[Entrée n°9] Faut reconnaître… C’est du brutal.

Par défaut

Furtive illustration de l’habile Duncan Irving illustrant l’incessante chasse aux signatures qui est le lot de toute bonne crémerie spécialisée dans la chasse aux attaquants.

Ce matin, je relisais la thèse d’un étudiant. Á un moment, je m’étranglais. Je m’étrangle parfois à la lecture de certaines productions du domaine, car, je dois le concéder, je suis de nature assez chétive.

Je relisais donc cette thèse et constatais qu’il existe une image d’Épinal qui résiste encore et toujours à l’usure du temps : « contrairement aux idées reçues, dans le cyberespace, l’avantage revient à l’attaquant ». Je crois savoir que certains enthousiastes martèleraient même qu’il s’agit d’une caractéristique inédite de cet espace d’affrontement qui, à ce titre, soutient l’idée d’un dispositif de cyberdéfense toujours à la masse, car intervenant à partir de soupçons de compromission, c’est à dire à rebours. En bref, lorsque l’attaque est consommée. La tristesse, quoi.

Je pense que cette idée est en partie fausse, ou tout du moins à nuancer, révèle une méconnaissance des tactiques, techniques et procédures (TTP) mises en œuvre par les attaquants dans cet espace, et pire nourrit le fantasme d’un attaquant tout puissant – ce qui, en tant que défenseur, me ronge l’ulcère, mais passons.

En premier lieu, il me faut remarquer que, même chez les attaquants les plus sophistiqués, les habitudes ont la vie dure. Je n’ai à titre personnel jamais rencontré d’attaquant capable, d’une campagne à l’autre, de modifier intégralement son mode opératoire. L’assertion est particulièrement vraie pour les modes opératoires de type « menace persistante avancée » (APT). Caillassez moi si je me trompe, mais je ne crois pas que la littérature spécialisée se fasse aussi l’écho de tels attaquants. Même la CIA recycle, c’est dire.

Les attaquants ont donc des habitudes bien ancrées, parce que modifier constamment son infrastructure, changer de TTP ou mettre en œuvre de nouveaux outils est couteux en ressources, particulièrement lorsque le mode opératoire fait déjà preuve d’un remarquable niveau de sophistication. Or, les plus avertis d’autre vous gageront que l’inaction est politiquement et / ou économiquement couteuse. D’ailleurs, le terme « persistant » caractérisant le concept d’APT n’est pas là par hasard.

Depuis 2011, toute une littérature, dont le modèle de la kill chain en est l’exemple le plus connu, démontre de manière assez convaincante qu’une seule intervention du défenseur peut être suffisante pour contrer le mode opératoire d’un attaquant. Autrement dit, si une seule technique connue par le défenseur est répétée par l’attaquant, ce dernier prend le risque d’être détecté et donc contrecarré avant de pouvoir accomplir son objectif.

A titre d’exemple, grâce au travaux de FireEye, on sait, avec un degré de confiance élevé, que le mode opératoire adverse (MOA) d’origine russe APT-29 met en œuvre une technique d’exfiltration de données innovante, baptisée Domain Fronting. Cette technique est difficile à détecter et à contrecarrer. Cependant, si l’attaquant lors de sa prochaine campagne d’attaques ne change pas le chemin d’accès de l’exécutable et le nom du service qui met en œuvre cette technique sur la machine compromise, l’attaquant sera systématiquement détecté lors de la phase d’exfiltration de données par toutes les bonnes crémeries de France et de Navarre. On comprend donc bien l’enjeu que recouvre la fonction de connaissance de la menace, cyber threat intelligence dans la langue de Shakespeare.

De même, il devient évident que si le défenseur élabore des contremesures plus vite que l’attaquant ne fait évoluer son mode opératoire, le premier contraint le second à déployer plus de ressources pour mener à bien son attaque. Pénible, mais c’est la vie.

Ainsi, contrairement aux idées reçues, l’attaquant n’a donc pas toujours l’avantage sur le défenseur. Tout du moins, l’attaquant dispose d’un avantage relatif qui tend à diminuer au fil des campagnes menées et à mesure qu’il suscite l’attention de la communauté de cyberdéfense. L’enjeu pour le défenseur est donc de prendre l’ascendant informationnel en anticipant la menace afin de réduire d’autant la probabilité de succès de chaque nouvelle attaque.

Certes, l’avantage obtenu est toujours relatif, mais la victoire réside dans la capacité du défenseur à maintenir cet ascendant dans le temps et donc à obliger l’adversaire à dépenser une quantité insupportable de ressources pour réussir son attaque. Ni plus, ni moins.

