Les États-Unis réfléchissent actuellement à la perspective d’une force de frappe suffisante pour répliquer aux cyberattaques dont le pays est régulièrement victime. Beaucoup proviennent de la Chine, et la NSA en particulier se pose la question d’une possible action, d’autant que les cibles ont été jusqu’à présent essentiellement des opérateurs d’importance vitale.
En avril dernier, nous relations comment l’ancien directeur de la NSA, le général Keith Alexander, tentait d’alerter l’opinion publique aux États-Unis sur un énorme problème potentiel : les systèmes informatiques de l’armée ou des agences de sécurité sont pratiquement tous tournés vers la défense. Il était clair selon lui que le pays ne pouvait plus se contenter d’une telle stratégie puisqu’il finirait par apparaître faible aux yeux du monde entier. La solution ? Préparer une force de riposte.
Des systèmes de défense en partie dépassés
L’idée n’est pas nouvelle, mais elle prend particulièrement de l’ampleur depuis quelques mois. Lors d’une conférence, le général Alexander avait indiqué : « Le plus grand risque serait une attaque catastrophique contre l’infrastructure énergétique. Nous ne sommes pas préparés pour ça ». Il exposait en particulier la situation problématique des OIV (Opérateur d'importance vitale) et des structures disposant de systèmes SCADA (Supervisory Control And Data Acquisition), c’est-à-dire des systèmes de contrôle et de gestion des données sur de larges échelles.
Le concept de force de frappe dissuasive prend ses racines dans certains constats récents, notamment la manière dont la sécurité des systèmes SCADA est presque inexistante dans un trop grand nombre de cas. Était particulièrement pointé par Keith Alexander le simple fait de laisser ces infrastructures dans l’ombre en espérant que personne ne les remarque. Or, beaucoup les ont remarquées, et si l’on en croit la fuite d’un document de la NSA et obtenu par la NBC, la Chine en profite largement.
Plus de 600 structures américaines attaquées par la Chine en cinq ans
Ce document est issu du NSA Threat Operations Center et date de 2014. Il montre les résultats d’une surveillance ayant pris place sur une période de cinq ans et indiquant comment plus de 600 entreprises et institutions diverses ont été attaquées. Et la NSA n’y va pas par quatre chemins : elles ne sont pas l’œuvre de groupes de pirates isolés, mais bien de groupes directement financés par l’État chinois, d’une manière ou d’une autre. Des scénarios faisant appel à des attaques sophistiquées, dans la veine de ce qu’a subi Kaspersky avec une variante du ver Duqu.
Tous les secteurs importants ont été visés, en particulier ceux de l’énergie, du transport, des télécommunications, des services financiers, de l’agriculture, de la production alimentaire, de l’industrie pharmaceutique et ainsi de suite. Selon la source de la NBC, les rapports de la NSA mettent particulièrement en évidence l’intérêt de la Chine pour des entreprises telles que Google, d’importants partenaires privés de l’armée américaine comme Lockheed Martin ainsi que les systèmes de contrôle aérien.
La NBC fait remarquer en particulier combien la côte est a été nettement plus concernée que la côte ouest, et on voit aisément que les concentrations rouges touchent avant tout les grandes agglomérations et les zones comprenant par définition un grand nombre d’entreprises, notamment la Silicon Valley. Et chaque point rouge signale une tentative d’attaque en vue de voler des informations, même si le document ne précise pas le degré de succès de ces attaques.
Détecter les attaques et se défendre ne sont qu'une partie de la solution
La carte de la NSA permet plusieurs constats, mais pose également des questions. L’agence américaine de sécurité est visiblement capable de traquer au moins une partie des attaques menées contre ses structures. Ces résultats ne concernent que la Chine, mais d’autres pays doivent également tenter leur chance. Seulement voilà, détecter les tentatives d’intrusions n’est qu’une partie de la défense, encore faut-il les bloquer efficacement. Ou riposter.
La fuite de ce document intervient d’ailleurs à une date « commode ». Le DoD, département américain de la Défense, a en effet publié la semaine dernière un communiqué de presse dans lequel l’amiral Mike Rogers (l’actuel directeur de la NSA) indique que le Cyber Command (ou Cybercom) et la NSA vont travailler ensemble pour améliorer la sécurité d’un nombre important d’acteurs privés. En tout, ce sont seize domaines qui ont été identifiés comme ayant un lien direct avec la sécurité de l’État, et donc de nombreuses entreprises avec lesquelles il faudra travailler.
Le département de la Défense aborde directement le changement de politique qui va s’en suivre : les États-Unis ne veulent plus être attentistes et souhaitent être plus proactifs, notamment en identifiant à l’avance les menaces pour les neutraliser avant qu’elles n’attaquent. Comment ? Par un énième renforcement du renseignement certes, mais surtout par une meilleure utilisation de ces informations pour attaquer, ou contre-attaquer.
La dissuasion par la frappe frontale
Mike Rogers souhaite particulièrement créer de nouvelles synergies entre les différents acteurs qui pourraient être impliqués dans la défense : la NSA et le Cybercom bien sûr, mais également le FBI et le département de la Sécurité Intérieure (DHS). Or, les réserves d’informations ont actuellement des périmètres très clairement définis et les échanges ne se font que dans ces cas particuliers, et a posteriori.
Il cite en exemple le fameux piratage de Sony Pictures, dont les conclusions américaines pointaient du doigt l’implication nord-coréenne. Le FBI avait bien été défini comme en étant en charge de l’affaire, mais le bureau avait dû se tourner vers la NSA pour obtenir certaines informations. Conséquence, Sony (décrit comme pleinement volontaire) avait dû de son côté participer activement, aboutissant au constat de l’activité criminelle. Mais Rogers ne cache sa volonté d’aller beaucoup plus loin : « Cette coopération fonctionne très bien. Mais pourquoi ne peut-on pas avoir ce genre de dialogue avant les attaques ? ».
Or, le même Mike Rogers était la semaine dernière à l’Aspen Security Forum, et devant la recrudescence des attaques, la question a fusé : « Si nous ne faisons rien, [...] cela n’envoie-t-il pas un signal à d’autres nations, groupes ou acteurs que ce genre d’attitude est correct et que vous pouvez le faire sans générer la moindre réponse ? ». L’amiral milite ainsi pour une force de dissuasion, l’équivalent informatique d’une bombe atomique, qui porterait la promesse d’une frappe massive si on tentait de s’en prendre aux informations de son pays. Une tentative qui sera d’autant mieux détectée si les ressources de cyberdéfense sont mises en commun et que les entreprises sont mieux protégées.
On notera tout de même que les États-Unis ne peuvent pas non plus être considérés sans défense, ni même sans force d'attaque. Deux ans de révélations par les documents d'Edward Snowden ont clairement montré que ce que la NSA voulait, la NSA le prenait, et qu'elle savait user de nombreuses techniques pour y parvenir.
En France, on rappellera qu'un article récent de la loi de programmation militaire a été activé pour permettre justement ce type de réponse. Les services impliqués seront même autorisés dans ce cas à recourir à des outils dédiés au piratage informatique.
