Le « bras armé » de l'U.S. Cyber Command, en charge des opérations de cybercombats défensives et offensives, aurait mené près de 50 missions dans 16 pays, et déployé 39 équipes composées de 2 000 militaires et civils rien qu'en Ukraine, de 2018 à 2022. Le tout, sur fonds d'échanges accrus de renseignement avec la NSA et le secteur privé.
Auditionné par la Commission de la défense nationale et des forces armées, Aymeric Bonnemaison, quatrième général à prendre la tête du Commandement de la cyberdéfense, avait déploré en décembre dernier la « politique américaine de "hunting forward" » consistant à permettre à leurs experts d'analyser les réseaux des pays partenaires qui feraient l'objet de cyberattaques afin de les aider à se protéger.
Il avait alors qualifié cette politique de « Hunt Forward Operations » (HFO, littéralement « opérations avancées de chasse ») du CyberCom états-uniens de « relativement agressive, car elle ouvre aux Américains les réseaux des pays qui font appel à eux ». Si « elle a beaucoup aidé l'Ukraine », cela relève d'une « forme d'entrisme sur les réseaux concernés », déplorait Bonnemaison.
Ces missions sont confiées à la Cyber National Mission Force (CNMF), qui se présente comme le « bras armé » de l'U.S. Cyber Command (USCYBERCOM), et l'une de ses trois composantes, chargée de défendre les États-Unis dans le cyberespace par des opérations offensives, défensives et d'information :
« La mission de la CNMF est de planifier, de diriger et de synchroniser des opérations à spectre complet dans le cyberespace afin de dissuader, de perturber et de vaincre les acteurs cybernétiques et malveillants de l'adversaire. »
Créée en 2014 et pleinement opérationnelle depuis 2018, la CNMF est aujourd'hui composée de 6 200 militaires et civils répartis dans 133 équipes chargées de la cyberprotection des infrastructures essentielles, d'observation des activités cyber de ses adversaires, « en se défendant contre les attaques et en manœuvrant pour les vaincre », et de missions de « combat cybernétique » par le biais de trois formes principales d'opérations :
- des opérations défensives visant à préserver l'intégrité du cyberespace afin de protéger les données, le réseau, les capacités basées sur le réseau et d'autres systèmes ;
- des opérations offensives conçues pour projeter la puissance dans et à travers le cyberespace grâce à l'emploi de cybercapacités ;
- des opérations de sécurisation, d'exploitation, de maintenance et de soutien sur les réseaux d'information du département de la défense (DODIN) « et des réseaux connexes ».
Près de cinquante HFO dans 16 pays différents
Assistées par la NSA, ses équipes ont dès lors été « directement engagées » dans des cybercombats contre des cyberacteurs malveillants responsables d'attaques contre le département de la défense (DOD) et les infrastructures critiques des États-Unis et de leurs partenaires, et amenées à partager leurs retours d'expérience (RETEX) avec ces derniers, qu'ils soient militaires, industriels ou internationaux.
La CNMF est commandée depuis 2019 par le Major General William J. Hartman (WJH), qui expliquait en avril dernier, lors de la conférence sur la cybersécurité RSA à San Francisco, avoir mené ces trois dernières années 47 opérations défensives de type « hunt forward » (dont « plus de 27 » pendant la pandémie de COVID-19) dans 20 pays à l'invitation de ces derniers, dont le Monténégro, l'Estonie et la Macédoine du Nord.
Signe de la montée en puissance des HFO, le département de la défense états-unien avait demandé 431,6 millions de dollars pour la coopération avec ses alliés et partenaires afin de mener de telles opérations pour 2023, contre 147,2 millions de dollars au cours de l’exercice 2022.
La CNMF précise sur son site avoir mené, de 2018 à 2022, « plus de deux douzaines de HFO » dans seize nations différentes, dont l'Ukraine, l'Estonie et la Lituanie, ayant conduit à la publication de plus de 90 échantillons de logiciels malveillants à des fins d'analyse par la communauté de la cybersécurité, et permis d'obtenir des informations sur les tactiques, les techniques, les procédures (TTPs) et les intentions de l'adversaire.
