matériels très importants et de
« victimes » humaines.
Selon le journal Le Monde62 : « Cette frappe, qui a visé le 4 mai 2019 un immeuble
de la bande de Gaza, pourrait cependant constituer une première : Israël dit
avoir, ce faisant, riposté à une attaque informatique, déjouée dans un premier
temps par ses experts militaires. Jamais un État n’avait revendiqué ainsi l’emploi
de la force militaire traditionnelle pour punir une cyberattaque. »
Il est difficile de se forger une opinion sur cette question puisque très peu de
cas d’espèce peuvent être étudiés. En revanche, il est certain que le respect de
l’immédiateté, de la nécessité et de la proportionnalité est une première étape
nécessaire à une démarche de légitime défense à la suite d’une cyberattaque.
Il ne fait donc pas de doute que certains principes du droit international sont
applicables au cyberespace : « Le droit international doit être considéré comme
s’appliquant pleinement au domaine cyber. Ce principe a d’ailleurs été admis
par le groupe d’experts gouvernementaux, réunis dans le cadre des travaux
de l’Assemblée générale des Nations unies sur la cybersécurité (UNGGE).63 »
Par ailleurs, les cyberattaques entre États, ou venant d’États, ne sont jamais
indépendantes du contexte géopolitique ou de relations entre certains États et
cela peut naturellement influencer le choix de l’attribution de l’attaque. Ainsi si
un État A entretient des relations difficiles avec un État B, il est possible qu’un
État C lance une cyberattaque contre l’État A en dissimulant son action derrière
les tensions entre les États A et B.
Et puis, si l’on veut faire preuve d’un peu de cynisme, le manque de volonté
d’États pour s’accorder sur un traité international contraignant en matière de
cyberespace aboutit à une situation que certains peuvent considérer comme
confortable : nul ne peut se voir reprocher d’avoir transgressé une règle qui
n’existe pas.
Certains optimistes pensent qu’il serait possible d’en appeler à la bonne volonté
des États afin de respecter certains comportements sans avoir besoin d’établir de
règle contraignante. Pour autant, accorder trop d’importance à cette hypothèse
semble depuis quelques années relativement vain. « Tant qu’il n’y a pas de règles,
tout le monde a tendance à les violer » : cette phrase d’Igor Shchegolev65 illustre
bien l’état de fait qui a tendance à régner dans un nouvel espace dépourvu de
règles contraignantes.
En 2013, ces deux puissances ont tenté d’établir un accord bilatéral ayant notamment
pour objet la « création d’un groupe de discussion russo-américain rapportant
directement aux deux présidents » dont l’objet concernerait la cybermenace ainsi
que la formulation de propositions pour faire face à cette menace. Cet accord
visait également à limiter les escalades dans le cyberespace.
Parmi les mesures composant cet accord, il est possible de citer, « l’établissement
d’un dialogue permanent entre les CERT » afin que les agences se transmettent
en temps réel des informations concernant d’éventuels malwares semblant
provenir de l’autre partie. Une autre mesure concernait la création d’une ligne
directe entre les deux parties afin que les plus hautes autorités soient en mesure
d’échanger sur un incident susceptible d’être attribué à l’autre partie. Cet accord
aurait permis de développer la coopération et les échanges entre deux États,
ce qui aurait pu inciter d’autres à suivre la même voie. Mais cet accord n’a pas
vu le jour, notamment car les relations entre ces deux pays se sont dégradées
pour plusieurs raisons : l’élection de Donald Trump et les soupçons soutenus
tournés à l’encontre de la Russie pour ingérence dans cette campagne.
Actuellement, les relations entre les États-Unis et la Russie ainsi que leurs
comportements dans le cyberespace semblent « à l’opposé de ce que pouvait
laisser espérer cet accord. » Même si cet accord n’a pas pu aboutir, il démontre
que des discussions interétatiques sont possibles et que les pistes de travail
qu’il a esquissées pourraient inspirer d’autres États.
Si l’on se réfère aux armes traditionnelles, il apparaît que, pour être efficace,
un texte doit s’accompagner de mesures de contrôle contraignant les États
à le respecter.
Le cyberespace, entre droit et doctrines nationales 207
Cette question reste actuellement en suspens, mais devra trouver une réponse,
car pour qu’un texte soit efficace, il est nécessaire qu’il s’accompagne d’un
instrument de contrôle.
Parmi les cibles d’une telle guerre, il y a toutes les infrastructures stratégiques que
nous avons déjà évoquées dans les pages qui précèdent, mais il y a également
les activités économiques, de la grande entreprise à la PME. Tous concernés,
d’une certaine manière…
La stratégie en termes de guerre cyber des États peut donc avoir des conséquences
directes sur la vie et sur l’activité des entreprises.
