Une méga-cyberattaque contre les US : de la cyber comme fossoyeur de nos civilisations

Il s’agirait d’un malware (Sunburst [1]) qui aurait été intégré à un logiciel de supervision de SolarWinds, une firme texane, très largement utilisé de par le monde, en particulier par les administrations US : en gros, le malware a été introduit dans une mise à jour qui a été téléchargée par l’ensemble des clients – ce qui est un processus normal.

Gros rififi [2] chez les huiles outre-Atlantique, puisque le sénateur Mitt Romney a accusé Donald Trump d’un « silence inexcusable » et que le secrétaire d’État, Mike Pompeo, a nommément cité la Russie comme étant à l’origine de l’attaque, pendant que Joe Biden affirmait que son administration ferait de la cybersécurité une priorité à tous les niveaux (c’est certainement ce qu’ont dû penser les Iraniens au moment de Stuxnet).

 Cette technique sophistiquée du cheval de Troie est particulièrement pernicieuse : autant il est déjà compliqué de monitorer les flux entrants et sortants d’un réseau interne (les firewalls, proxies et autres sandboxes d’analyse antivirale laissent forcément passer autant de malwares non détectés qu’ils bloquent de faux positifs), autant passer par le biais d’un fournisseur externe (attaque de type Supply Chain dans le jargon du métier) et son processus « normal » de mise à jour est quasi impossible à détecter et à bloquer. Sauf à réinternaliser massivement toutes les briques de son SI, ce qui est totalement impossible (à moins que vous ne pensiez pouvoir écrire vous-même vos OS, vos plateformes de virtualisation, vos DB, vos outils de sauvegarde et j’en passe).

Traditionnellement, les puissances nucléaires classiques ont le travers courant de penser que la puissance militaire se résume à la taille des biceps : je suis le plus fort parce que j’ai plus d’ogives nucléaires que les méchants d’en face. Dans leur ouvrage majeur La Guerre hors limites, les haut gradés chinois Qiao Liang et Wang Xiangsui développent une analyse tout à fait différente. À leurs yeux, jusqu’à la Première Guerre mondiale incluse, les conflits se caractérisaient par une unicité ou une uniformité en termes de terrains de combat, d’objectifs stratégiques et tactiques, d’armement, de durée, etc. Jusqu’à la première guerre du Golfe, un cas d’école selon les auteurs, toute la théorie militaire s’inscrivait peu ou prou dans ce carcan figé depuis des siècles. Depuis la fin de la Guerre froide et le début des manœuvres sur le terrain cyber, il n’y a plus d’unicité de lieu (le champ cyber est virtuel), d’objectifs (le harcèlement compte autant que la confrontation conventionnelle), d’armes (tout est bon, y compris les armes dites « des faibles »), de durée (qui peut dire quand commence et quand finit une attaque cyber), etc.

Plus personne ne songe à envoyer un missile nucléaire sur la tête de son voisin – et c’est heureux. Même la Chine et l’Inde, pourtant à couteaux tirés sur leurs 3 500 kilomètres de frontière commune, se sont affrontées en mai dernier à coups de bâtons et de pierres [3] (authentique, avec tout de même plus de 20 morts). Il est beaucoup plus simple, moins coûteux, plus discret de balancer un malware et de laisser l’adversaire s’en dépatouiller pendant des mois comme d’un paquet de chewing-gums dans les cheveux et de compter le temps qu’il perd, l’argent qu’il perd, les clients qu’il perd, les patients qu’il perd, le tout en sirotant un expresso. What else ?

L’humanité a ceci d’étonnant que les problèmes que l’on imagine, à un instant T, comme étant ceux qui signeront notre perte dans 30 ans, 50 ans, un siècle tout au plus, ne sont jamais ceux qui se produisent au final. Dans les années 1960, devant l’informatisation et l’automatisation associées à la démocratisation de la TV et de la radio, le sujet qui agitait les sociologues était : Que va-t-on faire de tout ce temps libre et comment produire tous les contenus culturels de haut niveau qu’il va falloir diffuser en boucle à la TV parce que les gens seront pendus 24/365 à des émissions sur la nature ou de type Arte (véridique) ? Ce n’est pas exactement ainsi que les choses se sont passées. Aujourd’hui, nous focalisons sur des problèmes de transition énergétique, du pic passé de production de pétrole et de CO₂ dans l’atmosphère, et ce sont certainement des sujets d’inquiétude. Mais ce n’est rien à côté d’un monde où il faudrait proprement débrancher tous les ordinateurs parce que tellement de « cochonewares » traîneraient dans le cyberespace qu’aucun ne pourrait fonctionner plus de 12 minutes : le fossoyeur de l’humanité ne sera peut-être ni le pangolin ni le CO₂, mais tout bêtement quelques lignes de code pondues par un geek avec des culs-de-bouteille en guise de lunettes.

Fondamentalement, les US viennent de faire l’expérience de deux caractéristiques de nos sociétés modernes qui, si elles ont constitué un atout indéniable, sont en train de devenir une vulnérabilité majeure : l’éclatement de la chaîne de production de composants (avec des sous-traitants à plusieurs étages), et l’interconnexion quasi irréversible des systèmes. Il est clair que Vladimir ou Kim ne vont pas s’enquiquiner à tenter de bypasser le firewall du Pentagone quand il est beaucoup plus simple et efficace de poutrer l’un de ses fournisseurs.

D’aucuns prédisent la fin de la fête cyber et le retour à des préoccupations basico-basiques : les besoins physiologiques et la sécurité (les niveaux 1 et 2 de la pyramide de Maslow soit dit en passant). Il faudrait peut-être réfléchir à la maîtrise de ses propres composants de même qu’à la faisabilité – et aux conséquences – d’une coupure de tout un État de l’Internet en cas d’attaque majeure.

Enfin, je parle pour les US, nous on s’en fiche bien sûr : on a la ligne Maginot.

[1] 

[2] 

[3]