C’est une histoire tirée d’un roman d’espionnage, plutôt à la mode OSS 117. Un État fabrique un logiciel espion, le lance sur sa cible, un autre État. Celui-ci s’en rend compte, dissèque ledit logiciel dans le plus grand secret. Il décide ensuite de piéger l’attaquant, y parvient. À la fin, il publie un rapport avec les photos du pirate ennemi, obtenues en entrant dans son ordinateur.

Fin de la fiction. L’histoire est réelle. Le rapport a été publié en anglais la semaine dernière par l’agence d’échange de données géorgienne. Il pointe la main de la Russie dans une cyberattaque importante contre la Géorgie découverte en mars 2011. “Un acte de cyberespionnage” écrit l’agence dans son rapport qui détaille le modus operandi sophistiqué de l’attaque.

Informations confidentielles

Première étape : des sites d’informations géorgiens sont piratés. Le script malveillant placé sur ces pages infecte les ordinateurs des visiteurs. La pêche aux “informations confidentielles et sensibles” peut commencer. Étape deux : les ordinateurs piratés sont criblés pour dénicher les précieuses informations qui sont renvoyées (c’est l’étape trois) vers un serveur distant. Malins, les artisans de l’attaque changent régulièrement l’adresse du serveur.

Un jour sous surveillance

Les documents révélés par WikiLeaks laissent entrevoir le paysage de la surveillance. Un téléphone portable devient un ...

Non content d’obtenir ces documents – principalement word, powerpoint et pdf à propos des questions des relations avec les États-Unis ou l’Otan – les pirates peuvent avoir accès aux micros et caméra de l’ordinateur infecté. Des fonctionnalités sophistiquées, mais pas hors du commun à en croire le catalogue de certains marchands d’armes de surveillance…

390 ordinateurs ont été infectés détaille le rapport de l’agence géorgienne. Une immense majorité en Géorgie, et quelques 5% en Europe et en Amérique du Nord. Les autorités géorgiennes affirment avoir reçu l’aide de services étrangers (américains et allemands) ainsi que l’assistance de grandes entreprises comme la division cybersécurité de Microsoft. Une fois disséqué, le logiciel malveillant a permis de remonter à la source. Les autorités géorgiennes sont parvenues à identifier le pirate, et le prendre en photo avec sa webcam.

La moustache de Moscou

Pas peu fière, l’organisation chargée de la cybersécurité géorgienne raconte :

Nous avons trouvé un PC infecté dans notre lab, avons envoyé une fausse archive ZIP, intitulée “Georgian-Nato agreement’, qui contenait le virus. L’attaquant a dérobé cette archive et a exécuté le fichier malveillant. Nous avons maintenu le contrôle sur son PC, puis capturé une vidéo de lui, personnellement.

La prise est évidemment jointe au dossier : deux photos d’un homme moustachu, sans uniforme, dans ce qui ressemble à un appartement.

Pour la Géorgie, l’origine de l’attaque ne fait aucun doute : Moscou est derrière. Ce ne serait pas une première. Lors de la guerre entre les deux pays à l’été 2008, le Russie avait mené des cyberattaques concomitamment aux attaques sur le terrain. Le rapport ne manque pas de le rappeler, citant “deux organisations indépendantes américaines”. Les cyberattaquants avaient alors pu compter sur “certaines ressources” appartenant à l’Institut de recherche du ministère de la défense russe.

Un “Pearl harbor numérique” ? À intervalles réguliers, l’expression revient dans le bouche de responsables de la cyberdéfense, surtout américains. Le sécretaire de la Défense, Léon Panetta, a exprimé ses craintes d’une telle cybercatastrophe lors d’un discours à New York le 11 octobre dernier.

En France, l’expression n’est pas employée en l’état, mais les craintes existent. Elles ont été exprimées publiquement la semaine dernière par les deux principaux responsables de la cyberdéfense. Le contre-amiral Coustillière a été nommé officier général à la cyberdéfense le 1er juillet 2011. Il est entre autres à la tête du centre d’analyse en lutte informatique défensive, le Calid.

“Un espace de confrontation”

Dans son intervention organisée par le cercle Défense et Stratégie mercredi, il a décrit son cauchemar. Un plan simple, en plusieurs temps, qui pourrait aboutir à des dommages irréversibles. Et de rappeler qu’un “changement de dimension” s’est produit depuis quelques années, faisant du cyberespace “un espace de confrontation, quelque soit le nom qu’on lui donne”. Une précaution oratoire pour éviter le terme contesté de cyberguerre…

Le contre-amiral Coustillière a évoqué un plan en trois temps, trois phases distinctes qui ne peuvent être menées que par “une structure” importante, avec un niveau élevé de renseignement. Comprendre, plutôt par un État que par un petit groupe de pirates informatiques.

La première phase vise à désorganiser la cible (là encore un État) : fausses rumeurs et mouvements de protestations sur les réseaux sociaux, attaques par dénis de service (DDoS) sur les sites institutionnels (les sites de députés par exemple), puis attaques de réseaux locaux peu protégés. La seconde phase vise à “désorganiser la société”. Les services de sécurités sont monopolisés, leurs moyens saturés.