AVANT DE PLONGER
Nous sommes extrêmement dépendants du monde cyber et on peut même
dire que nous avons consenti à cette dépendance, laquelle nous rend fragiles
en nous exposant aux risques de cyberattaques. L’arme cyber offre de
nouvelles possibilités, elle permet aux États de mettre sur pied de nouvelles
opérations ou simplement d’améliorer celles qu’ils ont déjà mises en place.
L’utilisation d’arme cyber introduit une nouvelle temporalité par rapport aux
armes classiques. Ces dernières ont un impact immédiat : les bombes sont
larguées et explosent au contact du sol, les balles atteignent leur cible quelques
instants seulement après avoir été tirées.
Le cyberespace, entre droit et doctrines nationales 209
Ces armes peuvent être utilisées à un moment et ne remplir leur fonction que
quelques semaines ou mois plus tard. Certes, une arme cyber peut être utilisée
immédiatement pour perturber des communications par exemple, mais elle
sert aussi à des missions de plus longue durée. C’est le cas par exemple lors
de la surveillance ou de la perturbation du fonctionnement d’une entreprise.
L’arme cyber peut servir des intérêts stratégiques plus lointains et elle peut aussi
infecter un système et ne s’activer que quelque temps après.
L’usage de l’arme cyber ne nécessite pas autant de proximité que l’arme classique.
On ne peut pas utiliser une arme à feu à n’importe quelle distance, si l’on veut
atteindre notre but. Les soldats doivent avoir une certaine proximité avec leur
cible pour utiliser une arme traditionnelle, ce qui implique forcément un certain
risque pour eux. Alors qu’en cas d’utilisation d’une arme cyber, il n’y a pas ce
même besoin proximité. Il est tout à fait possible de lancer une cyberattaque
d’un pays vers un autre sans avoir mis un pied dans le pays ciblé. Pour son
utilisateur, elle limite le risque d’être découvert, tout en permettant de récolter
des informations ou de déstabiliser sa cible.
L’arme cyber permet aussi d’entretenir une certaine asymétrie entre les États
qui peut s’avérer très utile en cas de conflit. Israël, par exemple, est un petit
État géographiquement parlant, mais il est sans conteste un acteur important
et influant dans le cyberespace.
De plus, elle ne demande pas autant de moyens que des armements classiques.
Il n’est nullement nécessaire de disposer d’une industrie de défense performante
pour développer ces armes. De plus, elles sont bien moins coûteuses que
des armes classiques, car elles ne nécessitent pas une chaîne de production,
des matières premières, etc.
D’autant plus que ces armes vont continuer à se perfectionner avec les avancées
technologiques, la démocratisation de l’intelligence artificielle, etc. Toutefois,
elles restent des armes très ambiguës permettant à des alliés de se transformer
secrètement grâce à l’action anonyme et dans l’ombre.
AVANT DE PLONGER
Le cyberespace est un nouveau terrain d’affrontement dans lequel chaque
État tente de trouver ses marques. En 2017, le directeur de l’ANSSI,
Guillaume Poupard, traduisait sa pensée en expliquant : « [qu’]On n’a pas
d’ami dans le cyberespace… ce qui ne signifie pas que l’on n’a pas d’allié. Cette
réflexion met en lumière la nécessité pour chaque État de développer une
doctrine propre à ce nouveau terrain d’affrontement, à laquelle il conviendra
d’adjoindre un corpus juridique solide. » Dans les pages qui suivent, nous
avons souhaité donner à voir et comprendre la situation française, situation
qui, directement ou indirectement, peut tous nous concerner et influer sur
le cours de nos activités – salariés et dirigeants d’entreprise, risk managers
ou acheteurs.
On peut assimiler cela à une stratégie de gestion des risques, ou une réflexion sur
un système de management de la qualité d’une entreprise. Ici, l’environnement
« décortiqué » est celui des menaces potentielles auxquelles doit faire face la
France et, pour la première fois dans un tel document, les menaces pouvant
apparaître dans le cyberespace. Est ainsi formalisé avec une entrée défense du
territoire français un nouveau champ de bataille qui ne s’arrête ni aux frontières
naturelles ni à celles des États. On est là dans une logique nouvelle, puisque
la France ne va pas chercher à se préparer à des conflits avec des belligérants
que l’on connaît, dont on cerne les armes et les stratégies. Non, là rien de tel,
puisque comme vous le savez, les attaquants y agissent le plus souvent à visage
couvert, avec des armes propres à cet espace. De plus, contrairement à un
conflit classique, les conséquences potentielles de ces nouvelles guerres peuvent
aller d’une simple gêne à un incident trop important pour être ignoré. En fait,
en 2008, on n’imagine pas encore ce que peuvent être ces attaques. On n’a
pas encore vu des hôpitaux ou des oléoducs « bloqués ». On n’a pas non plus
imaginé que « l’ennemi », plutôt que de lancer ses troupes à l’assaut de notre
pays, pouvait simplement lancer des rumeurs en grand nombre pour influencer
le cours d’élections présidentielles…
212 Cyberespace et cyberattaque – Comprendre et se protéger
Pour autant, ce livre blanc explore la possibilité que – même si l’on n’arrive pas
à une situation de guerre – un incident dans le cyberespace peut compromettre
la viabilité des systèmes d’information des ministères ou de n’importe quelle
autre organisation, voire perturber le bon fonctionnement des engagements
opérationnels français.
