Géopolitique
Cyberdéfense
Philosophie
Politique
Géoéconomie

Définition et usages des Cyberarmes

Mars 2011, suite au vote de la résolution 1973 [LIEN] au conseil Nations Unies, différents pays de la coalition, sous l’égide de l’OTAN, se sont engagés auprès des rebelles afin de mettre en place une zone d’exclusion aérienne au dessus de la Libye. Les attaques contre les dispositifs aériens et antiaériens libyens ont principalement eu lieu dans les airs et sur mer. Toutefois, bien avant le début des opérations commencées le 19 mars 2011 en début de soirée [LIEN], les stratèges de la Maison Blanche et du Pentagone auraient pensé à utiliser des cyberarmes contre les systèmes de défense anti-aériens Libyens.

Ces potentielles cyber-attaques étatiques contre la Libye, révélées par le New York Times en octobre 2011 [LIEN], n’ont pas eu lieu principalement par manque de temps et d’information, laissant place à des attaques plus conventionnelles telles que des bombardements sur des cibles définies grâce à l’usage de satellites, drones et autres forces spéciales.

Cette limitation serait-elle la preuve que ce que l’on appelle les cyberarmes ne peuvent être utilisées lors d’attaques spécifiques durant des conflits ouverts ? Pour répondre à cette question, commençons par revenir sur ce que l’on entend aujourd’hui par cyberarme ainsi que sur les limites de l’utilisation d’attaques informatiques lors de conflits militaires.

Du développement de cyberarmes…

Une cyberarme (cyberweapon), est, par définition, un programme informatique malveillant visant à compromettre et/ou à détruire un système informatique adverse, tel qu’on a pu le voir, par exemple, avec le ver Stuxnet et son petit frère, beaucoup moins médiatique mais pouvant être issu des mêmes sources – au sens premier du terme – Duqu (ce dernier ne possédant pas de charge utile permettant de saboter un système). Nous pouvons également inclure des programmes malveillants plus conventionnels, pouvant saboter des systèmes informatiques (ex : Remote Administration Tools [DEF], outils de DDoS [DEF] etc). Toutefois, pour cet article, je resterai sur un aspect ver / programme malveillant autonome permettant de casser du dispositif informatique sans véritable communication avec un C&C [DEF] présent sur Internet, je m’en excuse auprès du lecteur assidu.




L’anatomie d’une cyberarme – Félix Aimé 2011.

Pour qu’elle atteigne son but, une cyberarme doit avoir différentes qualités, disposant pour ce faire de modules autonomes mais dépendants du type d’équipement informatique pouvant être rencontré durant l’attaque informatique.

Par souci de réutilisation et aussi de portabilité du code malveillant, chacun des modules le composant est alors développé indépendamment des autres, permettant de remplacer un module inutilisable (lié à une mise à jour logicielle appliquée sur un système cible, par exemple) par un module utilisant un autre vecteur d’exploitation. Les modules sont liés à différentes fonctions présentes couramment dans un programme malveillant ; on peut en dénombrer plusieurs suivant le niveau de « sécurité » que l’on souhaite apporter au code malveillant :

  • La persistance : Cette fonction permet de rester sur un système cible même après un redémarrage de ce dernier. A ce jour, les techniques de persistance se limitent a la modification du registre, le détournement de raccourcis, l’infection de binaires etc. ;
  • La furtivité : Cette fonction permet à un programme malveillant de ne pas se faire voir aux yeux du système ciblé. Ceci peut être réalisé par des techniques de hooking en mode noyau ou utilisateur, injection de code etc. ;
  • Le polymorphisme/packing (non obligatoire) : Le polymorphisme permet au code – le plus souvent à chacune de ses duplications – de changer sa structure en une structure unique permettant de limiter sa détection par les antivirus. Rares sont les vers polymorphes. La plupart du temps, un packer [LIEN] maison fera l’affaire ;
  • L’anti-émulation (non obligatoire) : L’anti-émulation permet de limiter l’analyse du malware, dans une machine virtuelle [REF] par exemple. De fait, il sera beaucoup plus difficile, pour un chercheur, d’analyser le code malveillant de façon dynamique.
  • Le(s) charges utiles (payloads) : Elle permettent d’exploiter de nouvelles cibles – contaminer un système – et ainsi de saboter un système. Ces dernières sont les plus compliquées à développer – en vue de leur portabilité – et sont sujettes à des recherches, notamment pour découvrir des vulnérabilités à exploiter, dites « 0-day », pour les vulnérabilités non connues avant l’attaque les utilisant ;
  • La communication extérieure (non obligatoire) : La communication extérieure est à elle seule un problème à part entière. En effet, de plus en plus de réseaux possèdent des équipements permettant de filtrer les flux d’information entrant et sortant (NIDS, Proxy etc.). Un bon module de communication extérieure serait un module qui teste les différentes sorties possibles afin de pouvoir communiquer avec un serveur extérieur.

Vous l’aurez donc compris, une cyberarme n’est pas un petit programme malveillant que l’on envoie à des organes gouvernementaux ou des entreprises stratégiques pour faire du simple espionnage informatique, ou « APT » (voir cet article pour comprendre ce que c’est [LIEN]). Non, non, une cyberarme est plus complexe et offre comme fonctionnalité principale la possibilité de saboter ou compromettre un système, même si certains modules peuvent, en parallèle, glaner quelques informations sur les réseaux rencontrés ; car, comme le dit notre ami Sun Tzi, il faut savoir vivre sur les vivres de l’ennemi.

