L’art de la cyber guerre
Par Justin Fier,
Directeur Analyse & Cyber-renseignement
@ Darktrace
Vietcong, Mao, le KGB….
Sun Tzu a profondément influencé la stratégie militaire à travers le monde et les époques. L'importance accordée à la victoire plutôt qu’à la conformité du combat a imprégné de nombreux conflits au cours du siècle dernier, à mesure que le monde a basculé de la guerre traditionnelle au champ de bataille complexe. La norme est désormais à la “guerre asymétrique”, menée à l'aide d'espionnage, de combats par procuration, de campagnes de désinformation et de tactiques de guérilla.
" Si vous vous connaissez vous-même mais pas l'ennemi, pour chaque victoire remportée, vous subirez également une défaite."
La plupart des attaques balistiques peuvent être attribuées et contrées de manière relativement simple. Grâce aux frontières et à l'imagerie satellite, il est possible de savoir d'où provient une attaque. Mais les règles du cyberespace sont différentes.
Les règles du cyberespace sont différentes.
En avril 2015 une cyberattaque a mis la chaîne TV5Monde hors service et le groupe de pirates Cyber Caliphate, opérateurs de l'État islamique, en a aussitôt revendiqué la responsabilité. Toutefois, il a ensuite été révélé qu'il ne s'agissait pas d'une attaque terroriste. La Russie aurait été à l'origine de cette attaque, dans le cadre de ce que l'on appelle une opération "false flag".
“Il faut plutôt subjuguer l’ennemi sans donner bataille : ce sera là le cas où [...] vous approcherez de l’incomparable et de l’excellent".
La question de l'attribution des attaques a été instrumentalisée, ce qui empêche souvent les victimes d'agir de manière proportionnée. La tactique du déni et de l'imposture s'est avérée extrêmement efficace jusqu’à présent.
De plus, les logiciels malveillants eux-mêmes peuvent être masqués. Cet aspect est important car chaque type de logiciel malveillant répond à un objectif précis et au besoin de certains acteurs. Par exemple, les rançongiciels ont une finalité lucrative et sont donc souvent déployés par le crime organisé.
Ainsi, lorsqu'un programme de type « disk swiper » envoyé par l'Iran se fait passer pour un rançongiciel et détruit des systèmes israéliens, il faut comprendre que l'Iran utilise le prétexte d'une attaque financière pour masquer ce qui est, en réalité, un acte politique. Et, de fait, pourrait être interprété comme un acte de guerre.
Le cyberespace devient chaque jour plus anonyme.
Le cyberespace devient chaque jour plus anonyme. La gestion des menaces à l'aide de règles et de signatures n'est pratiquement plus d'aucune utilité, car l'infrastructure peut être modifiée très facilement. Les systèmes de sécurité sont fondamentalement incapables de répondre à la question de la provenance des attaques. Les États exploitent à leur tour cet anonymat pour lancer des campagnes sous de fausses identités et avec des armes déguisées.
"Je forcerai l'ennemi à prendre notre force pour de la faiblesse, et notre faiblesse pour de la force, et je transformerai ainsi sa force en faiblesse."
Le renseignement d'origine humaine (HUMINT) est la seule méthode fiable pour identifier les auteurs, mais il n'est pas irréprochable. Il est difficile de trouver un agent sur le terrain ayant accès à des informations privilégiées, et même si un gouvernement peut attribuer une attaque avec certitude, il ne souhaitera peut-être pas révéler comment il a obtenu ces informations.
"L'invincibilité réside dans la défense ; la possibilité de victoire dans l'attaque."
Le gouvernement français, par l’intermédiaire du directeur de l’ANSSI, a récemment attribué, de manière indirecte, une cyberattaque de grande ampleur à la Chine. C’est une première qui laisse peut-être entrevoir un changement de politique progressif en matière d’attribution de cyberattaque. La France s’était auparavant montrée extrêmement prudente dans cet exercice tant la question de la provenance d’une attaque est complexe.
Les capacités défensives sont la clé du conflit
Les "lignes rouges" fixées par le président Biden sont prometteuses : il faut davantage de transparence pour comprendre les conséquences de chaque action. Mais ces engagements sont limités pour les raisons que nous avons évoquées.
Cela peut paraître élémentaire, mais le moyen le plus efficace de prévenir une attaque est de la stopper avant qu'elle ne se produise. Les capacités défensives sont la clé du conflit. La cyber-paix n'est pas pour demain, mais la cyber-résilience peut s'avérer cruciale pour prendre l'avantage.
Les Citations sont de Sun Tzu
Biographie de Justin Fier
Justin Fier est l'un des principaux experts américains en cyber-intelligence. Fort d'une expérience de plus de 10 ans en cyberdéfense, il participe activement à la communauté du renseignement américain. Justin est également un spécialiste technique hautement qualifié et travaille avec les clients stratégiques internationaux de Darktrace sur l'analyse des menaces, les cyber-opérations défensives, la protection de l'IoT et le machine learning.