Le cyber-espionnage est plus difficile à rattacher à un Etat que l’espionnage dans le monde physique

piratage_internetL’Internet nous a tous rapproché les uns des autres… malheureusement.

The Conversation, 21 octobre 2014

Par Siraj Ahmed Shaikh

Qui est dans votre réseau, en train de vérifier vos données? La dernière créature numérique invasive est Sandworm, un malware dont on a découvert qu’il utilise une vulnérabilité de Windows jusqu’alors inconnue pour infiltrer les réseaux gouvernementaux, espionner les systèmes de l’OTAN, l’Union européenne, le gouvernement ukrainien et d’autres.

Au cours des dernières années, un certain nombre de ces attaques ont concerné l’espionnage: le vol d’informations sensibles, ou la perturbation d’infrastructure essentielle dont dépendent les nations. Faisant usage de techniques sophistiquées et des exploitations zero-day (failles de sécurité qui n’ont pas été annoncées publiquement), elles sont le résultat de compétences et de ressources considérables.

Avec des objectifs plus politiques que commerciaux ou criminels en nature, le soupçon est que, en raison de leur poursuite délibérée et persistante d’objectifs alignés avec les intérêts nationaux, les attaques ont des sponsors d’Etat.

C’est une tendance inquiétante. Les cyber-attaques peuvent être lancées avec relativement peu de logiciels, de matériel et de compétences, mais peuvent avoir un impact énorme en termes de coût et de perturbation de réseaux. Comme les réseaux mondiaux se développent en termes de trafic, vitesse et cible, la situation ne fera qu’empirer.

Un grave problème est la difficulté d’attribuer avec certitude une attaque particulière à sa nation d’origine. L’architecture technique de l’Internet a été construite pour fournir une connectivité ouverte, mais pas de responsabilité.

La situation est compliquée sur la façon dont les attaques en plusieurs étapes, qui concernent la plupart des cyber-attaques modernes, rendent quasi-impossible d’affirmer une attribution fiable. Ces opérations sont mises en place, afin que l’attaquant compromette d’abord l’ordinateur d’un tiers dans le but de l’utiliser comme une plate-forme de proxy pour lancer une attaque sur la cible finale.

Il peut y avoir plusieurs de ces machines, chacune utilisée pour compromettre une autre, créant un réseau complexe de connexions qui obscurcissent l’origine de l’attaque. Cette chaîne peut être maintenue, afin de permettre aux données d’être extraites de la cible et ramenées, sous infiltration, vers l’attaquant.

Pointer du doigt

Certains pays, dont la Russie, la Chine et Israël sont considérés comme maintenant des équipes de cyber-guerre et menant des attaques soutenues par l’État. Par exemple, l’entreprise de recherche sur la sécurité Mandiant a récemment identifié une équipe chinoise soupçonnée de cyberguerre militaire, l’Unité 61398, jusqu’à l’emplacement de son bâtiment. Cela a conduit le gouvernement américain à déposer des accusations criminelles de piratage contre cinq officiers militaires chinois.

L’attribution des cyber-attaques suit le principe de sophistication, en examinant le niveau de compétences et de ressources nécessaires pour réaliser une attaque. L’utilisation d’exploitations zero-day, par exemple, démontre que beaucoup de temps et d’efforts ont été consacrés à l’essai pour une vulnérabilité inconnue contre laquelle la cible aura peu de protection. Ce n’est pas susceptible d’être quelque chose qu’un pirate de chambre pourrait atteindre.

Les attaques qui sont persistantes, en essayant de vaincre les défenses plutôt que de chercher ailleurs des cibles plus faciles, sont aussi un signe de possible soutien d’un Etat. C’est surtout le cas lorsque l’objectif est de voler des informations sensibles – comme les détails de l’avion de combat furtif US F-35 apparemment perdu au cyber-espionnage chinois – plutôt que le gain financier.

