2006 Thevenet

Srie Mmoires et Thses
CYBERTERRORISME, MYTHE OU RALIT ?

Cdric Thvenet
Universit de Marne-La-Valle 2005
U R L : w w w. t e r r o r i s m e . n e t / p d f / 2 0 0 6 _ T h e v e n e t . p d f
2006 Cdric Thvenet
Universit de Marne-La-Valle
Institut Francilien d'Ingnierie et des Services Centre d'Etudes Scientifiques de Dfense - CESD
MASTER INGENIERIE DE L'INFORMATION DE LA DECISION ET DE LA CONNAISSANCE Management des Risques option Information et Scurit
CYBER-TERRORISME, MYTHE OU REALITE ?
Cdric THEVENET
Anne 2004-2005
Directeur de recherche Amiral Pierre LACOSTE Co-Directeur Clment PAOLI
Centre dEtudes Scientifiques de Dfense - CESD
INTRODUCTION DEFINITION DU CYBER-TERRORISME LES FORMES DE LATTAQUE 1 AFFAIRE DETAT OU DINDIVIDUS ? 1.1 LE CYBER-TERRORISME EST-IL ATTRACTIF ?
1.1.1 Les capacits ncessaires pour mener une attaque 1.1.2 Quels effets ? 1.1.3 Un mode dattaque moins risqu ?
5 6 7 10 10
10 11 12
1.2 LES ACTEURS

1.2.1 Les organisations terroristes aujourdhui 1.2.2 Les liens entre terroristes et pirates 1.2.3 les nations susceptibles de soutenir le cyber-terrorisme
12
12 13 14
1.3 LES NATIONS AYANT UNE POLITIQUE DE CYBER-GUERRE

1.3.1 La Rpublique Populaire de Chine (RPC) 1.3.2 Inde 1.3.3 Iran 1.3.4 Core du Nord 1.3.5 Pakistan 1.3.6 Russie 1.3.7 Etats Unis dAmrique
16
16 16 17 18 19 19 20
2 DE LUSAGE DU RESEAU COMME ARME 2.1 LEFFET DOMINO

2.1.1 Impact sur les infrastructures critiques 2.1.2 Des interactions imprvisibles 2.1.3 De la vulnrabilit de certains systmes
22 22
22 22 24
2.2 LES CLEFS DU SUCCES
24
2.2.1 La recherche de vulnrabilits par les pirates 2.2.2 La rapide propagation des attaques automatises 2.2.3 La persistance des trous de scurit 2.2.4 Les erreurs de programmation 2.2.5 Le risque de luniformit
24 26 27 27 27
2.3 MODUS OPERANDI DUNE INFECTION VIRALE MASSIVE

2.3.1 Prambule 2.3.2 Un ver particulirement virulent 2.3.3 La communication entre les vers. 2.3.4 Le dni de service (DoS) 2.3.5 La livraison du ver 2.3.6 Une livraison cible 2.3.7 Prise dempreintes par pays 2.3.8 Lexploitation
28
28 30 32 34 34 35 36 37
3 ENJEUX ET RECOMMANDATIONS 3.1 LES ENJEUX

3.1.1 Une frappe tendue : lexemple Black-Ice 3.1.2 Lidentication des cyber-terroristes
38 38
38 42
3.2 RECOMMANDATIONS
3.2.1 Mise en place dune structure de rponse rapide 3.2.2 Programme de rduction des menaces et vulnrabilits
43
43 46
CONCLUSION ANNEXES A - Rapport Calipari (extrait) B - Un ver plus destructeur Bibliographie
49 51 51 54 56
The FBI believes cyber-terrorism, the use of cyber-tools to shut down, degrade, or deny critical national infrastructures, such as energy, transportation, communications, or government services, for the purpose of coercing or intimidating a government or civilian population, is clearly an emerging threat for which it must develop prevention, deterrence, and response capabilities. Former FBI Director Lois Freeh, Statement before the United States Senate Committee on Appropriations, Armed Services, and Select Committee on Intelligence, May 10, 2001
Its time to work together to address the new security threats that we all face. And those threats just arent missile, or weapons of mass destruction in the hands of untrustworthy countries. Cyber-terrorism is a threat, and we need to work on that together. Remarks at a joint press conference with British Prime Minister Tony Blair, july 19 2001
INTRODUCTION
Aujourdhui, il est communment admis que les terroristes utilisent Internet pour communiquer. Ils font un usage rgulier du World Wide Web pour publier des revendications, des fatwas, les vidos dexcution de leurs otages ou assurer leur propagande. Ils utilisent galement le courrier lectronique, les SMS et les tlphones satellites. Certains pays (Sri Lanka, Indonsie, Mexique) ont reconnu avoir fait lobjet dattaques informatiques ayant fait tomber leurs serveurs au milieu dlections. En Europe, lIRA a diffus, via Internet, des informations sensibles sur les bases militaires anglaises implantes en Irlande du Nord. Toutefois, si toutes ces actions tmoignent de lutilisation des technologies de linformation et de la communication (TIC), elles ne peuvent, pour autant, tre qualifies daction cyber-terroriste. Identifier une action cyber-terroriste consiste dfinir le terrorisme et le placer en perspective avec lattrait que peut prsenter lutilisation des TIC. Nous procderons lvaluation de ses effets et de son attractivit puis identifierons les acteurs ou organisations susceptibles dy avoir recours. Enfin, nous procderons une valuation du risque et proposerons des recommandations visant amliorer la scurit de nos infrastructures sensibles.
DEFINITION DU CYBER-TERRORISME
A ce jour, il nexiste aucune dfinition universelle du terrorisme. Il va donc de soit que la notion de cyber-terrorisme est des plus mallables. Il est galement difficile, dans des dlais raisonnables, de dterminer les intentions, identits ou motivations des agresseurs, qui sont des lments ncessaire la qualification de lattaque. On peut considrer que pour tre qualifie de terroriste, une action doit remplir un certain nombre de critres : lacte doit tre prmdit, motiv par des intrts idologiques, perptr lencontre de non-combattants par des minorits nationales, ethniques, ou des agents clandestins, susceptible dengendrer un tat de panique, dans le but ultime dinfluencer les gouvernants. Le terme terrorisme international implique des citoyens ou des territoires appartenant plus dun pays. Le terme groupe terroriste signifie, tout groupe pratiquant ou ayant un ou des sous-groupes pratiquant le terrorisme international. Le Departement of Homeland Security (DHS) dfinit le cyber-terrorisme comme tant un acte criminel perptr au travers dordinateurs dont rsultent des violences, dcs ou destructions crant un sentiment de terreur destin influencer la politique dun gouvernement1 . En combinant ces dfinitions, on peut dcrire le cyber terrorisme comme tant ; une
utilisation motive par des croyances religieuses ou politiques, dordinateurs ou de rseaux de tlcommunication, comme arme ou cible, ainsi que leur destruction physique, par des minorits ethniques, religieuses, ou des agents clandestins, dans le but dexercer des violences lencontre dune population non combattante, entranant des pertes humaines ou des destructions, dans le but dinfluencer lopinion publique ou le gouvernement. Cette dfinition est toutefois limitative car elle ne considre pas les effets secondaires dun dysfonctionnement majeur des systmes informatiss. On peut titre dexemple citer : la perte de confiance en lconomie numrique, les pertes boursires, les accidents dans les transports ou encore les problmes dapprovisionnement deau et dlectricit.
The truth about cyberterrorism by Scott Berinato. Definition de Ron Dick, 2002, Directeur de NIPE. <http://www.cio.com/archive/031502/truth.html>
6
LES FORMES DE LATTAQUE

Une attaque informatique peut tre dfinie comme une action dirige contre des systmes informatiques dans le but de compromettre des quipements, lexcution des processus ainsi que leur contrle, ou de corrompre des donnes. Chaque type dattaque cible des systmes diffrents ou exploitant des vulnrabilits multiples diffrentes et implique lutilisation darmes adaptes dont certaines sont aujourdhui entre les mains de groupes terroristes. Une attaque physique implique des armes conventionnelles diriges contre des centres informatiques ou des ensembles de cbles assurant les liaisons. Une attaque lectronique implique lutilisation de lnergie lectromagntique comme une arme. Cest utiliser une impulsion lectromagntique pour surcharger les circuits des ordinateurs, ou, dans une forme moins violente, insrer un flux de code numrique malicieux dans les transmissions micro-onde de lennemi. Une attaque Informatique implique gnralement lutilisation de code malicieux comme arme pour infecter des ordinateurs en exploitant certaines failles logicielles. Une autre forme dattaque informatique est lutilisation dinformations voles pour entrer dans un systme daccs restreint. Le Dpartement de Dfense Amricain2 a statu sur la dangerosit des diffrentes menaces en classant les attaques informatiques et lectroniques comme tant celles prsentant le plus de risques pour les Etats-Unis dAmrique car elles peuvent provoquer des effets domino imprvisibles donnant un avantage inattendu lattaquant.
DoD, Departement of Defense

7
Caractristiques de lattaque physique sur les rseaux informatiques Une attaque physique interrompt la disponibilit des ordinateurs et interdit de fait laccs aux donnes. Elle consiste en lutilisation darmes conventionnelles crant chaleur, onde de choc et/ou fragmentations dans le but de dtruire physiquement les quipements. Elle peut aussi rsulter dune utilisation directe des quipements aprs une pntration dans des locaux daccs restreint. A titre dexemple le Pentagone a confirm, lundi 3 mai 1999, l'utilisation par l'OTAN d'une arme spciale, sur laquelle il n'a donn aucune prcision et qui aurait eu pour effet, dans la nuit du dimanche au lundi, puis dans la journe qui a suivi, de perturber le rseau haute tension alimentant en lectricit plusieurs des grandes villes de Yougoslavie, commencer par Belgrade. Ce que nous avons fait, a expliqu un porte- parole, c'est de dmontrer notre capacit teindre le systme lectrique quand nous le voulons, sans dtruire les infrastructures de base du ravitaillement.3 Caractristiques de lattaque lectronique Les attaques lectroniques font le plus souvent rfrence des impulsions lectromagntiques 4 capables dinterrompre le fonctionnement dinfrastructures informatiques en provoquant une surcharge dnergie sur les cartes mres, transistors, et, en rgle gnrale, tout systme reli une antenne. Les impulsions lectromagntiques peuvent traverser les murs des locaux informatiques o elles provoquent leffacement des mmoires, perturbent lexcution des programmes ou endommagent dfinitivement les composants lectroniques. Ainsi, une attaque par impulsion lectromagntique (EMP) haute altitude pourrait fortement perturber le fonctionnement de la socit et, considrant la dpendance croissante des armes vis vis de llectronique, amputer gravement leurs capacits.
3 4
Une arme spciale pour couper le courant, Le Monde, 05 Mai 1999.
En tlcommunication, la pulsation ou impulsion lectromagntique, Electro Magnetic Pulse (EMP) en anglais dsigne une mission radio brve et de trs forte amplitude. La principale application est militaire : brouillage des tlcommunications et destruction de matriels radios distance. Les champs lectriques et magntiques intenses gnrent des tensions et courants destructeurs pour un appareillage radio non-protg. La parade est l'appareil radio de quatrime gnration tel le PR4G par Thomson blind suivant le principe de la cage de Faraday contre les rayonnements lectromagntiques et modulation par vasion de frquence (EVF) chiffre.
A contrario, le Ministre de lintrieur Amricain5 dclare que les quipements civils utiliss ce jour sont peu vulnrables et que les locaux qui hbergent les infrastructures sensibles sont bien construits et prsentent des protections suffisantes. La construction et lutilisation dengin EMP parait au-del des capacits des principaux groupes terroristes. Toutefois, les nations soutenant le terrorisme ont aujourdhui la capacit de produire un engin fonctionnel sur une porte limite. Caractristiques de la cyber-attaque Une cyber-attaque altre lintgrit ou lauthenticit des donnes, habituellement au travers de lusage de code malicieux, destin perturber le fonctionnement des programmes. Les pirates informatiques6 peuvent, laide doutils automatiss, parcourir Internet la recherche dordinateurs dont les mises jour nont pas t faites ou dont la configuration est dfaillante afin den prendre le contrle distance. Il est galement possible de faire usage de petits programmes, appels vers7 ou virus, qui vont se propager par leurs propres moyens et effectuer les tches pour lesquels ils ont ts conus. La difficult est de provoquer des dysfonctionnements suffisamment tendus pour quils affectent directement, ou indirectement, le monde physique.
5 6
(DHS) Departement of Homeland Security.
Un pirate informatique dsigne un individu exerant l'une des activits (ou les deux) : - pntre illgalement un systme dexploitation ou un serveur en cassant ses systmes de scurit; - copie illgalement des logiciels, en passant outre enregistrement et processus de protection. <http://www.journaldunet.com/encyclopedie/definition/223/43/20/cracker.shtml>
7
Un ver est un programme parasite. Il n'est pas forcment auto-propageable. Son but est de grignoter des ressources systme : CPU, mmoire, espace disque, bande passante... Ces petits bouts de programme sont dpendants du systme d'exploitation ou d'un logiciel. Ils se propagent, comme toutes donnes binaires, par disquettes, CD ROM, rseaux (LAN ou WAN)... Depuis la dmocratisation des virus (due notamment la prolifration des gnrateurs de virus), le nombre de nouveaux vers est en net recul. Cependant, il en existe toujours. <http://www.commentcamarche.net/virus/worms.php3>
9
1 AFFAIRE DETAT OU DINDIVIDUS ?

