Demain, la cyberguerre

Des bruits de bottes se font entendre dans de lointaines contrées de l’est où notre ennemi héréditaire (c’est en tout cas ainsi que notre classe dirigeante souhaite que nous le voyons), avance ses pions, les pions étant sous forme de chars et de soldats armés. Le spectre de la guerre froide et de l’ennemi soviétique (qui n’est soviétique que dans l’imagination délirante de ceux qui appellent soviétique tout régime qui ne leur plaît pas) renaît. Ce qui est certain, c’est que, loin d’être devenue une nation vassale des états occidentaux comme le rêvaient les Reagan, Bush et Tatcher à la chute du mur, la Russie est devenue un état capitaliste qui défend des intérêts qui lui sont propres et non systématiquement ceux des multinationales occidentales, ce qui n’est évidement pas du goût de notre très chère classe dirigeante, d’où les problèmes actuels.
On s’insurge contre l’agression d’un état indépendant comme si l’occident ne passait pas son temps à agresser des états indépendants (Iraq, Mali, Lybie, Syrie…).
Toujours est-il que, du fait d’intérêts divergents entre l’est et l’ouest, une nouvelle guerre froide s’est déclarée, et il y a forte à parier qu’elle se mènera avec des moyens modernes. La guerre froide débouchera-t-elle sur une guerre tout court ? Il faut espérer que non, le risque nucléaire devrait en dissuader les états. Il faut pour le moment anticiper une guerre numérique, une guerre virtuelle, une guerre sur internet, c’est l’objet de cet article.

La Russie, une cyber puissance

La Russie a démontré, par deux fois au moins, sa capacité de frappe en matière de cyberguerre. La première fois contre l’Estonie en 2007 : tous le système informatique des administrations avait été mis HS pendant une courte période. La seconde fois pendant la guerre d’invasion de l’Ossétie du sud (2008) contre la Georgie où les sites gouvernementaux avaient été piratés, le portrait du président remplacé par celui d’Hitler.
Aujourd’hui, Russes et Ukrainiens se livrent également une cyber-guerre, infectant les réseaux gouvernementaux et ceux de diverses entreprises. Apparemment, cette guerre reste pour l’instant de faible ampleur : internet reste disponible en Ukraine, en Russie, et même en Crimée, les dégâts et opérations d’espionnage intensives restent confinées aux entreprises et aux organisations gouvernementales.
Rien ne dit cependant que les choses en resteront là, surtout si la situation se tend encore.

Dans cette hypothèse, il faudrait envisager que la cyberguerre s’étende à d’autres états : ceux qui, d’une manière ou d’une autre, prendront la défense de l’Ukraine agressée par Poutine et/ou leurs alliés/satellites. Un affrontement militaire direct entre l’est et l’ouest est sans doute à exclure en raison du risque nucléaire (bien qu’avec un fou comme Poutine, il faut s’attendre à tout, il serait de bon aloi de dégommer ce type afin de pouvoir discuter avec Medvedev qui, à défaut d’être un type bien, est un type avec lequel il est possible d’avoir une discussion rationnelle).
Le plus à craindre reste tout de même une cyberguerre de plus ou moins grande ampleur entre la Russie et l’occident.

Manque de préparation de la France

Si la Russie attaquait virtuellement les infrastructures du réseau Français, il faudrait s’attendre à ce qu’un grand nombre de services soient mis hors de fonctionnement, peut-être le réseau internet dans sa totalité.
Il est absolument certain que la sécurité des réseaux de France-Télécom/Orange, Bouygues Télécom et SFR est une véritable passoire, pour ne pas dire inexistante. Pire encore : le personnel (ingénieurs compris) qui exploite les équipements est généralement très mal formé sur toutes les questions de sécurité. Si l’attaquant est malin, il pourrait infecter des machines sans même que le personnel ne s’en rende compte.
Je ne dispose d’aucune information sur la sécurité des réseaux de Free et de Numéricable. C’est plutôt bon signe, mais ce n’est pas suffisant pour conclure à la non vulnérabilité de leurs réseaux respectifs.