En cause : des attaques sur installations vitales, en cherchant “le maillon faible” sur ces systèmes déjà bien protégés, ainsi que de nouvelles attaques par dénis de service ciblant des banques. Le climat est alors propice pour lancer des actions offensives plus complexes, avec des répercussions potentiellement mortelles. Sur les infrastructures de transport par exemple.

L’âge du cyberespionnage

Ainsi dépeint, le tableau ressemble à une dystopie cyberpunk. Un scénario catastrophe plus lointain que l’espionnage via Internet, grande préoccupation du moment :

Des gigas [octets] de données s’échappent de nos industries.

Bercy, le piratage qui tombe à pic

Faut-il avoir peur du piratage de 150 ordinateurs au ministère de l'Economie et des Finances? C'est surtout l'occasion pour ...

Préoccupation largement partagée par Patrick Pailloux, le directeur de l’Agence nationale de la sécurité des systèmes d’informations (ANSSI), second bras armé de la cyberdéfense. Quatre sujets l’empêchent, plus ou moins, de dormir, a-t-il expliqué à l’institut des hautes études de la défense nationale : la cybercriminalité, les tentatives de déstabilisation, le sabotage et le cyberespionnage donc.

“À côté de ce qui se passe aujourd’hui, c’était de la gnognote la guerre froide” attaque-t-il. Un modus operandi basique par exemple, disponible au patron un peu dégourdi qui traîne “sur des forums underground”, parle anglais et dispose de quelques centaines d’euros. Usurper l’identité d’un proche de la cible (au hasard, un concurrent), envoyer un email depuis cette fausse identité à la cible.

Au mail est attaché une pièce jointe, un cheval de Troie, acheté sur Internet. “Des usines à fabriquer des virus” permettent de changer les signatures chiffrées des logiciels malveillants. En somme, d’empêcher les antivirus de les identifier et donc de les rendre inopérants. Un peu de débrouillardise, quelques poignées d’euros et un zeste de renseignements suffisent pour obtenir des informations confidentielles sur ses concurrents. Des pratiques interdites, mais courantes.

Conclusions communes des deux hauts responsables : améliorer l’hygiène informatique et préparer la résilience des citoyens. A cette fin, une réserve citoyenne pour la cyberdéfense est en cours de création et les cyberdéfenseurs se chargent de faire passer le message.

Promesse en était faite depuis de longs mois. L’administration iranienne n’est plus reliée au grand réseau mondial depuis hier, selon les déclarations du ministre délégué aux Communications et aux technologies de l’information, Reza Taghipour. Finies les attaques informatiques, exit Stuxnet, bye-bye Flame, ses avatars et réplications ! L’administration a débranché.

Le ministre des Communications avait été très, très courroucé par les révélations sur l’origine de ces cyberattaques, un programme conjoint des Etats-unis et d’Israël baptisé Olympic Games. Il avait alors étrillé “le terrorisme d’Etat”, selon l’agence officielle iranienne Fars News.

Fin juillet, un petit dernier, dans la même veine, faisait son apparition. Selon un mail signé d’un chercheur de l’organisation de l’énergie atomique iranienne, un nouveau virus touchait deux sites sensibles, l’usine d’enrichissement en uranium de Natanz et l’installation restée longtemps clandestine à Fordow. Les ordinateurs infectés se mettaient subitement à jouer Thunderstruck du groupe AC/DC.

Un très grand intranet

Les officiels parlent aujourd’hui d’un intranet destiné à l’administration et non l’ensemble de la population comme il en a parfois été question. Effets d’annonce et rétropédalages ont émaillé ce projet depuis les évocations de “l’Internet halal” en avril 2011 par un membre du gouvernement de Mahmoud Ahmadinejad. Halal, soit licite, en opposition à l’Internet mondiale jugé corrompu.

L’Iran étrangle Internet

L'Iran accentue sa pression sur le web, en mettant en place plusieurs dispositifs de blocage et de filtrage du réseau. ...

L’argument sécuritaire a bon dos. Le régime a largement ralenti les moyens de communications – Internet et téléphonie mobile – à chaque crise politique depuis les manifestations contestant l’réélection de Mahmoud Ahmadinejad. Un officiel iranien, Abdolsamad Khoramabadi, a annoncé dimanche que Gmail et Google seraient désormais bloqués, sans avancer d’autres justifications. Mais selon une agence de presse iranienne semi-officielle, le Young Journalists Club, la mesure viserait le film Innocence of Muslims.

Rien ne permet de dire si les annonces ont été suivies d’effet ou n’avait qu’une valeur déclarative. Le rapport de Google Transparency ne montre pas de chute du trafic sur Gmail ou Google. Plusieurs habitants, interrogés tard dans la nuit par le Guardian, n’avaient pas remarqué un filtrage systématique de leur messagerie.

Dessin de Mana Neyestani ©.