Académique Documents
Professionnel Documents
Culture Documents
U R L : w w w. t e r r o r i s m e . n e t / p d f / 2 0 0 6 _ T h e v e n e t . p d f
2006 Cdric Thvenet
Universit de Marne-La-Valle
Institut Francilien d'Ingnierie et des Services Centre d'Etudes Scientifiques de Dfense - CESD
MASTER INGENIERIE DE L'INFORMATION DE LA DECISION ET DE LA CONNAISSANCE Management des Risques option Information et Scurit
Cdric THEVENET
Anne 2004-2005
INTRODUCTION DEFINITION DU CYBER-TERRORISME LES FORMES DE LATTAQUE 1 AFFAIRE DETAT OU DINDIVIDUS ? 1.1 LE CYBER-TERRORISME EST-IL ATTRACTIF ?
1.1.1 Les capacits ncessaires pour mener une attaque 1.1.2 Quels effets ? 1.1.3 Un mode dattaque moins risqu ?
5 6 7 10 10
10 11 12
12
12 13 14
16
16 16 17 18 19 19 20
22 22
22 22 24
24
2.2.1 La recherche de vulnrabilits par les pirates 2.2.2 La rapide propagation des attaques automatises 2.2.3 La persistance des trous de scurit 2.2.4 Les erreurs de programmation 2.2.5 Le risque de luniformit
24 26 27 27 27
28
28 30 32 34 34 35 36 37
38 38
38 42
3.2 RECOMMANDATIONS
3.2.1 Mise en place dune structure de rponse rapide 3.2.2 Programme de rduction des menaces et vulnrabilits
43
43 46
49 51 51 54 56
The FBI believes cyber-terrorism, the use of cyber-tools to shut down, degrade, or deny critical national infrastructures, such as energy, transportation, communications, or government services, for the purpose of coercing or intimidating a government or civilian population, is clearly an emerging threat for which it must develop prevention, deterrence, and response capabilities. Former FBI Director Lois Freeh, Statement before the United States Senate Committee on Appropriations, Armed Services, and Select Committee on Intelligence, May 10, 2001
Its time to work together to address the new security threats that we all face. And those threats just arent missile, or weapons of mass destruction in the hands of untrustworthy countries. Cyber-terrorism is a threat, and we need to work on that together. Remarks at a joint press conference with British Prime Minister Tony Blair, july 19 2001
INTRODUCTION
Aujourdhui, il est communment admis que les terroristes utilisent Internet pour communiquer. Ils font un usage rgulier du World Wide Web pour publier des revendications, des fatwas, les vidos dexcution de leurs otages ou assurer leur propagande. Ils utilisent galement le courrier lectronique, les SMS et les tlphones satellites. Certains pays (Sri Lanka, Indonsie, Mexique) ont reconnu avoir fait lobjet dattaques informatiques ayant fait tomber leurs serveurs au milieu dlections. En Europe, lIRA a diffus, via Internet, des informations sensibles sur les bases militaires anglaises implantes en Irlande du Nord. Toutefois, si toutes ces actions tmoignent de lutilisation des technologies de linformation et de la communication (TIC), elles ne peuvent, pour autant, tre qualifies daction cyber-terroriste. Identifier une action cyber-terroriste consiste dfinir le terrorisme et le placer en perspective avec lattrait que peut prsenter lutilisation des TIC. Nous procderons lvaluation de ses effets et de son attractivit puis identifierons les acteurs ou organisations susceptibles dy avoir recours. Enfin, nous procderons une valuation du risque et proposerons des recommandations visant amliorer la scurit de nos infrastructures sensibles.
DEFINITION DU CYBER-TERRORISME
A ce jour, il nexiste aucune dfinition universelle du terrorisme. Il va donc de soit que la notion de cyber-terrorisme est des plus mallables. Il est galement difficile, dans des dlais raisonnables, de dterminer les intentions, identits ou motivations des agresseurs, qui sont des lments ncessaire la qualification de lattaque. On peut considrer que pour tre qualifie de terroriste, une action doit remplir un certain nombre de critres : lacte doit tre prmdit, motiv par des intrts idologiques, perptr lencontre de non-combattants par des minorits nationales, ethniques, ou des agents clandestins, susceptible dengendrer un tat de panique, dans le but ultime dinfluencer les gouvernants. Le terme terrorisme international implique des citoyens ou des territoires appartenant plus dun pays. Le terme groupe terroriste signifie, tout groupe pratiquant ou ayant un ou des sous-groupes pratiquant le terrorisme international. Le Departement of Homeland Security (DHS) dfinit le cyber-terrorisme comme tant un acte criminel perptr au travers dordinateurs dont rsultent des violences, dcs ou destructions crant un sentiment de terreur destin influencer la politique dun gouvernement1 . En combinant ces dfinitions, on peut dcrire le cyber terrorisme comme tant ; une
utilisation motive par des croyances religieuses ou politiques, dordinateurs ou de rseaux de tlcommunication, comme arme ou cible, ainsi que leur destruction physique, par des minorits ethniques, religieuses, ou des agents clandestins, dans le but dexercer des violences lencontre dune population non combattante, entranant des pertes humaines ou des destructions, dans le but dinfluencer lopinion publique ou le gouvernement. Cette dfinition est toutefois limitative car elle ne considre pas les effets secondaires dun dysfonctionnement majeur des systmes informatiss. On peut titre dexemple citer : la perte de confiance en lconomie numrique, les pertes boursires, les accidents dans les transports ou encore les problmes dapprovisionnement deau et dlectricit.
The truth about cyberterrorism by Scott Berinato. Definition de Ron Dick, 2002, Directeur de NIPE. <http://www.cio.com/archive/031502/truth.html>
6
Caractristiques de lattaque physique sur les rseaux informatiques Une attaque physique interrompt la disponibilit des ordinateurs et interdit de fait laccs aux donnes. Elle consiste en lutilisation darmes conventionnelles crant chaleur, onde de choc et/ou fragmentations dans le but de dtruire physiquement les quipements. Elle peut aussi rsulter dune utilisation directe des quipements aprs une pntration dans des locaux daccs restreint. A titre dexemple le Pentagone a confirm, lundi 3 mai 1999, l'utilisation par l'OTAN d'une arme spciale, sur laquelle il n'a donn aucune prcision et qui aurait eu pour effet, dans la nuit du dimanche au lundi, puis dans la journe qui a suivi, de perturber le rseau haute tension alimentant en lectricit plusieurs des grandes villes de Yougoslavie, commencer par Belgrade. Ce que nous avons fait, a expliqu un porte- parole, c'est de dmontrer notre capacit teindre le systme lectrique quand nous le voulons, sans dtruire les infrastructures de base du ravitaillement.3 Caractristiques de lattaque lectronique Les attaques lectroniques font le plus souvent rfrence des impulsions lectromagntiques 4 capables dinterrompre le fonctionnement dinfrastructures informatiques en provoquant une surcharge dnergie sur les cartes mres, transistors, et, en rgle gnrale, tout systme reli une antenne. Les impulsions lectromagntiques peuvent traverser les murs des locaux informatiques o elles provoquent leffacement des mmoires, perturbent lexcution des programmes ou endommagent dfinitivement les composants lectroniques. Ainsi, une attaque par impulsion lectromagntique (EMP) haute altitude pourrait fortement perturber le fonctionnement de la socit et, considrant la dpendance croissante des armes vis vis de llectronique, amputer gravement leurs capacits.
3 4
En tlcommunication, la pulsation ou impulsion lectromagntique, Electro Magnetic Pulse (EMP) en anglais dsigne une mission radio brve et de trs forte amplitude. La principale application est militaire : brouillage des tlcommunications et destruction de matriels radios distance. Les champs lectriques et magntiques intenses gnrent des tensions et courants destructeurs pour un appareillage radio non-protg. La parade est l'appareil radio de quatrime gnration tel le PR4G par Thomson blind suivant le principe de la cage de Faraday contre les rayonnements lectromagntiques et modulation par vasion de frquence (EVF) chiffre.
A contrario, le Ministre de lintrieur Amricain5 dclare que les quipements civils utiliss ce jour sont peu vulnrables et que les locaux qui hbergent les infrastructures sensibles sont bien construits et prsentent des protections suffisantes. La construction et lutilisation dengin EMP parait au-del des capacits des principaux groupes terroristes. Toutefois, les nations soutenant le terrorisme ont aujourdhui la capacit de produire un engin fonctionnel sur une porte limite. Caractristiques de la cyber-attaque Une cyber-attaque altre lintgrit ou lauthenticit des donnes, habituellement au travers de lusage de code malicieux, destin perturber le fonctionnement des programmes. Les pirates informatiques6 peuvent, laide doutils automatiss, parcourir Internet la recherche dordinateurs dont les mises jour nont pas t faites ou dont la configuration est dfaillante afin den prendre le contrle distance. Il est galement possible de faire usage de petits programmes, appels vers7 ou virus, qui vont se propager par leurs propres moyens et effectuer les tches pour lesquels ils ont ts conus. La difficult est de provoquer des dysfonctionnements suffisamment tendus pour quils affectent directement, ou indirectement, le monde physique.
