vendredi 30 novembre 2012

Cyberguerre: comment les Américains ont piraté l'Élysée

Par Charles Haquet et Emmanuel Paquette (L'Express), publié le

EXCLUSIF. En mai, l'équipe de Nicolas Sarkozy a été victime d'une opération d'espionnage informatique hypersophistiquée. Les sources de L'Express concordent : le coup vient de... l'ami américain. Révélations sur une attaque qui s'inscrit dans une bataille planétaire.

CYBERGUERRE - Les intrus qui se sont introduits dans les réseaux informatiques de l'Elysée en mai dernier ont subtilisé des notes secrètes et des plans stratégiques à partir des ordinateurs de proches conseillers de Nicolas Sarkozy.
CYBERGUERRE - Les intrus qui se sont introduits dans les réseaux informatiques de l'Elysée en mai dernier ont subtilisé des notes secrètes et des plans stratégiques à partir des ordinateurs de proches conseillers de Nicolas Sarkozy.
REUTERS/Philippe Wojazer

La réaction de l'ambassade des Etats-Unis à Paris

Nous réfutons catégoriquement les allégations de sources non-identifiées, parues dans un article de l'Express, selon lesquelles le gouvernement des Etats-Unis d'Amérique aurait participé à une cyberattaque contre le gouvernement français. La France est l'un de nos meilleurs alliés. Notre coopération est remarquable dans les domaines du renseignement, du maintien de l'ordre et de la cyberdéfense. Elle n'a jamais été aussi bonne et demeure essentielle pour mener à bien notre lutte commune contre la menace extrémiste. Mitchell Moss, porte-parole de l'ambassade des Etats-Unis à Paris
C'est l'un des hold-up les plus audacieux réalisés contre l'Etat français. En mai dernier, quelques jours avant le second tour de l'élection présidentielle, des pirates ont réussi à s'introduire dans les réseaux informatiques de l'Elysée. Révélée par le quotidien régional Le Télégramme, cette intrusion avait alors été soigneusement étouffée par le Château. Une omerta qui, jusqu'à présent, n'avait pas été brisée. Aucune information n'avait filtré sur la nature des agresseurs, ou même sur le préjudice subi. Pourtant, l'affaire est grave, d'autant qu'elle constituerait une cyberattaque sans précédent entre pays alliés.
Retrouvez notre dossier complet en kiosque
L'Express peut révéler que les intrus ont non seulement réussi à pénétrer au coeur même du pouvoir politique français, mais qu'ils ont pu fouiller les ordinateurs des proches conseillers de Nicolas Sarkozy. Des notes secrètes ont été récupérées sur des disques durs, mais aussi des plans stratégiques. Du vrai travail de pro, digne du dernier James Bond, Skyfall. Et, comme souvent dans ce type d'attaque, une négligence humaine est à l'origine de la catastrophe.