J’oubliais presque. L’étudiant en question s’appelait George Kaplan, manière de remarquer que certaines certitudes peuvent étrangement se transformer à mesure que le temps passe.

[Entrée n°8] Si vous ne savez pas mentir, va falloir apprendre mon vieux. C’est la base du métier.

Par défaut

Intrigante illustration intitulée « La guerre par tout les moyens« , où l’on comprend habilement, qu’une inoffensive clé USB en forme de bombe, peut servir les sombres desseins de l’Empire. Tirée de la collection « Politische Plakate » du talentueux Wyn T.

Les révélations de Wikileaks suscitent chez moi toujours un certain émoi, car sont, trop souvent, la promesse d’une semaine tourmentée, où il faudra redoubler d’ingéniosité et de pédagogie pour démêler le vrai du faux, calmer les fantasmes de certains et essayer de tirer partie d’éventuelles informations avant l’adversaire. Les 8,761 dossiers concernant le Center for Cyber Intelligence (CIA/CCI) n’ont, une fois de plus, pas fait exception. Revenons, voulez-vous, sur cette amusante affaire #Vault7. Oui, les révélations s’appellent #Vault7. Elles sont importantes nous dit Wikileaks, elles ont donc un nom.

J’attire l’attention de l’habile lecteur sur les commentaires qui seront formulés dans cet article. Ces derniers étant rédigés quelques jours après la première série de révélations, baptisée Year Zero, plusieurs de mes appréciations pourraient perdre de leur pertinence au cours des prochaines publications. Wikileaks nous en ayant promis des tas d’autres. Le vertige me saisit.

Dans son communiqué de presse, l’ONG souligne l’importance de la trouvaille en présentant les archives comme une « collection d’outils prêts à l’emploi [This extraordinary collection, which amounts to more than several hundred million lines of code, gives its possessor the entire hacking capacity of the CIA] (!), qui aurait circulé librement au sein d’un premier cercle de confiance, notamment constitué de prestataires privés« . Certes, le communiqué de presse évoque aussi une archive, qui aurait été dérobée sur un réseau classifié de Langley. On ne sait donc déjà plus à quel saint se vouer, mais passons.

Malgré l’effet d’annonce, la colossale archive ne présente, à priori, pas vraiment d’intérêt d’un point de vue opérationnel. Les quelques outils présents sont souvent disponibles en source ouverte ou ne présentent pas d’intérêt immédiat. Pas non plus d’exploits qui nécessiteraient de contre-mesures d’urgence. Seule une étude longue et minutieuse permettra peut-être de tirer parti de quelques lignes de code ou de certains commentaires de praticiens trouvés ça et là.

Certes, au détour de ce qui semblait qu’un wiki de travail, on apprend que la CIA a développé des moyens de lutte informatique offensive (LIO) ciblés de très bon niveau, ce qui ne devrait surprendre personne et éventuellement rassurer les plus sceptiques d’entre nous sur les capacités de la CIA. On apprend, pèle-mêle, qu’à l’instar de n’importe quel service de renseignement national, la CIA cherche, entre autre, à maquiller ses opérations offensives (false flag) et travaille en étroite collaboration avec les plus éminentes universités américaines. Croustillant, mais rien de concret. Retour à la case départ.

Pire, Wikileaks assure avoir déjà pris contact avec certains fabricants pour les aider à corriger les vulnérabilités qui se trouveraient dans les archives #Vault7, mais étant donné le manque de transparence du dispositif, rien n’assure le citoyen prévenant que les failles seront corrigées – si tenté qu’elles existeraient, mais trêve de mauvaise foi. Le praticien lui est condamné à attendre un hypothétique Patch Tuesday. Comme dans le vraie vie quoi.

Pour la petite histoire, je suis personnellement plus inquiet par les multiples vulnérabilités découvertes cette semaine sur le framework Apache Struts (CVE-2017-5638), qui permettent de l’exploitation de code à distance. Ces dernières, en plus d’être d’une criticité remarquable, sont facilement exploitables à partir de scripts dont la mise en œuvre est de niveau Brevet des collèges. Au premier comptage, des milliers de serveurs seraient concernés. Certains racontent que la grande moisson aurait déjà commencé. Comme quoi.

L’affaire #Vault7 n’est cependant pas complétement dénuée d’intérêt opérationnel. Un rapide coup d’œil sur le contexte national et international, ainsi que sur l’environnement informationnel relatif à l’affaire devrait laisser, plus d’un, songeur.