Comme les États l’ont fait auparavant pour les menaces classiques, l’État français
développe une doctrine – en entreprise, nous parlerions d’analyse du contexte
puis de stratégie – pour faire face à ces nouvelles menaces et orienter son action.
2019, la LIO
Un peu plus de dix années plus tard, le 18 janvier 2019, Florence Parly a officiellement
présenté la (nouvelle) doctrine militaire offensive dont s’est dotée la France. Il est
désormais clair que la France se donne les moyens d’aligner, aux côtés de ses armes
conventionnelles, un arsenal d’armes cyber qui doit lui permettre de répondre
aux événements pouvant survenir dans cet espace.
Cette publication – ainsi que l’annonce qui en a été faite – permet d’établir que
la France dispose de capacités et de compétences défensives, mais surtout
offensives qui lui permettent de répondre en cas d’agression armée au sein du
cyberespace. C’est ce que Florence Parly résume par : « C’est important parce
qu’il faut que nos adversaires potentiels le sachent. »
Comme toute autre opération militaire, le recours à la LIO et donc à une arme
à caractère numérique, n’est pas dénué de risque. L’acceptation du risque est
nécessaire et cette acceptation incombe à l’échelon décisionnel. Ce dernier doit
prendre sa décision en tenant compte des principes cardinaux du “jus in bello”,
à savoir la nécessité, la proportionnalité, la distinction et la discrimination.
Il appartient à cet échelon d’établir le ratio entre le coût représenté par l’utilisation
de l’arme cyber et son efficacité et ce, au regard de différents facteurs comme
le contexte politique et géopolitique, la situation. Cette appréciation doit leur
permettre de parvenir à la décision la plus adéquate.
En effet, les cibles de ces armes ne se limitent pas forcément à des entités
militaires, puisque presque toutes les organisations, peu importe leur statut,
augmentent constamment leur connectivité et peuvent donc être la cible de
telles attaques.
214 Cyberespace et cyberattaque – Comprendre et se protéger
La LIO permet à l’État français de disposer de réels avantages sur les théâtres
d’opérations où il intervient. Néanmoins, du fait de la nature même du cyberespace
et des armes qui y sont disponibles, cette doctrine présente certaines limites,
notamment concernant l’utilisation même de cette arme.
Une arme cyber peut être subtilisée ou reproduite, même après avoir déjà été
utilisée une première fois. Il est possible pour les États ou des individus de
récupérer tout ou partie du code malveillant libéré. Une fois récupéré, ce code
peut être modifié à la guise de celui qui l’a, souvent pour le rendre encore plus
nuisible.
C’est l’une des raisons pour lesquelles il est nécessaire de contrôler l’utilisation
de ces armes ainsi que leur processus de création le plus strictement possible.
Si éviter tout détournement ou compromission de ces armes est une noble
idée, si l’industrie de défense classique est habituée à travailler en respectant
un secret de fabrication certain, il n’en est pas de même dans le cyberespace.
Certes, les pirates ne vont pas forcément partager leurs codes malveillants entre
eux, mais à partir du moment où ils le libèrent dans le cyberespace, ils ne leur
appartiennent plus pleinement et ne sont plus un secret.
Ces limites sont mises en lumière par la doctrine française, mais elles valent
pour celles des autres pays.
Le cyberespace, entre droit et doctrines nationales 215
De la LIO à la LID
Cette dimension offensive de la stratégie cyber de la France coexiste avec son
pendant défensif, la lutte informatique défensive (LID). Ainsi, en cas d’attaque
ayant pour cible les systèmes informatiques, les capacités opérationnelles
nationales ou les chaînes de commandement, la LIO va soutenir la LID, notamment
pour caractériser l’attaque et contribuer à y mettre un terme.