La sécurité de plusieurs grandes entreprises et administrations publiques est également incapable de résister à une attaque digne de ce nom. Citons l’exemple de la SNCF, qui a laissé traîner des années durant une faille de sécurité permettant à n’importe quel informaticien un peu compétent d’accéder à toutes les données personnelles des abonnés. Ce n’était pas bien compliqué, la marche à suivre était disponible en ligne.
Dans la quasi-totalité des entreprises et administrations, les mots de passe protégeant les accès ne sont pas robustes, c’est-à-dire trouvables par n’importe quel programme prévu à cet effet. Programme que n’importe quel pirate compétent a dans sa panoplie, inutile donc de préciser que les Russes en ont et savent s’en servir.

Quelles attaques pourraient mener la cyber armée Russe ?
Les réseaux informatique Français sont de telles passoires que, si la Russie décidait de les attaquer, elle pourrait mettre hors de fonctionnement la quasi-totalité des sites publics et des entreprises, la quasi totalité des réseaux internet fixes et mobiles et donc du réseau de téléphone fixe et mobile. Selon leur mode de fonctionnement, la diffusion de la télévision et de la radio pourrait également être perturbée. Pour savoir si Moscou peut ou non nous couper telle ou telle chaîne TV ou radio, il faudrait connaître la technologie qu’elle emploie, recherche que je n’ai pas faîte pour toutes. Néanmoins, cela m’étonnerait beaucoup que le réseau internet ne soit pas utilisé, au moins pour acheminer l’information depuis les studio vers les différentes antennes d’émissions.

En revanche, il faut espérer que les ingénieurs d’EDF n’ont pas été suffisamment incompétents pour ne relier en aucune façon leurs installations électrique au réseau extérieur, en particulier les installations nucléaires. En principe, Poutine ne peut donc ni nous couper le courant ni provoquer l’explosion d’un réacteur nucléaire.
En principe, il ne peut pas non plus faire dérailler des trains ni provoquer des accidents d’avion.
Ceci repose sur le fait qu’aucun fil ne relie physiquement les équipements informatiques de ce type d’installation au reste du réseau internet. Du moins si les ingénieurs qui ont conçu les systèmes ne sont pas des traîtres, car une telle incompétence relèverait de la trahison.

