Par Thierry Berthier.
La donnée comme valeur stratégique
En matière de cyberconflictualité, le vol de bases de données constitue certainement l’attaque la plus difficile à gérer du côté du système ciblé. Lorsqu’il s’agit de données d’entreprise, les responsables de la sécurité de ce système doivent rapidement évaluer l’étendue de la captation et mesurer au plus vite ses effets potentiels sur le fonctionnement de l’entreprise. Cette évaluation dans l’urgence s’avère souvent plus complexe que prévu compte tenu de l’absence d’information sur l’attribution de l’attaque et sur les objectifs réels des attaquants. Ces derniers doivent eux aussi faire preuve d’habileté et de ruse dans la gestion de leur butin numérique afin d’optimiser les gains et les effets de captation escomptés.
Lorsque le vol de base de données intervient dans le cadre d’un conflit armé projeté sur le cyberespace, la complexité de la gestion des données captées augmente encore, pour la cible comme pour la cellule de hacking à l’origine de l’attaque. Quand un État en est la victime, le vol de données sensibles (a fortiori classifiées) provoque toujours de fortes turbulences. En 2013, les révélations d’Edward Snowden et la publication de données de surveillance de la NSA déclenchent un scandale à l’échelle mondiale. Depuis 2011, date du début du conflit syrien, la mise en ligne régulière de données confidentielles sur les membres de la rébellion et sur l’armée syrienne, fidèle au régime de Bachar el-Assad, donne lieu à des opérations militaires d’élimination des belligérants, hackers, chefs de milices, responsables de systèmes d’informations. Dans ce contexte, le vol de données devient hautement létal. Il accompagne désormais tout conflit armé dans le cadre d’une action de cyber-renseignement ou d’influence. Une fois l’opération réalisée, l’attaquant doit évaluer la valeur stratégique des données collectées et veiller à optimiser leur exploitation. Cela sous-entend une bonne gestion des temporalités de publication des informations captées et un choix judicieux du type de données rendues publiques. La cadence de publication s’appuie en général sur le calendrier des opérations militaires associées. Dernier exemple en date : l’opération OpSaudi menée par YCA.
L’attaque YCA-OpSaudi
Le 20 mai 2015, la cellule YCA (pour Yemen Cyber Army) revendiquait l’attaque massive « OpSaudi » contre le site du Ministère des Affaires Étrangères Saoudien (mofa.gov.sa) et le vol de plusieurs bases de données saoudiennes sensibles et classifiées. Une partie des bases captées par la YCA a été mise en ligne le 21 mai et d’autres publications devraient intervenir dans les prochains jours. L’opération de hacking OpSaudi intervient aujourd’hui dans un contexte d’intervention militaire de l’Arabie Saoudite au Yemen. C’est à la fois une cyber-riposte aux différents bombardements saoudiens et une démonstration de force destinée à l’ensemble des acteurs impliqués dans le conflit. Les hackers de la YCA ont affirmé avoir pris le contrôle total du réseau du Ministère saoudien des affaires étrangères réunissant plus de 3000 ordinateurs et serveurs pour plusieurs milliers d’utilisateurs réguliers. Le volume des bases captées semble très important. Les données publiées sont inédites dans le sens où il ne s’agit pas d’une republication de données ouvertes. Il reste à évaluer l’impact de ce vol d’informations sur le fonctionnement du Ministère saoudien et la réaction des correspondants étrangers qui ont vu leurs courriers électroniques confidentiels captés et mis en ligne… L’opération menée par la YCA a conjugué le hacking d’influence par défacement du site du Ministère et le hacking d’acquisition de données. C’est désormais le format usuel des cyberattaques réalisées dans un contexte de conflit militaire.