La LID est tout aussi importante que la LIO, puisqu’elle « regroupe l’ensemble des
actions, techniques et non techniques, conduites pour faire face à un risque, une
menace ou à une cyberattaque réelle, en vue de préserver notre liberté d’action. »
Pour ce faire, la LID a six missions :
la prévention, qui doit permettre à chacun d’avoir conscience du risque
présenté par cet espace ;
l’anticipation, autant que possible, des éventuelles cyberattaques afin de
disposer des mesures adéquates pour parer à cette menace ;
la protection des systèmes et la diminution au maximum leur vulnérabilité ;
la détection, qui doit aider à déceler tout indice permettant d’identifier
une éventuelle attaque ;
la nécessité de réagir et donc de résister en cas de cyberattaque ;
l’attribution de l’attaque grâce aux indices et preuves permettant d’en
identifier l’auteur.
Au sein du ministère des Armées, la LID est mise en place par chaque état-
major, direction et service, au sein de son champ de responsabilité. Pour autant,
les premiers échelons défensifs concernés par la détection des cyberattaques
sont constitués par les centres opérationnels de cybersécurité. Ensuite, c’est le
CALID (centre d’analyse et de lutte informatique défensive), à l’échelle ministérielle
et sous les ordres du COMCYBER, qui met en œuvre la supervision technique
pour l’ensemble du ministère.
Selon le ministère des Armées : « [le] COMCYBER assure l’ensemble des actions
défensives et offensives dans le cyberespace, pour garantir le fonctionnement du
ministère et l’efficacité des forces armées pour le déroulement des opérations
militaires, à tous les niveaux. Sous l’autorité du président de la République et
du chef d’état-major des armées, il agit en cohérence avec les états-majors
interarmées, des armées de Terre et de l’Air, de la Marine nationale, et des forces
spéciales ainsi qu’avec les services de renseignement. Pour la cyberdéfense
quotidienne, le COMCYBER se coordonne avec l’Agence nationale de la sécurité
des systèmes d’information. »
216 Cyberespace et cyberattaque – Comprendre et se protéger
Pour être pleinement opérationnelle, cette doctrine, associant LIO et LID, s’appuie
sur un personnel spécifique au sein des armées françaises, des cybercombattants.
Ceux-ci ont en charge un large panel d’activités et de missions, allant de l’analyse
d’une action, à la recherche et la veille ainsi qu’à l’anticipation des menaces,
en passant par des tests d’intrusion et des audits. Leurs missions comprennent
également la protection des systèmes d’information et l’investigation numérique.
Ces combattants ont donc des profils variés, à savoir des ingénieurs spécialisés
dans la conception et le développement des logiciels, des spécialistes de
l’administration des systèmes et de leur sécurité, de l’évaluation des systèmes
et de la lutte informatique défensive ainsi que des spécialistes de la veille sur
les réseaux sociaux.
Reste que son potentiel n’est pas encore totalement exploré. Cette arme soulève
encore des questions, notamment celle de son éventuel emploi comme arme de
dissuasion, du fait de sa puissance et de ses capacités de destruction. Pour certains
elle pourrait devenir une seconde arme de dissuasion avec des coûts moins
élevés que ceux de l’arme nucléaire.
Sur ce point, il est possible de relever que depuis 1945, l’arme nucléaire n’a pas
été utilisée, alors que l’arme cyber est quant à elle utilisée plus aisément et
potentiellement plus régulièrement.
Pour être pleinement dissuasive, il est nécessaire que les dégâts causés par cette
arme soient inacceptables et supérieurs aux gains qui pourraient en résulter,
ce qui à l’heure actuelle, ne semble pas être le cas de l’arme cyber, parce que
– a priori – cela n’est pas envisagé, même par les dirigeants de dictatures.
Ces éléments ne permettent donc pas d’envisager l’arme cyber comme un nouvel
outil de dissuasion et ainsi on peut rejoindre l’estimation de Bernard Barbier
selon laquelle l’arme cyber est utilisée actuellement et le restera dans le futur.
Par ailleurs, l’arme nucléaire est détenue par un nombre relativement restreint
d’États, ce qui contribue à sa non-utilisation et donc à l’efficacité de la dissuasion
nucléaire. A contrario, l’arme cyber est potentiellement à la disposition de
chaque État, mais également à la disposition de groupes d’individus sans qu’ils
aient forcément de lien avec un État. Ce qui limite donc la portée du concept
de dissuasion appliqué à l’arme cyber.
Il est d’ailleurs difficile d’envisager que les États possédant ces armes soient
prêts à s’en défaire : « Les États, en effet, ne sont aucunement prêts à renoncer
à leurs prérogatives sur ces “territoires” numériques. »
AVANT DE PLONGER
Évidemment, la France n’est pas le seul État à s’être doté d’une stratégie
concernant l’utilisation de cette arme. D’autres États ont édicté leurs propres
doctrines ou sont soupçonnés de s’être servis de cette arme pour des
motivations qui leur sont propres.