Considrant que les inter-connexions entre les ordinateurs pourraient multiplier les effets dune cyber-attaque et quune offensive lance sur quelques machines pourrait ensuite se propager et corrompre des milliers dautres machines, il semblerait que le cyber terrorisme devienne, lavenir, une menace considrer. Quen est-il aujourdhui ?
1.1 LE CYBER-TERRORISME EST-IL ATTRACTIF ?

Il est difficile dvaluer lintrt ou la capacit des groupes terroristes internationaux lancer une attaque cyber terroriste. Certains observateurs pensent quAl-Qaida ne considre pas encore le cyber terrorisme comme une option susceptible de les aider mener bien leurs buts, lorganisation prfrant les attaques physiques qui infligent dgts matriels et pertes humaines. Les individus susceptibles de considrer et demployer des mthodes de cyber guerre sont originaires des socits post-industrielles comme les Etats-Unis dAmrique ou lUnion Europenne, linverse des groupes terroristes internationaux qui oprent leur dveloppement au Moyen-Orient, en Asie, en Afrique ou en Amrique du Sud (Brsil, Argentine). Toutefois, Al-Qaida a pris des mesures pour amliorer la scurit des transmissions au sein de lorganisation au travers dune utilisation plus intelligente des systmes dinformation. On
peut donc penser que ce recours linformatique comme assistance la lutte soit les prmices dun usage plus offensif.
1.1.1 Les capacits ncessaires pour mener une attaque

La planification extensive et la surveillance pr-oprationnelle organise par des pirates sont deux caractristiques importantes marquant limminence dune cyber-attaque. Elle consiste en la collecte de toutes les informations utiles lattaque et leur insertion dans une base de donne do elles seront facilement extraites. Il sagit lors de cette phase de dcouvrir tous les noms de domaines et de sous-domaines de lentreprise, les types de serveurs et lendroit o ils sont hbergs, la version des logiciels qui y sont installs, les adresses de courriel des employs, leurs numros de tlphones, les postes quils occupent, bref, obtenir une connaissance aussi exhaustive que possible de la cible.
10
Certains experts estiment que la planification dune cyber-attaque, structure et tendue, dirige contre de multiples systmes et rseaux, incluant la surveillance des cibles, le test de nouveaux outils, ainsi que la constitution et la formation dune quipe prendrait entre deux et quatre ans. La planification dune attaque massive requrant une coordination complexe, visant causer une interruption gnralise du rseau Internet prendrait six dix ans de prparation.
1.1.2 Quels effets ?

Dautres considrent, comme la montr le cas Slammer, quun ver bien conu pourrait causer dimportants dgts sans pour autant ncessiter une prparation aussi longue. Le ver informatique Slammer (aussi connu sous le nom de Sapphire) sest propag grce une faille sur les serveurs MS-SQL (base de donnes). Cette faille tait employe dans les milieux warez 8 pour stocker illgalement des fichiers. Au mois de janvier 2003, Slammer s'est propag sur Internet, ce qui a caus de graves ralentissements du rseau. Slammer a rvl que certains administrateurs rseaux n'avaient pas appliqu les correctifs ncessaires aux logiciels qu'ils utilisent. En effet, le correctif cette faille avait t publi six mois, jour pour jour, avant la diffusion du ver. De la mme manire, le virus Tchernobyl activ lundi 26 avril 1999 pour le treizime anniversaire de la catastrophe nuclaire ukrainienne a affect de nombreux pays d'Asie et du Moyen-orient. Il a frapp en Iran, a provoqu des dgts en Arabie saoudite. a paralys des dizaines d'ordinateurs en Irak. Le mme virus a galement frapp "sept ordinateurs" au sige de l'ONU Bagdad9. On peut penser quun groupe terroriste pourrait hsiter lancer une attaque terroriste, argumentant quil en rsulterait des dommages moins immdiats et vidents, ayant donc un impact psychologiquement moindre quune destruction conventionnelle, comme lexplosion dun avion, dun bus ou dune station de mtro.
Le terme warez est une dformation du mot anglais wares, bien qu'on y voit aussi une contraction de fantaisie de where is, qui se prononce d'ailleurs de la mme faon. On nomme ainsi la mise disposition illgale de contenus protgs, que ce soit par Internet le plus souvent mais aussi par cdrom ou toute forme de copie de fichier.
9
Agence France Presse le 28.04.99

11
De mme certains pensent que tant quune cyber-attaque ne provoquera pas de dommages physiques ou humains, elle ne sera jamais considre comme srieuse, tout au moins jamais aussi srieusement quune attaque biologique, chimique, ou nuclaire.
1.1.3 Un mode dattaque moins risqu ?

Le haut niveau de scurit physique mis en place en Europe et aux Etats-Unis dAmrique pourrait, dans le futur, inciter les terroristes exploiter les possibilits du cyber terrorisme. En effet, les mesures de contrle et de surveillance ainsi que les nouvelles lois anti-terroristes rendent laction physique de plus en plus difficile conduire. Le plan vigipirate en France rend laccs des points sensibles plus difficile tandis que le contrle aux frontires a t renforc par la mise en place de passeports biomtriques 10. Ainsi, il peut paratre judicieux de planifier et de lancer une attaque depuis ltranger sans avoir subir les contrles et risquer de tomber dans les filets tendus par les services de polices et de renseignements occidentaux. Ceci dit le terrorisme traditionnel demeure dactualit comme en attestent les attentats de Londres de juillet dernier.
1.2 LES ACTEURS

1.2.1 Les organisations terroristes aujourdhui
La plupart des groupes terroristes comme le Hezbollah, le Jihad Islamique ou Al-Qaida ont depuis longtemps dcouvert lutilit dInternet pour promouvoir leur cause et conduire des actions terroristes. En 2001, le site attrition.org gardait copie des sites dfacs11 . Parmi les nombreux sites touchs par des attaques de pirates, on a pu constater que nombre dentre eux taient des sites israliens victimes dorganisations terroristes radicales arabes et vice versa. Au travers de cette activit de dfacement, somme toute commune aux pirates, on note que les groupes terroristes sont prsents et actifs sur le rseau, quils comprennent toute limportance dInternet et les possibilits quil offre dans la guerre de linformation.
10
La biomtrie est couramment utilise, seule ou associe l'anthropomtrie, afin d'identifier des personnes sur la base de caractristiques physiques individuelles. Les techniques d'identification par la biomtrie servent principalement des applications dans le domaine de la scurit, comme le contrle d'accs automatique, un tel dispositif tant qualifi de systme de contrle biomtrique.
11
Un dfacement est un anglicisme dsignant la modification non sollicite de la prsentation d'un site Web, suite au piratage de ce site. Il s'agit donc d'une forme de dtournement de site Web par un pirate. Le mot anglais, qui provient de l'ancien franais desfacer , peut tre rendu par dgradation ou vandalisme .
12
Internet permet dengager la lutte contre lennemi sans perdre de prcieux candidats au suicide, il permet de diffuser volont messages de revendications, vidos dexcutions12 , indications sur la fabrication de bombes, guides de fabrication de produits chimiques, etc. Les groupes les plus marquant sur ces dernires annes sont Al-Qaida muslim alliance crew, Muslim online syndicate, GForce Pakistan, PHC (Pakistan Hackers Crew). Parmi les sites jihadistes les plus violents on note www.qalah3h.net, www.islammemo.cc ou www.alikhlas.com.
1.2.2 Les liens entre terroristes et pirates

Les liens des pirates informatiques avec des terroristes ou des nations encourageant le terrorisme sont difficiles tablir. Ladhsion un groupe de pirates est souvent exclusive et limite des changes entre les membres de lorganisation. Les outils dvelopps sont
jalousement gards et les exploits dcouverts troqus en fonction des besoins. Ce type de pirate est efficace et nattire pas lattention, ce qui lui permet doprer de manire effective. Certains groupes de pirates informatiques ont des intrts politiques ou religieux qui dpassent le cadre national, il sont parfois qualifis dhacktivistes ; l'hacktivisme est une contraction de hacker et activisme qui fait rfrence au savoir faire technologiques et lanalyse politique. Lhacktiviste infiltre des rseaux et met son talent au service de ses convictions politiques en organisant des attaques informatiques : piratages, dtournements de serveurs, remplacement de pages d'accueil par des tracts. Dautres sont motivs par largent et lis des organisations criminelles et sont prts vendre leurs services aux plus offrants. Aujourdhui, les informations portant sur les vulnrabilits des logiciels et systmes sont vendre sur un march noir en ligne. On y trouve, par exemple, les adresses de 5000 ordinateurs dj infects et prts tre utiliss distance pour lancer une attaque. Le prix de vulnrabilits non publies peut varier de 500 5000 dollars en fonction de leur importance. Les acheteurs de ces informations sont les compagnies spcialises dans le spamming (envoi massif et non sollicit de courriel), les organisations criminelles et les agences gouvernementales.
12
Dans une vido diffuse lundi 20 septembre 2004 sur un site Internet islamiste, le groupe du terroriste Al-Zarkaoui revendique l'excution d'un otage amricain, Eugene Jack Armstrong. L'homme est gorg puis dcapit. Le Monde, Un nouvel otage est dcapit, la guerre s'enfonce dans la barbarie, 20 septembre 2004
13
1.2.3 Les nations susceptibles de soutenir le cyber-terrorisme

Les nations soutenant le terrorisme diminuent la porte des efforts de la communaut internationale lutter contre ce flau. Ces tats apportent une base essentielle lmergence dentits organises et efficaces. Sans le concours de ces pays, les groupes terroristes nauraient pas, ou beaucoup plus difficilement accs aux armes, explosifs, plans et fonds ncessaires toute action denvergure. LIran LIran peut tre considr comme le pays soutenant le plus activement le terrorisme. Au niveau institutionnel, la Garde Islamique Rvolutionnaire et le Ministre de la Scurit et du Renseignement ont t impliqus dans la planification dactions terroristes en 2004 et encouragent le recours au terrorisme. De plus, lIran reste peu dispos juger les anciens membres dAl-Qaida quil dtient depuis 2003. Lidentit de ces personnes est garde secrte pour raisons de scurit. LIran a galement refus de transfrer ces dtenus dans leur pays dorigine ou dans un pays musulman tiers afin quy soient mens les interrogatoires et dventuelles comparutions en justice. Par ailleurs, en 2004, lIran a jou un rle non ngligeable dans le conflit israelo-palestinien en encourageant les activit anti-isralienne, ceci travers les discours de L'ayatollah Ali Khamenei13 , mais aussi grce des fonds et matriels destination du Hezbollah, du
HAMAS14 ou du Front de libration de la Palestine. La Libye Malgr les rcents accords passs entre les Etats-Unis dAmrique, la France et lONU dans le but dindemniser les victimes des attentats du vol PAN AM 103 (qui a explos au dessus de Lockerbie en 1988) et du DC 10 dUTA le 19 septembre 1989, la Libye reste considre comme un tat pouvant avoir recours au terrorisme.
13
L'ayatollah Ali Khamenei (1939, Mechhed-) est le Guide Suprme ou Rahbar de la Rpublique islamique d'Iran. Il tait l'une des principales figure lors de la rvolution islamique contre le chah Mohammad Reza Pahlavi et l'un des principaux confidents de l'ayatollah Khomeini. Hamas est une abrviation pour Harakat al-Muqawama al-Islamiya (en arabe : Le mouvement de rsistance islamique ).
14
14
La Core du Nord La Core du Nord nest pas connue pour avoir favoris des actions terroristes depuis lexplosion dun avion de ligne de la Korean Airlines en 1987. Lors dun sommet avec le premier ministre Japonais Koizumi Pyongyang en septembre 2002, le chef dtat, responsable de la Commission de Dfense Nationale15 Kim Jong Il, a reconnu limplication de la Core du Nord dans lenlvement de citoyens Japonais en assurant que les responsables avaient t punis. Depuis une dizaine dannes, la Core a adopt une stratgie militaire base sur lavantage asymtrique afin de compenser ses maigres ressources par des effets disproportionns linvestissement initial16 . Dans ce contexte, la Core du Nord a commenc dvelopper et acqurir du matriel de haute technologie comme des missiles longue porte et pourrait avoir men avec succs des essais nuclaires. Dans le mme temps, le rgime a investi dans la recherche et le dveloppement de matriel informatique et de logiciels17. La Syrie Le gouvernement syrien a continu fournir un support politique et oprationnel au Hezbollah libanais ainsi quaux groupes terroristes palestiniens. Le Front Populaire de Libration de la Palestine et le jihad Islamique Palestinien, entre autres, continuent doprer depuis le territoire syrien. Nanmoins, la publicit de ces groupes a grandement diminu. Les syriens ont officiellement condamn le terrorisme international mais continuent de faire une distinction entre le terrorisme et la lutte arme quils considrent lgitime.
15 16
National Defense Commission (NDC)
Edward B. Atkeson et Peter Gillette, North Korea: The Eastern End of the Access of Evil, Landpower Essay, November 2002, p. 3
17
Alexandre Mansourov, Bytes and Bullets: Impact of IT Revolution on War and Peace in Korea, October 2002
15
1.3 LES NATIONS AYANT UNE POLITIQUE DE CYBER-GUERRE