Premier remarque, l’affaire fait suite à une actualité post-élection US très tendue, sur fond de confrontation entre Moscou et la communauté de renseignement américaine. Tensions qui ont été notamment très marquées entre l’administration Trump et le bureau du DNI en janvier 2017.

D’autre part, l’affaire #Vault7 vise clairement à saper la légitimité de la communauté de renseignement américaine, et pas seulement la CIA. Le communiqué de presse de Wikileaks à ce sujet est une mine d’or. Cette posture de Wikileaks, qui n’a rien d’inédit il faut le concéder, vient directement / indirectement (à vous de juger) soutenir la rhétorique de Moscou, laissant penser que finalement la CIA est bien mal placée pour reprocher l’interférence russe dans les élections américaine, puisque cette dernière aurait, à titre d’illustration, fait la même chose en France en 2012. À l’approche des élections françaises, l’allusion est d’ailleurs amusante.

Enfin on ne peut s’empêcher de remarquer que, contrairement à l’affaire Snowden, les primo-diffuseurs n’ont pas été des médias traditionnels coutumiers de ce genre de révélations, tels que le Spiegel, The Intercept ou encore le Washington Post, mais deux médias russes anglophones, RT et Sputnik, notoirement connus pour être très proches des intérêts de Moscou – alerte euphémisme. De même, lorsque l’on connait le rôle très trouble joué par Wikileaks dans le cadre des fuites consécutifs à la compromission du réseau du DNC en 2017, la coïncidence laisse songeur. J’entends à l’oreillette que cette affaire n’est d’ailleurs pas sans rappeler non plus l’affaire Shadow Brokers, dont on suspecte aussi une possible implication du Kremlin.

En conclusion, on aurait tort de ne pas s’interroger sur la raison d’être de cette affaire – et pas seulement sur son soit-disant contenu inédit. #Vault7 ne sert pas seulement les intérêts de Wikileaks, mais joue très certainement un rôle dans un grand échiquier mondial, que l’on aurait tort de ne pas mettre en perspective avec l’actualité russe.

Une humble invitation à la méditation autour d’un bon café, si vous voulez mon avis.

[Entrée n°7] Ils durent manger un ménestrel, mais l’allégresse ne les quitta point.

Par défaut

Habile métaphore de l’investigation à partir de la série d’illustrations éponymes « Stay in the dark » du prometteur Dani Diez

Les fêtes de fin d’années sont un moment propice à l’introspection ; pas seulement à cause l’incontournable bûche de noël de grand-mère, dont on n’hésiterait pas tant à la caractériser « d’étouffe-chrétien », si l’on était pas allé un peu plus tôt présenter ses respects au prélat du quartier, mais surtout parce qu’elles offrent consécutivement de somptueux moments d’inactivités. Ces redoutables instants d’ennuis que le champagne n’arrive que trop rarement à combler sont aussi l’occasion d’un savant retour en arrière sur les événements qui se sont produits cette année – qu’ils aient été ou non traduits sous forme de chronique en ces murs.

Un première remarque me vient immédiatement à l’esprit : les dernières campagnes de cyberespionnage étatiques – et il y en a pléthores – rappellent cruellement à quel point il est primordiale de caractériser, dès les premiers doutes, la profondeur d’une éventuelle compromission, quand bien même l’on serait contraint par le temps – c’est souvent le cas, quand bien même l’on aurait que des informations parcellaires – c’est toujours le cas. Aujourd’hui, le coût politique d’une mauvaise gestion de ce que l’on appelle pudiquement un « incident critique » est simplement trop coûteux pour être ignoré, et en même temps, l’attaque, en présumant qu’elle est avérée – ce qu’il faut toujours faire – est trop importante pour ne pas être gérée au bon niveau, c’est à dire au niveau le plus haut.

Par conséquent, les premiers éléments collectées pendant la période de levée de doute, ce moment un peu flou où l’on est pas vraiment sûr de saisir ce que l’on constate, sont une première étape pour qualifier un incident, sans être toutefois suffisant pour permettre une remédiation exhaustive. Cette dernière partie est la raison même de cet article. Je vais donc, à l’aide d’un habile copier-coller, en extraire la substantifique moelle et en traduire rapidement l’esprit : les signaux à l’origine d’une alerte associés à un attaquant sophistiqué sont insuffisants pour permettre une remédiation exhaustive. Voilà, c’est dit.