5 6
Un pirate informatique dsigne un individu exerant l'une des activits (ou les deux) : - pntre illgalement un systme dexploitation ou un serveur en cassant ses systmes de scurit; - copie illgalement des logiciels, en passant outre enregistrement et processus de protection. <http://www.journaldunet.com/encyclopedie/definition/223/43/20/cracker.shtml>
7
Un ver est un programme parasite. Il n'est pas forcment auto-propageable. Son but est de grignoter des ressources systme : CPU, mmoire, espace disque, bande passante... Ces petits bouts de programme sont dpendants du systme d'exploitation ou d'un logiciel. Ils se propagent, comme toutes donnes binaires, par disquettes, CD ROM, rseaux (LAN ou WAN)... Depuis la dmocratisation des virus (due notamment la prolifration des gnrateurs de virus), le nombre de nouveaux vers est en net recul. Cependant, il en existe toujours. <http://www.commentcamarche.net/virus/worms.php3>
9
peut donc penser que ce recours linformatique comme assistance la lutte soit les prmices dun usage plus offensif.
10
Certains experts estiment que la planification dune cyber-attaque, structure et tendue, dirige contre de multiples systmes et rseaux, incluant la surveillance des cibles, le test de nouveaux outils, ainsi que la constitution et la formation dune quipe prendrait entre deux et quatre ans. La planification dune attaque massive requrant une coordination complexe, visant causer une interruption gnralise du rseau Internet prendrait six dix ans de prparation.
Le terme warez est une dformation du mot anglais wares, bien qu'on y voit aussi une contraction de fantaisie de where is, qui se prononce d'ailleurs de la mme faon. On nomme ainsi la mise disposition illgale de contenus protgs, que ce soit par Internet le plus souvent mais aussi par cdrom ou toute forme de copie de fichier.
9
De mme certains pensent que tant quune cyber-attaque ne provoquera pas de dommages physiques ou humains, elle ne sera jamais considre comme srieuse, tout au moins jamais aussi srieusement quune attaque biologique, chimique, ou nuclaire.
La biomtrie est couramment utilise, seule ou associe l'anthropomtrie, afin d'identifier des personnes sur la base de caractristiques physiques individuelles. Les techniques d'identification par la biomtrie servent principalement des applications dans le domaine de la scurit, comme le contrle d'accs automatique, un tel dispositif tant qualifi de systme de contrle biomtrique.
11
Un dfacement est un anglicisme dsignant la modification non sollicite de la prsentation d'un site Web, suite au piratage de ce site. Il s'agit donc d'une forme de dtournement de site Web par un pirate. Le mot anglais, qui provient de l'ancien franais desfacer , peut tre rendu par dgradation ou vandalisme .
12
Internet permet dengager la lutte contre lennemi sans perdre de prcieux candidats au suicide, il permet de diffuser volont messages de revendications, vidos dexcutions12 , indications sur la fabrication de bombes, guides de fabrication de produits chimiques, etc. Les groupes les plus marquant sur ces dernires annes sont Al-Qaida muslim alliance crew, Muslim online syndicate, GForce Pakistan, PHC (Pakistan Hackers Crew). Parmi les sites jihadistes les plus violents on note www.qalah3h.net, www.islammemo.cc ou www.alikhlas.com.
jalousement gards et les exploits dcouverts troqus en fonction des besoins. Ce type de pirate est efficace et nattire pas lattention, ce qui lui permet doprer de manire effective. Certains groupes de pirates informatiques ont des intrts politiques ou religieux qui dpassent le cadre national, il sont parfois qualifis dhacktivistes ; l'hacktivisme est une contraction de hacker et activisme qui fait rfrence au savoir faire technologiques et lanalyse politique. Lhacktiviste infiltre des rseaux et met son talent au service de ses convictions politiques en organisant des attaques informatiques : piratages, dtournements de serveurs, remplacement de pages d'accueil par des tracts. Dautres sont motivs par largent et lis des organisations criminelles et sont prts vendre leurs services aux plus offrants. Aujourdhui, les informations portant sur les vulnrabilits des logiciels et systmes sont vendre sur un march noir en ligne. On y trouve, par exemple, les adresses de 5000 ordinateurs dj infects et prts tre utiliss distance pour lancer une attaque. Le prix de vulnrabilits non publies peut varier de 500 5000 dollars en fonction de leur importance. Les acheteurs de ces informations sont les compagnies spcialises dans le spamming (envoi massif et non sollicit de courriel), les organisations criminelles et les agences gouvernementales.
12
Dans une vido diffuse lundi 20 septembre 2004 sur un site Internet islamiste, le groupe du terroriste Al-Zarkaoui revendique l'excution d'un otage amricain, Eugene Jack Armstrong. L'homme est gorg puis dcapit. Le Monde, Un nouvel otage est dcapit, la guerre s'enfonce dans la barbarie, 20 septembre 2004
13
HAMAS14 ou du Front de libration de la Palestine. La Libye Malgr les rcents accords passs entre les Etats-Unis dAmrique, la France et lONU dans le but dindemniser les victimes des attentats du vol PAN AM 103 (qui a explos au dessus de Lockerbie en 1988) et du DC 10 dUTA le 19 septembre 1989, la Libye reste considre comme un tat pouvant avoir recours au terrorisme.
13
L'ayatollah Ali Khamenei (1939, Mechhed-) est le Guide Suprme ou Rahbar de la Rpublique islamique d'Iran. Il tait l'une des principales figure lors de la rvolution islamique contre le chah Mohammad Reza Pahlavi et l'un des principaux confidents de l'ayatollah Khomeini. Hamas est une abrviation pour Harakat al-Muqawama al-Islamiya (en arabe : Le mouvement de rsistance islamique ).
14
14
La Core du Nord La Core du Nord nest pas connue pour avoir favoris des actions terroristes depuis lexplosion dun avion de ligne de la Korean Airlines en 1987. Lors dun sommet avec le premier ministre Japonais Koizumi Pyongyang en septembre 2002, le chef dtat, responsable de la Commission de Dfense Nationale15 Kim Jong Il, a reconnu limplication de la Core du Nord dans lenlvement de citoyens Japonais en assurant que les responsables avaient t punis. Depuis une dizaine dannes, la Core a adopt une stratgie militaire base sur lavantage asymtrique afin de compenser ses maigres ressources par des effets disproportionns linvestissement initial16 . Dans ce contexte, la Core du Nord a commenc dvelopper et acqurir du matriel de haute technologie comme des missiles longue porte et pourrait avoir men avec succs des essais nuclaires. Dans le mme temps, le rgime a investi dans la recherche et le dveloppement de matriel informatique et de logiciels17. La Syrie Le gouvernement syrien a continu fournir un support politique et oprationnel au Hezbollah libanais ainsi quaux groupes terroristes palestiniens. Le Front Populaire de Libration de la Palestine et le jihad Islamique Palestinien, entre autres, continuent doprer depuis le territoire syrien. Nanmoins, la publicit de ces groupes a grandement diminu. Les syriens ont officiellement condamn le terrorisme international mais continuent de faire une distinction entre le terrorisme et la lutte arme quils considrent lgitime.
15 16
Edward B. Atkeson et Peter Gillette, North Korea: The Eastern End of the Access of Evil, Landpower Essay, November 2002, p. 3
17
Alexandre Mansourov, Bytes and Bullets: Impact of IT Revolution on War and Peace in Korea, October 2002
15
1.3.2 Inde
Le projet de rforme de larme indienne datant de 1998 prvoyait quavant 2002 tous les officiers suprieurs devraient tre forms linformatique. En 1999, lInde se dotait dun Institut des Technologies de lInformation20 et les premiers cours taient donns sur le campus temporaire de Hyderabad dans le but de former les tudiants aux rudiments de la cyber-guerre.
18
Le barrage des trois gorges reprsente jusqu'ici le plus grand barrage, en l'occurrence le plus grand projet infra structurale dans l'histoire de l'humanit. Dans un dlai de construction prvu de 17 ans, au Jangtskiang, proximit de la ville Yichang la fin du fameux paysage naturel des "trois gorges" doit tre tabli un barrage dont la dimension n'a encore jamais t atteinte.