Les doctrines en matière cyber, même si généralement elles visent des objectifs
proches, font montre de spécialisation, d’une certaine manière. Généralement
comme socle, on trouve la défense de la souveraineté avec, pour ce faire,
le développement de capacités cyber offensives et défensives. Ensuite, il n’est
pas rare que les États se spécialisent dans tel ou tel domaine. Par exemple :
« [en] Amérique du Sud, le Brésil est très spécialisé sur tout ce qui est malware
bancaire. En Allemagne, c’est la capacité à assembler des modules informatiques
à la demande pour faire le nouveau “trojan” bancaire. Les pays de l’Est sont
traditionnellement connus pour une belle capacité, entre niveau d’éducation et
capacité à faire de l’informatique et moyens financiers pour créer des équipes
de mercenaires.71 »
Le Royaume-Uni
Le Royaume-Uni a publié en 2011 un plan quinquennal avec un budget
de 860 millions de livres ; ce programme national a permis d’améliorer la
cybersécurité du pays. Puis, en 2016, un nouveau programme quinquennal
a été publié, ce dernier visant à renforcer les infrastructures de cybersécurité
avec un budget de 1,9 milliard de livres, d’ici à 2021.
De plus, est prévue la création d’une nouvelle force cyberoffensive qui serait
rattachée à la fois à l’armée et au service de renseignement électronique (GCHQ).
Les trois objectifs sur lesquels repose cette stratégie sont relativement classiques :
défendre au mieux les institutions du Royaume-Uni et assurer la protection
et la résilience des systèmes ;
assurer la force de dissuasion au sein du Royaume-Uni, faisant ainsi du pays
une cible difficile à atteindre grâce à une combinaison de compétences de
détection, d’identification et de réponses éventuelles ;
développer le secteur cyber ainsi que la recherche liée à ce domaine.
71 ric Chaverou, « Le cyber, nouvelle arme de dissuasion planétaire », France culture, « Le choix de
É
la rédaction », 16 octobre 2017 (https://www.franceculture.fr/emissions/le-choix-de-la-
redaction/le-cyber-nouvelle-arme-de-dissuasion-planetaire).
220 Cyberespace et cyberattaque – Comprendre et se protéger
Les États-Unis
Forcément, les États-Unis ont pris la mesure de la menace que peut représenter
le cyberespace, comme l’illustrent les propos tenus par le secrétaire adjoint à la
Défense, William Lynn : « Au xxie siècle, les octets sont aussi dangereux que les
balles et les bombes […] Quelques frappes sur un clavier d’ordinateur dans un
pays peuvent avoir un impact de l’autre côté de la planète en un clin d’œil. » Mais,
ils y ont aussi vu un potentiel certain, et c’est pour cela qu’ils se sont dotés d’une
stratégie leur permettant de renforcer la sécurité de leurs systèmes informatiques
et d’assurer un niveau de dissuasion adéquat face aux cyberattaques.
Ces systèmes sont une priorité stratégique de taille aux États-Unis, puisqu’il
s’agit de l’un des pays les plus dépendants d’Internet et qui subit certainement
le plus grand nombre de cyberattaques.
Cette problématique a été prise en compte très tôt puisque, dès 1998, Bill Clinton a
signé un décret sur « la protection des infrastructures critiques visant à notamment
éliminer les vulnérabilités de leurs systèmes informatiques au regard d’attaques
cybernétiques comme physiques ». Puis, le président Georges W. Bush a signé
le Presidential National Security directive 54, qui instaure de nouvelles mesures
dans le but de protéger les différents systèmes d’information du gouvernement
face à d’éventuelles attaques informatiques. Enfin, le président Barack Obama
a fait de la cybersécurité une priorité en déclarant notamment : « La menace
cybernétique est l’un des plus importants défis auxquels doivent faire face
les États-Unis, en matière économique et au regard de la sécurité nationale. »
Il a ajouté que : « La prospérité de l’Amérique au xxie siècle dépendra de la
cybersécurité. »
Le cyberespace, entre droit et doctrines nationales 221
En septembre 2018 est parue la National Cyber Strategy of the United States
of America, laquelle présente la stratégie adoptée par les États-Unis concernant
les questions relevant du cyberespace. Cette dernière repose sur quatre objectifs
principaux, le premier consiste à assurer la défense de la « patrie en protégeant
les réseaux, les systèmes, les fonctions et les données. » Pour ce faire, il faut
améliorer la sécurisation des réseaux et systèmes d’information au niveau fédéral.
Il s’agit également d’assurer un niveau de sécurité suffisant pour les infrastructures
critiques et de combattre toute forme de cybercriminalité. Enfin sera améliorée
la déclaration des incidents de sécurité.