1.3.1 La Rpublique Populaire de Chine (RPC)
La RPC travaille efficacement pour atteindre le rang de grande puissance sur lchiquier mondial. Dana ce sens, elle a dploy dimportants moyens et est parvenue obtenir les jeux olympiques de 2008 ainsi qu conduire avec succs un vol dans lespace. Elle investit galement sur des projets pharaoniques tels que la construction du barrage des trois gorges 18, un projet de pont aux dimensions ingales, ou la construction du train le plus rapide au monde, etc. Depuis le dbut des annes 1990, la RPC dveloppe ses capacits en cyber-guerre. La doctrine militaire chinoise intgre la cyber-attaque comme une composante de sa stratgie visant dfaire un ennemi mieux quip ou suprieur en nombre. Lors dune allocution devant le congrs, le directeur de la CIA, George J.Tenet 19 ,a affirm que la Chine cherchait contourner lavance technologique de larme amricaine en utilisant la cyber-guerre comme arme asymtrique. La volont de la RPC tant de faire fi de lobsolescence de ses chars, bateaux et avions et de se concentrer sur les failles technologiques adverses. LArme de Libration Populaire a bien compris la dpendance sans cesse croissante des armes modernes vis vis de linformatique et de leur besoin permanent de communiquer.
1.3.2 Inde
Le projet de rforme de larme indienne datant de 1998 prvoyait quavant 2002 tous les officiers suprieurs devraient tre forms linformatique. En 1999, lInde se dotait dun Institut des Technologies de lInformation20 et les premiers cours taient donns sur le campus temporaire de Hyderabad dans le but de former les tudiants aux rudiments de la cyber-guerre.
18
Le barrage des trois gorges reprsente jusqu'ici le plus grand barrage, en l'occurrence le plus grand projet infra structurale dans l'histoire de l'humanit. Dans un dlai de construction prvu de 17 ans, au Jangtskiang, proximit de la ville Yichang la fin du fameux paysage naturel des "trois gorges" doit tre tabli un barrage dont la dimension n'a encore jamais t atteinte.
19
George J. Tenet, Directeur de la CIA, Testimony Before the Senate Committee on Government Affairs, June 24, 1998. http://www.cia.gov/cia/public_affairs/speeches/1998/dci_testimony_062498.html
20
Army: Now Hyper War, India Today, May 10, 1999

16
Dans le mme temps, taient cres trois instituts militaires dlivrant un enseignement ax sur les technologies de linformation. En 2002, est ne lUniversit de Dfense Nationale (National Defense University) dont lobjet est la guerre de linformation et la rvolution numrique. Rcemment, les premier diplms dune licence en informatique sont sortis de cette cole. Paralllement, lInde a galement mis au point une stratgie de cyber-guerre incluant lassistance du secteur priv du logiciel, si cela savrait ncessaire. Le dveloppement de moyens par le gouvernement indien sexpliquerait notamment par les activits offensives du Pakistan dans le domaine numrique. Selon Ankit Fadia, un consultant en scurit informatique indien, les services de renseignements pakistanais paient des pirates occidentaux entre 500$ et 10.000$ pour defacer des sites Indiens. Les groupes hacktivistes dfacent selon lui jusqu soixante sites par mois. LInde sest donn les moyens dune relle politique de dveloppement informatique et a fait en sorte dintgrer la cyber-guerre dans sa doctrine militaire. Aujourdhui, lInde possde un puissant rseau de programmeurs et des centres de formation qui en font un acteur incontournable dans le monde informatique.
1.3.3 Iran
LIran souvre aux technologies de linformation en rponse des besoins militaires et conomiques. La tendance la militarisation et lisolationnisme conomique pousse lIran tudier avec intrt la piste des armes non-conventionnelles, incluant une connaissance avance des nouvelles technologies. Certains lments laissent penser que la nation iranienne a commenc dvelopper une capacit de cyber-guerre dans le but de compenser les carences de son arme. Lobjectif de la politique iranienne est de dvelopper le secteur des technologies de linformation tout en conservant le monopole et le contrle des accs Internet.
17
LIran doit grer avec perspicacit les contradictions inhrentes un dsir de dveloppement et dinnovation associes une ingrence permanente de ltat. Laccs aux sites Internet, depuis le domicile ou depuis les cyber-cafs, est limit, de par son cot financier, une minorit aise. Les moyens consentis par les autorits iraniennes dans le contrle de lInternet indiquent une matrise des technologies de linformation susceptible dtre utilise dans des actions de cyber-guerre.
1.3.4 Core du Nord

Le rgime totalitaire de la Core du Nord la dispose tout naturellement sintresser de prs aux technologies de linformation et de la communication. Depuis les annes 90, la Core du Nord sintresse aux possibilits offertes par les nouveaux moyens de communication dans un conflit militaire. Malgr son dsir dacqurir une capacit offensive, la Core du Nord reste trs en retrait. Ses infrastructures lectroniques et industrielles sont obsoltes, les rseaux de tlcommunication sont sous-dimensionns et dficients, tout comme le rseau lectrique qui souffre dimportantes faiblesses, en majeure partie cause de son rseau sous dvelopp. Toutefois, le fait de placer larme en priorit absolue, la relle capacit de concentration de ressources et de formation de personnel, ainsi que laptitude de la Core du Nord collecter du renseignement peuvent laisser penser que le rgime a acquis la capacit de pntrer certains rseaux et bases de donnes afin dy puiser des ressources. Le 4 Octobre 2004, le ministre de la Dfense de Core du Sud a dclar que la Core du Nord avait form cinq cents pirates informatiques capables de lancer une guerre virtuelle contre les Etats-Unis dAmrique. Selon lui, les pirates ont suivi une formation universitaire spcifique de cinq ans afin dtre capable de pntrer les systmes informatiques de la Core du Sud, des Etats-Unis dAmrique et du Japon21. Des rapports de renseignements ont fait tat en juin et juillet 2004 dattaques informatiques lances contre des ordinateurs sud-corens sensibles. Les pirates avaient infiltr deux cent onze ordinateurs de dix agences gouvernementales de Core du Sud.
21
Agence France Presse 04/10/2004

18
1.3.5 Pakistan
Le Pakistan semble concentrer ses efforts dans la prparation dune parade aux capacits indiennes en matire de cyber-guerre. Le Pakistan prsente une menace pour le rseau mondial en raison de sa population croissante de jeunes pirates informatiques. On peut constater que ceux-ci sont souvent politiquement actifs, on les trouve au coeur des conflits du monde rel. Ils sont actifs au Cachemire mais aussi en couverture sur les thtres doprations impliquant des musulmans. Il est probable quen rponse lInde, le Pakistan tudie une manire dexploiter plus
efficacement ses ressources humaines en matire de cyber-guerre dans le but de provoquer de fortes perturbations voire un croulement du rseau Indien.
1.3.6 Russie
La Russie, malgr son marasme conomique, conserve de relles capacits en matire despionnage et possde toujours dimportantes ressources, notamment en hommes. Les capacits de cyber-guerre russes ont t mises en lumire depuis milieu des annes 90 et trouvent leur illustration dans le cadre du conflit Tchtchne. Durant le premier conflit (1994-1996), les Tchtchnes assuraient la propagande lie au conflit car le gouvernement russe taisait ses propres actions militaires permettant aux Tchtchnes de les annoncer via leurs propres canaux de communication. Au dbut du second conflit (1997-2001), le gouvernement russe a compris lintrt de contrler des mdias et de filtrer linformation sortant de Tchtchnie. Les Tchtchnes ont mis en place des sites hbergs en dehors de la Russie comme kavkaz.org ou qoqaz.net.my localiss en Malaisie. Sur ces sites, il tait possible de tlcharger des vidos des attaques russes, de voir des photos de Tchtchnes en action. Rapidement sont apparus des sites alternatifs www.qoqaz.net22. La multiplication des sites laisse apparatre une action offensive de la part de la Russie.
22 www.qoqaz.net donna naissance plusieurs miroirs: www.qoqaz.de, www.qoqaz.com et www. qoqaz.net.my afin que lorsque lun des miroirs tait attaqu et dconnect les autres puissent continuer diffuser linformation.
19
Ainsi, en 2002, les rebelles Tchtchnes ont reconnu que deux de leurs sites, kavkaz.org et chechenpress.com, avaient t dtruits par le Federalnaya Sluzhba Bezopasnosti (FSB ex-KGB). La destruction de ces sites correspond au moment de lassaut du thtre de Moscou par les forces spciales le 26 Octobre 2002. Moscou a dmontr sa volont dutiliser toutes les armes sa disposition, y compris la lutte informatique et a prouv sa capacit oprationnelle. La Russie est donc considrer, tant par son vivier de pirates peu scrupuleux que par lefficacit de ses services de renseignements, comme un pays possdant une relle possibilit de nuisance sur le rseau.
1.3.7 Etats-Unis dAmrique

En 2002, lancien responsable du Computer Network Attack (CNA), le Gnral John Bradley. disait : Je vous dclare que nous passons plus de temps sur les projets dattaque informatique que sur les rseaux de dfense parce que beaucoup de personnes un niveau trs lev sont intresses Pendant lt de la mme anne, le prsident Bush signait la directive prsidentielle sur la scurit nationale n16, ordonnant au gouvernement amricain de prparer des plans nationaux de lutte lectronique offensive contre des ennemis potentiels En mars 2005, au cours dune audience au Snat amricain, l'U.S. Strategic Command (Stratcom) rvlait lexistence du Joint Functional Component Command for Network Warfare (JFCCNW). Il sagit dune unit compose de hackers, au service de larme amricaine, dont la mission prioritaire est la protection des rseaux du ministre amricain de la dfense, mais galement une participation active au CNA. Au cours de laudience au snat amricain, le porte parole de Stratcom ne laissait aucun doute sur la force de frappe de lquipe de hackers recruts par larme amricaine : Pour des raisons de scurit, nous ne pouvons donner aucun dtail. Toutefois, tant donn la dpendance de plus en plus forte aux rseaux informatiques, toute capacit informatique offensive ou dfensive est grandement souhaitable.
20
La cyber-guerre est donc une option de la politique trangre amricaine. Toutefois deux problmes freinent son usage : - lexemple rcent le plus frappant des dbats autour du JFCCNW concerne la diffusion sur Internet de la mort de lotage civil amricain en Irak, Nicholas Berg. Un vif conflit avait alors oppos au sein du CNA les partisans du laisser faire ceux qui auraient souhait que lon dtruise immdiatement le site qui diffusait la vido de lexcution. Lgalement, le JFCCNW ne pouvait intervenir, alors quune attaque par dni de service sur le site incrimin, par exemple, aurait t potentiellement ralisable. Ds la mise en ligne de la vido, le groupe pouvait dtruire lectroniquement le serveur malaysien al-ansar.net, qui hbergeait le site de diffusion de la vido. Mais ici, cest la question du premier amendement de la constitution (libert dexpression) qui se pose, et par l une censure contre le peuple amricain. - lautre problme vient du risque de dclencher une attaque virale sans prcdent sur le net. Hors, personne, pas mme le JFCCNW ne peut dire quels seraient les effets dun virus sur la globalit des rseaux mondiaux aprs quil ait accompli une mission offensive cible. La directive principale reste donc, ce jour : fire and forget23.
23
fait feu et oubli

21
2 DE LUSAGE DU RESEAU COMME ARME 2.1 LEFFET DOMINO

2.1.1 Impact sur les infrastructures critiques
Si beaucoup dexperts saccordent penser que la conjonction dune cyber-attaque et dune attaque conventionnelle pourrait aggraver les pertes humaines, il nen est pas de mme en ce qui concerne une attaque logique pure. Certains pensent quune attaque sur les infrastructures sensibles pourrait srieusement dstabiliser lconomie, dautres au contraire considrent que le rseau se remettrait en place rapidement sans trop de pertes. Des journaux militaires Chinois ont spcul sur le fait quune cyber-attaque pourrait paralyser les places boursires amricaines. La Chine, tant dpendante des marchs mondiaux et notamment amricains, en souffrirait galement. Ainsi, la potentialit quun autre Etat attaque une grande nation est relativement limite car les dgts collatraux sont difficilement quantifiables. Toutefois, ce type dattaque pourrait tre men par un groupe terroriste ou un tat du tiers-monde pour qui lconomie mondiale demeure un objectif. Dans ce contexte, en 2002, la dcouverte dune faille sur le protocole de communication SNMP24 a caus un vent de panique chez les administrateurs et responsables de rseaux. Sen est suivie une course visant fixer le bug25 avant quil soit exploit par des pirates.
2.1.2 Des interactions imprvisibles