Même si la fonction de réponse à incident et plus généralement la manœuvre dans le cyberespace est contrainte par le temps – j’ai dû le concéder à demi-mot plus haut – car à la fois dictée par le tempo de l’adversaire et par des impératifs propres à la structure touchée par l’attaque, il faut prendre le temps 1) de circonscrire le périmètre, 2) d’évaluer l’impact de l’attaque et 3) de comprendre le mode opératoire de l’attaquant associé à l’incident ou à d’autres éventuels incidents détectés auparavant. Cette première analyse et la batterie de tâches qui lui sont associées forment une seconde étape qui se répète itérativement à partir des investigations menées et à mesure que la connaissance de l’attaque progresse.

Avant toute remédiation, il est donc essentiel d’avoir une vision consolidée du niveau de compromission du réseau, du comportement de l’attaquant, des différentes lignes d’action à sa disposition, de l’environnement dans lequel ce dernier agit et des options de remédiation à la portée de la défense. Cette analyse peut être menée rapidement, sur un tableau blanc s’il le faut ; qu’importe. Néanmoins, elle doit rester au centre des attentions de l’équipe en charge pendant toute la durée de l’incident.

Cela étant dit, rien n’empêche d’élaborer des hypothèses dès le début de l’investigation et d’y associer au plus tôt des mesures conservatoires ainsi qu’un plan de remédiation. Néanmoins, la formulation de ces hypothèses ainsi que la mise en œuvre et l’exécution des mesures associées ne doivent pas mettre en péril la bonne compréhension de la situation. Par la suite, à mesure que l’analyse progresse, on pourra toujours progressivement mettre en œuvre les mesures complémentaires qui pouvaient perturber l’investigation. In fine, comme l’on aime à dire par chez moi, c’est le terrain qui dicte la manœuvre. Toutefois, si l’analyse est primordiale, c’est bien qu’elle participe à une remédiation efficace et, par conséquent, permet de limiter les dégâts causés par l’attaquant.

Par ailleurs, nulle besoin de revenir sur l’importance de privilégier une posture furtive, tant de dernières affaires ont encore rappelé, si l’était besoin, cette nécessite impérieuse. Une nécessité si évidente, qu’elle est bien souvent mise de coté sacrifiée sur l’autel de la panique généralisée.

Mais que veut dire le père George en ce jour de fête ? En substance, dès qu’il y a soupçon de compromission généralisée, il est urgent de ne pas attendre et de réagir rapidement au risque de voir l’attaquant imprimer durablement son tempo sur la défense. Vrai. Rien à dire la dessus. Cependant, il existe une tripotée d’exemples de réponses à incident malheureuses qui parce qu’elles n’ont pas été élaborées à partir d’une analyse suffisamment exhaustive ont abouti à des catastrophes : remédiation partielle, réaction brutale de l’adversaire qui se traduit par la destruction de machines ou à l’altération de données sensibles etc.

La réponse à incident est un métier. Et comme tout métier, elle est un ensemble de tâches normées qui répondent à une série d’impératifs identifiées à partir des nombreuses expériences qui ont façonnées le métier. Elle n’est pas l’aboutissement fortuit de gesticulations plus ou moins heureuses, mais bien la somme de procédures éprouvées, dont un certain nombre ont déjà été théorisées par d’autres, ici ou là.

Et si vous n’en êtes pas convaincu, je vous invite à vous replonger dans l’actualité de ces deux dernières années. La période est particulièrement favorable à la méditation, dit-on.

[Entrée n°6] Il joue de l’harmonica, mais il joue aussi de la gâchette.

Par défaut
sub

Amusante illustration intitulée « The Russians are coming » par Ryan Murray. Félicitation à celle ou à celui qui identifiera le paisible classe Akoula qui s’égaye en arrière plan entre les thons rouges.

Ce n’est pas une question de physique, sachez-le, mais je suis de ceux qui préfèrent les plaisanteries courtes. Récemment, d’autres, tels que les opérateurs de l’intriguant groupe ShadowBroker, semblent avoir fait le choix contraire avec un certains succès que l’on ne peut pas nier. Si l’affaire du ShadowBroker ou les déboires de l’Equation Group ne suscitent chez vous que de vagues réminiscences, je vous laisse quelques éléments ça et pour vous rafraîchir la mémoire. Pour les autres, essayons de tirer quelques enseignements à la lumière des événements qui se sont produits samedi dernier.