Dans le cas de Sandworm, le contexte du conflit en Ukraine est un autre indice révélateur, à en juger par les organisations militaires et politiques ciblées et les documents recherchés en matière de renseignement.

Des signaux dans le bruit

Les caractéristiques du trafic Internet rendent son attribution encore plus difficile. Le volume croissant du trafic non-productif, telles que la numérisation en réseau, les vers [informatiques], le trafic résultant de routeurs ou de systèmes mal configurés, et les robots d’indexation Web tels que Googlebot, créent un bruit de fond.

Le problème est que ce bruit de fond peut aussi ressembler à de véritables attaques malveillantes – en fait, il est difficile de déterminer ce qui est accidentel et ce qui est délibéré. Cela laisse un grand nombre de faux positifs enregistrés dans les journaux de pare-feu qui ne font que rendre plus difficile le repérage de véritables attaques.

Au niveau politique, toute accusation de piratage parrainé par un État doit être soutenue par des preuves. Le plus souvent, cependant, les rampes de lancement de proxy pour la plupart des attaques multi-étages sont basées dans des Etats non-hostiles. Le Manuel de Tallinn, livret de règles le plus complet de la cyberguerre juridique, déclare que ceux sur l’extrémité de réception d’une cyber-attaque ne peuvent que répondre par l’application du test «ne veut ou ne peut pas ». Il s’agit d’un principe fondamental du droit international qui affirme que les représailles contre un Etat intermédiaire utilisé par un ennemi pour lancer une attaque ne sont autorisées que si l’intermédiaire est réticent ou incapable d’empêcher l’agresseur responsable de le faire.

Peut-être que la plus grande difficulté posée par toute cyber-attaque de représailles est la géopolitique du jour. Les alliances politiques, le partage de renseignement, les considérations juridiques et éthiques, et la sensibilité potentielle des opérations offensives, font qu’il est très difficile pour les Etats-nations de lancer de telles opérations. Le résultat est que le genre d’accusations publiques de cyberattaques vues dans la presse et se voulant un outil de dissuasion sont presque entièrement inutiles – comme on le voit dans les démentis fréquents et faciles de la Russie et de la Chine.

Source: http://theconversation.com/cyber-espionage-is-more-difficult-to-pin-to-a-state-than-spying-in-the-physical-world-32977

PRISM, Tempora: Les programmes de surveillance internet guettent la Tunisie

HuffPost Maghreb, 3 juillet 2013

Le 7 juin 2013, de nombreux détails des programmes de surveillance internet PRISM et Tempora, dirigés par l’américaine NSA (National Security Agency) et la britannique GCHQ (Government Communications Headquarters), sont portés au grand jour. A l’origine de ces révélations initialement publiées par le quotidien britannique The Guardian: Edward Snowden, ex-consultant pour la NSA et la CIA.

De quoi sont capables ces programmes de surveillance ?

Les allégations, fondées sur une série de documents classés top-secret et fournis par le jeune informaticien de 30 ans, concernent l’existence d’une back-door chez plusieurs géants de l’internet. Des multinationales comme Facebook, Microsoft ou encore Google auraient fourni un accès direct à leur système aux agences de sécurité gouvernementales.

Les gouvernements auraient ainsi accès, entre autre, au contenu de mails et de live chats, ainsi qu’aux conversations audiovisuelles via un accord avec Skype. Toujours, selon The Guardian, les multinationales mises en cause auraient, pour celles qui ont répondu, réfuté ces accusations.

Etant donné le caractère multinational de ces entreprises, de nombreux États craignent pour la protection des données privées de leurs consommateurs ainsi que celle de leurs institutions. La France a annoncé ne pas pouvoir « accepter ce comportement » qui doit cesser « immédiatement ». Un responsable européen a souligné une possible « rupture de confiance » au cas où les faits seraient avérés (AFP), tandis que The Guardian, révélait que l’Italie, la France ou encore la Grèce seraient parmi les 38 cibles privilégiées de la NSA.

La NSA défend les programmes de surveillance

Qu’en est-il de la Tunisie ?