Quelques exemples de failles de sécurité courantes au sein de l’entrepreneuriat

Que l’aimable lecteur soit averti : la partie qui suit nécessite quelques bases en informatique (pas une expertise, mais le novice sera un peu perdu). Si cela ne vous intéresse pas, passez à la partie suivante.
> Problème numéro 1 : le plus fréquent, le plus grave, les mots de passe. On ne le répètera jamais assez, un mot de passe doit faire au moins 8 caractères, comporter des minuscules, des majuscules, des caractères spéciaux et des chiffres, il ne doit pas ressembler au loggin, si ce n’est pas le cas, il pourra être trouvé en moins d’une minute. Or, au sein des entreprises, et même au sein d’entreprises d’informatique, on trouve des mots de passe identiques ou trop peu différents du loggin, des mots de passe qui sont des noms propres. Dans un projet défense, j’ai vu un mot de passe qui était le nom du projet auquel était affecté l’ordinateur. Dans une autre entreprise, le mot de passe, c’était le login, sauf la dernière lettre que l’on mettait en majuscule.
> Problème numéro 2 : Sur les serveurs, les connexions en FTP et/ou en SSH autorisées avec le compte root. C’est une habitude qui ferait sauter au plafond n’importe quelle personne qui a de vagues notions de sécurité informatique. Evidemment, les prisons unix, c’est du luxe, personne ne connaît. En clair, quelqu’un qui volerait les logs sur le réseau pourrait entrer dans la machine et y faire ce qu’il veut.
La bonne pratique consiste à créer des utilisateurs dédiés à ce type de connexions et à rien d’autre. Ainsi, si un attaquant parvient à s’emparer des logs, les dégâts seront limités à l’espace dédié au FTP.
> Problème numéro 3 : La gestion des droits sur les serveurs. Usage abusif du compte root pour des opérations qui ne le nécessitent pas (ce qui oblige à donner des droits d’administration à tout le monde, parfois même à des prestataires extérieurs), droits d’écriture dans les bases de données distribués à tord et à travers. Les systèmes mal conçus obligent les programmeurs à ouvrir toujours plus de failles.
Bref, la gestion des droits, personne ne connaît non plus.
> Problème numéro 4 : La mauvaise formation, mais surtout la trop forte rotation, le trop fort turn over des administrateurs réseaux. Vous débarquez chez eux pour un problème, et personne ne sait comment sont configurés les pare-feux et les routeurs. Des ports sont ouverts alors qu’ils n’ont aucune raison de l’être, des connexions entrantes sont autorisées sans raison, bref, c’est le désordre total. Or, pour faciliter les intrusions futures, l’attaquant cherchera à modifier les configurations des pare-feux (pour ouvrir les ports dont il a besoin, par exemple). Si le personnel n’a pas une bonne connaissance de la configuration des machines du réseau, il ne peut pas s’apercevoir que des choses ont été modifiées de manière inexpliquée. En revanche, des administrateurs qui connaissent bien leur réseau compliquent le travail de l’attaquant qui devra prendre grand soin à effacer ses traces. Or, pour faire cela, il doit avoir un certain nombre de droits, souvent des droits root. Les administrateurs peuvent le repérer avant qu’il ne parvienne à les obtenir et mettre ainsi fin à l’intrusion.
> Problème numéro 5 : la foi absolue dans les VPN. C’est la ligne maginot de l’informatique. L’histoire a pourtant montré que le VPN n’était pas inviolable. C’est suffisant pour protéger des communications confidentielles mais non critiques, cela n’offre pas une sécurité à toute épreuve, surtout avec des postes windows. Enfin, ce n’est pas le plus grave.
D’une manière générale, le raisonnement "ligne maginot", trop souvent suivi, ne convient pas à la sécurité informatique. La sécurité s’obtient grâce à une séparation des pouvoirs. Même le réseau le mieux sécurisé du monde peut être infiltré. A cause d’un employé négligeant qui laisse traîner son mot de passe, à cause d’une faille liée à une négligence autre, à cause d’une faille dans un logiciel que personne n’aurait découvert, sauf le pirate. Personne, pas même le plus grand spécialiste du monde, ne peut construire une ligne maginot infranchissable.
La sécurité naîtra du fait que, du fait de la séparation des pouvoirs, un intrus ne pourra pas faire grand chose avec les logs qu’il a volé. Derrière la ligne maginot, se trouve alors une autre ligne maginot, puis une troisième, puis encore une autre…
> Problème numéro 6 : le wifi intégré au réseau et accessible facilement par tous. Un individu étranger à l’entreprise peut se connecter depuis le parking si il trouve le code, mais, plus probable, un employé peut se connecter avec son matériel personnel qui contient peut-être un malware. Un wifi doit être un réseau à part, c’est un accès internet, mais il ne doit pas permettre l’accès au réseau interne.