19
George J. Tenet, Directeur de la CIA, Testimony Before the Senate Committee on Government Affairs, June 24, 1998. http://www.cia.gov/cia/public_affairs/speeches/1998/dci_testimony_062498.html
20
Dans le mme temps, taient cres trois instituts militaires dlivrant un enseignement ax sur les technologies de linformation. En 2002, est ne lUniversit de Dfense Nationale (National Defense University) dont lobjet est la guerre de linformation et la rvolution numrique. Rcemment, les premier diplms dune licence en informatique sont sortis de cette cole. Paralllement, lInde a galement mis au point une stratgie de cyber-guerre incluant lassistance du secteur priv du logiciel, si cela savrait ncessaire. Le dveloppement de moyens par le gouvernement indien sexpliquerait notamment par les activits offensives du Pakistan dans le domaine numrique. Selon Ankit Fadia, un consultant en scurit informatique indien, les services de renseignements pakistanais paient des pirates occidentaux entre 500$ et 10.000$ pour defacer des sites Indiens. Les groupes hacktivistes dfacent selon lui jusqu soixante sites par mois. LInde sest donn les moyens dune relle politique de dveloppement informatique et a fait en sorte dintgrer la cyber-guerre dans sa doctrine militaire. Aujourdhui, lInde possde un puissant rseau de programmeurs et des centres de formation qui en font un acteur incontournable dans le monde informatique.
1.3.3 Iran
LIran souvre aux technologies de linformation en rponse des besoins militaires et conomiques. La tendance la militarisation et lisolationnisme conomique pousse lIran tudier avec intrt la piste des armes non-conventionnelles, incluant une connaissance avance des nouvelles technologies. Certains lments laissent penser que la nation iranienne a commenc dvelopper une capacit de cyber-guerre dans le but de compenser les carences de son arme. Lobjectif de la politique iranienne est de dvelopper le secteur des technologies de linformation tout en conservant le monopole et le contrle des accs Internet.
17
LIran doit grer avec perspicacit les contradictions inhrentes un dsir de dveloppement et dinnovation associes une ingrence permanente de ltat. Laccs aux sites Internet, depuis le domicile ou depuis les cyber-cafs, est limit, de par son cot financier, une minorit aise. Les moyens consentis par les autorits iraniennes dans le contrle de lInternet indiquent une matrise des technologies de linformation susceptible dtre utilise dans des actions de cyber-guerre.
1.3.5 Pakistan
Le Pakistan semble concentrer ses efforts dans la prparation dune parade aux capacits indiennes en matire de cyber-guerre. Le Pakistan prsente une menace pour le rseau mondial en raison de sa population croissante de jeunes pirates informatiques. On peut constater que ceux-ci sont souvent politiquement actifs, on les trouve au coeur des conflits du monde rel. Ils sont actifs au Cachemire mais aussi en couverture sur les thtres doprations impliquant des musulmans. Il est probable quen rponse lInde, le Pakistan tudie une manire dexploiter plus
efficacement ses ressources humaines en matire de cyber-guerre dans le but de provoquer de fortes perturbations voire un croulement du rseau Indien.
1.3.6 Russie
La Russie, malgr son marasme conomique, conserve de relles capacits en matire despionnage et possde toujours dimportantes ressources, notamment en hommes. Les capacits de cyber-guerre russes ont t mises en lumire depuis milieu des annes 90 et trouvent leur illustration dans le cadre du conflit Tchtchne. Durant le premier conflit (1994-1996), les Tchtchnes assuraient la propagande lie au conflit car le gouvernement russe taisait ses propres actions militaires permettant aux Tchtchnes de les annoncer via leurs propres canaux de communication. Au dbut du second conflit (1997-2001), le gouvernement russe a compris lintrt de contrler des mdias et de filtrer linformation sortant de Tchtchnie. Les Tchtchnes ont mis en place des sites hbergs en dehors de la Russie comme kavkaz.org ou qoqaz.net.my localiss en Malaisie. Sur ces sites, il tait possible de tlcharger des vidos des attaques russes, de voir des photos de Tchtchnes en action. Rapidement sont apparus des sites alternatifs www.qoqaz.net22. La multiplication des sites laisse apparatre une action offensive de la part de la Russie.
22 www.qoqaz.net donna naissance plusieurs miroirs: www.qoqaz.de, www.qoqaz.com et www. qoqaz.net.my afin que lorsque lun des miroirs tait attaqu et dconnect les autres puissent continuer diffuser linformation.
19
Ainsi, en 2002, les rebelles Tchtchnes ont reconnu que deux de leurs sites, kavkaz.org et chechenpress.com, avaient t dtruits par le Federalnaya Sluzhba Bezopasnosti (FSB ex-KGB). La destruction de ces sites correspond au moment de lassaut du thtre de Moscou par les forces spciales le 26 Octobre 2002. Moscou a dmontr sa volont dutiliser toutes les armes sa disposition, y compris la lutte informatique et a prouv sa capacit oprationnelle. La Russie est donc considrer, tant par son vivier de pirates peu scrupuleux que par lefficacit de ses services de renseignements, comme un pays possdant une relle possibilit de nuisance sur le rseau.
20
La cyber-guerre est donc une option de la politique trangre amricaine. Toutefois deux problmes freinent son usage : - lexemple rcent le plus frappant des dbats autour du JFCCNW concerne la diffusion sur Internet de la mort de lotage civil amricain en Irak, Nicholas Berg. Un vif conflit avait alors oppos au sein du CNA les partisans du laisser faire ceux qui auraient souhait que lon dtruise immdiatement le site qui diffusait la vido de lexcution. Lgalement, le JFCCNW ne pouvait intervenir, alors quune attaque par dni de service sur le site incrimin, par exemple, aurait t potentiellement ralisable. Ds la mise en ligne de la vido, le groupe pouvait dtruire lectroniquement le serveur malaysien al-ansar.net, qui hbergeait le site de diffusion de la vido. Mais ici, cest la question du premier amendement de la constitution (libert dexpression) qui se pose, et par l une censure contre le peuple amricain. - lautre problme vient du risque de dclencher une attaque virale sans prcdent sur le net. Hors, personne, pas mme le JFCCNW ne peut dire quels seraient les effets dun virus sur la globalit des rseaux mondiaux aprs quil ait accompli une mission offensive cible. La directive principale reste donc, ce jour : fire and forget23.
23
24
Le sigle SNMP signifie Simple Network Management Protocol (protocole simple de gestion de rseau en Franais). Il s'agit d'un protocole de communication qui permet aux administrateurs rseau de grer les quipements du rseau et de diagnostiquer les problmes de celui-ci.
25
Un bug, mot anglais francis en bogue, est une anomalie de fonctionnement d'un programme informatique
22
impliquer un double voire un triple effet26. Par exemple, la libration dun ver peut engorger des rseaux, entranant la perte de serveurs, qui, sils sont importants, peuvent conduire des ruptures dapprovisionnement en lectricit, des perturbations dans les transports, etc. - En 2003, le ver Blaster a caus une trs forte perturbation des communications entre les machines connectes Internet, ceci pendant plusieurs journes. Il semblerait quil ait galement accentu le degr de svrit de la rupture dapprovisionnement dlectricit en perturbant les retours dinformations entre les diffrents centres27. - Le jeudi 19 mai 2005, vers 19h15, le Samu et les sapeurs-pompiers de Paris ont t confronts un encombrement de lignes en raison d'un dysfonctionnement du serveur Free pendant une heure et demie. Toutes les personnes, ds lors qu'elles composaient un numro au moyen de leur tlphone branch sur leur Freebox28 , tombaient sur le 15 ou le 18 Paris. - Dans un rapport confidentiel (annexe A), larme Amricaine fait un point prcis sur les circonstances qui ont men, le 4 mars 2005, la mort du chef de poste Italien Calipari lors de la libration de lotage italienne Giuliana Sgrena. On y apprend que les forces qui tenaient le barrage routier nont pas eu connaissance de larrive du convoi Italien car leur liaison Internet VoIP (Voice Over Internet Protocol) ne fonctionnait plus. Cest l un exemple concret deffet secondaire imprvisible, caus par un dysfonctionnement informatique, ayant entran une perte humaine.
26
Deborah P. Glass, Cyberterrorism versuses Cyberwar: at what Point does the Department of Justice turn over Cyber Incidents to the Department of Defense? (Carlisle Barracks, PA: U.S. Army War College, 2001), 5.
27
Le ver W32.Blaster pourrait avoir contribu leffet domino du 14 aot 2003. Limpossibilit dchanger rapidement des donnes entre les diffrents centraux lectriques aurait empch les oprateurs de contenir la propagation de la coupure de courant.
28
La Freebox est un appareil lectronique fourni par le FAI franais Free ses abonns ADSL. Cet appareil sert principalement de modem ADSL, mais permet aussi Free de proposer des services ajouts utilisant le support ADSL, comme la tlvision (via une prise pritel) ou la tlphonie (via une ou deux prises RJ-11 selon les modles). Elle peut galement faire office de routeur en utilisant ou non le systme de transmission sans fil ASFI (traduction franaise du Wi-Fi).