Exploiter au mieux la donnée captée
Imaginons maintenant qu’un conflit armé oppose deux États que l’on désigne pour simplifier par A et B. La taille et la puissance de A et B ont finalement peu d’incidence sur l’enchaînement des événements puisqu’en matière de cyberdéfense, un petit pays peut s’attaquer efficacement à un grand pays en provoquant des dégâts conséquents sur ses systèmes d’information. Plaçons-nous du côté du pays A. L’armée A engagée dans le conflit mobilise immédiatement sa composante cyberarmée (si elle existe) contre B et ses alliés. Si A ne dispose pas d’une telle structure, elle peut faire appel à des cellules de hackers qui vont sous-traiter les attaques et qui seront recrutées contre rémunération ou sur une simple adhésion patriotique ou idéologique. L’entité A dispose maintenant d’un potentiel offensif. Il s’agit de définir des objectifs et des cibles qui peuvent se superposer.
1- Réaliser des opérations de hacking d’influence contre l’adversaire
Ces attaques sont toujours revendiquées et destinées à discréditer l’adversaire, à prouver la faiblesse et la vulnérabilité de ses infrastructures numériques, à dénoncer ses actions militaires (exactions, massacres, emploi d’armes interdites,…). L’opération de hacking d’influence consiste souvent à prendre le contrôle partiel ou total de sites web emblématiques de l’adversaire afin de publier un message (visible) revendiquant l’attaque et ses motivations. On parle alors de défacement. Ces opérations relèvent clairement d’une guerre de l’information de basse intensité, de contre-influence et de cyber-vandalisme. La France a été touchée très récemment par ce type d’agression à la suite des attentats de janvier 2015. Plus de 15 000 sites web français ont été défacés par un groupe de cellules de hacking réunies sous la bannière OpFrance – « Je ne suis pas Charlie » et dénonçant le mouvement « JeSuisCharlie ».
2- Perturber ou mettre hors service les systèmes numériques de l’adversaire
Cet objectif est techniquement beaucoup plus complexe à mettre en œuvre. L’attaquant doit d’abord détecter les vulnérabilités des systèmes ciblés puis doit en prendre le contrôle pour les bloquer. Cela sous-entend des capacités de développement importantes à l’image du degré de sophistication de l’opération Stuxnet attribuée à la NSA et à l’Unité 8200 ciblant les centrifugeuses iraniennes utilisées pour l’enrichissement de l’uranium. Plus près de nous, la récente opération menée par Cybercaliphate contre TV5Monde a permis d’interrompre le fonctionnement de la chaîne pendant quelques heures.
3- Collecter les données de l’adversaire
Dans le cadre d’une opération militaire, il s’agit le plus souvent de cyber- renseignement. Le pays A en guerre contre le pays B parvient à s’introduire dans certains systèmes d’informations sensibles de B et à collecter des bases de données confidentielles ou classifiées. L’entité A commence par dépouiller son butin numérique et traiter l’information. Si les bases collectées sont très volumineuses, le traitement peut en général être partiellement automatisé afin de trier et de sélectionner les données jugées utiles. Une fois ce premier classement effectué, A peut choisir de divulguer une partie des bases captées en fonction de l’évolution du conflit armé. Les motivations d’une mise en ligne des données confidentielles de B peuvent être multiples : dénoncer des accords entre B et d’autres pays, discréditer B auprès de ses alliés, fracturer des coalitions et des alliances.
A peut également choisir d’utiliser les données de B pour tromper ou influencer ceux qui collecteront et interpréteront ces données rendues publiques. Concrètement, A commence par sélectionner une base de données captée de B puis y injecte un sous-ensemble de données fictives, créées de toute pièce par A et servant ses intérêts dans le conflit. A publie ensuite la nouvelle base composée des vraies données de B et des fausses données injectées. Si un pays tiers C décide d’analyser cette base, il faudra qu’il tienne compte de l’éventualité d’une injection de données fictives réalisée à l’avantage de A et il devra chercher à détecter le sous-ensemble fictif…
Dès lors, on mesure la forte complexité d’analyse de ces données ouvertes collectées par un acteur extérieur au conflit. Si les technologies associées au big data (mégadonnées) permettent effectivement de croiser plusieurs bases de données et peuvent aider à détecter l’injection de fausses données, l’analyse des bases issues d’opérations de hacking reste délicate et requiert encore l’arbitrage humain.
Laisser un commentaire
Créer un compte