Près d’un tiers des tunisiens sont utilisateurs de Facebook et nombre d’entre eux sont adeptes du service de boîte électronique de Google ou encore du logiciel de communication audiovisuelle Skype. Les risques constatés dans d’autres pays devraient donc également s’appliquer en Tunisie.

Selon le directeur de l’Agence tunisienne d’Internet (ATI), Moez Chakchouk, joint par le HuffPost Maghreb, les récentes révélations ne changent que peu l’état des choses, car les autorités « se doutaient probablement de l’existence de tels comportements » de la part des multinationales. Mais alors que la Commission nationale de l’informatique et des libertés française (CNIL) et son équivalente espagnol AEPD leur ont déjà promis des sanctions au cas où ces comportements persisteraient, le sujet reste étrangement absent des débats en Tunisie.

Moez Chakchouk admet que malgré « son nombre comparativement réduit d’internautes, la Tunisie, comme tout autre pays, est bien sûr concernée par ces révélations, surtout que l’usage des réseaux sociaux a atteint son apogée, notamment depuis la révolution et l’ouverture totale de l’Internet ». Mais il analyse également que les tunisiens « sont encore très sensibles au sujet de la censure du net » et ne se préoccupent donc pas de la protection de leurs données. Un débat en efface un autre.

Lors de la conférence 2013 de la Freedom Online Coalition (FOC), qui regroupe 21 pays et avait lieu à Tunis le 17 et 18 juin, les enjeux des libertés en ligne devaient être abordés sous tous leurs aspects. Mais les participants tunisiens « se sont peu intéressés pour les sujets de protection, et bien plus pour ceux de la censure », indique Moez Chakchouk. En revanche, un évènement annexe, hébergé par Nawaat, a été dédié exclusivement à une discussion autour de la surveillance internet, comme le rappelle Jillian C. York, directrice de l’EFF.

Même s’il identifie des risques non moins importants liés à la protection de données personnelles et à la garantie de la liberté d’expression sur internet, M. Chakchouk pense que les enjeux de ces révélations sont autre part.

« Moi aussi, je veux! »

Des « rapports de transparence » publiés par Google, Microsoft et bientôt Facebook font état de nombreuses demandes d’accès aux données personnelles de la part de plusieurs gouvernements. Pour le moment, « ces rapports ne mentionnent pas la Tunisie », précise Moez Chakchouk, « mais il y a là un véritable risque de contagion ». Ayant constaté l’accès privilégié offert aux américains par ces multinationales, il est en effet plausible que certains gouvernements songent alors à réclamer les mêmes privilèges. A titre personnel, il ne pense pas que « Google ou Facebook agiront dans ce sens, surtout dans les pays où il n’existe aucun garde-fou juridique pour garantir les droits de l’homme sur internet ». Quant à l’espionnage d’État tant craint par les grandes puissances, Moez Chakchouk ne croit pas que la Tunisie soit concernée, les « intérêts commerciaux y étant relativement faibles ».

Pour le directeur de l’ATI, il faut avant tout agir « à échelle internationale », notamment via l’adhésion à la convention 185 du Conseil de l’Europe sur la cybercriminalité mais aussi à la convention 108 relative à la protection des données personnelles. La Tunisie, en attendant, a d’autres priorités : « l’emploi, la croissance économique, la démocratie, etc… ». Et en ce but, « c’est dans le sens économique qu’il faut coopérer avec ces multinationales pour promouvoir l’innovation, avant de poser toute question liée à la sécurité nationale et les risques relatifs à l’usage d’internet ».

[…]

Source: http://www.huffpostmaghreb.com/2013/07/03/prism-tempora-surveillanc_n_3539309.html

  • Creative Commons

    Ce blog est mis à disposition selon les termes de la Licence CC-BY-SA 4.0, sauf pour les contenus traduits depuis d'autres sites internet et qui restent la propriété des médias qui les ont publiés à l'origine.
  • Articles récents

  • Catégories

  • Archives