Les États-Unis veulent être prêts en cas de difficulté et de conflit. Pour cette
raison, même en temps de paix, ils se préparent à un éventuel conflit en travaillant
sur leurs forces armées, y compris dans le cyberespace.
Les États-Unis s’appuient sur un principe de dissuasion dont les contours ne sont
pas encore très clairs et en cas de cyberattaque, ils envisagent de répondre par
différents moyens : économique, diplomatique ou même militaire.
Joe Biden a donc réagi, à commencer par la nomination d’un « directeur national
cyber ». Il a ensuite nommé un nouveau directeur à la tête de la CISA, l’agence fédérale
chargée notamment de la sécurité informatique dans les infrastructures critiques
(ports, hôpitaux, énergie…) créée trois ans auparavant. Jugeant ses financements
insuffisants, le président Joe Biden a profité de l’un des plans de relance pour lui
accorder de nouveaux financements à hauteur de 650 millions de dollars.
Ces réactions américaines aux dernières cyberattaques montrent à quel point nous
sommes dans une course sans fin entre, d’une part, des « voleurs » qui innovent
en permanence, d’autre part, des faiblesses humaines difficiles à éliminer et des
« gendarmes » souvent en position de réaction.
Les États-Unis peuvent également s’appuyer sur leurs propres spécialistes.
À ce titre, l’une des unités les plus connues est la Tailored Access Operation
(TAO) travaillant au sein de la NSA. Comme nous l’avons vu plus avant (voir
paragraphe 2.1.8, page 79), elle est notamment spécialisée dans l’emploi de
technologies de pointe qu’elle adapte selon ses missions.
La Russie
La Russie est également un État réputé pour ses compétences dans le domaine
cyber. Les actions russes dans le cyberespace trouveraient leur motivation dans
une volonté politique plus générale d’affirmation de la souveraineté géopolitique
russe.
Les actions qu’elle mène dans le cyberespace ont pour but de protéger le
pays d’éventuelles agressions étrangères. Elles sont également un moyen de
compenser un rapport de force estimé défavorable par rapport à l’Occident.
En Russie, le cyberespace est donc un moyen de modifier le rapport de force
existant avec les États-Unis et ce, grâce à la non-létalité de l’arme cyber et à son
caractère asymétrique.
L’outil numérique permet également au pays de conforter une culture stratégique
qui existe bien avant l’avènement du cyberespace, le contrôle de l’information
et son utilisation à des fins stratégiques, tant offensives que défensives étant
une « vieille habitude »…
Avec ce nouvel outil, le Kremlin a développé une stratégie à deux niveaux,
le premier, relatif à la production et la distribution des productions numériques,
le second, plus discret, permettant aux services de renseignement, ainsi qu’à
l’armée, de mettre en œuvre des actions secrètes grâce aux compétences de
citoyens hackeurs. Dès janvier 2000, la doctrine de sécurité nationale russe prend
en compte les considérations liées au numérique. Cette même année, une doctrine
de sécurité de l’information a été adoptée, laquelle passe notamment par une
prise de contrôle presque totale du pouvoir sur les différents médias audiovisuels.
Le cyberespace, entre droit et doctrines nationales 223
En 2013 a été créé l’Internet Research Agency qui est désormais célèbre pour
son action pendant la campagne présidentielle américaine grâce à ses nombreux
trolls. Ces trolls sont des personnes qui seraient ici formées volontairement pour
avoir un comportement générateur de polémiques ou diffamer des personnes
ou des entreprises choisies volontairement.
La Russie tire profit des avantages qu’offre cet outil en matière de stratégie,
de défense et d’intérêt politique. À ce propos, le général Valéri Guérassimov
a déclaré que : « Les règles mêmes de la guerre ont changé. L’utilisation des moyens
non militaires pour atteindre des objectifs politiques et stratégiques s’est accrue,
et dans bien des cas, leur efficacité a surpassé celle de l’utilisation des armes. »
Cette citation renvoie à des opérations offensives menées dans le cyberespace,
comme les incidents en Estonie en 2007 ainsi qu’en Géorgie en 2008 ou encore
l’attaque contre une centrale électrique ukrainienne en 2015.
La Russie utilise le cyberespace essentiellement afin d’effectuer des opérations
de cyberinfluence.
Le cyberespace semble pour elle un moyen pour développer un avantage
stratégique et maintenir une influence, tant à l’intérieur du pays qu’en dehors.
La force de la Russie est de disposer de hackeurs très bien formés et souvent
très attachés aux valeurs de leur pays, ce qui les rend d’autant plus disposés
à mettre leurs compétences à sa disposition.
