Publicité en cours de chargement...
Une méga-cyberattaque contre les US : de la cyber comme fossoyeur de nos civilisations
Il s’agirait d’un malware (Sunburst [1]) qui aurait été intégré à un logiciel de supervision de SolarWinds, une firme texane, très largement utilisé de par le monde, en particulier par les administrations US : en gros, le malware a été introduit dans une mise à jour qui a été téléchargée par l’ensemble des clients – ce qui est un processus normal.
Gros rififi [2] chez les huiles outre-Atlantique, puisque le sénateur Mitt Romney a accusé Donald Trump d’un « silence inexcusable » et que le secrétaire d’État, Mike Pompeo, a nommément cité la Russie comme étant à l’origine de l’attaque, pendant que Joe Biden affirmait que son administration ferait de la cybersécurité une priorité à tous les niveaux (c’est certainement ce qu’ont dû penser les Iraniens au moment de Stuxnet).
Cette technique sophistiquée du cheval de Troie est particulièrement pernicieuse : autant il est déjà compliqué de monitorer les flux entrants et sortants d’un réseau interne (les firewalls, proxies et autres sandboxes d’analyse antivirale laissent forcément passer autant de malwares non détectés qu’ils bloquent de faux positifs), autant passer par le biais d’un fournisseur externe (attaque de type Supply Chain dans le jargon du métier) et son processus « normal » de mise à jour est quasi impossible à détecter et à bloquer. Sauf à réinternaliser massivement toutes les briques de son SI, ce qui est totalement impossible (à moins que vous ne pensiez pouvoir écrire vous-même vos OS, vos plateformes de virtualisation, vos DB, vos outils de sauvegarde et j’en passe).
Traditionnellement, les puissances nucléaires classiques ont le travers courant de penser que la puissance militaire se résume à la taille des biceps : je suis le plus fort parce que j’ai plus d’ogives nucléaires que les méchants d’en face. Dans leur ouvrage majeur La Guerre hors limites, les haut gradés chinois Qiao Liang et Wang Xiangsui développent une analyse tout à fait différente. À leurs yeux, jusqu’à la Première Guerre mondiale incluse, les conflits se caractérisaient par une unicité ou une uniformité en termes de terrains de combat, d’objectifs stratégiques et tactiques, d’armement, de durée, etc. Jusqu’à la première guerre du Golfe, un cas d’école selon les auteurs, toute la théorie militaire s’inscrivait peu ou prou dans ce carcan figé depuis des siècles. Depuis la fin de la Guerre froide et le début des manœuvres sur le terrain cyber, il n’y a plus d’unicité de lieu (le champ cyber est virtuel), d’objectifs (le harcèlement compte autant que la confrontation conventionnelle), d’armes (tout est bon, y compris les armes dites « des faibles »), de durée (qui peut dire quand commence et quand finit une attaque cyber), etc.
Plus personne ne songe à envoyer un missile nucléaire sur la tête de son voisin – et c’est heureux. Même la Chine et l’Inde, pourtant à couteaux tirés sur leurs 3 500 kilomètres de frontière commune, se sont affrontées en mai dernier à coups de bâtons et de pierres [3] (authentique, avec tout de même plus de 20 morts). Il est beaucoup plus simple, moins coûteux, plus discret de balancer un malware et de laisser l’adversaire s’en dépatouiller pendant des mois comme d’un paquet de chewing-gums dans les cheveux et de compter le temps qu’il perd, l’argent qu’il perd, les clients qu’il perd, les patients qu’il perd, le tout en sirotant un expresso. What else ?
L’humanité a ceci d’étonnant que les problèmes que l’on imagine, à un instant T, comme étant ceux qui signeront notre perte dans 30 ans, 50 ans, un siècle tout au plus, ne sont jamais ceux qui se produisent au final. Dans les années 1960, devant l’informatisation et l’automatisation associées à la démocratisation de la TV et de la radio, le sujet qui agitait les sociologues était : Que va-t-on faire de tout ce temps libre et comment produire tous les contenus culturels de haut niveau qu’il va falloir diffuser en boucle à la TV parce que les gens seront pendus 24/365 à des émissions sur la nature ou de type Arte (véridique) ? Ce n’est pas exactement ainsi que les choses se sont passées. Aujourd’hui, nous focalisons sur des problèmes de transition énergétique, du pic passé de production de pétrole et de CO2 dans l’atmosphère, et ce sont certainement des sujets d’inquiétude. Mais ce n’est rien à côté d’un monde où il faudrait proprement débrancher tous les ordinateurs parce que tellement de « cochonewares » traîneraient dans le cyberespace qu’aucun ne pourrait fonctionner plus de 12 minutes : le fossoyeur de l’humanité ne sera peut-être ni le pangolin ni le CO2, mais tout bêtement quelques lignes de code pondues par un geek avec des culs-de-bouteille en guise de lunettes.
Fondamentalement, les US viennent de faire l’expérience de deux caractéristiques de nos sociétés modernes qui, si elles ont constitué un atout indéniable, sont en train de devenir une vulnérabilité majeure : l’éclatement de la chaîne de production de composants (avec des sous-traitants à plusieurs étages), et l’interconnexion quasi irréversible des systèmes. Il est clair que Vladimir ou Kim ne vont pas s’enquiquiner à tenter de bypasser le firewall du Pentagone quand il est beaucoup plus simple et efficace de poutrer l’un de ses fournisseurs.
D’aucuns prédisent la fin de la fête cyber et le retour à des préoccupations basico-basiques : les besoins physiologiques et la sécurité (les niveaux 1 et 2 de la pyramide de Maslow soit dit en passant). Il faudrait peut-être réfléchir à la maîtrise de ses propres composants de même qu’à la faisabilité – et aux conséquences – d’une coupure de tout un État de l’Internet en cas d’attaque majeure.
Enfin, je parle pour les US, nous on s’en fiche bien sûr : on a la ligne Maginot.
[1]
[2]
[3]
Avez-vous apprécié ce contenu ?
A lire également.

Des lignes directrices sur la portée des obligations applicables aux modèles d'IA à usage général (1)
29 juil. 2025 - 11:09,
Actualité
-Le règlement (UE) 2024/1689 (AI Act), entré en vigueur le 1er août 2024, vise à encadrer le développement et l’utilisation de l’intelligence artificielle dans l’Union européenne, en conciliant innovation technologique et protection des droits fondamentaux.

Dernier billet philosohico-cyber avant la plage
21 juil. 2025 - 10:00,
Tribune
-À l’approche des congés d’été, l’heure est à la réflexion — et pas seulement sur la température de l’eau ou le bon dosage de crème solaire. Entre arnaques bancaires de plus en plus sophistiquées, dérives technologiques, illusions cyber-industrielles et lacunes dans la gouvernance publique, ce billet...

Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé
07 juil. 2025 - 23:57,
Actualité
- DSIHLe ministre chargé de la Santé et de l’Accès aux soins, Yannick Neuder, a réuni ce 1er juillet un Comité stratégique exceptionnel pour présenter les premières étapes de la stratégie nationale sur l’intelligence artificielle (IA) et l’utilisation secondaire des données de santé. Objectif : structurer...

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS
01 juil. 2025 - 00:00,
Actualité
- DSIHLa 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...