23
Lavantage de lautomatisation du processus de dcouverte tient dans la constitution de bases de donnes contenant, pour chaque domaine ou adresse IP, la configuration de la machine, cest dire, son systme dexploitation29, les services actifs et leur version. Lautomatisation permet galement une temporisation du processus de prise dempreinte qui rend sa dtection par les dtecteurs dintrusions30 (IDS) plus difficile. Le principe est ici de rpartir les coups de sonde sur plusieurs jours, voire plusieurs semaines afin de les noyer dans le flux quotidien sans attirer lattention des administrateurs. Ds la dcouverte ou la publication dune faille, les pirates disposent de listes de machines vulnrables, grce aux bases de donnes o sont inscrites les adresses IP des machines scannes. Ils ont ainsi, ds la publication de la faille, un ensemble de machines vulnrables quils vont pouvoir utiliser ou revendre. Selon les observations des Computer Emergency Response Team31 (CERT), il faut parfois plus dun mois pour patcher la majeure partie dun parc informatique, ce qui laisse beaucoup de temps aux pirates pour compromettre les machines de leur choix. Les ordinateurs compromis peuvent devenir des bots, cest dire des machines contrles distance ou semi-autonomes, capables dinfecter dautres ordinateurs. Un individu peut alors, par ce systme, contrler simultanment des centaines voir des milliers de machines compromises. Le pirate ayant le contrle de ces bots, peut, laide dun tunnel chiffr, espionner les dtenteurs des machines et sapproprier discrtement les donnes quelles contiennent. Il peut aussi donner lordre de lancer une attaque distribue massive contre un serveur cibl. Mme si les ordinateurs sont patchs et totalement jour, ils ne sont pas labri dune vulnrabilit.
29
Le systme d'exploitation (en anglais Operating System ou OS) est charg d'assurer la liaison entre les ressources matrielles par les pilotes et l'utilisateur par les applications (traitement de texte, jeu vido, etc.)
30 31
Les CERT (Computer Emergency Response Team) sont des centres d'alerte et de raction aux attaques informatiques, destins aux entreprises et/ou aux administrations, dont les informations sont gnralement accessibles tous. Le CERT conseille sur l'attitude adopter (protections immdiates, demande d'enqute par les autorits nationales de scurit, dpt de plainte) et diffuse l'alerte vers d'autres organismes ou vers les CERTs trangers, en cas d'attaque extrieure.
25
SQL Slammer
Welchia Nachi
Blaster
Witty
D'aprs un article de Patrick Chambet, (Edelweb), paru dans la revue "confidentiel scurit" d'avril 2005.
26
Si des virus comme Slammer ou Nimda34 ont pu provoquer une telle raction en chane cest parce que presque toutes les machines de la plante utilisaient le mme systme dexploitation produit par Microsoft. Certes un parc informatique homogne est plus facile administrer ; les correctifs de scurit sont les mmes pour toutes les machines, les modifications de configurations sont valables partout et les administrateurs nont pas faire leffort de se former sur deux systmes diffrents. Mais cela signifie galement que tout le parc informatique est vulnrable en mme temps, aux mmes failles et que si lon subit une attaque, il va tre impossible de stopper linfection sans dconnecter les machines et les teindre le temps des rparations.
2.3.1 Prambule
Lors de la confrence BlackHat Asie 2003, lquipe de la socit Sensepost, originaire dAfrique du Sud, a prsent une nouvelle forme dattaque. Considrant que la plupart des attaques via le rseau ne font pas suffisamment mal ils ont imagin une approche plus subtile que les classiques dnis de service distribus35. Le prdicat de dpart considr par ces chercheurs est que les administrations sensibles ainsi que les grosses socits ne sont pas suffisamment interconnectes Internet pour quune attaque venant de l'extrieur puisse les heurter au point de les paralyser.
34
Nimda partage en criture le disque de la machine infecte, se transmet aux autres ordinateurs du rseau via les dossiers partags, sature les serveurs de mail, scanne massivement le port 80 des serveurs web et provoque des dgradations de performance voire des dnis de service.
35
Le "Distributed denial-of-service" ou dni de service distribu est un type d'attaque trs volu visant faire planter ou rendre muette une machine en la submergeant de trafic inutile. Plusieurs machines la fois sont l'origine de cette attaque (c'est une attaque distribue) qui vise anantir des serveurs, des sous-rseaux, etc. D'autre part, elle reste trs difficile contrer ou viter. C'est pour cela que cette attaque reprsente une relle menace. <http://www.securiteinfo.com/attaques/hacking/ddos.shtml>
28
Forts de cette rflexion, ils se sont interrogs sur leurs besoins pour mener bien leur projet. Leur rponse a t : Nous avons besoin dattaques cibles, effectives et automatises, suffisamment coordonnes et tendues pour paralyser un pays. Loutil le plus appropri est apparu comme tant un ver36 . Cela fait dj longtemps que la pertinence des attaques depuis Internet est dbattue. Si lon devait les scinder en deux groupes, on placerait dun cot les attaques par DDoS et de lautre les intrusions 37. Ces deux mthodes semblent inefficaces pour paralyser un pays. Si un dni de service est dplaisant, il est largement inefficace contre les rseaux internes des socits et des administrations vises. Pour les organismes non intensivement relis Internet (ex: militaires), ce type dattaques ne pose pas de rel problme car elles peuvent couper leur connexion sans affecter leurs organes de commandement et dinformation. Le second type dattaque, le hacking in, pose un gros problme pour tout organisme publique ou priv, mais l'chelle dun pays il est difficile dimaginer que suffisamment dunits, dans le mme secteur, soient touches de manire simultane. Mme avec la dcouverte dun 0day 38 les pirates nauraient pas une connaissance suffisante de la cible laquelle ils sattaquent. La cration dun ver utilisant un 0day virulent capable de toucher simultanment tous les domaines spcifiques dun pays devient, la lumire de cette rflexion, un concept trs intressant. On considre quil existe aujourdhui une vingtaine de bons 0days en circulation dans les milieux alternatifs, dune valeur financire tournant autour de 3000 dollars et pouvant atteindre beaucoup plus. Le temps de recherche est denviron une dizaine de jours pour trouver une faille exploitable dans Windows XP SP2.
36 37
Lintrusion, ou hacking in: terme dsignant les mthodes (lgales ou non) visant "casser" des protections (ds qu'une protection a t cass ou est susceptible d'tre cass...on parle alors de faille).
38
Un 0day (zro jour) est une vulnrabilit pour laquelle il nexiste pas de correctif. Kostya Kortchinsky, responsable du CERT RENATER, 0day SSTIC 05 Rennes.
29
30
On constate aujourdhui que lindustrie de la scurit sest oriente vers la cration dun primtre destin devenir infranchissable. On peut comparer ce concept un igloo, dur l'extrieur et tendre lintrieur. Dans toutes ces valuations lquipe Sensepost a trouv, un degr ou un autre, au sein des intranets, des vulnrabilits qui auraient du tre corriges et qui ne demandaient qu tre exploites 39. Beaucoup de ces vulnrabilits existaient depuis longtemps, mais il y a trs peu dadministrateurs en charge du management de rseaux tendu qui pourraient honntement prtendre quaucune dentre elles nest prsente sur leur parc. Pourtant toutes ces vulnrabilits permettent une prise de commande distance. Nombreux sont ceux qui saccordent dire quun ver exploitant un 0day, lanc sur des rseaux internes, pourrait infecter un grand nombre de machines. Combin avec un dni de service, un tel ver pourrait paralyser jusquaux plus grands des rseaux locaux40 . Quand on cre un ver qui doit oprer exclusivement sur un rseau local, on doit garder lesprit un certain nombre de rgles: - Le ciblage de nouvelles victimes est sensiblement diffrent des vers bass sur Internet. - Le ver va se propager la vitesse maximale permise par linfrastructure physique du rseau local. La propagation par elle-mme pourrait causer un DDoS. - La composante du DoS de tous les vers doit tre synchronise une large chelle. - La communication entre les vers doit tre possible, attendu que les rseaux ne sont gnralement pas suffisamment segments.
39
- Microsoft IIS (4) MSADC - Microsoft IIS (5) printer extensions - Microsoft IIS (5) Webdav - OpenSSL < 0.9.6
40
Un rseau local, appel aussi rseau local d'entreprise (RLE) (ou en anglais LAN, local area network), est un rseau permettant d'interconnecter les ordinateurs d'une entreprise ou d'une organisation. Grce ce concept, datant de 1970, les employs d'une entreprise ont disposition un systme permettant : d'changer des informations, de communiquer et davoir accs des services divers.
31
- En lancant des fichiers excutables 41 (.exe), linfection des machines qui nont pas t touches par les vulnrabilits mentionnes plus avant doit tre possible.