Les cybercombattants russes ont une solide réputation dans ce domaine. Ainsi,
en 2008, lors du conflit avec la Géorgie, cette dernière a subi des cyberattaques
dès le début du conflit.
La Russie dispose donc de forces spécialisées pour la surveillance et les actions
militaires dans cet espace qui peuvent agir afin de protéger les intérêts russes.
La Russie souhaite affirmer sa souveraineté et ses capacités dans le cyberespace
et, pour cela, elle peut compter sur ces forces.
Comme nous les avons mentionnés précédemment (voir paragraphe 2.1.8,
page 79), il s’agit entres autres des groupes Fancy Bear (ou APT 28) et Cozy
Bear (ou APT 29).
Une autre unité liée au GRU72, Sandworm, également connue comme l’unité 74455,
est soupçonnée d’être responsable de certains piratages, à l’instar de celui contre
les serveurs Exim73 ou d’une attaque à l’encontre de la production d’électricité
ukrainienne.
Certains officiers de ces groupes ont été inculpés, notamment par la justice
américaine, en raison de certains des piratages qu’ils sont suspectés d’avoir
commis74.
La Russie a affirmé dès l’an 2000 que le cyberespace russe était stratégique
et a entrepris de créer un réseau Internet souverain : RuNet. Depuis la loi sur
la « souveraineté d’Internet » de 2019, le gouvernement russe est autorisé
à déconnecter le pays du reste d’Internet afin d’assurer une meilleure protection
du pays contre les cyberattaques. Un objectif que remettent en question les
opposants au régime qui estiment que cet Internet national sera surtout le moyen
de renforcer la surveillance des internautes russes. Pour que cela fonctionne,
les fournisseurs de services locaux doivent obligatoirement acheminer le trafic
Internet via certains points de passage précis qui sont contrôlés par le ministère
russe des Communications.
La Chine
La Chine dispose évidemment de sa propre vision du cyberespace. Elle s’appuie
sur un Internet national, nécessairement beaucoup plus fermé que celui que
l’on connaît. Cet Internet est particulier, car la Chine dispose de la totalité des
strates, data centers, réseaux, applications.
Cet Internet fermé permet aux dirigeants chinois d’éviter toute influence que
pourrait avoir un Internet ouvert et décentralisé et qui serait modelée par ses
utilisateurs.
Cependant, créer cet Internet ne l’a pas empêchée de se doter de réelles capacités
en matière d’espionnage extérieur et d’en faire son activité de prédilection
dans le cyberespace, notamment l’espionnage industriel. La chine est réputée
pour utiliser le cyberespionnage industriel de façon systématique, allant jusqu’à
l’inclure directement dans ces relations commerciales en s’appropriant quasiment
systématiquement les secrets de fabrication.
74 https://www.justice.gov/opa/pr/six-russian-gru-officers-charged-connection-worldwide-
deployment-destructive-malware-and
Le cyberespace, entre droit et doctrines nationales 225
Israël
Un autre pays incontournable lorsqu’on parle de cyberespace est Israël,
sa réputation n’étant plus à faire en la matière. En effet, les capacités israéliennes
dans le domaine cyber sont mondialement renommées, à tel point qu’Israël y est
souvent considéré comme un chef de file. Il exporte une quantité importante de
biens et de services cyber, dépassant de loin la plupart des États.
Les enjeux de sécurité et de protection ont toujours été cruciaux dans l’histoire
d’Israël, qui a fondé sa stratégie militaire sur la dissuasion, l’alerte et les interventions
militaires rapides. Et en matière cyber, cette stratégie est souvent associée à la
conception d’armes très performantes, à l’instar de Stuxnet, que l’on connaît tous.
Stuxnet a été conçu pour être capable de pénétrer le même genre de système
de contrôle industriel que ceux de l’usine d’enrichissement nucléaire de Natanz
– seulement après s’y être introduit, il perturbe le contrôleur des centrifugeuses.
Mais si c’est l’arme que l’on a tous en tête lorsqu’on pense aux capacités cyber
d’Israël, ce n’est pas la seule créée. Israël a notamment utilisé ces armes pour
perturber les défenses aériennes syriennes, facilitant ainsi son raid aérien.
Les applications nous amenant à jouer, à stocker ou échanger des informations par
des voies numériques, et donc à augmenter notre présence dans le cyberespace,
se multiplient. Dans le même temps, notre naïveté face aux escrocs qui se sont
reconvertis sur la toile ne faiblit pas, hélas !