Il est gnralement admis que leffet dune cyber-attaque reste difficile prvoir tant les interactions entre les systmes sont complexes. Au contraire dune attaque terroriste traditionnelle dont rsultent des dommages immdiats, une attaque cyber-terroriste peut
24
Le sigle SNMP signifie Simple Network Management Protocol (protocole simple de gestion de rseau en Franais). Il s'agit d'un protocole de communication qui permet aux administrateurs rseau de grer les quipements du rseau et de diagnostiquer les problmes de celui-ci.
25
Un bug, mot anglais francis en bogue, est une anomalie de fonctionnement d'un programme informatique
22
impliquer un double voire un triple effet26. Par exemple, la libration dun ver peut engorger des rseaux, entranant la perte de serveurs, qui, sils sont importants, peuvent conduire des ruptures dapprovisionnement en lectricit, des perturbations dans les transports, etc. - En 2003, le ver Blaster a caus une trs forte perturbation des communications entre les machines connectes Internet, ceci pendant plusieurs journes. Il semblerait quil ait galement accentu le degr de svrit de la rupture dapprovisionnement dlectricit en perturbant les retours dinformations entre les diffrents centres27. - Le jeudi 19 mai 2005, vers 19h15, le Samu et les sapeurs-pompiers de Paris ont t confronts un encombrement de lignes en raison d'un dysfonctionnement du serveur Free pendant une heure et demie. Toutes les personnes, ds lors qu'elles composaient un numro au moyen de leur tlphone branch sur leur Freebox28 , tombaient sur le 15 ou le 18 Paris. - Dans un rapport confidentiel (annexe A), larme Amricaine fait un point prcis sur les circonstances qui ont men, le 4 mars 2005, la mort du chef de poste Italien Calipari lors de la libration de lotage italienne Giuliana Sgrena. On y apprend que les forces qui tenaient le barrage routier nont pas eu connaissance de larrive du convoi Italien car leur liaison Internet VoIP (Voice Over Internet Protocol) ne fonctionnait plus. Cest l un exemple concret deffet secondaire imprvisible, caus par un dysfonctionnement informatique, ayant entran une perte humaine.
26
Deborah P. Glass, Cyberterrorism versuses Cyberwar: at what Point does the Department of Justice turn over Cyber Incidents to the Department of Defense? (Carlisle Barracks, PA: U.S. Army War College, 2001), 5.
27
Le ver W32.Blaster pourrait avoir contribu leffet domino du 14 aot 2003. Limpossibilit dchanger rapidement des donnes entre les diffrents centraux lectriques aurait empch les oprateurs de contenir la propagation de la coupure de courant.
28
La Freebox est un appareil lectronique fourni par le FAI franais Free ses abonns ADSL. Cet appareil sert principalement de modem ADSL, mais permet aussi Free de proposer des services ajouts utilisant le support ADSL, comme la tlvision (via une prise pritel) ou la tlphonie (via une ou deux prises RJ-11 selon les modles). Elle peut galement faire office de routeur en utilisant ou non le systme de transmission sans fil ASFI (traduction franaise du Wi-Fi).
23
2.1.3 De la vulnrabilit de certains systmes

Des experts pensent que certains systmes sont spcialement vulnrables. Limportance quils jouent dans le maintien en service des infrastructures critiques en fait des cibles de choix pour les cyber-terroristes. Les systmes SCADA (Supervisory Control And Data Acquisition) sont des rseaux dordinateurs qui relient les infrastructures les plus critiques afin de surveiller leur tat et de prendre automatiquement des mesures pour maintenir le bon fonctionnement de lensemble. Des ingnieurs accdent ponctuellement aux systmes SCADA pour y apporter des modifications ou effectuer des oprations de maintenance. Selon Sharon Gaudin, expert en scurit, la plupart des systmes SCADA sont insuffisamment protgs contre le risque de cyber-attaque et restent vulnrables parce que les compagnies qui en ont la charge nont pas pris la mesure du risque et des enjeux. Dautres experts pensent que les infrastructures sont robustes et mettraient peu de temps se remettre dune cyber-attaque. Ils voquent les temptes qui se produisent rgulirement et qui, mme si elles occasionnent des interruptions de service, ne mettent pas en danger la cohsion du rseau. Il semble donc que pour tre efficace, les cyber-terroristes devraient porter leurs attaques sur plusieurs cibles, simultanment et sur une longue priode, afin de parvenir dvelopper un sentiment de terreur.
2.2 LES CLEFS DU SUCCES

Les ordinateurs connects au rseau sont exposs au risque de voir certaines de leurs vulnrabilits exploites par des pirates, par lutilisation de vers, ou des virus, dans le but dinterrompre leur fonctionnement, den prendre le contrle, ou den acqurir le contenu. Le nombre croissant dordinateurs personnels connects Internet avec des lignes haut dbit reprsente un fort potentiel dattaque pour les pirates, pour peu quils puissent les exploiter.
2.2.1 La recherche de vulnrabilits par les pirates

Les pirates utilisent aujourdhui des automates qui balayent les plages dadresses Internet (dites adresses IP) pour y dcouvrir des ordinateurs vulnrables.
24
Lavantage de lautomatisation du processus de dcouverte tient dans la constitution de bases de donnes contenant, pour chaque domaine ou adresse IP, la configuration de la machine, cest dire, son systme dexploitation29, les services actifs et leur version. Lautomatisation permet galement une temporisation du processus de prise dempreinte qui rend sa dtection par les dtecteurs dintrusions30 (IDS) plus difficile. Le principe est ici de rpartir les coups de sonde sur plusieurs jours, voire plusieurs semaines afin de les noyer dans le flux quotidien sans attirer lattention des administrateurs. Ds la dcouverte ou la publication dune faille, les pirates disposent de listes de machines vulnrables, grce aux bases de donnes o sont inscrites les adresses IP des machines scannes. Ils ont ainsi, ds la publication de la faille, un ensemble de machines vulnrables quils vont pouvoir utiliser ou revendre. Selon les observations des Computer Emergency Response Team31 (CERT), il faut parfois plus dun mois pour patcher la majeure partie dun parc informatique, ce qui laisse beaucoup de temps aux pirates pour compromettre les machines de leur choix. Les ordinateurs compromis peuvent devenir des bots, cest dire des machines contrles distance ou semi-autonomes, capables dinfecter dautres ordinateurs. Un individu peut alors, par ce systme, contrler simultanment des centaines voir des milliers de machines compromises. Le pirate ayant le contrle de ces bots, peut, laide dun tunnel chiffr, espionner les dtenteurs des machines et sapproprier discrtement les donnes quelles contiennent. Il peut aussi donner lordre de lancer une attaque distribue massive contre un serveur cibl. Mme si les ordinateurs sont patchs et totalement jour, ils ne sont pas labri dune vulnrabilit.
29
Le systme d'exploitation (en anglais Operating System ou OS) est charg d'assurer la liaison entre les ressources matrielles par les pilotes et l'utilisateur par les applications (traitement de texte, jeu vido, etc.)
30 31
Intrusion Detection System ou IDS.
Les CERT (Computer Emergency Response Team) sont des centres d'alerte et de raction aux attaques informatiques, destins aux entreprises et/ou aux administrations, dont les informations sont gnralement accessibles tous. Le CERT conseille sur l'attitude adopter (protections immdiates, demande d'enqute par les autorits nationales de scurit, dpt de plainte) et diffuse l'alerte vers d'autres organismes ou vers les CERTs trangers, en cas d'attaque extrieure.
25
2.2.2 La rapide propagation des attaques automatises

La vitesse de propagation des vers a fortement augment, passant de plusieurs jours en 2001 trois minutes pour le ver Slammer. En janvier 2003, celui-ci a attaqu le logiciel de base de donnes de Microsoft et sest rpandu sur Internet en un week-end. Il a doubl la taille de linfection toutes les dix secondes et a atteint sa pleine vitesse de scan (55 millions par seconde) aprs seulement trois minutes. Slammer a infect 90% des ordinateurs vulnrables travers le monde dans les dix minutes suivant sa libration, faisant de lui le ver le plus rapide de lhistoire32. Daprs les constatations faites lissue de linfection, il fut dmontr que le ver exploitait une vulnrabilit pour laquelle un correctif existait depuis 2002. Il a cr des dgts considrables allant de linterruption de connexion lannulation de vols ou de la panne de distributeurs billet. Le temps entre la publication d'une vulnrabilit et l'apparition d'un ver exploitant la faille en question n'a cess de diminuer, passant de 11 mois pour Nimda 1 jour pour Witty 33.
Dlais entre la publication dune faille et le ver lexploitant 15 13 11 9 8 6 4 2 0 Mois Nimda

32 33
SQL Slammer
Welchia Nachi
Blaster
Witty
Internet worms keep striking www.cbsnews.com/stories/2003/01/28/tech
D'aprs un article de Patrick Chambet, (Edelweb), paru dans la revue "confidentiel scurit" d'avril 2005.
26
2.2.3 La persistance des trous de scurit

Les vulnrabilits dans les logiciels et la configuration des ordinateurs fournissent des points dentres aux pirates pour mener une cyber-attaque. Les vulnrabilits existent en grande partie grce au manque de professionnalisme des administrateurs, la mconnaissance des systmes informatiques par le grand public ainsi que la trs mdiocre qualit des logiciels utiliss. De plus, les utilisateurs domestiques nont souvent que peu, voire aucune, connaissance de la conduite tenir en cas de risque dinfection ni les bons rflexes qui pourraient leur viter des dsagrments.
2.2.4 Les erreurs de programmation

Les vendeurs de logiciels commerciaux subissent de plus en plus de critiques parce quils vendent des logiciels insuffisamment tests et porteurs derreurs grossires de programmation qui ouvrent la porte aux pirates. Selon Jonathan Krim du Washington Post, 80% des intrusions touchant les ordinateurs fdraux sont attribues des erreurs de programmation imputables aux diteurs. Depuis un peu plus dune anne, Microsoft sintresse de plus prs la scurit de ses produits. Il a organis en juin 2005 la Blue Hat, confrence o il a invit des pirates pour quils testent la scurit des produits et rendent Windows moins vulnrable aux virus. Daprs Scott Charney, chef de la stratgie de scurit chez Microsoft, malgr tous les efforts qui seront fait, les vulnrabilits continueront dexister car les logiciels deviennent de plus en plus complexes et difficiles rendre sures.
2.2.5 Le risque de luniformit

Le procs anti-trust lanc par plusieurs tats amricains lencontre de Microsoft a veill des inquitudes quant aux risques inhrents une monoculture logicielle. Pour quune attaque informatique soit efficace, il faut quelle touche des ordinateurs stratgiques comme le standard dune salle de commandement, un serveur de temps de rfrence, une structure de presse, le contrle arien ou quelle soit si tendue quelle provoque une raction en chane incontrlable affectant lensemble des ordinateurs sur le rseau.
27
Si des virus comme Slammer ou Nimda34 ont pu provoquer une telle raction en chane cest parce que presque toutes les machines de la plante utilisaient le mme systme dexploitation produit par Microsoft. Certes un parc informatique homogne est plus facile administrer ; les correctifs de scurit sont les mmes pour toutes les machines, les modifications de configurations sont valables partout et les administrateurs nont pas faire leffort de se former sur deux systmes diffrents. Mais cela signifie galement que tout le parc informatique est vulnrable en mme temps, aux mmes failles et que si lon subit une attaque, il va tre impossible de stopper linfection sans dconnecter les machines et les teindre le temps des rparations.
2.3 MODUS OPERANDI DUNE INFECTION VIRALE MASSIVE

Lexemple suivant dcrit prcisment une dmarche de cration et de diffusion dun ver destin provoquer des dysfonctionnements massifs des rseaux informationnels dun pays. Lautomatisation du processus dattaque et sa relative simplicit de mise en place en font un exemple digne dtre explicit.
2.3.1 Prambule
Lors de la confrence BlackHat Asie 2003, lquipe de la socit Sensepost, originaire dAfrique du Sud, a prsent une nouvelle forme dattaque. Considrant que la plupart des attaques via le rseau ne font pas suffisamment mal ils ont imagin une approche plus subtile que les classiques dnis de service distribus35. Le prdicat de dpart considr par ces chercheurs est que les administrations sensibles ainsi que les grosses socits ne sont pas suffisamment interconnectes Internet pour quune attaque venant de l'extrieur puisse les heurter au point de les paralyser.
34
Nimda partage en criture le disque de la machine infecte, se transmet aux autres ordinateurs du rseau via les dossiers partags, sature les serveurs de mail, scanne massivement le port 80 des serveurs web et provoque des dgradations de performance voire des dnis de service.
35
Le "Distributed denial-of-service" ou dni de service distribu est un type d'attaque trs volu visant faire planter ou rendre muette une machine en la submergeant de trafic inutile. Plusieurs machines la fois sont l'origine de cette attaque (c'est une attaque distribue) qui vise anantir des serveurs, des sous-rseaux, etc. D'autre part, elle reste trs difficile contrer ou viter. C'est pour cela que cette attaque reprsente une relle menace. <http://www.securiteinfo.com/attaques/hacking/ddos.shtml>
28
Forts de cette rflexion, ils se sont interrogs sur leurs besoins pour mener bien leur projet. Leur rponse a t : Nous avons besoin dattaques cibles, effectives et automatises, suffisamment coordonnes et tendues pour paralyser un pays. Loutil le plus appropri est apparu comme tant un ver36 . Cela fait dj longtemps que la pertinence des attaques depuis Internet est dbattue. Si lon devait les scinder en deux groupes, on placerait dun cot les attaques par DDoS et de lautre les intrusions 37. Ces deux mthodes semblent inefficaces pour paralyser un pays. Si un dni de service est dplaisant, il est largement inefficace contre les rseaux internes des socits et des administrations vises. Pour les organismes non intensivement relis Internet (ex: militaires), ce type dattaques ne pose pas de rel problme car elles peuvent couper leur connexion sans affecter leurs organes de commandement et dinformation. Le second type dattaque, le hacking in, pose un gros problme pour tout organisme publique ou priv, mais l'chelle dun pays il est difficile dimaginer que suffisamment dunits, dans le mme secteur, soient touches de manire simultane. Mme avec la dcouverte dun 0day 38 les pirates nauraient pas une connaissance suffisante de la cible laquelle ils sattaquent. La cration dun ver utilisant un 0day virulent capable de toucher simultanment tous les domaines spcifiques dun pays devient, la lumire de cette rflexion, un concept trs intressant. On considre quil existe aujourdhui une vingtaine de bons 0days en circulation dans les milieux alternatifs, dune valeur financire tournant autour de 3000 dollars et pouvant atteindre beaucoup plus. Le temps de recherche est denviron une dizaine de jours pour trouver une faille exploitable dans Windows XP SP2.
36 37
voir note de bas de page numro 7.
Lintrusion, ou hacking in: terme dsignant les mthodes (lgales ou non) visant "casser" des protections (ds qu'une protection a t cass ou est susceptible d'tre cass...on parle alors de faille).
38
Un 0day (zro jour) est une vulnrabilit pour laquelle il nexiste pas de correctif. Kostya Kortchinsky, responsable du CERT RENATER, 0day SSTIC 05 Rennes.
29
2.3.2 Un ver particulirement virulent