41
En informatique, un fichier excutable est un fichier contenant un programme et identifi par le systme d'exploitation en tant que tel. Il existe deux types de programmes excutables : les scripts textes interprts par un programme, intgrs directement au systme d'exploitation (shells) ou non (perl, php...) et les programmes binaires compils pour un systme spcifique.
32
Dans le diagramme ci-avant nous considrons que le ver a deux points de dpart, nous les nommons patient 0a et patient 0b (P0a et P0b sur le diagramme). Nous considrons que les vers ne vont pas rinfecter les machines conquises mais quau contraire, ils vont se signaler eux-mmes aux autres instances tentant de les infecter. On introduit ici un concept de voisinage. Notre voisin est: - La machine qui nous a infect. - La machine que nous avons infect. - La machine avec laquelle vous avez t en contact et qui a dj t infecte. Le diagramme ci-avant montre une infection en progression. Le patient 5b a trouv que les patients 4a et 9a ont dj t infects, ils sont alors considrs comme voisin de 5b. Le patient 3a a comme voisin 10a, 9a(dj infect), 0a(il nous a infect) et 7a, 2a, 6a et 10b (nous lavons trouv infecter quand nous nous sommes mis la recherche de machines encore saines). Quand une nouvelle infection se produit, la machine lorigine de linfection diffuse un message tous ses voisins afin de se faire connatre des autres instances du ver et tre ajout la liste voisinage. En coutant les informations diffuses, lors de linfection, les diffrentes instances du ver se tiennent informes de ltat du parc informatique. Quand ils ne reoivent plus dannonce de contagion pendant une priode donne, on peut considrer que toutes les cibles vulnrables du rseau ont t contamines. Il est maintenant possible de faire tomber le rseau en lanant lattaque.
33
42
Lavalanche de requtes tant conditionne par la vitesse des cbles, on peut atteindre jusqu 1 Gigabit/s sur un rseau ethernet contre 0.02Gb/s avec de lADSL.
43 44 45
Secure Socket Layer (SSL) est un protocole de scurisation des changes sur Internet. Sigle signifiant uniform resource locator en anglais, littralement repre uniforme de ressource .
On ne peut pas blmer un utilisateur non-technicien travaillant pour la compagnie xxx de suivre les instructions venant de direction-informatique@xxx.fr et ayant pour objet nouvel conomiseur dcran, cliquer aprs le tlchargement et qui contient un lien vers https://...
34
Une fois lanc, lexcutable que lquipe Sensepost a conu extrayait le nom dutilisateur de la variable denvironnement, ouvrait un navigateur invisible et se connectait un site sous leur contrle, envoyait une requte vers un fichier html avec le nom dutilisateur comme paramtre. Les rsultats sont les suivants: - Le courriel a t envoy treize personnes. - 8 ont tlcharg le fichier .exe (60%). - 5 ont execut le .exe (38%) et une personne la excut 3 fois. Comme le ver est virulent, une seule excution est ncessaire sa mise en place. Une fois excut, il trouve lui mme son chemin vers dautres machines infecter. Si cinq membres de lquipe de scurit du secteur financier lont excut, combien de membres du marketing, des ventes, du back-office ou du management lauraient fait ?
35
francoise.bilxxxx@defense.gouv.fr,
Lautomatisation du processus peut se raliser facilement grce un script perl46. ex: le journal Hurriyet en Turquie possde le domaine hurriyet.com.tr. $ perl courriels.pl hurriyet.com.tr $ received 83 hits Lenvoi dun courrier 83 employs du journal Hurriyet laisse apparatre une trs grande chance de voir un individu tlcharger et excuter lconomiseur dcran.
46
Perl (acronyme de Practical Extraction and Report Language ou Langage Pratique d'Extraction et de Rapport) est un langage de programmation cr par Larry Wall en 1987.
36
- Business dominant (secteur dactivit qui dans un pays donn produit une large part du PIB) ; - Services Mdicaux.
2.3.8 Lexploitation
Lors de la runion Black-Hat 2003, lquipe de Sensepost a agrment son outil dune interface graphique. A laide dune mappemonde comportant une projection de lensoleillement (On lit moins ses courriels la nuit), on dsigne son continent puis on choisit son pays. Le fait de cliquer sur le pays affiche les domaines des principales compagnies et organisations nationales. Le logiciel offre la possibilit de choisir les secteurs attaquer : Fournisseurs dnergie ; Providers tlcoms ; Les journaux ; Lactivit dominante (variable selon les pays) ; Les sites gouvernementaux ; Les sites militaires ; Les services financiers ; On peut y choisir autant de secteurs souhaits. A lissue de la slection, lutilisateur active lenvoi des courriels contenant le ver ou un lien permettant de le tlcharger. Ceci clt la phase livraison du processus et lance lattaque, entranant les consquences que lon imagine. La faisabilit dune attaque massive semble, la lumire de cet exemple, moins improbable et digne de considration.
37
3 ENJEUX ET RECOMMANDATIONS
En mai 1999, le General Accounting Office (GAO), a annonc que ses quipes avaient facilement perc les dfenses informatiques protgeant des informations vitales de la NASA. Un pirate pourrait aisment pntrer le systme en utilisant des comptes avec des mots de passe faciles deviner, voire pas de mot de passe du tout, et dtruire lensemble des donnes ou faire perdre le contrle de certains quipements essentiels. Les reprsentants de lagence spatiale ont admis lexistence de beaucoup des trous rvls par le rapport du GAO et ont affirm leur volont damliorer la scurit de leur dispositif. Ils ont toutefois minimis ltendue du problme, en prcisant que le GAO navait test quun des dix centres de la NASA et quil ntait pas possible dextrapoler ces rsultats lensemble. USAT rappelle, non sans ironie, linvestissement dun milliard de dollars consenti lan dernier par la NASA pour acqurir de nouveaux systmes dinformation.
47
La structure est compose dun chef de 44 ans, Abdul Salah. Il est lgant, calme, et intelligent. Il a migr dArabie Saoudite dans les annes 80 et a fini ses tudes aux Etats-Unis dAmrique o il a obtenu un haut niveau dexpertise technique en ingnierie. Son quipe est compose de membres de ce que lon pourrait appeler la nouvelle gnration de terroristes : Ils ont dcid dutiliser les nouvelles technologies pour planifier, coordonner et lancer leurs attaques. Ils porteront des ceintures dexplosifs la taille. Leur motivation est de heurter lconomie numrique et, travers elle, lconomie occidentale. Cette nouvelle gnration de terroristes est constitue de jeunes hommes ayant grandi en occident, intgr le mode de vie local et frquent les universits. Ils possdent des capacits techniques avances dans diffrents domaines. Pour cette nouvelle gnration, rpandre le sang est insuffisant, les frappes doivent tre accompagnes de dysfonctionnements majeurs dans les tlcommunications causes par la destruction dinfrastructures sensibles. Salah a dcid de crer quatre cellules, chacune constitue de cinq oprationnels. Trois dentre elles sont dj en place aux Etats-Unis dAmrique, lautre arrive du moyen-orient. Les membres ne se connaissent pas. Salah rencontre en personne les leaders de chaque cellule pour leur donner directement les informations lorsque cela est strictement ncessaire. Le reste du temps, il prfre faire usage dInternet et changer des messages chiffrs et dissimuls aux travers dartifices stganographiques 48, de boites de courriel restantes, dobscurs BBS49 ou de chats privs ponctuels. Lusage du tlphone, jug trop risqu, est prohib sauf cas durgence. Les quatre cellules sont constitues dexperts en explosifs, dlectroniciens, dinformaticiens, de personnes capables de collecte et danalyse dinformations ainsi que dun chimiste.
48
La stganographie est l'art de la dissimulation : l'objet de la stganographie n'est pas de rendre un message inintelligible autre que qui de droit mais de le faire passer inaperu. Si on utilise le coffre-fort pour symboliser la cryptographie, la stganographie revient enterrer son argent dans son jardin. Bien sr, l'un n'empche pas l'autre, on peut enterrer son coffre dans son jardin.
49
Un BBS (bulletin board system, littralement : systme de bulletins lectroniques en franais), consiste en un serveur quip d'un logiciel offrant les services d'change de messages, de stockage et d'changes de fichiers, de jeux via un ou plusieurs modems relis des lignes tlphoniques.