La CNMF explique que ces missions de « hunt forward » amènent ses équipes à travailler côte à côte avec leurs partenaires à la recherche de vulnérabilités, de logiciels malveillants et à la présence d'adversaires sur les réseaux du pays hôte :
« L'USCYBERCOM partage les résultats de l'opération avec le pays hôte, d'autres agences gouvernementales telles que le Federal Bureau of Investigation (FBI) et le Department of Homeland Security (DHS), ainsi qu'avec l'industrie privée. Ces opérations génèrent un retour sur investissement pour le public car elles renforcent la défense du territoire et des réseaux tout en exposant les tactiques, techniques et procédures de l'adversaire avant qu'elles ne puissent être utilisées contre les États-Unis. »
39 équipes composées de 2 000 militaires et civils
WJH explique à The Record que « c'est dans notre intérêt, car nous avons constaté que, souvent, les États-nations qui nous menacent menacent également leurs voisins », mais également parce qu' « ils le font parfois de manière un peu plus agressive que ce que nous voyons aux États-Unis » :
« Nous avons donc six groupes de travail qui se concentrent sur les principaux États-nations adversaires : L'Iran, la Chine, la Russie, la Corée du Nord. Nous avons une task force qui se penche sur les menaces émergentes, principalement les menaces de ransomware pour la sécurité nationale. Enfin, nous avons un groupe de travail qui se concentre sur l'accès, les armes et les tactiques cybernétiques. »
La CNMF aurait mené quatre missions de « hunt forward » en Ukraine, avant que l'armée russe n'envahisse le pays, y déployant 39 équipes composées de 2 000 militaires et civils. Mais elle aurait également bénéficié de l'aide du secteur privé, après que plusieurs entreprises privées américaines ont, elles aussi, voulu aider l'Ukraine suite à l'invasion russe, précise WJH :
« Ce que nous avons pu faire, c'est essentiellement trier les données fournies par l'industrie privée américaine et faciliter le passage aux Ukrainiens – parce qu'ils étaient tout simplement surchargés de travail pour communiquer avec les différents partenaires qui voulaient les aider, qu'il s'agisse de la Cyber National Mission Force, d'autres agences du gouvernement américain ou de nos partenaires de l'OTAN ou de l'Union européenne – en usant de notre capacité à prendre ces informations, à les trier, à les analyser et à dire : "Voici les vulnérabilités dont vous devez vous préoccuper en priorité". »
Plus de 6 000 indicateurs de compromission
WJH explique que « la première chose à faire est d'acquérir une bonne compréhension du réseau », puis d'identifier les activités anormales, connexions entrantes, les logiciels et adresses IP potentiellement malveillants, les vulnérabilités, afin de pouvoir les colmater, ou s'en prémunir :
« Il peut s'agir d'un port ouvert qui ne devrait pas l'être. Il peut s'agir d'un mot de passe administrateur qui n'a jamais été modifié. Il peut s'agir d'un utilisateur du réseau qui fonctionne d'une manière qu'il ne devrait pas permettre à un utilisateur du réseau de fonctionner. Je veux dire qu'il y a une foule de choses qui peuvent être erronées. »
WJH précise travailler en étroite collaboration avec la Direction de la cybersécurité de la NSA, ce qui permet à la CNMF d'accéder aux informations et renseignements qu'elle possède au sujet des adversaires des États-Unis et de ses alliés :
« Entre nous et nos partenaires ukrainiens, je pense que nous avons partagé plus de 6 000 indicateurs de compromission (IOCs). Il s'agit d'informations que nous avons pu voir grâce à des partenariats industriels. Ce sont des choses qu'ils ont pu voir grâce aux activités sur le terrain. Et cette relation se poursuit encore aujourd'hui. »