Il est gnralement entendu que les vers peuvent tre beaucoup plus volus que leurs manifestations habituelles. Ils apparaissent gnralement quelques semaines ou mois aprs quune vulnrabilit ait t dcouverte. Les programmes malicieux associent, lexploit qui utilise la vulnrabilit, un moyen de propagation. Le ver, ainsi constitu, se rpand sur la toile, libre et sans contrle, rapidement dans un premier temps puis plus lentement au fil des jours et semaines au rythme des patches appliqus et anti-virus mis jour. Certains vers ont la capacit de cibler le rseau interne et dy crer de fortes perturbations mme sils nont pas t conus dans le but de crer un dni de service. Les administrateurs se prcipitant pour appliquer les patches logiciels aux serveurs affects font habituellement du bon travail en dsinfectant leur propre parcelle du parc informatique de leur employeur. Sitt linfection contenue et les machines patches, les administrateurs se tournent souvent trop rapidement vers dautres tches, de nombreux problmes se posant eux pour maintenir le parc informatique jour : - Nouveaux serveurs ajouts, - Serveurs rinstalls avec les solutions logicielles obsoltes, - Les branches du rseau non-affectes restent souvent vulnrables, - La plupart des vers exploitent une vulnrabilit spcifique ; les administrateurs tendent se concentrer sur ce problme particulier en occultant les autres. - Les administrateurs ont tendance utiliser leurs ressources humaines et financires construire une barrire forte sous forme dantivirus et scanner le contenu plutt que de garder les vers dehors et de patcher toutes les machines internes. - La plupart des vulnrabilits lintrieur des rseaux locaux peuvent tre attribues des grosses ngligences et des erreurs de configuration plutt qu des vulnrabilits spcifiques.
30
On constate aujourdhui que lindustrie de la scurit sest oriente vers la cration dun primtre destin devenir infranchissable. On peut comparer ce concept un igloo, dur l'extrieur et tendre lintrieur. Dans toutes ces valuations lquipe Sensepost a trouv, un degr ou un autre, au sein des intranets, des vulnrabilits qui auraient du tre corriges et qui ne demandaient qu tre exploites 39. Beaucoup de ces vulnrabilits existaient depuis longtemps, mais il y a trs peu dadministrateurs en charge du management de rseaux tendu qui pourraient honntement prtendre quaucune dentre elles nest prsente sur leur parc. Pourtant toutes ces vulnrabilits permettent une prise de commande distance. Nombreux sont ceux qui saccordent dire quun ver exploitant un 0day, lanc sur des rseaux internes, pourrait infecter un grand nombre de machines. Combin avec un dni de service, un tel ver pourrait paralyser jusquaux plus grands des rseaux locaux40 . Quand on cre un ver qui doit oprer exclusivement sur un rseau local, on doit garder lesprit un certain nombre de rgles: - Le ciblage de nouvelles victimes est sensiblement diffrent des vers bass sur Internet. - Le ver va se propager la vitesse maximale permise par linfrastructure physique du rseau local. La propagation par elle-mme pourrait causer un DDoS. - La composante du DoS de tous les vers doit tre synchronise une large chelle. - La communication entre les vers doit tre possible, attendu que les rseaux ne sont gnralement pas suffisamment segments.
39
- Microsoft IIS (5) Unicode/2Xdecode
- Microsoft IIS (4) MSADC - Microsoft IIS (5) printer extensions - Microsoft IIS (5) Webdav - OpenSSL < 0.9.6
40
Un rseau local, appel aussi rseau local d'entreprise (RLE) (ou en anglais LAN, local area network), est un rseau permettant d'interconnecter les ordinateurs d'une entreprise ou d'une organisation. Grce ce concept, datant de 1970, les employs d'une entreprise ont disposition un systme permettant : d'changer des informations, de communiquer et davoir accs des services divers.
31
- En lancant des fichiers excutables 41 (.exe), linfection des machines qui nont pas t touches par les vulnrabilits mentionnes plus avant doit tre possible.
2.3.3 La communication entre les vers.

Le dfi est, comme nous lavons vu prcdemment, de parvenir crer un ver qui soit capable de coordination entre ces diffrentes instances. Si une instance crait un DoS, mme accidentel, elle bloquerait ou ralentirait la dissmination des rpliques en dautres places du rseau, diminuant dautant lefficacit du ver et son effet de surprise. Lenvoi de messages type protocole de routage entre les diffrentes instances du ver pourrait tre la solution.
41
En informatique, un fichier excutable est un fichier contenant un programme et identifi par le systme d'exploitation en tant que tel. Il existe deux types de programmes excutables : les scripts textes interprts par un programme, intgrs directement au systme d'exploitation (shells) ou non (perl, php...) et les programmes binaires compils pour un systme spcifique.
32
Dans le diagramme ci-avant nous considrons que le ver a deux points de dpart, nous les nommons patient 0a et patient 0b (P0a et P0b sur le diagramme). Nous considrons que les vers ne vont pas rinfecter les machines conquises mais quau contraire, ils vont se signaler eux-mmes aux autres instances tentant de les infecter. On introduit ici un concept de voisinage. Notre voisin est: - La machine qui nous a infect. - La machine que nous avons infect. - La machine avec laquelle vous avez t en contact et qui a dj t infecte. Le diagramme ci-avant montre une infection en progression. Le patient 5b a trouv que les patients 4a et 9a ont dj t infects, ils sont alors considrs comme voisin de 5b. Le patient 3a a comme voisin 10a, 9a(dj infect), 0a(il nous a infect) et 7a, 2a, 6a et 10b (nous lavons trouv infecter quand nous nous sommes mis la recherche de machines encore saines). Quand une nouvelle infection se produit, la machine lorigine de linfection diffuse un message tous ses voisins afin de se faire connatre des autres instances du ver et tre ajout la liste voisinage. En coutant les informations diffuses, lors de linfection, les diffrentes instances du ver se tiennent informes de ltat du parc informatique. Quand ils ne reoivent plus dannonce de contagion pendant une priode donne, on peut considrer que toutes les cibles vulnrables du rseau ont t contamines. Il est maintenant possible de faire tomber le rseau en lanant lattaque.
33
2.3.4 Le dni de service (DoS)

Lattaque par dni de service lance sur un rseau interne est en gnral beaucoup plus efficace que son quivalent sur Internet 42. Il est galement possible de rendre le ver plus destructeur en lui ajoutant certaines fonctionnalits. ( cf ANNEXE B)
2.3.5 La livraison du ver

Le ver dcrit ci-dessus aurait une vie trs courte sur Internet car la plupart des vulnrabilits listes plus avant nexistent quasiment pas sur les serveurs frontaux dInternet. Par contre, les serveurs prsents sur les rseaux locaux, naturellement moins exposs, sont plus enclins prsenter des vulnrabilits. Le dfi est de dlivrer le ver de telle manire quil soit excut sur au moins un client prsent sur le rseau interne de lentreprise. Le moyen le plus simple semble tre le courrier lectronique. Afin que le ver ne soit pas intercept par les filtres de contenu mis en place par les administrateurs, il est ncessaire dutiliser lencryption SSL43 ainsi que des techniques dobscurcissement durl44 pour que le destinataire du mail croit quil tlcharge un fichier prsent sur le rseau local. Enfin, on fera en sorte que le courriel semble venir du dpartement informatique de lentreprise45. Afin de tester cette thorie, tous les membres de lquipe scurit informatique dune des plus grosses banques dAfrique du Sud ont reu un courriel contenant le ver, ceci sans avoir t informs pralablement.
42
Lavalanche de requtes tant conditionne par la vitesse des cbles, on peut atteindre jusqu 1 Gigabit/s sur un rseau ethernet contre 0.02Gb/s avec de lADSL.
43 44 45
Secure Socket Layer (SSL) est un protocole de scurisation des changes sur Internet. Sigle signifiant uniform resource locator en anglais, littralement repre uniforme de ressource .
On ne peut pas blmer un utilisateur non-technicien travaillant pour la compagnie xxx de suivre les instructions venant de direction-informatique@xxx.fr et ayant pour objet nouvel conomiseur dcran, cliquer aprs le tlchargement et qui contient un lien vers https://...
34
Une fois lanc, lexcutable que lquipe Sensepost a conu extrayait le nom dutilisateur de la variable denvironnement, ouvrait un navigateur invisible et se connectait un site sous leur contrle, envoyait une requte vers un fichier html avec le nom dutilisateur comme paramtre. Les rsultats sont les suivants: - Le courriel a t envoy treize personnes. - 8 ont tlcharg le fichier .exe (60%). - 5 ont execut le .exe (38%) et une personne la excut 3 fois. Comme le ver est virulent, une seule excution est ncessaire sa mise en place. Une fois excut, il trouve lui mme son chemin vers dautres machines infecter. Si cinq membres de lquipe de scurit du secteur financier lont excut, combien de membres du marketing, des ventes, du back-office ou du management lauraient fait ?
2.3.6 Une livraison cible

Comment trouver les adresses e-mail pour une entreprise cible? Pour ce faire lquipe de Sensepost a mis en place un logiciel capable dextraire les adresses de courriel depuis google. Cette mthode nest plus valide aujourdhui, mais il est encore possible, grce yahoo! darriver des rsultats quivalents. Il suffit simplement de faire une recherche du type +@XYZ.com pour trouver des adresses de cette entreprise. Prenons par exemple les ministres de lintrieur et de la dfense: (les xxx sont ajouts pour viter la publicit de ces adresses). - Une requte de la forme +@interieur.gouv.fr nous permet dextraire les adresses suivantes: s t e p h a n e . k o w a l x x x @ i n t e r i e u r. g o u v. f r, thierry.boufxxxx@interieur.gouv.fr etc. - Une requte vers +@defense.gouv.fr nous donne; m i c h e l . b e g x x x @ i n t e r i e u r. g o u v. f r,
35
raphael.frexxxx@reserves.terre.defense.gouv.fr, bernard.teyssonnixxx@defense.gouv.fr etc.
francoise.bilxxxx@defense.gouv.fr,
Lautomatisation du processus peut se raliser facilement grce un script perl46. ex: le journal Hurriyet en Turquie possde le domaine hurriyet.com.tr. $ perl courriels.pl hurriyet.com.tr $ received 83 hits Lenvoi dun courrier 83 employs du journal Hurriyet laisse apparatre une trs grande chance de voir un individu tlcharger et excuter lconomiseur dcran.
2.3.7 Prise dempreintes par pays

Considrons que le ver ait t dvelopp, que le module charg dextraire les adresses de courriel depuis yahoo! est oprationnel et quil est galement capable denvoyer le ver aux adresses trouves. Pour affecter le plus radicalement le pays cible, il est ncessaire de slectionner les compagnies et administrations qui sont susceptibles dtre durement touchs par une interruption du rseau informatique et dont le pays est largement dpendant. Les secteurs suivant viennent rapidement lesprit : - Compagnies de tlcommunications (lignes fixes, gsm, satellite) ; - Fournisseurs dnergie (hydro-lectrique, nuclaire, fossile) ; - Ministres ; - Militaires ; - Mdias / journaux en lignes ; - Services financiers ( banque, assurance, bourse) ;
46
Perl (acronyme de Practical Extraction and Report Language ou Langage Pratique d'Extraction et de Rapport) est un langage de programmation cr par Larry Wall en 1987.
36
- Business dominant (secteur dactivit qui dans un pays donn produit une large part du PIB) ; - Services Mdicaux.
2.3.8 Lexploitation
Lors de la runion Black-Hat 2003, lquipe de Sensepost a agrment son outil dune interface graphique. A laide dune mappemonde comportant une projection de lensoleillement (On lit moins ses courriels la nuit), on dsigne son continent puis on choisit son pays. Le fait de cliquer sur le pays affiche les domaines des principales compagnies et organisations nationales. Le logiciel offre la possibilit de choisir les secteurs attaquer : Fournisseurs dnergie ; Providers tlcoms ; Les journaux ; Lactivit dominante (variable selon les pays) ; Les sites gouvernementaux ; Les sites militaires ; Les services financiers ; On peut y choisir autant de secteurs souhaits. A lissue de la slection, lutilisateur active lenvoi des courriels contenant le ver ou un lien permettant de le tlcharger. Ceci clt la phase livraison du processus et lance lattaque, entranant les consquences que lon imagine. La faisabilit dune attaque massive semble, la lumire de cet exemple, moins improbable et digne de considration.
37
3 ENJEUX ET RECOMMANDATIONS
En mai 1999, le General Accounting Office (GAO), a annonc que ses quipes avaient facilement perc les dfenses informatiques protgeant des informations vitales de la NASA. Un pirate pourrait aisment pntrer le systme en utilisant des comptes avec des mots de passe faciles deviner, voire pas de mot de passe du tout, et dtruire lensemble des donnes ou faire perdre le contrle de certains quipements essentiels. Les reprsentants de lagence spatiale ont admis lexistence de beaucoup des trous rvls par le rapport du GAO et ont affirm leur volont damliorer la scurit de leur dispositif. Ils ont toutefois minimis ltendue du problme, en prcisant que le GAO navait test quun des dix centres de la NASA et quil ntait pas possible dextrapoler ces rsultats lensemble. USAT rappelle, non sans ironie, linvestissement dun milliard de dollars consenti lan dernier par la NASA pour acqurir de nouveaux systmes dinformation.
3.1 LES ENJEUX