39
Salah a un autre atout, un douzaine de pirates informatiques de classe mondiale recruts en Russie et employs pour mener une srie de cyber-attaques contre les rseaux dordinateurs qui contrlent et rgulent les infrastructures nergtiques sensibles dans la rgion o les assauts vont tre lancs. Une fois tous les pions placs, les failles dtectes, les exploits prpars et les cibles soigneusement slectionnes il ne reste plus qu lancer lassaut. Lattaque a lieu au milieu de lhiver, ceci afin de stresser le rseau lectrique dj fortement sollicit. La vague initiale dattaques consiste en lexplosion de 18 camions de transport de carburant. La premire explosion a lieu au nord de Washington sur lautoroute 547 proximit de linterconnexion de gaz de la rgion. Lexplosion provoque une boule de feu et un pais nuage noir nocif. Lincendie se propage et oblige les autorits stopper la desserte en gaz des stations lectriques de ltat. Salah reoit un message chiffr lavertissant du succs de la premire phase. Les trois attaques suivantes visent des lignes trs haute tension de 500.000 Volts. Les hommes de Salah mettent moins de 60 secondes couper la chane qui leur bloque laccs au pylne et placent les charges judicieusement. Dans le mme temps, lquipe de pirates Russe lance son attaque sur les systmes SCADA, le cerveau numrique des rseaux. Ils attaquent de plusieurs points du globe et injectent vers et virus au coeur du systme dj fortement stress par les attaques physiques. Les pirates ferment des vannes devant rester ouvertes. Ils lancent ensuite un Dni de Service (DoS) qui paralyse les communications et donc les remontes dinformations des diffrents organes. Peu de temps aprs le rseau lectrique scroule et plonge une partie de la cte Est dans le noir. Au niveau national, un ver inconnu sattaque 10 des 13 Root DNS50 ralentissant le trafic sur Internet, produisant aussi beaucoup de time-out.
50
Le Root DNS ou Serveur de Nom de Domaine Racine est le serveur de rfrence permettant la traduction dune adresse telle que free.fr en une adresse IP. Cest le principe de lannuaire tlphonique, du nom on trouve le numro de la personne que lon souhaite joindre. Le Root DNS est un maillon essentiel au bon fonctionnement dInternet.
40
Les dysfonctionnements sadditionnent et commencent provoquer des ractions en cascade. On assiste une avalanche de serveurs. Les agences gouvernementales qui avaient planifi une telle attaque ragissent bien et mettent en place des parades leur permettant de continuer travailler. Ce nest pas le cas de la plupart des entreprises et commerces qui sont paralyss. A ce stade lattaque dbute. Au centre de Seattle, un immeuble explose en tuant et blessant des douzaines de personnes. Peu aprs, dans un appartement au cinquantime tage dun immeuble une bombe explose. Un des ingnieurs a plac une quantit importante dexplosifs dans un tui en cuivre lui mme entour de fils lectrique. Une batterie charge la bobine et cre un lectroaimant. Lorsque la bombe explose la bobine produit un court-circuit et compresse les ondes magntiques, envoyant une impulsion lectromagntique (EMP) similaire celle dune explosion nuclaire (sans les destructions physiques). Dans un large rayon, tous les appareils lectroniques deviennent inoprants, les communications sont coupes, perturbant les services
dinterventions. Pendant ce temps, dautres membres de lorganisation sont bord dun des camions, ceinture dexplosif autour de la taille, ils sont plusieurs centaines de miles de Seattle, San Jos, la capitale de lunivers numrique. Ils sarrtent proximit de Cesar de Chavez Park, quelques pas de leur cible. Deux des cinq membres sortent du camion, lun portant une boite chaussures, lautre un pistolet. Le chauffeur du camion fait une embarde et se dirige lentement vers la cible. Limmeuble hberge lun des noeuds les plus grands et les plus critiques dInternet, MAE West. Le trentime tage contient un centre nvralgique qui connecte la plupart des fournisseurs daccs. Cet immeuble est le coeur de millions de cession Internet, des milliards de bytes y transitent chaque seconde. Le conducteur du camion avance lentement laissant le temps aux deux hommes de pntrer plus avant dans limmeuble afin quils dissminent autant danthrax que possible. Le conducteur du camion acclre et fonce vers le building avec ses 40.000 litres de carburant. Les terroristes font dtonner leurs bombes et disparaissent avec une grande partie de la faade de limmeuble. Dans le mme temps, le souffle propulse les poussires mles danthrax vers
41
les habitations voisines. Ce nest que quelques jours plus tard que les urgences des hpitaux commenceront se remplir de patients se plaignant des syndromes de la grippe et de tches sombres sur le corps. Dans les hpitaux, des patients dcdent de transfusions sanguines avant que lon constate que les bases de donnes patient ont t compromises par un virus. Lattaque sur MAE West a dconnect certains fournisseurs daccs Internet de la rgion, certains sont passs en peering51 , partageant leurs ressources et fonctionnant en mode trs dgrad. Lensemble dInternet est svrement ralenti. Les coupures dlectricit vont perdurer plusieurs semaines avant que le rseau ne retrouve sa stabilit. Les crashes informatiques en cascade vont se ressentir sur lensemble du rseau mondial, perturber les flux financiers, ralentir le commerce en ligne et faire perdre des dizaine de milliards deuros en manque gagner. Les effets combins de la coupure dlectricit et de LEMP vont couper du monde une partie de la population. ---------------------
Cet exemple est aujourdhui de la science-fiction. Toutefois, il repose sur des possibilits relles. Une telle attaque, mene dans son intgralit parait difficilement ralisable, nanmoins, dans une forme moins tendue elle reste la porte de quelques groupes internationaux.
Le Peering est la pratique d'changer du trafic Internet avec des pairs. Les fournisseurs d'accs Internet (FAIs) configurent des points de peering, les endroits physiques o les changes de connexions se droulent et ngocient les spcificits du peering. La plupart des points de peering sont situs dans des centres de collocation o les diffrents oprateurs rseaux centralisent leurs points de prsence.
42
d'y remdier ; ces informations peuvent cependant tre utilises dans le but de nuire, d'o l'ambigut du site) mais aussi des numros de srie permettant de dbloquer ( cracker ) des programmes en version d'essai, activit considre comme illgale dans de nombreux pays. De ce fait lart est accessible a un grand nombre de personnes. Il ne ncessite pas la manipulation de substances prohibes, la frquentation de personnes fiches ou le suivi dun stage en Afghanistan. Lart du piratage est enseign dans les coles dingnieurs, les universits, discut lors de symposiums rassemblant les experts nationaux et internationaux, de la dfense, de lintrieur et du secteur priv. Quoi quil en soit il nexiste ce jour aucune preuve liant un groupe terroriste une cyber-attaque massive. Il est difficile de dterminer lidentit des personnes lorigine des attaques quand, dans le mme temps les organisations en charge de la scurit des systmes dinformation reportent chaque jour davantage dattaques par virus, causant de plus en plus de pertes conomiques et affectant des zones gographiques toujours plus tendues. Selon le CERT amricain, le volume des attaques ne cesse daugmenter : de 132 en 1989, il est pass 9859 en 1999 et 137 529 en 2003. Le volume et la frquence des attaques rendent difficile la dtection des attaques srieuses et lidentification de leurs auteurs.
3.2 RECOMMANDATIONS
3.2.1 Mise en place dune structure de rponse rapide
Danne en anne, les systmes de communications tatiques gagnent en importance et en complexit. Si au dbut des annes 90, les communications restaient pour beaucoup analogiques, la tendance sest rapidement inverse, au point de conditionner la bonne marche de lconomie. On considre quune interruption dInternet pendant une journe sur lensemble du territoire national aurait un impact visible sur le PIB annuel. Aujourdhui, les systmes de communications franais pourraient subir une attaque venant du cyber espace. Il est donc ncessaire de mettre en place un systme de veille capable de
43
dtecter les activits suspectes susceptibles de porter atteinte nos infrastructures, danalyser les exploits, dalerter les victimes potentielles afin dorganiser une rponse rapide et de restaurer les services endommags. La difficult de cette tche est grande, en particulier parce quil nexiste aucun point dobservation panoramique avantageux duquel il serait possible de voir lorigine des attaques et leur propagation. Pour limiter limpact dune cyber-attaque, il est ncessaire de diffuser les informations la concernant de manire rapide et tendue. Les organismes de prvention et de lutte peuvent exister dans nombre dinfrastructures publiques ou prives. Elles doivent tre coordonnes pour ragir efficacement contre une attaque, en limiter les effets et rtablir les systmes endommags. Lun des lments essentiels de russite de cette quipe de raction rapide devra tre sa capacit de communication et dinitiative. Elle se traduira par un formalisme allg des changes entre les partenaires gouvernementaux mais aussi non-gouvernementaux. Le souci sera ici lefficacit et linter-activit. Il est vident que cette quipe devra galement communiquer avec les partenaires communautaires afin dapporter une rponse globale la menace, en publiant des alertes, ainsi que des avis sur les mesures mettre en place. Constatant que le secteur priv fait lobjet de la majorit des attaques, il sera souvent le premier les dtecter, linstituant de fait en partenaire privilgi. Le fonctionnement de lquipe de rponse rapide devra rpondre un schma simple, comprenant quatre secteurs, savoir lanalyse, lalerte, la gestion de crise et la rponse. - Lanalyse est la premire tape du cheminement qui va mener une comprhension aussi fine que possible des types dattaques, de leurs origines et de leurs degrs de dangerosit. Elle permet aussi de connatre la nature des dommages, ltendue de la compromission et dvaluer les moyens mettre en place pour y faire face. Elle peut aussi fournir des informations sur les intentions de lattaquant, les outils utiliss et les vulnrabilits quil a exploites.