L'ordinateur du secrétaire général de l'Elysée pillé

REUTERS/Larry Downing
"La cybermenace est l'un des plus sérieux défis auxquels nous soyons confrontés en tant que nation" Barack Obama, président des Etats-Unis, mai 2009.
Tout a commencé sur Facebook. Les assaillants ont d'abord identifié, sur le réseau social, le profil de personnes travaillant au palais présidentiel. Se faisant passer pour des amis, ils les ont ensuite invitées, par un message électronique, à se connecter sur l'intranet du Château. Sauf que ce lien menait à une fausse page Web - une réplique de celle de l'Elysée. Les victimes n'y ont vu que du feu ; et lorsque est apparu, à l'écran, un message leur demandant leur identifiant et leur mot de passe, elles les ont donnés en toute bonne foi. Une technique bien connue des hackers, qui leur a permis de récupérer les clefs numériques pour s'inviter en toute quiétude dans le saint des saints.
Une fois à l'intérieur, les pirates ont installé un logiciel espion qui s'est propagé d'un ordinateur à l'autre. Très élaboré, ce "ver" n'a infecté que quelques machines. Et pas n'importe lesquelles : celles des conseillers les plus influents du gouvernement... et du secrétaire général, Xavier Musca. Nicolas Sarkozy y a, lui, échappé. Et pour cause, il ne possédait pas de PC. Malheureusement pour les assaillants, le code malveillant a laissé des empreintes. "Telles des marionnettes actionnées par des fils invisibles, les machines infectées communiquent avec leur maître pour prendre leurs ordres, décrypte un expert, Olivier Caleff, responsable sécurité du Cert-Devoteam, une société de sécurité informatique. Lorsque l'on essaie de remonter ces fils sur Internet, on arrive souvent sur des serveurs situés à l'étranger."
REUTERS/Neil Hall
"Nous consacrerons un budget de plus d'un demi-milliard de livres [626 millions d'euros] à la cybersécurité" David Cameron, Premier ministre britannique, octobre 2010.
C'est ce travail de fourmi qu'ont mené les enquêteurs français. Le degré de sophistication de l'attaque était tel que les suspects se limitaient, d'emblée, à une poignée de pays. Pour preuve, le cyberpompier de l'Etat, l'Agence nationale de la sécurité des systèmes d'information (Anssi), a mis plusieurs jours pour restaurer le réseau de l'Elysée. Difficile de trouver l'origine de l'offensive. Souvent, les assaillants brouillent les pistes en passant par des pays tiers. Autant de rebonds, sur des serveurs situés sur les cinq continents, qui rendent ce fil d'Ariane très compliqué à suivre, même pour les "cyberdétectives" de l'Etat mobilisés pour l'occasion. Mais, selon les informations recueillies par L'Express auprès de plusieurs sources, leurs conclusions, fondées sur un faisceau de présomptions, convergent vers le plus vieil allié de la France : les Etats-Unis.

Le virus porte la marque de son auteur

Le code malveillant utilisé affiche, en effet, les mêmes fonctionnalités qu'un ver informatique extrêmement puissant, baptisé Flame, identifié à la fin du mois de mai par une grande société russe d'antivirus, Kaspersky. "Très perfectionné, il peut collecter les fichiers présents sur une ma-chine, réaliser des captures d'écran et même activer le microphone d'un PC pour enregistrer les conversations, expli-que Vitaly Kamluk, spécialiste du sujet chez cet éditeur. Sa conception a demandé beaucoup d'argent et des moyens humains que seul un grand pays est en mesure de mobiliser." Ou même deux : selon la presse anglo-saxonne, le ver aurait été créé par une équipe américano-israélienne, car il devait viser initialement des pays du Moyen-Orient (Iran, Egypte). Autre élément à charge : tel un peintre reconnaissable à son trait, un virus porte les marques du savoir-faire de son auteur. Janet Napolitano, secrétaire d'Etat à la Sécurité intérieure de l'administration Obama, n'a ni confirmé ni démenti nos informations.
REUTERS/Thomas Peter
"Les attaques cybernétiques sont aussi dangereuses que la guerre conventionnelle" Angela Merkel, chancelière allemande, avril 2011.
Contactés à ce sujet, ni l'Anssi ni l'Elysée n'ont souhaité faire de commentaires. Reste une question. Pourquoi un allié de la France lancerait-il une telle opération ? "Vous pouvez être en très bons termes avec un "pays ami" et vouloir, en même temps, vous assurer de son soutien indéfectible, surtout dans une période de transition politique", note un proche du dossier, sous le couvert de l'anonymat. Sans compter que l'Elysée joue un rôle clef dans la signature de grands contrats avec des pays étrangers, notamment au Moyen-Orient. "C'était encore plus vrai à l'époque de Nicolas Sarkozy", rappelle Nicolas Arpagian, directeur scientifique du cycle sécurité numérique à l'Institut national des hautes études de la sécurité et de la justice.

Un instantané des cyberattaques en cours...
HoneyMap réalisé par Honeynet Project
Un instantané des cyberattaques en cours...
Quitte à être espionné, sans doute vaut-il mieux l'être par un allié... "Nous avons de grands partenaires avec lesquels nous collaborons et entretenons des relations de confiance, et d'autres avec qui nous ne partageons pas les mêmes valeurs", rappelle le contre-amiral Arnaud Coustillière, responsable du volet militaire de la cyberdéfense française. Il n'empêche, l'attitude de l'administration Obama suscite de nombreuses interrogations.

Vers des attaques "pires que le 11 Septembre" ?

Dans une version du livre blanc sur la défense, actuellement en cours de rédaction, des auteurs ont soulevé les ambiguïtés de Washington. "Face à la difficulté d'utiliser les voies de droit, [les Etats-Unis] ont recours de plus en plus à l'action clandestine, ce qui peut poser une question de contrôle démocratique."
Ironie du sort, le Congrès américain vient, le 14 novembre, de publier un rapport accablant sur l'"acteur le plus menaçant du cyberespace", à savoir... la Chine. Leon Panetta, secrétaire d'Etat à la Défense, a même déclaré récemment que, par leur puissance numérique, "certains pays" seraient, d'ores et déjà, capables de provoquer un "cyber-Pearl Harbor" : "Ce serait pire que le 11 Septembre ! Des assaillants pourraient faire dérailler un train de voyageurs ou un convoi de produits chimiques dangereux. Ou, encore, contaminer les systèmes d'eau des grandes villes ou éteindre une grande partie du réseau électrique." Le tout en se cachant derrière des écrans d'ordinateurs situés à des milliers de kilomètres...

Dans le monde virtuel, tous les coups sont permis

Leon Panetta sait de quoi il parle. L'Oncle Sam a déjà utilisé ces moyens. C'était en 2010, lors de l'opération "Jeux olympiques", lancée conjointement avec Israël contre l'Iran. Leur logiciel Stuxnet aurait endommagé un grand nombre des centrifugeuses utilisées par Téhéran pour enrichir de l'uranium. Spectaculaire, cette opération ne doit pas faire oublier que d'autres nations oeuvrent dans l'ombre. Dans le plus grand secret, de nombreux pays, démocratiques ou non, fourbissent leurs armes numériques. Des forces secrètes se constituent, des mercenaires vendent leurs services aux plus offrants. Sans foi ni loi. La Toile n'est pas un champ de bataille comme les autres. Oubliez les codes de l'honneur, les conventions internationales ou les alliances. Tous les coups sont permis. Et mieux vaut avoir les moyens de se battre. Dans le cyberespace, personne ne vous entendra crier.
Pour s'en convaincre, il suffit de se rendre au quartier général de l'Otan, à Bruxelles. Tou-tes les nuits, vers 1 heure, c'est le même rituel, explique l'un des responsables européens de la sécurité au sein de l'organisation. "Sur une carte, à l'écran, on voit des dizaines de lumières s'allumer en Chine, explique-t-il. Ce sont les hackers qui, le matin, lancent des attaques lorsqu'ils arrivent au boulot. Et, le soir, elles s'éteignent quand ils rentrent chez eux." Même constat d'un proche de la NSA, l'agence de renseignement des Etats-Unis : "Parfois, nous enregistrons une baisse sensible des tentatives d'intrusion sur nos sites, témoigne-t-il. Invariablement, cela correspond à des jours fériés en Chine." Mais l'image d'une "superagence" où des armées de pirates travailleraient en batterie pour ravir les secrets de l'Occident ne reflète pas la réalité. Selon ce même agent, "leur capacité offensive est beaucoup moins centralisée qu'on pourrait l'imaginer. De nombreuses régions ont mis en place leur propre dispositif, qui dépend du bureau politique local. Et il n'est pas rare que ces factions se combattent entre elles."

Coût d'une attaque : quelques centaines de milliers d'euros

Un hacker, qui souhaite rester anonyme, pense, lui aussi, que l'on surestime un peu le "cyberpéril jaune". "J'ai eu l'occasion de voir travailler les Chinois, ce ne sont pas les plus affûtés, dit-il. Leurs techniques sont assez rudimentaires par rapport à celles des Américains ou des Israéliens..."
REUTERS/Minoru Iwasaki/Pool
"Les questions de sécurité alimentaire, d'énergie et de cybersécurité deviennent plus aiguës" Hu Jintao, secrétaire général du Parti communiste chinois, novembre 2012.
A chaque pays sa spécificité. En Russie, le dispositif d'attaque est opaque. De nombreux spécialistes occidentaux du renseignement soupçonnent l'existence d'une relation triangulaire entre l'Etat, la mafia et certaines sociétés de conseil informatique qui seraient le bras armé du Kremlin. "Avez-vous déjà vu, en Russie, un hacker avoir des problèmes avec la police ? questionne Garry Kasparov, ancien champion du monde d'échecs, aujourd'hui l'un des opposants au président Poutine. Non, parce que l'on sait qui se trouve aux manettes, dans l'ombre..."
Contrairement à ce que l'on pourrait croire, les Européens ne sont pas en reste. La France, c'est une surprise, dispose d'une force de frappe numérique. Mais on trouve aussi, sur l'échiquier mondial, des Etats moins avancés sur le plan technique, tels l'Iran et la Corée du Nord. Nul besoin, en effet, d'investir dans des infrastructures coûteuses. Il suffit d'un ordinateur, d'un accès à Internet et de quelques centaines de milliers d'euros pour monter une attaque. Car sur la Toile, comme dans la vraie guerre, on trouve toutes sortes d'armes sur le marché. Il suffit de frapper aux bonnes portes. Au lieu d'une kalachnikov, on repartira avec un logiciel malveillant (malware, dans le jargon) qui permettra de prendre le contrôle d'un système ennemi. La première motivation : "Faire du business !"
"C'est un enjeu de domination. En maîtrisant l'information, on contrôle tout", résume Jonathan Brossard. Ce hacker français renommé intervient aujourd'hui dans des groupes internationaux.
Son job consiste à s'introduire dans les systèmes informatiques pour en révéler les failles - et trouver des parades. Pour lui, les risques d'un cyberconflit existent, mais ils masquent une autre motivation, bien plus puissante : "Faire du business ! Etre capable de griller un réseau électrique, c'est bien, mais le véritable enjeu, c'est surtout de gagner des parts de marché." Connaître, dans le détail, la proposition d'un concurrent, lors d'un gros appel d'offres, donne un avantage décisif. Pour l'avoir négligé, certaines sociétés ont péri. Des pirates - chinois semble-t-il - ont pillé les secrets du géant canadien des télécoms Nortel pendant près de dix ans, au point de l'acculer à la faillite. De tels exemples abondent.
Et la France n'est, malheureusement, pas épargnée. Les grandes entreprises du CAC 40 compteraient même parmi les plus vulnérables d'Europe. Sur ce nouveau champ de bataille invisible, on ne compte pas les morts, mais les points de PIB perdus. Et, derrière, sans doute des emplois par milliers.

Batailles de virus

STUXNET
Découverte : juin 2010.
Cible : ce logiciel a détruit des milliers de centrifugeuses nucléaires, en Iran.
Origine supposée : opération "Jeux olympiques", menée par les Etats-Unis et Israël.
DUQU
Découverte : septembre 2011.
Cible : lié à Stuxnet, ce ver informatique a servi à espionner le programme nucléaire iranien.
Origine supposée : Etats-Unis et Israël.
MAHDI
Découverte : février 2012.
Cible : capable d'enregistrer les frappes sur un clavier et les photos et textes d'un ordinateur, Mahdi a été retrouvé en Iran, en Afghanistan et en Israël.
Origine supposée : inconnue.
WIPER
Découverte : avril 2012.Cible : ce virus fait disparaître les données des disques durs des ordinateurs infectés. Il a touché des compagnies pétrolières iraniennes.
Origine supposée : inconnue.
FLAME
Découverte : mai 2012.
Cible : ce logiciel très sophistiqué aurait espionné depuis 2007 plusieurs pays, dont l'Iran, la Syrie, le Soudan, ou encore l'Arabie saoudite.
Origine supposée : opération des Etats-Unis et d'Israël.
GAUSS
Découverte : juin 2012.
Cible : capable d'espionner les transactions financières et messages électroniques, ce virus s'est répandu au Liban, en Israël et en Palestine.
Origine supposée : inconnue.
SHAMOON
Découverte : août 2012.
Cible : les ordinateurs des compagnies pétrolières saoudiennes Aramco et RasGas au Qatar ont été attaqués par ce virus.
Origine revendiquée : groupe de hackers appelé "Glaive tranchant de la justice", peut-être d'origine iranienne.

Aucun commentaire:

Enregistrer un commentaire

Remarque : Seul un membre de ce blog est autorisé à enregistrer un commentaire.