🚨🤝We are publicly disclosing these IOCs from our Ukrainian partners @servicessu to highlight potential compromises & enable collective security. We continue to have a strong partnership in cybersecurity between our two nations. 🇺🇦🇺🇸 https://t.co/VSpg22NlrT
— USCYBERCOM Cybersecurity Alert (@CNMF_CyberAlert) July 20, 2022
Des échanges d'informations et TTPs avec 22 partenaires privés
La CNMF travaille également avec le Cybersecurity Collaboration Center, la branche de la NSA qui travaille avec des centaines de partenaires industriels, afin d'échanger des informations, et a créé son propre programme de partage bidirectionnel d'informations et de TTPs, « Under Advisement » :
« Si vous avez des informations sur une menace pour votre réseau, c'est une menace pour le réseau de tout le monde... Si nous partageons des informations les uns avec les autres, nous pouvons réduire les vulnérabilités et nous pouvons arrêter de nombreuses attaques avant qu'elles ne se produisent. »
L'an passé, « Under Advisement » aurait permis de partager 149 indicateurs uniques de cyberactivités malveillantes auprès de 22 partenaires du secteur privé, explique Holly Baroody, directrice exécutive de l'USCybercom, lors d'une présentation à la conférence HammerCon, organisée par la Military Cyber Professionals Association (MCPA). Le programme aurait également permis à Microsoft d'identifier des milliers de victimes potentielles grâce au partage d'adresses IP suspectes.
Il y a toujours des équipes déployées sur le théâtre européen
Suite à l'attaque SolarWinds, la CNFM s'est procuré une copie du serveur compromis d'une agence gouvernementale américaine, l'a reproduit dans son « environnement d'entraînement permanent » afin d'entraîner ses équipes et répéter la recherche du logiciel malveillant.
Peu de temps après, et en réponse à une demande d'envoi d'une équipe en Europe pour traquer une compromission présumée du SVR (Service de renseignement extérieur russe), « nous savions exactement ce qu'il fallait chercher », explique WJH :
« Nous avons censuré le réseau en question et avons pu :
Premièrement, trouver l'activité malveillante russe.
Deuxièmement, conseiller le partenaire de la mission sur la manière d'expulser l'adversaire du réseau.
Troisièmement, observer l'adversaire tenter en vain de réinfecter ce réseau.
Et nous avons pu le faire sans que l'adversaire ait la moindre idée de notre présence. »
Cherchant à tirer les leçons de la (cyber)guerre en Ukraine, WJH estime que « la Russie aura exécuté plus de cyberattaques en Ukraine qu'aucun État-nation n'en a jamais exécuté au cours d'une période comparable dans l'histoire du monde ».
Il n'en relève pas moins que les Ukrainiens se sont montrés très résilients, et résistants, non seulement parce qu'ils s'y étaient préparés depuis le début du conflit en 2014, puis avec l'aide de la CNFM depuis 2018, mais également du fait des soutiens reçus de la part des autres pays de l'OTAN, parce que « certaines entreprises américaines ont fait un travail fantastique », et que les échanges d'informations, de TTPs et de données ont été « très, très importants » :
« La leçon à tirer est que le travail que nous faisons pour nous assurer que nos réseaux sont prêts à fonctionner dans cet environnement très menaçant est vraiment important. Et si le défenseur fait ce qu'il faut, nous pouvons construire des réseaux résilients même face à des centaines de cyberattaques russes. »
S'il se refuse à évoquer les opérations de « hunt forward » en cours, et que celles qui sont rendues publiques ne le sont qu'avec l'accord des pays hôtes et partenaires, et seulement une fois les missions terminées, WJH reconnaît cela dit qu' « à tout moment, nous pouvons avoir entre six et dix équipes déployées dans le cadre d'opérations », mais également qu' « il y a toujours des équipes déployées sur le théâtre de commandement européen ».