44
- Lalerte, quant elle, est contingente la capacit de dtection de cette quipe. Labsence dune vue synoptique dInternet complique considrablement la tche des veilleurs. Il est donc ncessaire de se rapprocher la fois des CERTs mais aussi des acteurs privs. Les effets dune attaque sur un secteur peuvent, par effets domino, affecter plusieurs autres secteurs et rapidement dpasser les comptences et capacits de structures prives ou rgionales. Dans le mme esprit, lindustrie devrait tre encourage dvelopper un mcanisme permettant le partage de linformation sur la sant dInternet afin damliorer lanalyse, les alertes, les rponses et la sortie de crise. Ce genre de coopration volontaire, tablie dans le respect des lois et rglements, permettrait un partage pertinent dinformation entre les fournisseurs daccs Internet 52 (FAI) et autres acteurs majeurs du rseau capable daffiner lanalyse. Ce type de coopration permettrait dviter que lutilisation massive de certains exploits causant dimportants dommages voire une interruption de systmes nvralgiques. Une bonne gestion du temps peut faire la diffrence entre une interruption majeure et un incident mineur. Amliorer les capacits nationales dalerte ncessite une infrastructure scurise capable dassurer le bon acheminement des communications entre les diffrents acteurs tatiques ou privs, malgr un dysfonctionnement majeur dInternet. Ce rseau priv doit pouvoir supporter des confrences (voix) et des changes de fichiers. - La gestion de crise doit se faire en partenariat avec les agences nationales et les ministres concerns. On peut, titre dexemple, citer la Dfense, lIntrieur, la Justice, lIndustrie, les Finances et la Recherche. Pour quune rponse rapide et efficace soit mise en place, deux mesures pralables doivent tre prises. - La mise en place dun processus de dveloppement de partenariat public-priv ainsi que la cration de procdures durgences rpondant diffrents scnarii.
52
un FAI, est un organisme (gnralement une entreprise) offrant une connexion au rseau informatique Internet des particuliers et des entreprises. Le terme anglais dsignant un FAI est Internet service provider, abrg ISP.
45
- Ltablissement de procdures durgences est un lment clef de la russite, aussi bien face au terrorisme classique quau cyber-terrorisme. En labsence de procdure durgence et dexercice, les diffrentes directions concernes pourraient ne pas pouvoir faire face une interruption massive des communications via Internet. Lintrt des exercices rside, outre dans le fait de dvelopper des automatismes, dcouvrir des faiblesses diminuant dautant la vulnrabilit des infrastructures.
Le protocole IP fait partie de la couche Internet de la suite de protocoles TCP/IP. C'est un des protocoles les plus importants d'Internet car il permet l'laboration et le transport des datagrammes IP (les paquets de donnes), sans toutefois en assurer la livraison . En ralit, le protocole IP traite les datagrammes IP indpendamment les uns des autres en dfinissant leur reprsentation, leur routage et leur expdition
54
<http://www.generation-nt.com/actualites/8477/Windows-Vista-premier-virus-identifie>
55
L'interprteur de commandes est l'interface entre l'utilisateur et le systme d'exploitation, d'o son nom anglais shell, qui signifie coquille. Le shell est ainsi charg de faire l'intermdiaire entre le systme d'exploitation et l'utilisateur grce aux lignes de commandes saisies par ce dernier. Son rle consiste lire la ligne de commande, interprter sa signification, excuter la commande, puis retourner le rsultat sur les sorties.
46
Lapparition de ce virus peut inquiter quand on sait que Microsoft a mis laccent sur la scurit et que la sortie de Windows Vista est prvue fin 2007. La nature anationale du rseau Internet en fait un terrain de jeu privilgi pour les pirates et criminels qui y voient une opportunit de perptrer des mfaits sans tre poursuivis. Les magistrats, de leur ct, peinent comprendre les subtilits de linformatique et se heurtent des concepts qui dpassent leur comprhension. Larsenal juridique est quant lui mal adapt et trouve sa limite le plus souvent aux frontires nationales. Les activits illicites sur le rseau, le spam56 , la propagation de vers ou virus, rodent la confiance des utilisateurs et heurtent lconomie ou notre scurit au travers des attaques contre nos infrastructures. Cest donc idalement en se donnant la capacit de poursuite des attaquants, par des investigations, des arrestations, des inculpations puis des condamnations quil sera possible dattnuer lengouement des pirates. Ceci fait, les agences concernes pourront se concentrer sur les menaces les plus srieuses sans tre pollues par une nue de script-kiddies57 gonfls dun sentiment dimpunit. Pour les affaires les plus srieuses, les autorits judiciaires trouveront, dans la diplomatie, un alli de premier ordre. Enfin, les efforts des diffrents services et les fruits de leurs investigations devront, sauf ncessits exprimes par les autorits, tre largement diffuses auprs des entreprises et administrations afin damliorer la scurit globale des infrastructures.
56
Le spam, mot anglais du jargon informatique, dsigne les communications lectroniques massives, notamment de courrier lectronique, sans sollicitation des destinataires, des fins publicitaires ou malhonntes.
57
Ce terme dsigne les pirates informatique nophytes qui, dpourvu des principales comptences en matire de gestion de la scurit informatique, passent l'essentiel de leur temps essayer d'infiltrer des systmes, en utilisant des scripts ou autres programmes mis au point par d'autres crackers. Malgr leur faible niveau de qualifications, les script-kiddies sont parfois une menace relle pour la scurit des systmes car d'une part ils sont trs nombreux et d'autre part ils sont souvent obstins au point de passer parfois plusieurs jours essayer toutes les combinaisons possibles d'un mot de passe, avec le risque d'y parvenir.
47
Les informations collectes, ainsi que le savoir faire associ peuvent galement tre utiliss pour examiner la robustesse de nos infrastructures et les capacits de dtections et de ractions des organismes cibls. En rsum, il est ncessaire de chercher prvenir, dcourager, et rduire de manire significative les cyber-attaques en assurant lidentification et la poursuite des dlinquants. Dans le cas de cyber-crimes, la rponse doit tre rapide et quasi certaine, la punition, quant elle, doit tre suffisamment svre pour tre dissuasive.
48
CONCLUSION
Le cyber-terrorisme nexiste pas stricto sensu ce jour. Les avis des experts diffrent, les uns pensant que jamais une attaque opre depuis le cyber espace ne pourra entraner de pertes humaines, les autres considrant que le monde nest peut tre pas encore mr pour ce genre dattaque mais que dans un avenir sans doute peu lointain nous devrons y faire face. Comme nous lavons constat, les attaques menes depuis Internet demandent des budgets relativement faibles alors quelles peuvent produire des effets importants. Ainsi certains pays ont dcid de dvelopper leurs capacits dans ce domaine en esprant compenser les faiblesses de leur arsenal militaire. Un autre ct attractif est le faible risque inhrent ce type dattaque. Internet est encore aujourdhui un vaste royaume o limpunit rgne, les moyens offerts aux forces de lordre ainsi que le manque de coopration internationale rendent les arrestations difficiles, voire impossibles. Si Internet prsente un intrt pour les terroristes, du point de vue de la propagande (au travers de la diffusion de revendications, de vidos dexcutions), il entrane des effets moins spectaculaires quune attaque cintique visant le mtro ou les aronefs. Toutefois, le terrorisme volue, les plus radicaux sont souvent de jeunes convertis qui ne parlent pas ou peu larabe mais qui ont reu une bonne ducation et sont capables de se fondre dans la population sans attirer lattention des autorits. Cette nouvelle gnration de terroristes de plus en plus rompue aux secrets de linformatique, pourrait dans quelques annes, devenir une vritable proccupation pour les services de lEtat. Les systmes dexploitation sont de plus en plus complexes et de ce fait comportent un nombre croissant derreurs de programmation permettant une prise de contrle distance. Les efforts des diteurs de logiciels ne donnent pas beaucoup de rsultats et il est craindre que le nombre dattaques continue de progresser, comme cest le cas depuis la fin des annes 80. Par ailleurs, les utilisateurs, peu conscients des risques encourus ne font pas suffisamment preuve de prudence et fournissent de ce fait des armes aux pirates informatiques. A la lumire de ces rflexions, il est raisonnable de penser que la menace cyber-terroriste, si elle se dessine lhorizon, nest pas encore clairement visible. Nanmoins, mme si la
49
probabilit dune attaque est faible, le risque est pris en compte par nombre dtats et suscite la discussion parmi les experts. La prise en compte de la menace cyber-terroriste doit comporter deux grands axes : la lutte contre la cyber-criminalit (connaissance des acteurs et des outils) et la lutte contre le terrorisme classique (connaissance des milieux et tendances). Elle doit galement passer par la mise en place de plans de prvention visant rduire limpact dune hypothtique attaque. Pour lheure, autant on peut attester de lutilisation dInternet par des terroristes (propagande, financement, formation), autant rien de permet dattester quune vritable attaque cyber-terroriste ait jamais abouti.