3.1.1 Une frappe tendue : lexemple Black-Ice
Lexemple suivant est tir de Black-Ice, the invisible threat of cyber-terrorism47, on y dcrit une attaque de grande envergure mariant frappes logiques et physiques. Bien que la probabilit de voir une telle attaque se produire soit trs faible, elle a le mrite dexpliquer, laide dexemples simples, les risques encourus. Lauteur y prsente un groupe de terroristes islamistes prts mener une srie dattaques et se sacrifier pour Allah. La mission a t soigneusement prpare pendant deux ans. Leur but est de mener une srie dattaques simultanes destines causer des dgts massifs visant les infrastructures lectroniques amricaines. A travers la destruction dinfrastructures de tlcommunications et en portant galement atteinte des vies humaines, les terroristes esprent gnrer un vent de panique capable dinfluer sur la consommation des mnages ou encore le cours des bourses mondiales.
47
Dan Verton, McGraw-Hill Companies (aot 2003)

38
La structure est compose dun chef de 44 ans, Abdul Salah. Il est lgant, calme, et intelligent. Il a migr dArabie Saoudite dans les annes 80 et a fini ses tudes aux Etats-Unis dAmrique o il a obtenu un haut niveau dexpertise technique en ingnierie. Son quipe est compose de membres de ce que lon pourrait appeler la nouvelle gnration de terroristes : Ils ont dcid dutiliser les nouvelles technologies pour planifier, coordonner et lancer leurs attaques. Ils porteront des ceintures dexplosifs la taille. Leur motivation est de heurter lconomie numrique et, travers elle, lconomie occidentale. Cette nouvelle gnration de terroristes est constitue de jeunes hommes ayant grandi en occident, intgr le mode de vie local et frquent les universits. Ils possdent des capacits techniques avances dans diffrents domaines. Pour cette nouvelle gnration, rpandre le sang est insuffisant, les frappes doivent tre accompagnes de dysfonctionnements majeurs dans les tlcommunications causes par la destruction dinfrastructures sensibles. Salah a dcid de crer quatre cellules, chacune constitue de cinq oprationnels. Trois dentre elles sont dj en place aux Etats-Unis dAmrique, lautre arrive du moyen-orient. Les membres ne se connaissent pas. Salah rencontre en personne les leaders de chaque cellule pour leur donner directement les informations lorsque cela est strictement ncessaire. Le reste du temps, il prfre faire usage dInternet et changer des messages chiffrs et dissimuls aux travers dartifices stganographiques 48, de boites de courriel restantes, dobscurs BBS49 ou de chats privs ponctuels. Lusage du tlphone, jug trop risqu, est prohib sauf cas durgence. Les quatre cellules sont constitues dexperts en explosifs, dlectroniciens, dinformaticiens, de personnes capables de collecte et danalyse dinformations ainsi que dun chimiste.
48
La stganographie est l'art de la dissimulation : l'objet de la stganographie n'est pas de rendre un message inintelligible autre que qui de droit mais de le faire passer inaperu. Si on utilise le coffre-fort pour symboliser la cryptographie, la stganographie revient enterrer son argent dans son jardin. Bien sr, l'un n'empche pas l'autre, on peut enterrer son coffre dans son jardin.
49
Un BBS (bulletin board system, littralement : systme de bulletins lectroniques en franais), consiste en un serveur quip d'un logiciel offrant les services d'change de messages, de stockage et d'changes de fichiers, de jeux via un ou plusieurs modems relis des lignes tlphoniques.
39
Salah a un autre atout, un douzaine de pirates informatiques de classe mondiale recruts en Russie et employs pour mener une srie de cyber-attaques contre les rseaux dordinateurs qui contrlent et rgulent les infrastructures nergtiques sensibles dans la rgion o les assauts vont tre lancs. Une fois tous les pions placs, les failles dtectes, les exploits prpars et les cibles soigneusement slectionnes il ne reste plus qu lancer lassaut. Lattaque a lieu au milieu de lhiver, ceci afin de stresser le rseau lectrique dj fortement sollicit. La vague initiale dattaques consiste en lexplosion de 18 camions de transport de carburant. La premire explosion a lieu au nord de Washington sur lautoroute 547 proximit de linterconnexion de gaz de la rgion. Lexplosion provoque une boule de feu et un pais nuage noir nocif. Lincendie se propage et oblige les autorits stopper la desserte en gaz des stations lectriques de ltat. Salah reoit un message chiffr lavertissant du succs de la premire phase. Les trois attaques suivantes visent des lignes trs haute tension de 500.000 Volts. Les hommes de Salah mettent moins de 60 secondes couper la chane qui leur bloque laccs au pylne et placent les charges judicieusement. Dans le mme temps, lquipe de pirates Russe lance son attaque sur les systmes SCADA, le cerveau numrique des rseaux. Ils attaquent de plusieurs points du globe et injectent vers et virus au coeur du systme dj fortement stress par les attaques physiques. Les pirates ferment des vannes devant rester ouvertes. Ils lancent ensuite un Dni de Service (DoS) qui paralyse les communications et donc les remontes dinformations des diffrents organes. Peu de temps aprs le rseau lectrique scroule et plonge une partie de la cte Est dans le noir. Au niveau national, un ver inconnu sattaque 10 des 13 Root DNS50 ralentissant le trafic sur Internet, produisant aussi beaucoup de time-out.
50
Le Root DNS ou Serveur de Nom de Domaine Racine est le serveur de rfrence permettant la traduction dune adresse telle que free.fr en une adresse IP. Cest le principe de lannuaire tlphonique, du nom on trouve le numro de la personne que lon souhaite joindre. Le Root DNS est un maillon essentiel au bon fonctionnement dInternet.
40
Les dysfonctionnements sadditionnent et commencent provoquer des ractions en cascade. On assiste une avalanche de serveurs. Les agences gouvernementales qui avaient planifi une telle attaque ragissent bien et mettent en place des parades leur permettant de continuer travailler. Ce nest pas le cas de la plupart des entreprises et commerces qui sont paralyss. A ce stade lattaque dbute. Au centre de Seattle, un immeuble explose en tuant et blessant des douzaines de personnes. Peu aprs, dans un appartement au cinquantime tage dun immeuble une bombe explose. Un des ingnieurs a plac une quantit importante dexplosifs dans un tui en cuivre lui mme entour de fils lectrique. Une batterie charge la bobine et cre un lectroaimant. Lorsque la bombe explose la bobine produit un court-circuit et compresse les ondes magntiques, envoyant une impulsion lectromagntique (EMP) similaire celle dune explosion nuclaire (sans les destructions physiques). Dans un large rayon, tous les appareils lectroniques deviennent inoprants, les communications sont coupes, perturbant les services
dinterventions. Pendant ce temps, dautres membres de lorganisation sont bord dun des camions, ceinture dexplosif autour de la taille, ils sont plusieurs centaines de miles de Seattle, San Jos, la capitale de lunivers numrique. Ils sarrtent proximit de Cesar de Chavez Park, quelques pas de leur cible. Deux des cinq membres sortent du camion, lun portant une boite chaussures, lautre un pistolet. Le chauffeur du camion fait une embarde et se dirige lentement vers la cible. Limmeuble hberge lun des noeuds les plus grands et les plus critiques dInternet, MAE West. Le trentime tage contient un centre nvralgique qui connecte la plupart des fournisseurs daccs. Cet immeuble est le coeur de millions de cession Internet, des milliards de bytes y transitent chaque seconde. Le conducteur du camion avance lentement laissant le temps aux deux hommes de pntrer plus avant dans limmeuble afin quils dissminent autant danthrax que possible. Le conducteur du camion acclre et fonce vers le building avec ses 40.000 litres de carburant. Les terroristes font dtonner leurs bombes et disparaissent avec une grande partie de la faade de limmeuble. Dans le mme temps, le souffle propulse les poussires mles danthrax vers
41
les habitations voisines. Ce nest que quelques jours plus tard que les urgences des hpitaux commenceront se remplir de patients se plaignant des syndromes de la grippe et de tches sombres sur le corps. Dans les hpitaux, des patients dcdent de transfusions sanguines avant que lon constate que les bases de donnes patient ont t compromises par un virus. Lattaque sur MAE West a dconnect certains fournisseurs daccs Internet de la rgion, certains sont passs en peering51 , partageant leurs ressources et fonctionnant en mode trs dgrad. Lensemble dInternet est svrement ralenti. Les coupures dlectricit vont perdurer plusieurs semaines avant que le rseau ne retrouve sa stabilit. Les crashes informatiques en cascade vont se ressentir sur lensemble du rseau mondial, perturber les flux financiers, ralentir le commerce en ligne et faire perdre des dizaine de milliards deuros en manque gagner. Les effets combins de la coupure dlectricit et de LEMP vont couper du monde une partie de la population. ---------------------
Cet exemple est aujourdhui de la science-fiction. Toutefois, il repose sur des possibilits relles. Une telle attaque, mene dans son intgralit parait difficilement ralisable, nanmoins, dans une forme moins tendue elle reste la porte de quelques groupes internationaux.
3.1.2 Lidentification des cyber-terroristes