On pourrait hausser les épaules et se dire : « Tant pis pour ces écervelés ! »
Le problème est qu’on ne peut pas imaginer qu’il y a un cyberespace dédié aux
particuliers, un autre aux entreprises et organisations sensibles. Il n’y en a qu’un
seul et nos actes personnels peuvent être à l’origine de graves difficultés pour
des PME, de grandes entreprises, des hôpitaux, des centrales de traitements
des eaux, etc.
Reste que le cyberespace est un champ de bataille où les États se font la guerre et,
là aussi, nous pouvons en être directement victimes (entreprises et organisations)
ou indirectement, en tant qu’usager d’un service public. C’est la doctrine des
États qui entre alors en jeu, pas seulement pour attaquer des pays voyous,
mais aussi pour nous en défendre.
Tout cela est chaîné, nous devons en être conscients parce que nous sommes
les briques de base de cet édifice à la fois virtuel, mais aussi réel.
Conclusion générale
Ces pirates peuvent être mus par l’appât du gain (« toucher le jackpot »), être des
intervenants anonymes d’un « groupe de prestations de services pirates » ou
travailler pour un gouvernement, sachant qu’ils peuvent être tout cela à la fois.
Le seul comportement qui vaille, et qui nous permettra de ne pas être le maillon
faible, est d’être les plus prudents possible. Dans ces pages, nous vous avons
montré un certain nombre de pièges existants. Nous les avons décortiqués et vous
avons donné une série de conseils. C’est une première étape. Ajoutez à cela des
visites régulières sur des sites Internet comme celui de l’ANSSI, la participation
à des conférences… Ainsi, vous éviterez nombre d’écueils sur votre chemin dans
le cyberespace.
232 Cyberespace et cyberattaque – Comprendre et se protéger
Enfin, si vous êtes dirigeant d’entreprise, si vous êtes cadre au sein d’un
hôpital ou encore responsable dans une structure associative, n’hésitez pas à
évangéliser vos troupes. Faites des formations flash, instituez un système de
pop-up qui viendront rafraîchir la curiosité, la perspicacité de vos collègues et
amis et n’hésitez pas à reprendre nos infographies – en en citant les auteurs,
évidemment. Tout est bon pour limiter les risques… cyber.
Au moment où nous achevons l’écriture de ce livre destiné à mieux vous armer face
aux pièges multiples tendus par des pirates avec les armes cyber, nous recevons
cet e-mail :
Le cyberespace, entre droit et doctrines nationales 233
Si vous en aviez été destinataires, il y a de très grandes chances que vous ayez
souri, car tout semble fait pour éveiller notre méfiance.
Aussi, n’hésitez pas à diffuser la bonne parole sur ces pièges numériques qui
font sourire, mais peuvent coûter tellement cher…
Pour le reste, si vous souhaitez aller plus avant sur tel ou tel point, n’hésitez pas.
Vous pouvez nous contacter en utilisant l’adresse e-mail suivante :
contact@thierrybrenet.fr
Table des figures
Nota : les infographies créées par Thierry Brenet sont présentées sur le site
Internet : www.thierrybrenet.fr/infographie/
Références
Bibliographie
Fontaine Gilles, Dans le cyberespace, personne ne vous entend crier, J.-C. Lattès,
2018.
Rid Thomas, Cyber War Will Not Take Place, C. Hurst & Co Publishers, 2013.
Sitographie indicative
ANSSI : www.ssi.gouv.fr
CERT-FR : www.cert.ssi.gouv.fr
Cybermalveillance : www.cybermalveillance.gouv.fr
CNIL : www.cnil.fr
ENISA : www.ssi.gouv.fr
Info Escroqueries :
www.police-nationale.interieur.gouv.fr/Actualites/Dossiers/Info-Escroqueries
Pour autant, nous pouvons tous être victimes et vecteurs d’une attaque cyber car nous
vivons déjà dans « le » monde cyber, que nous soyons salariés, cadres ou dirigeants
d’entreprise et d’organisme public. À ces cibles potentielles, ajoutons les étudiants,
que ce soit dans les labos ou au cours de stages.
Il importe donc, à côté de l’effort de défense évoqué plus haut, de permettre à celles
et ceux qui le souhaitent d’aller plus loin que les lectures fragmentaires que la presse
nous offre régulièrement et c’est l’objet de ce livre.
À vous qui êtes intéressés, voici la clé d’un étonnant voyage dont vous ressortirez
armés pour faire face aux risques cyber. Vous vous serez penchés par-dessus l’épaule
d’un pirate, vous aurez voyagé, vous aurez également appris à démonter l’arme cyber
et à la rendre inopérante.
Ce Nouveau Monde s’est insinué dans tous les recoins de ce que nous appelons
souvent la « vraie vie » et, pour le percevoir dans toutes ses dimensions, ses risques
et ses recoins, ce livre vous fournit les lunettes à utiliser pour le scanner.