50
(S//NF) 1-76 FA was able to communicate the requirement for blocking positions along Route Irish for a VIP movement from the International Zone to BIAP. (Annexes 58C, 59C, 62C, 63C). The security escort platoon with the VIP was able to, and did, relay departure and arrival times to the 1-76 FA Battle Captain. (Annexes 59C, 64C). The VIP convoy departed the International Zone in four HMMWVs (and no Suburban) at approximately 1945 hours. It arrived at the Camp Victory gate at 2010 hours (Annex 59C). The convoy reached its destination on Camp Victory at 2020 hours (Annex 59C). The VIP returned to the International Zone by helicopter at approximately 2205 hours. The determination to fly by helicopter back to the International Zone was not made until shortly before the VIP departed as a result of clearing weather conditions. (Annexes 59C, 64C). (S//NF) The 1-76 TOC had two means of communicating with 4th Brigade, its higher headquarters: Voice Over Internet Protocol (VOIP)2 and FM. The 1-76 FA Battle Captain was using only VOIP to communicate with 1-69 IN, but experienced problems with VOIP, therefore losing its only communication link with 1-69 IN, other than going through 4th Brigade. (Annex 97C). As a result, the Battle Captain was unable to pass updated information about the blocking mission either directly to 1-69 IN, or to 4th Brigade. He did not attempt to contact 4th Brigade via FM communications. (Annex 63C). Fourth Brigade, in turn, could not pass updated information to its major command, 3ID. (Annex 57C). Likewise, 3ID had no new information to pass to its subordinate command, 2/10 MTN. Finally, 2/10 MTN was thus unable to pass updated information to its subordinate command, 1-69 IN. (Annexes 51C, 52C). (U) There is no evidence to indicate that 1-76 FA passed on the information about the VIP departure and arrival times to any unit. (Annexes 59C, 63C). As a result, A Company, 1-69 INs Soldiers were directed to remain in their blocking positions. E. (U) The Incident (U) After arriving at BIAP from Italy in the late afternoon of 4 March 2005, and taking care of some administrative matters, Mr. Carpani and Mr. Calipari went to some undisclosed location in the Mansour District of Baghdad. (Annexes 104C, 105C). At approximately 2030
52
hours they recovered Ms. Sgrena and headed back toward BIAP. (Annexes 103C, 104C, 109C). Both agents made a number of phone calls to various officials during the drive. (Annex 104C). Mr. Carpani was mostly talking to his colleague, Mr. Castilletti, who was waiting for them outside of BIAP near Checkpoint 539. He updated Mr. Castilletti on his location and discussed arrangements at the airport. (Annex 105C). Mr. Carpani, who was driving, had to slow down at one point due to a flooded underpass on Route Vernon. (Annexes 103C, 104C). Mr. Carpani, who had experience driving in Baghdad, did not have an alternate route to the airport planned. (S//NF) VOIP is a technology that allows telephone calls to be made using a
53
Le Basic Input Output System ou BIOS (systme de base d'entre/sortie) est un programme contenu dans la mmoire morte (ROM) de la carte mre s'excutant au dmarrage de l'ordinateur. Il dclare les disques, configure les composants et recherche un systme d'exploitation avant de le lancer. Sa tche principale est de fournir un support de bas niveau pour communiquer avec les priphriques.
59
Il existe dsormais des cartes-mres comportant des mmoires flash, mmoires pouvant tre modifies directement par logiciel. Les BIOS situs sur des cartes-mres comportant ce type de mmoire peuvent tre mis jour (le terme upgrader est parfois utilis, mot francis provenant du verbe to upgrade qui signifie mettre jour) grce un programme appel firmware, fourni par le fabricant, destin permettre le remplacement de l'ancien BIOS par un BIOS plus rcent. Le problme consiste toutefois se procurer les mises jour de son BIOS (problme maintenant rsolu grce l'accs Internet). Ces mises jour sont disponibles sous forme de fichier binaire contenant une image du BIOS, et qui sera transfre dans la mmoire flash grce au firmware.
60
Un switch ou commutateur est un dispositif lectronique servant de commutateur rseau et permettant de crer un rseau informatique local de type ethernet. Ce dispositif est dit intelligent par opposition au hub car, alors que ce dernier fait transiter les donnes par toutes les machines, le switch permet de diriger les donnes uniquement vers la machine destinataire.
54
Il existe quatre moyens pour le ver de trouver les bornes du rseau: - Obtenir ladresse IP et le masque de la machine cible. Une machine avec plusieurs interfaces rseaux est un bonus - Envoyer des requtes SNMP61 utilisant des chanes de caractres communes pour en extraire les tables de routage. - Faire un traceroute62 sur les adresses IP localises sur les machines connues dans le but denregistrer les chemins. - Faire des ping63 sur les adresses IP des rseaux de classe C au dessus et en dessous du rseau actuel. ex: si le rseau est 10.0.10.0/24 essayer 10.0.9.0/24 et 10.0.11.0/24
61
Le sigle SNMP signifie Simple Network Management Protocol (protocole simple de gestion de rseau en Franais). Il s'agit d'un protocole de communication qui permet aux administrateurs rseau de grer les quipements du rseau et de diagnostiquer les problmes de rseau.
62
Traceroute est un outil rseau qui permet de suivre le chemin qu'un paquet de donnes (paquet TCP ou UDP) va prendre pour aller d'une machine A une machine B.
63
Ping est le nom d'une commande (dveloppe par Mike Muuss) permettant d'envoyer une requte ICMP une autre machine. Si la machine ne rpond pas il se peut que l'on ne puisse pas communiquer avec cette machine.
55
Bibliographie
The Next War Zone: Confronting the Global Threat of Cyberterrorism de James F. Dunnigan Citadel Press (septembre 2003) Black Ice: The Invisible Threat of Cyber-Terrorism de Dan Verton McGraw-Hill Companies (aot 2003) Computer Attack and Cyber Terrorism: Vulnerabilities and Policy Issues for Congress de Clay Wilson, The Library of Congress (2005) Federal Intrusion Detection, Cyber Early Warning and the Federal Response Brian Fuller, Sans Institute (2003) Can Cyber Terrorists Actually Kill People? Scott Anthony Newton, Sans Institute (2002) Information Warfare: An Analysis of the Threat of Cyberterrorism Towards the US Critical Infrastructure Shannon M. Lawson, Sans Institute (2003) Redening the Role of Information Warfare in Chinese Strategy Edward Sobiesk Sans Institute (2003) Annual Report on the Military Power of the Peoples Republic of China. Report to Congress (28 Juillet 2003) Internet et Scurit de Solange Ghernaouti-Helie, Arnaud Dufour, Que sais-je? Presses Universitaires de France - PUF (15 juin 2002) La Violence et la Paix de Pierre Hassner Seuil (3 mars 2000) La Terreur et l'Empire : La Violence et la Paix, tome 2 de Pierre Hassner Seuil (5 septembre 2003) Question(s) d'Intelligence : Le Renseignement Face au Terrorisme de Bruno Delamotte Editions Michalon (28 mai 2004)
56
Techniques du Terrorisme de Jean-Luc Marret Presses Universitaires de France - PUF (18 mars 2002) The 9/11 Commission Report The Future of Cyber Terrorism: Where the Physical and Virtual Worlds Converge Barry C. Collin Institute for Security and Intelligence Managerial Guide For Handling Cyber-terrorism And Information Warfare de Lech Janczewski Idea Group Publishing (avril 2005) Cyber Terrorism: A Guide for Facility Managers de Joseph Gustin Marcel Dekker (octobre 2003) The Myth of Cyber Terrorism De Joshua Green http://www.washingtonmonthly.com/features/2001/0211.green.html Hypothecising the Cyber Terrorism Brett Kraynak George Washington University (2002) Cyber-Terrorism - Fact or Fancy? Mark M. Pollitt FBI Laboratory Cyber Terrorism, Testimony before the Special Oversight Panel on Terrorism Committee Dorothy E. Denning Georgetown University (23 Mai 2000) The National Strategy To Secure Cyberspace The White House 2003
57