Sécurité de quelques autres Etats

Nous sommes donc extrêmement mal préparés à une cyberguerre, à la différence d’autres états qui, à défaut peut-être, d’être de grands experts, ont au moins réfléchi à la question. Citons la Russie, la Chine, Israël, les USA et la Corée du Nord. Ces cinq états ont développé des capacités offensives en matière de cyberguerre. Concrètement, ils ont réuni une cinquantaine de cracks dans un bunker pour fabriquer des malwares qui sont lancés contre les ennemis ou pour mener diverses opérations d’espionnage. Bien sûr, ces gens là n’ont officiellement rien à voir avec les gouvernements qui les emploient, d’où l’impossibilité de prouver formellement la responsabilité de telle ou telle puissance dans telle où telle attaque. Ainsi fût-il possible, après l’attaque contre l’Estonie de remonter jusqu’à un groupe de hackers qui avait ses quartiers à deux pas du Kremlin. Mais ce groupe n’avait bien sûr rien à voir avec Moscou qui a toujours nié son implication.
Ce sont là les cinq grandes cyberpuissances connues en matières de cyberguerre. Connues, car, contrairement à la puissance militaire traditionnelle, développer une puissance offensive en matière numérique peut tout à fait se faire sans que personne n’en soit informé avant que l’état qui en dispose n’ait décidé de frapper. Autant la NSA peut, avec ses satellites, surveiller la Corée du Nord et savoir si elle dispose de telle ou telle bombe ou de tel ou tel missile, autant elle a sans doute découvert en même temps que nous que la Corée du Nord avait des capacités en matière de cyber guerre, quand des installations Sud-Coréennes ont été attaquées. Comme il suffit de réunir quelques cracks dans un bunker, le secret est facile à garder.
Pour la cyber défense, en revanche, le camouflage est plus difficile, parce qu’elle doit être déployée dans un grand nombre d’infrastructures, sur lesquelles travaillent des milliers d’employés, sur lesquelles des pirates plus ou moins chevronnés s’amusent à entrer. Cacher une cyber défense serait un peu comme cacher l’existence de la ligne maginot ou du mur de l’Atlantique : des milliers d’ouvriers ont coulé le béton, des milliers voire des millions de riverains pouvaient voir les installation de chez eux… On peut éventuellement tenir secret le fonctionnement d’une cyber défense, mais pas son existence.
En matière de défense contre des attaques ennemies, seuls deux pays ont à coup sûr un avantage sur le reste du monde, un troisième en a probablement :
> La Corée du Nord : Elle a développé son propre système d’exploitation, Red Star OS. Basé sur Linux, système plus sûr que Windows. Personne ne sait exactement comment fonctionne cette distribution Nord Coréenne, ce qui est un avantage. Il y a fort à parier qu’aucun ordinateur Nord Coréen ne tourne plus sous Windows, en conséquence de quoi, microsoft n’a plus de backdoors en Corée du Nord que la NSA pourrait exploiter.
Pour mémoire, les Etats Unis et Israël ont développé un virus, stuxnet, qui a infecté des installations nucléaires en Iran, détruisant plusieurs centrifugeuses. Si ils pouvaient faire de même contre Pyongyang, ils le feraient, n’ayons aucun doute là dessus.
> Les USA : Contrairement à d’autres, ils ont l’avantage d’avoir des entrepreneurs compétents. Larry Page pour Google, Mark Zuckenberg pour facebook sont des hommes à la moralité discutable, mais ils n’en sont pas moins compétents dans leur domaine. Ce sont des gens qui savent ce qu’ils font, et qui ont recruté des équipes qui savent ce qu’elles font. Bien sûr, cela ne rend pas les Etats Unis invulnérables, Google a d’ailleurs fait les frais d’attaques Chinoises. Mais il n’y a pas de failles de sécurité énormes au sein de ces entreprise là comme on peut en trouver ailleurs. Si nous comparons ces entrepreneurs avec un patron Français, nous faisons figure de pays du tiers monde. Prenez Didier Lombard, PDG d’Orange qui sait tout juste ce qu’est un ordinateur, qui ignore que son réseau est une passoire et qui est à des années lumières de se douter que son entreprise ne résisterait pas une demi-journée à une attaque de Moscou.
> Israël : accueille sur son sol des entreprises qui sont parmi les meilleures au monde en matière de sécurité. Israël est un des pays les plus avancés en la matière. Même si je ne sais pas exactement ce qu’ils font pour se prémunir contre des attaques extérieures, il serait très étonnant que ce pays n’ait pas profité de son avance extraordinaire pour se protéger plus efficacement que les autres.

Comment se protéger ?