Il est facile dobtenir sur Internet une documentation fournie sur les divers modes opratoires visant compromettre une machine. Il existe des centaines de sites warez qui offrent une multitude doutils destins aider les pirates dans leur tche. Il existe galement un moteur de recherche, Astalavista, destin principalement au piratage informatique. Il est possible de trouver, grce lui, des informations lgales concernant le fonctionnement des systmes informatiques, leur scurit et leurs vulnrabilits (dans le but
51
Le Peering est la pratique d'changer du trafic Internet avec des pairs. Les fournisseurs d'accs Internet (FAIs) configurent des points de peering, les endroits physiques o les changes de connexions se droulent et ngocient les spcificits du peering. La plupart des points de peering sont situs dans des centres de collocation o les diffrents oprateurs rseaux centralisent leurs points de prsence.
42
d'y remdier ; ces informations peuvent cependant tre utilises dans le but de nuire, d'o l'ambigut du site) mais aussi des numros de srie permettant de dbloquer ( cracker ) des programmes en version d'essai, activit considre comme illgale dans de nombreux pays. De ce fait lart est accessible a un grand nombre de personnes. Il ne ncessite pas la manipulation de substances prohibes, la frquentation de personnes fiches ou le suivi dun stage en Afghanistan. Lart du piratage est enseign dans les coles dingnieurs, les universits, discut lors de symposiums rassemblant les experts nationaux et internationaux, de la dfense, de lintrieur et du secteur priv. Quoi quil en soit il nexiste ce jour aucune preuve liant un groupe terroriste une cyber-attaque massive. Il est difficile de dterminer lidentit des personnes lorigine des attaques quand, dans le mme temps les organisations en charge de la scurit des systmes dinformation reportent chaque jour davantage dattaques par virus, causant de plus en plus de pertes conomiques et affectant des zones gographiques toujours plus tendues. Selon le CERT amricain, le volume des attaques ne cesse daugmenter : de 132 en 1989, il est pass 9859 en 1999 et 137 529 en 2003. Le volume et la frquence des attaques rendent difficile la dtection des attaques srieuses et lidentification de leurs auteurs.
3.2 RECOMMANDATIONS
3.2.1 Mise en place dune structure de rponse rapide
Danne en anne, les systmes de communications tatiques gagnent en importance et en complexit. Si au dbut des annes 90, les communications restaient pour beaucoup analogiques, la tendance sest rapidement inverse, au point de conditionner la bonne marche de lconomie. On considre quune interruption dInternet pendant une journe sur lensemble du territoire national aurait un impact visible sur le PIB annuel. Aujourdhui, les systmes de communications franais pourraient subir une attaque venant du cyber espace. Il est donc ncessaire de mettre en place un systme de veille capable de
43
dtecter les activits suspectes susceptibles de porter atteinte nos infrastructures, danalyser les exploits, dalerter les victimes potentielles afin dorganiser une rponse rapide et de restaurer les services endommags. La difficult de cette tche est grande, en particulier parce quil nexiste aucun point dobservation panoramique avantageux duquel il serait possible de voir lorigine des attaques et leur propagation. Pour limiter limpact dune cyber-attaque, il est ncessaire de diffuser les informations la concernant de manire rapide et tendue. Les organismes de prvention et de lutte peuvent exister dans nombre dinfrastructures publiques ou prives. Elles doivent tre coordonnes pour ragir efficacement contre une attaque, en limiter les effets et rtablir les systmes endommags. Lun des lments essentiels de russite de cette quipe de raction rapide devra tre sa capacit de communication et dinitiative. Elle se traduira par un formalisme allg des changes entre les partenaires gouvernementaux mais aussi non-gouvernementaux. Le souci sera ici lefficacit et linter-activit. Il est vident que cette quipe devra galement communiquer avec les partenaires communautaires afin dapporter une rponse globale la menace, en publiant des alertes, ainsi que des avis sur les mesures mettre en place. Constatant que le secteur priv fait lobjet de la majorit des attaques, il sera souvent le premier les dtecter, linstituant de fait en partenaire privilgi. Le fonctionnement de lquipe de rponse rapide devra rpondre un schma simple, comprenant quatre secteurs, savoir lanalyse, lalerte, la gestion de crise et la rponse. - Lanalyse est la premire tape du cheminement qui va mener une comprhension aussi fine que possible des types dattaques, de leurs origines et de leurs degrs de dangerosit. Elle permet aussi de connatre la nature des dommages, ltendue de la compromission et dvaluer les moyens mettre en place pour y faire face. Elle peut aussi fournir des informations sur les intentions de lattaquant, les outils utiliss et les vulnrabilits quil a exploites.
44
- Lalerte, quant elle, est contingente la capacit de dtection de cette quipe. Labsence dune vue synoptique dInternet complique considrablement la tche des veilleurs. Il est donc ncessaire de se rapprocher la fois des CERTs mais aussi des acteurs privs. Les effets dune attaque sur un secteur peuvent, par effets domino, affecter plusieurs autres secteurs et rapidement dpasser les comptences et capacits de structures prives ou rgionales. Dans le mme esprit, lindustrie devrait tre encourage dvelopper un mcanisme permettant le partage de linformation sur la sant dInternet afin damliorer lanalyse, les alertes, les rponses et la sortie de crise. Ce genre de coopration volontaire, tablie dans le respect des lois et rglements, permettrait un partage pertinent dinformation entre les fournisseurs daccs Internet 52 (FAI) et autres acteurs majeurs du rseau capable daffiner lanalyse. Ce type de coopration permettrait dviter que lutilisation massive de certains exploits causant dimportants dommages voire une interruption de systmes nvralgiques. Une bonne gestion du temps peut faire la diffrence entre une interruption majeure et un incident mineur. Amliorer les capacits nationales dalerte ncessite une infrastructure scurise capable dassurer le bon acheminement des communications entre les diffrents acteurs tatiques ou privs, malgr un dysfonctionnement majeur dInternet. Ce rseau priv doit pouvoir supporter des confrences (voix) et des changes de fichiers. - La gestion de crise doit se faire en partenariat avec les agences nationales et les ministres concerns. On peut, titre dexemple, citer la Dfense, lIntrieur, la Justice, lIndustrie, les Finances et la Recherche. Pour quune rponse rapide et efficace soit mise en place, deux mesures pralables doivent tre prises. - La mise en place dun processus de dveloppement de partenariat public-priv ainsi que la cration de procdures durgences rpondant diffrents scnarii.
52
un FAI, est un organisme (gnralement une entreprise) offrant une connexion au rseau informatique Internet des particuliers et des entreprises. Le terme anglais dsignant un FAI est Internet service provider, abrg ISP.
45
- Ltablissement de procdures durgences est un lment clef de la russite, aussi bien face au terrorisme classique quau cyber-terrorisme. En labsence de procdure durgence et dexercice, les diffrentes directions concernes pourraient ne pas pouvoir faire face une interruption massive des communications via Internet. Lintrt des exercices rside, outre dans le fait de dvelopper des automatismes, dcouvrir des faiblesses diminuant dautant la vulnrabilit des infrastructures.
3.2.2 Programme de rduction des menaces et vulnrabilits

Si les acteurs de la menace sur Internet sont trs divers ils cherchent tous exploiter les mmes faiblesses, quelles viennent du protocole IPv4 53, des erreurs structurelles du rseau, du hardware, ou des logiciels. Il nest pas judicieux ni prudent dattendre quune information sur la survenue prochaine dune attaque nous parvienne avant dagir. Parce que ce genre dinformation est rarement connu avant le dbut de lattaque mais aussi parce que la connaissance de lattaque et de la vulnrabilit quelle exploite nassure en rien que nous serons capables dy faire face dans un dlai raisonnable. Il arrive parfois quil scoule des jours voire des semaines avant quune parade puisse tre dcouverte et quun correctif soit mis disposition des utilisateurs. Lvolution rapide des logiciels et des systmes dexploitation, toujours plus complexes, carte catgoriquement lhypothse dun parc informatique dcharg de toute faille. Pour preuve, le 21 juillet 2005, soit quelques jours aprs la sortie de la version beta de Windows Vista Microsoft faisait face un premier virus54. Celui-ci, nomm second part to hell, exploite une faille de scurit du nouveau shell55 de Microsoft nomm monad.
53
Le protocole IP fait partie de la couche Internet de la suite de protocoles TCP/IP. C'est un des protocoles les plus importants d'Internet car il permet l'laboration et le transport des datagrammes IP (les paquets de donnes), sans toutefois en assurer la livraison . En ralit, le protocole IP traite les datagrammes IP indpendamment les uns des autres en dfinissant leur reprsentation, leur routage et leur expdition
54
Windows Vista: premier virus identifi!
<http://www.generation-nt.com/actualites/8477/Windows-Vista-premier-virus-identifie>
55
L'interprteur de commandes est l'interface entre l'utilisateur et le systme d'exploitation, d'o son nom anglais shell, qui signifie coquille. Le shell est ainsi charg de faire l'intermdiaire entre le systme d'exploitation et l'utilisateur grce aux lignes de commandes saisies par ce dernier. Son rle consiste lire la ligne de commande, interprter sa signification, excuter la commande, puis retourner le rsultat sur les sorties.
46
Lapparition de ce virus peut inquiter quand on sait que Microsoft a mis laccent sur la scurit et que la sortie de Windows Vista est prvue fin 2007. La nature anationale du rseau Internet en fait un terrain de jeu privilgi pour les pirates et criminels qui y voient une opportunit de perptrer des mfaits sans tre poursuivis. Les magistrats, de leur ct, peinent comprendre les subtilits de linformatique et se heurtent des concepts qui dpassent leur comprhension. Larsenal juridique est quant lui mal adapt et trouve sa limite le plus souvent aux frontires nationales. Les activits illicites sur le rseau, le spam56 , la propagation de vers ou virus, rodent la confiance des utilisateurs et heurtent lconomie ou notre scurit au travers des attaques contre nos infrastructures. Cest donc idalement en se donnant la capacit de poursuite des attaquants, par des investigations, des arrestations, des inculpations puis des condamnations quil sera possible dattnuer lengouement des pirates. Ceci fait, les agences concernes pourront se concentrer sur les menaces les plus srieuses sans tre pollues par une nue de script-kiddies57 gonfls dun sentiment dimpunit. Pour les affaires les plus srieuses, les autorits judiciaires trouveront, dans la diplomatie, un alli de premier ordre. Enfin, les efforts des diffrents services et les fruits de leurs investigations devront, sauf ncessits exprimes par les autorits, tre largement diffuses auprs des entreprises et administrations afin damliorer la scurit globale des infrastructures.
56
Le spam, mot anglais du jargon informatique, dsigne les communications lectroniques massives, notamment de courrier lectronique, sans sollicitation des destinataires, des fins publicitaires ou malhonntes.
57
Ce terme dsigne les pirates informatique nophytes qui, dpourvu des principales comptences en matire de gestion de la scurit informatique, passent l'essentiel de leur temps essayer d'infiltrer des systmes, en utilisant des scripts ou autres programmes mis au point par d'autres crackers. Malgr leur faible niveau de qualifications, les script-kiddies sont parfois une menace relle pour la scurit des systmes car d'une part ils sont trs nombreux et d'autre part ils sont souvent obstins au point de passer parfois plusieurs jours essayer toutes les combinaisons possibles d'un mot de passe, avec le risque d'y parvenir.
47
Les informations collectes, ainsi que le savoir faire associ peuvent galement tre utiliss pour examiner la robustesse de nos infrastructures et les capacits de dtections et de ractions des organismes cibls. En rsum, il est ncessaire de chercher prvenir, dcourager, et rduire de manire significative les cyber-attaques en assurant lidentification et la poursuite des dlinquants. Dans le cas de cyber-crimes, la rponse doit tre rapide et quasi certaine, la punition, quant elle, doit tre suffisamment svre pour tre dissuasive.
48
CONCLUSION
Le cyber-terrorisme nexiste pas stricto sensu ce jour. Les avis des experts diffrent, les uns pensant que jamais une attaque opre depuis le cyber espace ne pourra entraner de pertes humaines, les autres considrant que le monde nest peut tre pas encore mr pour ce genre dattaque mais que dans un avenir sans doute peu lointain nous devrons y faire face. Comme nous lavons constat, les attaques menes depuis Internet demandent des budgets relativement faibles alors quelles peuvent produire des effets importants. Ainsi certains pays ont dcid de dvelopper leurs capacits dans ce domaine en esprant compenser les faiblesses de leur arsenal militaire. Un autre ct attractif est le faible risque inhrent ce type dattaque. Internet est encore aujourdhui un vaste royaume o limpunit rgne, les moyens offerts aux forces de lordre ainsi que le manque de coopration internationale rendent les arrestations difficiles, voire impossibles. Si Internet prsente un intrt pour les terroristes, du point de vue de la propagande (au travers de la diffusion de revendications, de vidos dexcutions), il entrane des effets moins spectaculaires quune attaque cintique visant le mtro ou les aronefs. Toutefois, le terrorisme volue, les plus radicaux sont souvent de jeunes convertis qui ne parlent pas ou peu larabe mais qui ont reu une bonne ducation et sont capables de se fondre dans la population sans attirer lattention des autorits. Cette nouvelle gnration de terroristes de plus en plus rompue aux secrets de linformatique, pourrait dans quelques annes, devenir une vritable proccupation pour les services de lEtat. Les systmes dexploitation sont de plus en plus complexes et de ce fait comportent un nombre croissant derreurs de programmation permettant une prise de contrle distance. Les efforts des diteurs de logiciels ne donnent pas beaucoup de rsultats et il est craindre que le nombre dattaques continue de progresser, comme cest le cas depuis la fin des annes 80. Par ailleurs, les utilisateurs, peu conscients des risques encourus ne font pas suffisamment preuve de prudence et fournissent de ce fait des armes aux pirates informatiques. A la lumire de ces rflexions, il est raisonnable de penser que la menace cyber-terroriste, si elle se dessine lhorizon, nest pas encore clairement visible. Nanmoins, mme si la
49
probabilit dune attaque est faible, le risque est pris en compte par nombre dtats et suscite la discussion parmi les experts. La prise en compte de la menace cyber-terroriste doit comporter deux grands axes : la lutte contre la cyber-criminalit (connaissance des acteurs et des outils) et la lutte contre le terrorisme classique (connaissance des milieux et tendances). Elle doit galement passer par la mise en place de plans de prvention visant rduire limpact dune hypothtique attaque. Pour lheure, autant on peut attester de lutilisation dInternet par des terroristes (propagande, financement, formation), autant rien de permet dattester quune vritable attaque cyber-terroriste ait jamais abouti.
50
ANNEXES A - Rapport Calipari (extrait)