En ce qui concerne le développement de ces armes, la plupart des États se taisent. On trouvera aux États Unis et en Israël quelques voix pour dire que ces pays travaillent activement sur ce type de code malveillant, notamment au sien de quelques équipes spécialisées de l’USAF dont la célèbre 24AF, dédiée au Cyberespace. De l’autre côté de la planète, chez les officiels de l’Empire du milieu, rien est reconnu officiellement. Cependant, quelques fuites (organisées ?) dans le cadre d’un documentaire sur la chaîne CCTV peuvent laisser penser qu’ils développent des programmes malveillants. Mais bon, on ne voit qu’une sobre interface graphique d’un programme de Deni de Service Distribué – tel un cliché tout droit sorti d’un film hollywoodien, qui aurait d’ailleurs pu être créé pour l’occasion.




La superbe interface – chinoise – qui est à l’origine de 588000 résultats sur Google [LIEN]
… et d’une véritable paranoïa médiatique.

 

Enfin côté français, toujours le même discours… typiquement français : « Je n’ai pas le droit de communiquer là dessus » Pas d’bol! Pourtant, d’un point de vue stratégique, dire que l’on développe des cyberarmes est potentiellement un énorme atout concernant une éventuelle dissuasion – certes toute virtuelle (voir la répercussion de cette annonce concernant les États-Unis). Cependant, le sacro-saint secret-défense est de mise. Nous pouvons alors – fortement – penser que la France développe ses propres programmes malveillants au fond de couloirs obscurs, loin des regards et de son habituel leitmotiv « Nous concentrons toutes nos forces sur la Défense de nos systèmes d’information ». D’ailleurs, face aux campagnes de communication américaines sur le sujet, il ne serait pas surprenant que la France communique d’ici quelques mois, à une conférence, par exemple [LIEN] sur sa capacité à développer ce type de programmes informatiques.

… à l’extrême difficulté de leur utilisation.

Malheureusement, contrairement aux armes traditionnelles destinées à détruire des infrastructures, telles que les missiles sol-sol ou air-sol, l’utilisation de leurs équivalents informatiques est dépendante d’un renseignement préalable très précis sur les équipements, le plus souvent invisibles, de l’ennemi (systèmes d’exploitation des ordinateurs, routeurs, cartographies internes et externes des réseaux ciblés, détermination des entités stratégiques de contrôle etc.). Cette étape de renseignement, difficile à mettre en œuvre dans un court laps de temps (de l’ordre de quelques jours/semaines) est aujourd’hui la principale faiblesse liée à l’utilisation de ce type d’armement par les forces armées.

En effet, contrairement au renseignement relatif aux dispositifs physiques pouvant être réalisé à l’aide de satellites, drones et autres forces spéciales, le renseignement relatif à l’infrastructure informatique d’un pays est beaucoup plus laborieux. Beaucoup de personnes pensent qu’il suffit de connaître l’équipement informatique d’un pays cible, pouvant souvent être déduit via l’espionnage de ses communications (Echelon network, do u hear me ?) ou à l’aide d’informations recueillies sur le terrain, pour que l’étape de renseignement soit accomplie. Cependant, cette tâche est beaucoup plus complexe, un système d’information possédant une vie propre : certains de ses éléments peuvent être mis à jour et sa structure évoluer, ce qui complique d’autant le renseignement. Ainsi, dans le cadre d’une attaque informatique, même après plusieurs mois de récolte d’information sur un système adverse, il existe toujours une variable d’environnement non contrôlée, celle d’une photographie du système cible à l’instant T et T+1 de l’attaque.

Les principales limites liées à l’utilisation de cyberarmes sont donc le temps d’information préalable à leur utilisation et la fiabilité – nécessairement relative – des informations recueillies sur le(s) système(s) cible(s). Cependant, d’autres limites, peu mises en avant, peuvent être mentionnées, telles que les externalités négatives liées à l’envoi d’un ver informatique [LIEN] sur un réseau (ce dernier pouvant contaminer, et saboter, des systèmes « amis »), ou la réutilisation du code source de l’arme en question par des pays ennemis dans le but de réaliser des programmes malveillants reprenant les mêmes failles et méthodes de contamination. Cela s’est déjà vu, tant dans le monde réel [LIEN], que virtuel [LIEN].

Les attaques informatiques visant le sabotage d’un système bien particulier et réalisées dans le cadre d’un conflit direct doivent donc faire face à tous ces problèmes, ce qui limite drastiquement, de fait, leur usage réel, en particulier face à des armes conventionnelles. Nous pouvons donc penser que les cyberattaques resteront circonscrites à des conflits larvés, silencieux, et même à des luttes d’influence, ce qui est parfaitement illustré par les cas Stuxnet ou de campagnes d’espionnage (GhostNet, Aurora, Titan Rain, Bercy etc.).

Toutefois, tant que l’on présente, lors de colloques et de conférences, ce nouveau type d’armement comme une nouvelle menace, similaire à certains missiles, voire d’ogives nucléaires (si, si – et ce n’est pas qu’au plan stratégique [LIEN]), on pourra toujours utiliser les cyberarmes à des fins d’intimidation et de dissuasion dans le monde réel, et ce même si le développement ce ces dernières relève du virtuel, au sens premier du terme.

 

A propos de l'auteur

Travaillant pour un acteur international dans le domaine des télécommunications et autodidacte dans les domaines de la Sécurité des Systèmes d’Information et tactiques d’attaque, Félix s’est spécialisé dans les menaces émergentes liées au cybercrime et au cyberespionnage. Depuis plusieurs années, il écrit des articles sur ces thèmes, mêlant les aspects techniques et stratégiques de la sécurité.

Cet article a été classé dans Cyberdéfense et taggué par , , , , .

Une réponse à Définition et usages des Cyberarmes

  1. Ping : De la définition à l’usage des cyberarmes | WEBlog de Félix Aimé

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *