Cyberwar en Estonie et au Moyen-Orient

18 min


Un membre de votre famille a-t-il aidé à lancer une cyber-attaque qui a mis à genoux un pays bénéficiaire du droit ? Non, sérieusement, ne ris pas. En avril 2007, les communications dans l’Estonie balte ont été paralysées par une attaque coordonnée reposant sur les ordinateurs de millions d’innocents utilisateurs du monde entier, tout comme vous et vos proches. La grève n'était pas en mesure de démontrer pleinement comment la cyberguerre était passée de l'idée à la réalité. Et tout a commencé avec les mouvements d'un seul soldat.

Le soldat de bronze est une statue de deux mètres qui se trouvait autrefois sur une petite place de Tallinn, la capitale estonienne, au-dessus du lieu de sépulture des soldats soviétiques perdus pendant la Seconde Guerre mondiale. Le mémorial divise depuis longtemps la population du pays. Les Estoniens de souche le considèrent comme un symbole de l'occupation soviétique (et autrefois nazie) et une importante population minoritaire (environ 25% du total) d'immigrants d'origine russe le considérant comme un emblème de l'Union soviétique. victoire sur les nazis et revendications russes sur l'Estonie. Le gouvernement Ansip, qui vient d'être nommé, a lancé le projet de déplacer la statue et les restes dans le cadre d'un mandat électoral de 2007, ce qui a déclenché les pires émeutes que le pays ait jamais connues – ainsi qu'une cyberattaque inquiétante en provenance de Russie.

Le 27 avril, alors que le pays et l’ambassade d’Estonie à Moscou avaient été assiégés pendant deux jours, une attaque par déni de service distribué (DDoS) a submergé la majeure partie de l’infrastructure Internet de l’Estonie, entraînant une quasi-activité des activités en ligne. arrêt. Les cibles n'étaient pas des sites Web militaires, mais des sites civils appartenant à des organisations telles que des banques, des journaux, des fournisseurs de services Internet et même des utilisateurs à domicile. La plupart des attaques ont été infligées par des pirates informatiques utilisant des adresses de fournisseurs de services Internet en Russie, mais l'élément le plus destructeur de l'attaque a été un botnet qui a coopté des millions d'ordinateurs précédemment infectés par un virus dans le monde entier pour détruire l'infrastructure estonienne.

Anatomie d'une cyberattaque

Le botnet a persuadé les routeurs de réseau estoniens de se renvoyer continuellement des paquets d'informations inutiles, inondant rapidement l'infrastructure utilisée pour mener à bien toutes les transactions en ligne du pays. L’attaque s’est principalement concentrée sur de petits sites Web faciles à neutraliser, mais dont l’efficacité a rapidement été dévastatrice. Les sites Web des banques sont devenus inaccessibles, paralysant l'essentiel de l'activité financière de l'Estonie. Les sites de presse ont également été attaqués pour tenter de désactiver les sources d'informations. Et les FAI étaient débordés, bloquant l'accès à Internet pour des fractions importantes de la population.

Alors que le gouvernement estonien s’attendait à une réaction en ligne de sa décision de déplacer la déclaration, il n’était absolument pas préparé à l’ampleur de la cyberattaque. Le ministre de la Défense estonien a déclaré publiquement que l'attaque était "une situation de sécurité nationale", ajoutant que "cela peut effectivement être comparé à quand vos ports sont fermés à la mer". (1)

Lorsqu'il est devenu évident que la majeure partie de l'infrastructure commerciale en ligne du pays était affectée, l'équipe d'intervention d'urgence informatique (CERT-EE) pour l'Estonie a lancé un appel à l'aide d'experts en sécurité informatique du monde entier et d'une équipe de secours numérique ad-hoc. était composé de personnes de ma propre entreprise, Beyond Security. Il nous a fallu quelques jours pour cerner la menace et commencer à mettre en place des défenses de première ligne, qui impliquaient principalement la mise en œuvre de techniques de filtrage du réseau BCP 38 sur les routeurs concernés afin d'éviter l'usurpation d'adresse source du trafic Internet. L'attaque a rapidement diminué une fois que nous avons commencé à prendre des mesures défensives. Mais dans les jours qui ont suivi pour repousser l'attaque, il est probable que le pays ait perdu des milliards d'euros en réduction de productivité et de temps d'arrêt des activités.

Cyber ​​guerre au Moyen-Orient

L’incident estonien restera dans l’histoire comme le premier exemple majeur (et, espérons-le, du plus grand jamais enregistré) de cyber-guerre à part entière. Cependant, il existe un endroit sur la planète où la cyberguerre fait désormais partie du paysage en ligne quotidien – et elle est toujours en cours.

Au Moyen-Orient, le conflit israélo-arabe comporte un important élément en ligne, avec des milliers d'attaques et de contre-attaques chaque année. Telle est la situation depuis l’effondrement des pourparlers de paix dans la région et avait été précédée par une cyber-guerre spontanée et à grande échelle entre pirates arabes et israéliens en 1999 et 2000. Des sympathisants arabes de nombreux pays sont impliqués. Un groupe de pirates marocains ont défiguré les sites Web israéliens au cours des six dernières années environ, et récemment, la station de radio militaire israélienne a été infiltrée par un pirate informatique irakien.

Contrairement à la frappe de type «blitzkrieg» en Estonie, cette guerre prolongée ne vise pas à paralyser les fonctions critiques de l'ennemi mais plutôt à saper le moral, à épuiser les ressources et à entraver l'économie. Les objectifs sont généralement simples en termes d’internet: petits sites Web transactionnels, d’information et même personnels, dont la sécurité peut facilement être compromise. Prendre le contrôle de ces sites et les dégrader est un moyen d’intimider l’opposition – en leur donnant le sentiment qu’ils sont ici, à quel autre endroit pourraient-ils être ? – et entraîne une perte importante de données, de bénéfices et de confiance pour les propriétaires de sites.

La guerre cybernétique se propage

Si les exemples de l'Estonie et du Moyen-Orient étaient nos seules expériences de guerre cybernétique, il pourrait être tentant de les résumer aux facteurs locaux et donc de ne pas préoccuper la communauté de la sécurité au sens large. Malheureusement, ces cas font simplement partie d’une tendance beaucoup plus large à perturber les plates-formes de communications numériques. En janvier de cette année, par exemple, deux des quatre fournisseurs d’accès Internet du Kirghizistan ont été assommés par un coup majeur de DDoS dont les auteurs n’ont toujours pas été identifiés. (2) Bien que les détails soient incomplets, l'attaque aurait désactivé jusqu'à 80% du trafic Internet total entre l'ex-république de l'Union soviétique et l'ouest.

La grève semble provenir de réseaux russes soupçonnés d’avoir eu des liens avec des activités criminelles dans le passé. La seule chose qui a probablement empêché une perturbation généralisée dans cette affaire est le fait que les services en ligne du Kirghizistan, contrairement à ceux de l’Estonie. , sont pauvres dans le meilleur des cas. Ce n'était apparemment pas la première attaque de ce genre dans le pays. (3) Il a été affirmé que lors des élections présidentielles de 2005 dans le pays, un DDoS motivé par des considérations politiques avait été attribué à un journaliste kirghize sympathisant avec le parti de l’opposition.

La Chine s'est également livrée à la cyberguerre au cours des dernières années, bien qu'à petite échelle. Des pirates de l’intérieur du pays auraient pénétré dans l’ordinateur portable du secrétaire américain à la Défense, des réseaux français sensibles, des ordinateurs américains et allemands, des réseaux néo-zélandais et des systèmes informatiques de la police, de la défense, des élections et de la banque centrale.

De la même manière, en 2003, des cyber-pestes ont piraté le site Web officiel du parti travailliste britannique et affiché une photo du président américain George Bush portant son chien – avec la tête de Tony Blair, premier ministre britannique (4) L’incident a attiré l’attention sur des sites gouvernementaux & # 39; approche laxiste en matière de sécurité, bien que dans ce cas particulier, il a été signalé que des pirates informatiques avaient exploité le fait que la société d’hébergement du site avait utilisé un équipement de surveillance qui ne fonctionnait pas correctement. Et dès 2001, les défenseurs des droits des animaux avaient recours au piratage informatique pour protester contre le commerce de la fourrure, dégradant ainsi le site Web de la marque de luxe Chanel avec des images d'animaux abattus. (5)