4. (U) Communications Regarding the Mission Duration (U) Captain Drew, Second Lieutenant Acosta, and Staff Sergeant Brown were all concerned about the length of time that the Soldiers had been manning their blocking positions. (Annexes 74C, 77C, 83C). Captain Drew was concerned that leaving his Soldiers in a static position for more than 15 minutes left them open to attack. He was also concerned that he was not adequately performing his patrolling mission because his Soldiers were tied down to the blocking positions. (Annex 74C). (U) Captain Drew checked with the 1-69 IN TOC at least two times seeking to collapse the blocking positions and return his Soldiers to their patrolling mission. The 1- 69 IN TOC, after checking with 2/10 MTN TOC, informed him that the convoy had not passed and to stay in position. (Annexes 74C, 2L). (U) At 2010 hours, the 2/10 MTN Battle Captain requested permission from the 3ID TOC to remove blocking positions until 15 minutes before VIP movement. (Annex 2L). (U) At 2014 hours, the 3ID TOC Battle Captain informed the 2/10 MTN Battle Captain that A Company, 1-69 IN could reduce their blocking positions until 2018 hours. (Annex 2L). (U) At 2015 hours, the 2/10 MTN Battle Captain reported to the 3ID TOC Battle Captain that A Company, 1-69 IN blocking positions would remain in place. (Annex 2L). (U) At 2020 hours, the 2/10 MTN Battle Captain notified 1-69 IN to keep blocking positions in place. (Annex 2L). (U) At 2030 hours, Captain Drew asked again about collapsing the blocking positions. He was told that the word from 3ID was not to move off the blocking positions, that the convoy would be coming down Route Irish in approximately 20 minutes, and that the convoy would consist of four HMMWVs and an up-armored Suburban. (Annexes 97C, 3L).
(S//NF) 1-76 FA was able to communicate the requirement for blocking positions along Route Irish for a VIP movement from the International Zone to BIAP. (Annexes 58C, 59C, 62C, 63C). The security escort platoon with the VIP was able to, and did, relay departure and arrival times to the 1-76 FA Battle Captain. (Annexes 59C, 64C). The VIP convoy departed the International Zone in four HMMWVs (and no Suburban) at approximately 1945 hours. It arrived at the Camp Victory gate at 2010 hours (Annex 59C). The convoy reached its destination on Camp Victory at 2020 hours (Annex 59C). The VIP returned to the International Zone by helicopter at approximately 2205 hours. The determination to fly by helicopter back to the International Zone was not made until shortly before the VIP departed as a result of clearing weather conditions. (Annexes 59C, 64C). (S//NF) The 1-76 TOC had two means of communicating with 4th Brigade, its higher headquarters: Voice Over Internet Protocol (VOIP)2 and FM. The 1-76 FA Battle Captain was using only VOIP to communicate with 1-69 IN, but experienced problems with VOIP, therefore losing its only communication link with 1-69 IN, other than going through 4th Brigade. (Annex 97C). As a result, the Battle Captain was unable to pass updated information about the blocking mission either directly to 1-69 IN, or to 4th Brigade. He did not attempt to contact 4th Brigade via FM communications. (Annex 63C). Fourth Brigade, in turn, could not pass updated information to its major command, 3ID. (Annex 57C). Likewise, 3ID had no new information to pass to its subordinate command, 2/10 MTN. Finally, 2/10 MTN was thus unable to pass updated information to its subordinate command, 1-69 IN. (Annexes 51C, 52C). (U) There is no evidence to indicate that 1-76 FA passed on the information about the VIP departure and arrival times to any unit. (Annexes 59C, 63C). As a result, A Company, 1-69 INs Soldiers were directed to remain in their blocking positions. E. (U) The Incident (U) After arriving at BIAP from Italy in the late afternoon of 4 March 2005, and taking care of some administrative matters, Mr. Carpani and Mr. Calipari went to some undisclosed location in the Mansour District of Baghdad. (Annexes 104C, 105C). At approximately 2030
52
hours they recovered Ms. Sgrena and headed back toward BIAP. (Annexes 103C, 104C, 109C). Both agents made a number of phone calls to various officials during the drive. (Annex 104C). Mr. Carpani was mostly talking to his colleague, Mr. Castilletti, who was waiting for them outside of BIAP near Checkpoint 539. He updated Mr. Castilletti on his location and discussed arrangements at the airport. (Annex 105C). Mr. Carpani, who was driving, had to slow down at one point due to a flooded underpass on Route Vernon. (Annexes 103C, 104C). Mr. Carpani, who had experience driving in Baghdad, did not have an alternate route to the airport planned. (S//NF) VOIP is a technology that allows telephone calls to be made using a
broadband Internet connection instead of a regular (analog) phone line. CLASSIFIED
53
B - Un ver plus destructeur

- Injection de 10 bits de manire alatoire dans tous les fichiers de Microsoft Office, les fichiers compresss .zip, les bases de donnes peuvent galement tre touches. - Changer les paramtres du BIOS58 , y ajouter un mot de passe, ou flasher 59 le BIOS avec un logiciel dfectueux, ce qui interdira tout redmarrage de lordinateur et obligera un retour usine. - Afficher une fentre invitant lutilisateur contacter durgence ladministrateur; vous devez contacter votre administrateur et lui fournir les caractres suivants afin quil ractive votre accs; aiUBGncPP6xFYcdGOaxezPJ5 Ce message vise saturer le bureau informatique dappels tlphoniques, perturbant le personnel et lempchant de passer des appels ses collgues alors quil doit faire face un vrai problme. - Dterminer si les routeurs60 , switchs et hubs sont configurs avec les mots de passe par dfaut. Si cest le cas, changer les mots de passe dadministrateur. La recherche se fait sur les login/mot de passe configurs en sortie dusine. Il est prfrable de se concentrer sur les acteurs majeurs du secteur savoir Cisco et 3Com. Le changement de mot de passe empchera les administrateurs de contenir distance linfection.
58
Le Basic Input Output System ou BIOS (systme de base d'entre/sortie) est un programme contenu dans la mmoire morte (ROM) de la carte mre s'excutant au dmarrage de l'ordinateur. Il dclare les disques, configure les composants et recherche un systme d'exploitation avant de le lancer. Sa tche principale est de fournir un support de bas niveau pour communiquer avec les priphriques.
59
Il existe dsormais des cartes-mres comportant des mmoires flash, mmoires pouvant tre modifies directement par logiciel. Les BIOS situs sur des cartes-mres comportant ce type de mmoire peuvent tre mis jour (le terme upgrader est parfois utilis, mot francis provenant du verbe to upgrade qui signifie mettre jour) grce un programme appel firmware, fourni par le fabricant, destin permettre le remplacement de l'ancien BIOS par un BIOS plus rcent. Le problme consiste toutefois se procurer les mises jour de son BIOS (problme maintenant rsolu grce l'accs Internet). Ces mises jour sont disponibles sous forme de fichier binaire contenant une image du BIOS, et qui sera transfre dans la mmoire flash grce au firmware.
60
Un switch ou commutateur est un dispositif lectronique servant de commutateur rseau et permettant de crer un rseau informatique local de type ethernet. Ce dispositif est dit intelligent par opposition au hub car, alors que ce dernier fait transiter les donnes par toutes les machines, le switch permet de diriger les donnes uniquement vers la machine destinataire.
54
Il existe quatre moyens pour le ver de trouver les bornes du rseau: - Obtenir ladresse IP et le masque de la machine cible. Une machine avec plusieurs interfaces rseaux est un bonus - Envoyer des requtes SNMP61 utilisant des chanes de caractres communes pour en extraire les tables de routage. - Faire un traceroute62 sur les adresses IP localises sur les machines connues dans le but denregistrer les chemins. - Faire des ping63 sur les adresses IP des rseaux de classe C au dessus et en dessous du rseau actuel. ex: si le rseau est 10.0.10.0/24 essayer 10.0.9.0/24 et 10.0.11.0/24
61
Le sigle SNMP signifie Simple Network Management Protocol (protocole simple de gestion de rseau en Franais). Il s'agit d'un protocole de communication qui permet aux administrateurs rseau de grer les quipements du rseau et de diagnostiquer les problmes de rseau.
62
Traceroute est un outil rseau qui permet de suivre le chemin qu'un paquet de donnes (paquet TCP ou UDP) va prendre pour aller d'une machine A une machine B.
63
Ping est le nom d'une commande (dveloppe par Mike Muuss) permettant d'envoyer une requte ICMP une autre machine. Si la machine ne rpond pas il se peut que l'on ne puisse pas communiquer avec cette machine.
55
Bibliographie
The Next War Zone: Confronting the Global Threat of Cyberterrorism de James F. Dunnigan Citadel Press (septembre 2003) Black Ice: The Invisible Threat of Cyber-Terrorism de Dan Verton McGraw-Hill Companies (aot 2003) Computer Attack and Cyber Terrorism: Vulnerabilities and Policy Issues for Congress de Clay Wilson, The Library of Congress (2005) Federal Intrusion Detection, Cyber Early Warning and the Federal Response Brian Fuller, Sans Institute (2003) Can Cyber Terrorists Actually Kill People? Scott Anthony Newton, Sans Institute (2002) Information Warfare: An Analysis of the Threat of Cyberterrorism Towards the US Critical Infrastructure Shannon M. Lawson, Sans Institute (2003) Redening the Role of Information Warfare in Chinese Strategy Edward Sobiesk Sans Institute (2003) Annual Report on the Military Power of the Peoples Republic of China. Report to Congress (28 Juillet 2003) Internet et Scurit de Solange Ghernaouti-Helie, Arnaud Dufour, Que sais-je? Presses Universitaires de France - PUF (15 juin 2002) La Violence et la Paix de Pierre Hassner Seuil (3 mars 2000) La Terreur et l'Empire : La Violence et la Paix, tome 2 de Pierre Hassner Seuil (5 septembre 2003) Question(s) d'Intelligence : Le Renseignement Face au Terrorisme de Bruno Delamotte Editions Michalon (28 mai 2004)
56
Techniques du Terrorisme de Jean-Luc Marret Presses Universitaires de France - PUF (18 mars 2002) The 9/11 Commission Report The Future of Cyber Terrorism: Where the Physical and Virtual Worlds Converge Barry C. Collin Institute for Security and Intelligence Managerial Guide For Handling Cyber-terrorism And Information Warfare de Lech Janczewski Idea Group Publishing (avril 2005) Cyber Terrorism: A Guide for Facility Managers de Joseph Gustin Marcel Dekker (octobre 2003) The Myth of Cyber Terrorism De Joshua Green http://www.washingtonmonthly.com/features/2001/0211.green.html Hypothecising the Cyber Terrorism Brett Kraynak George Washington University (2002) Cyber-Terrorism - Fact or Fancy? Mark M. Pollitt FBI Laboratory Cyber Terrorism, Testimony before the Special Oversight Panel on Terrorism Committee Dorothy E. Denning Georgetown University (23 Mai 2000) The National Strategy To Secure Cyberspace The White House 2003
57

2006 Thevenet

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

2006 Thevenet

Transféré par

Droits d'auteur :

Formats disponibles

Srie Mmoires et Thses

CYBERTERRORISME, MYTHE OU RALIT ?

CYBER-TERRORISME, MYTHE OU REALITE ?

Directeur de recherche Amiral Pierre LACOSTE Co-Directeur Clment PAOLI

Centre dEtudes Scientifiques de Dfense - CESD

1.2 LES ACTEURS

1.3 LES NATIONS AYANT UNE POLITIQUE DE CYBER-GUERRE

2 DE LUSAGE DU RESEAU COMME ARME 2.1 LEFFET DOMINO

2.2 LES CLEFS DU SUCCES

Centre dEtudes Scientifiques de Dfense - CESD

2.3 MODUS OPERANDI DUNE INFECTION VIRALE MASSIVE

3 ENJEUX ET RECOMMANDATIONS 3.1 LES ENJEUX

CONCLUSION ANNEXES A - Rapport Calipari (extrait) B - Un ver plus destructeur Bibliographie

Centre dEtudes Scientifiques de Dfense - CESD

Centre dEtudes Scientifiques de Dfense - CESD

Centre dEtudes Scientifiques de Dfense - CESD

Centre dEtudes Scientifiques de Dfense - CESD

LES FORMES DE LATTAQUE

DoD, Departement of Defense

Une arme spciale pour couper le courant, Le Monde, 05 Mai 1999.

Centre dEtudes Scientifiques de Dfense - CESD

(DHS) Departement of Homeland Security.

Centre dEtudes Scientifiques de Dfense - CESD

1 AFFAIRE DETAT OU DINDIVIDUS ?

1.1 LE CYBER-TERRORISME EST-IL ATTRACTIF ?

1.1.1 Les capacits ncessaires pour mener une attaque

Centre dEtudes Scientifiques de Dfense - CESD

1.1.2 Quels effets ?

Agence France Presse le 28.04.99

Centre dEtudes Scientifiques de Dfense - CESD

1.1.3 Un mode dattaque moins risqu ?

1.2 LES ACTEURS

Centre dEtudes Scientifiques de Dfense - CESD

1.2.2 Les liens entre terroristes et pirates

Centre dEtudes Scientifiques de Dfense - CESD

1.2.3 Les nations susceptibles de soutenir le cyber-terrorisme

Centre dEtudes Scientifiques de Dfense - CESD

National Defense Commission (NDC)

Centre dEtudes Scientifiques de Dfense - CESD

1.3 LES NATIONS AYANT UNE POLITIQUE DE CYBER-GUERRE

Army: Now Hyper War, India Today, May 10, 1999

Centre dEtudes Scientifiques de Dfense - CESD

Centre dEtudes Scientifiques de Dfense - CESD

1.3.4 Core du Nord

Agence France Presse 04/10/2004

Centre dEtudes Scientifiques de Dfense - CESD

Centre dEtudes Scientifiques de Dfense - CESD

1.3.7 Etats-Unis dAmrique

Centre dEtudes Scientifiques de Dfense - CESD

fait feu et oubli

Centre dEtudes Scientifiques de Dfense - CESD

2 DE LUSAGE DU RESEAU COMME ARME 2.1 LEFFET DOMINO

2.1.2 Des interactions imprvisibles

Centre dEtudes Scientifiques de Dfense - CESD

Centre dEtudes Scientifiques de Dfense - CESD

2.1.3 De la vulnrabilit de certains systmes

2.2 LES CLEFS DU SUCCES

2.2.1 La recherche de vulnrabilits par les pirates

Centre dEtudes Scientifiques de Dfense - CESD

Intrusion Detection System ou IDS.

Centre dEtudes Scientifiques de Dfense - CESD

2.2.2 La rapide propagation des attaques automatises

Dlais entre la publication dune faille et le ver lexploitant 15 13 11 9 8 6 4 2 0 Mois Nimda