Il serait urgent de mettre en place, au niveau national, un programme efficace de défense informatique. Reconstruire des réseaux "propres" en lieu et place de ce fatras que les organisations publiques et privées osent appeler "réseau". Compte tenu des "révélations" sur la NSA et les entreprises Américaines, qui ne sont des révélations que pour les naïfs qui s’imaginent que les gouvernements respectent notre vie privée, il faut considérer comme acquis les points suivants :
> N’importe quel programme qui n’est pas libre et qui n’est pas développé par nous est susceptible de contenir une backdoor ouverte par l’entreprise qui l’a conçue et qui peut être exploitée. Il faut être conscient de cela et en tirer des leçons : soit n’utiliser que des logiciels libres, soit prendre des dispositions contre d’éventuelles failles ouvertes par les logiciels propriétaires.
> En conséquence, il faut partir du principe que la NSA peut entrer et faire ce qu’elle veut dans n’importe quel ordinateur tournant sous Windows. Elle peut très probablement intercepter et décoder n’importe quel message, même crypté, à destination d’un ordinateur Windows.
> Comme on ne sait pas comment les Américains ont rendu piratables les ordinateurs qu’ils vendent, il ne faut pas exclure que d’autres exploitent les mêmes failles.
Certes, il ne faut pas tomber dans la paranoïa : la NSA et le KGB se fichent probablement royalement de ce que vous faîtes sur votre ordinateur et ne vous espionnent sans doute pas. En conséquence de quoi, je ne vous recommande pas de passer à linux pour cette raison.
En revanche, il est aberrant que des sites sensibles utilisent encore Windows.
Ce système d’exploitation devrait être interdit dans toutes les activités liées au ministère de la défense, aux activités R&D des grandes entreprises, bref, à tout ce qui est stratégique.
Par ailleurs, il serait de bon aloi de s’assurer du bon fonctionnement d’au moins un réseau internet (fixe et mobile), même en cas d’attaque, et donc qu’au moins un des 4 grands opérateurs proposant ce service mette l’accent sur la sécurité, éventuellement avec une aide spécifique de l’état.
Ce fonctionnement ne peut être garanti : il est toujours possible de tomber sur un attaquant plus malin que soit. Par conséquent, une mesure de sécurité voudrait que chaque préfecture dispose d’outils permettant d’utiliser les réseaux alternatifs évoqués plus loin.

<u>Se protéger au niveau individuel</u>
Si la cyber guerre éclate vraiment, il y a fort à parier que nous serons tous privés d’internet et de téléphone parce que tous les réseaux opérateurs seront HS, sauf peut-être ceux de Free et Numéricable. Pour ce qui est de la télévision et de la radio, je n’en ai aucune idée.
Si l’on envisage la pire hypothèse selon laquelle aucun de ces trucs ne marche, il n’y aurait qu’une seule façon de communiquer : les réseaux informatiques alternatifs. Il en existe quelques uns. Généralement, le principe consiste à faire communiquer les ordinateurs entre eux par Wifi, chacun servant ou pouvant servir de relais. Ce type de réseaux est plus compliqué à attaquer car il ne comporte pas un nombre limité de noeuds stratégiques qu’il suffit de mettre hors service. Les communications sont plus difficiles à espionner pour la même raison.
Bien sûr, tous ces réseaux sont plus compliqués à utiliser et n’offrent pas les mêmes fonctionnalités qu’internet, raison pour laquelle il n’est pas recommandé de résilier son abonnement Orange et de rendre sa livebox. Cependant, nous serons bien contents de les trouver quand ils seront les seuls à fonctionner, c’est pourquoi il ne serait pas idiot de télécharger les logiciels qui permettent de les utiliser, ainsi que les tutoriels qui vont avec (il sera ainsi toujours temps de s’en servir si le besoin s’en fait sentir).

Pour terminer, coupons court aux commentaires assez absurdes que l’on trouve parfois sous les articles qui traitent de sécurité informatique. Du type "Bravo ! Vous avez donné des techniques au cyber terroristes !". Croyez-vous vraiment que Moscou a besoin de cet article pour savoir que les réseaux Télécoms Français sont des passoires ? Si ils sont un minimum malins, et le passé prouve qu’ils le sont, ils ont déjà vérolé et ouvert des backdoors dans tous les systèmes de notre réseau ainsi que ceux des grandes entreprises. Ils s’y sont probablement mis il y a des semaines, voire des mois ou des années.
Cet article ne fait que vous révéler une infime partie de ce que les acteurs de la cyber guerre savent déjà.