Les arguments de la défense

Que signifient tous ces accidents pour les décideurs du monde entier ? Les expériences estonienne et moyen-orientale montrent clairement que la cyber-guerre est une réalité et que la première, en particulier, démontre son potentiel dévastateur. Pour être juste, l'Estonie était à certains égards la cible idéale d'une cyber-grève. Sorti de la souveraineté russe au début des années 90 avec peu d’infrastructures de communication traditionnelles, le pays a pu faire un bond en avant de l’évolution de la situation dans les pays d’Europe occidentale et établir une économie fermement fondée sur les services en ligne, tels que les banques, le commerce et le gouvernement électronique. Dans le même temps, la petite taille du pays – l’un des moins populaires de l’Union européenne – signifie que la plupart de ses sites Web sont tout simplement mineures et qu’ils peuvent être facilement dépassés en cas d’attaque. Enfin, au moment de l’incident estonien, aucune expérience de cette ampleur n’avait été vécue auparavant.

Il est prudent de dire que les autres pays ne seront plus aussi facilement usés. En fait, ce qui s’est passé en Estonie aura prouvé au reste du monde que les cyber-armes peuvent être très efficaces et doivent donc être considérées comme une priorité pour la planification militaire et la défense.

Qu'est-ce qui pourrait faire de la cyberguerre la tactique de choix d'un bel État ? Il y a au moins cinq bonnes raisons. La première est qu’il est "propre". Il peut assommer l’ensemble de l’économie de la nation cible sans endommager l’infrastructure sous-jacente.

La seconde est qu’il s’agit d’une forme de fiançailles presque sans douleur pour l’agresseur: une attaque peut être lancée en appuyant sur un bouton sans qu’il soit nécessaire de commettre un seul soldat.

La troisième raison est la rentabilité. Un botnet de 21 000 machines peut être acquitté pour quelques milliers de euros, soit une fraction du coût d’une arme conventionnelle, et peut néanmoins causer des dommages et des perturbations d’une valeur pouvant atteindre des centaines de fois.

Quatrièmement, il est particulièrement difficile pour les administrations nationales de contrôler et de protéger leurs barrières en ligne. Une attaque DDoS peut être précédée simplement par la mise en place de meilleurs pare-feu autour d’un site Web (par exemple), mais aucun pays n’a actuellement le pouvoir de dire à ses fournisseurs d’accès, sociétés de télécommunications et autres entreprises en ligne que le pays est ouvert aux cyberattaques.

La dernière mais non la moindre des raisons est le déni plausible. Aucune des attaques de cyber-guerre rencontrées jusqu'à présent n'a été possible d'associer la grève à une autorité gouvernementale. En fait, il serait presque impossible de le faire. Dans le cas des attaques de hack chinois, par exemple, les autorités ont fourni une défense qui revient à dire: "Il y a probablement un milliard de hackers sur notre sol et si c'était nous, il faudrait être stupide pour le faire. à partir d'une adresse IP chinoise. & # 39;

Une logique similaire pourrait éventuellement fournir une absolution à l'administration russe dans le cas de l'Estonie: s'il est si peu coûteux et facile d'obtenir un botnet pour lancer une attaque par DDoS, pourquoi les Russes se soucieraient-ils de posséder des attaques piratées de leurs propres FAI ? Et dans l’attaque kirghize, bien que la source du DDoS indique clairement une main russe, les motivations de l’engagement de la Russie restent floues, ce qui laisse penser que cela aurait pu être causé par le propre parti accidentel du Kirghizistan. , agissant avec des cybercriminels embauchés de Russie.

Tactiques de protection

Avec tous ces avantages, il est unilatéral que toute puissance militaire digne de ce nom ignore à ce stade le potentiel de la cyberguerre. En fait, depuis l'incident d'Estonie, il est même possible que l'incidence de la cyberguerre ait augmenté, et nous n'en sommes tout simplement pas conscients, car les capacités de défense des nations belligérantes ont augmenté. Après tout, une autre leçon importante donnée par l'Estonie est qu'il est possible de se défendre contre les cyberattaques. Il n’existe pas de solution unique ni de solution miracle, mais diverses mesures peuvent être prises pour faire face aux types de problèmes de DDoS rencontrés par l’Estonie et aux attaques de pirates informatiques qui se poursuivent au Moyen-Orient.

Pour éviter les attaques par DDoS, il existe quatre types de défense:
o Blocage des flux SYN, provoqués par l'attaquant (par exemple) usurpant l'adresse de retour d'un ordinateur client, de sorte qu'un serveur recevant un message de connexion de ce dernier reste en suspens lorsqu'il tente d'accuser réception.
o Mise en œuvre de techniques de filtrage de réseau entrant dans le réseau BCP 38 pour se prémunir contre les falsifications de paquets d'informations, utilisées avec succès en Estonie.
o Zombie Zappers, qui sont des outils gratuits et open source pouvant indiquer à un appareil (ou à un "zombie") qui inonde un système, de cesser de le faire.
o Sites Web à faible bande passante, qui empêchent les attaques DDoS primitives simplement en ne disposant pas de la capacité suffisante pour aider à propager l'inondation.

Pour les attaques de hackers telles que celles observées au Moyen-Orient, entre-temps, il y a
trois principaux types de défense:
o Analyse des vulnérabilités connues dans le système.
o Recherche de trous dans les applications Web.
o Tester l’ensemble du réseau pour détecter le lien le plus faible et brancher les points d’entrée éventuels.

Un scénario de jour maudit ?
Tout ce qui précède constitue une tactique défensive utile, mais qu'en est-il des actions stratégiques ? Tout d’abord, l’expérience estonienne montre qu’il est important que le CERT local ait la priorité en cas d’attaque, afin de permettre à la situation de revenir à la normale le plus rapidement possible.

Les autorités peuvent également, dans la mesure du possible, vérifier les infrastructures nationales pour détecter les faiblesses des DoS et des DDoS. Enfin, les CERT nationales peuvent analyser tous les réseaux dont elles sont responsables, ce que le CERT belge a déjà commencé à faire. Compte tenu de l'ouverture d'Internet et des défis et intérêts divers de ses utilisateurs, ces mesures ne constitueront bien sûr qu'une protection partielle. Mais on espère qu'ils suffiront pour prévenir un autre incident en Estonie. Ou le feraient-ils ?

Il existe malheureusement un autre type de frappe de guerre cybernétique que nous n'avons pas encore vue et qui pourrait être plusieurs fois plus dévastateur que ce qui s'est passé en Estonie. Plutôt que d'essayer de pirater des sites Web simplement pour les altérer – un effort fastidieux avec relativement peu de récupération – cette tactique impliquerait de placer des "bombes à retardement". dans les systèmes Web concernés. Celles-ci pourraient être configurées pour rester en sommeil jusqu'à ce qu'elles soient déclenchées par une heure et une date spécifiques ou un événement particulier, tel qu'un titre donné dans le fil d'actualités national. Ils activeraient et fermeraient ensuite leur site Web hôte, en utilisant un déni de service interne ou un autre mécanisme.

Les codes bombes pourraient rester en sommeil suffisamment longtemps pour qu'une agence malveillante puisse craquer et infecter la plupart ou la totalité des principaux sites Web d'un pays. Et dans le monde en réseau d’aujourd’hui, il ne s'agit plus simplement de causer des inconvénients. Pensez au nombre de services essentiels, des réseaux téléphoniques aux systèmes de santé, qui sont maintenant facilement disponibles sur les plateformes Internet. Supprimer tout cela en une seule fois pourrait avoir un impact vraiment écrasant sur les capacités de défense d'un pays, sans qu'un agresseur ait besoin d'envoyer un seul soldat au combat.

Les moyens de créer une telle attaque existent bel et bien. Alors faites les moyens de le vaincre. Ce qui s’est passé en Estonie et au Moyen-Orient montre que nous devons maintenant considérer la cyberguerre comme une menace bien réelle. Ce qui pourrait arriver si nous ne parvenons pas à nous protéger, ne supporte pas la réflexion.

Références
1. Mark Landler et John Markoff: "Les craintes du numérique émergent après le siège des données"
en Estonie & # 39 ;. New York Times, le 29 mai 2007.
2. Danny Bradbury: «Le brouillard de la cyberguerre». The Guardian, 5 février 2009.
3. Ibid.
4. "Le site Web Travail a été piraté". BBC News, 16 juin 2003.
5. & # 39; La fourrure vole & # 39 ;. Wired, 23 janvier 2001.
6. Spencer Kelly: "Achat d'un botnet". BBC
Nouvelles du monde, 12 mars 2009.


0 Comments

Laisser un commentaire