A ce sujet, les mieux informés d’entre vous auront peut être déjà consulté le nouveau pamphlet publié par le riant ShadowBroker samedi à une heure où l’aube colore à peine les baies serveur et que les claviers sont encore couverts d’une fraîche rosée printanière. La déclaration disponible ici laisse songeur. Dans un style qui ferait passer Borat pour un écrivain britannique, les auteurs du texte se plaignent du manque d’intérêt que suscite leur vente aux enchères, plafonnée au moment de la rédaction de cet article à environ 937€. Ce qui pèse pas bien lourd, on le concédera.

Évidemment, difficile donc de ne pas comprendre le désarroi de ces âmes en peine. Il faut dire que personne ne semble assez dupe pour investir dans une grossière transaction qui laisse franchement penser qu’elle ne sert qu’à masquer les réelles intentions du groupe à l’origine de cette amusante légende.

Par facilité, suggérons, non sans fondement, que l’affaire du ShadowBroker est une opération d’influence, au même titre que Guccifer 2.0 et les bondissants hacktivistes du groupe Fancy Bear. Pseudonyme qui prête d’ailleurs franchement à sourire lorsque l’on sait que le nom est par ailleurs attribué à un groupe d’espionnage étatique d’origine russe, baptisé APT-28. Cocasse, mais bref, passons. On serait tenté de se moquer de la portée de ces opérations, parfois jugées grossières et sans effets clairement mesurables. A mon sens, il s’agit d’une erreur.

Ces différentes opérations d’influence sont loin d’être grossières et témoignent d’une sophistication croissante qui ne fait plus aucun doute. D’aucuns seraient tentés de dire que c’est en forgeant que l’on devient forgeron, mais puisqu’il s’agit d’un évident lieu commun, je n’en ferais rien. De la dignité que diable. Il y a des légendes qui meurent là bas.

Première remarque, les opérateurs à l’origine de ces opérations témoignent d’une compréhension du contexte culturel et politique de l’audience-cible qui force le respect. Que ce soit dans le cas de Guccifer 2.0 ou de Fancy Bear, les différentes légendes sont élaborées à partir de lieux communs connus, compris et largement admis par l’Internet. Autrement dit, ces avatars sont à première vu globalement crédibles et tombent de moins en moins à coté – ce qui est déjà quelque part un tour de force. Un respect de la norme qui participe largement à la réussite de l’opération et que je serais tenté d’appeler principe de crédibilité (1).

A cela, il faut remarquer l’excellente maîtrise du principe de viralité (2). On notera à titre d’exemple que chaque compte Twitter en charge de la légende s’abonne immédiatement à de grands comptes de média actifs sur l’audience-cible. On pourra aussi arguer à juste titre que nos légendes ne manquent pas d’originalité pour attirer l’attention, que ce soit en participant à des conférences sur le sujet ou bien en répondant volontiers aux demandes d’interviews. Ben voyons. Évidemment, chacune s’inscrive dans une actualité brûlante, ce qui a pour objet de susciter des réactions et donc de l’intérêt.

Deuxième remarque, malgré le scepticisme général d’une poignée d’experts et les différentes critiques émises à l’encontre de ces légendes, les opérateurs continuent à animer chacun d’entre elle avec un zèle qui rappelle les plus belles heures de la Grande Russie. Chacune de ces animations s’inscrivent dans une ligne d’action personnalisée, pour le moins sophistiquée qui facilite leur intégration au sein de l’audience-cible, ce qui paradoxalement participe, à la fois à renforcer chacune des légendes, tout en brouillant les pistes. Si pour le sceptique, le caractère artificiel de ces avatars ne fait pas de doute, pour le autres, c’est à dire 90% de l’audience-cible, la limite devient de plus en plus floue avec le temps, perturbant les repères de chacun. Ce troisième principe pourrait bien être appelé principe de persistance (3).

D’autre part, il faut bien souligner les formidables capacités d’adaptation des équipes en charge de ces opérations de déception. Capacités d’adaptation qui n’en sont peut être pas d’ailleurs, car rien ne permet de dire qu’un volet influence n’est pas systématiquement mise en œuvre à chaque campagne d’espionnage. Sait-on jamais. Capacités qui, associées à une parfaite maîtrise des trois principes présentés plus haut, produisent des résultats pour le moins encourageant.

Quoiqu’il en soit, il est probable que les équipes en charge de ces animations montent en compétence au fil du temps, obtiennent de nouveaux moyens, linguistiques notamment, et bien sûr, gagnent de l’expérience, ce qui va sans doute participer à renforcer la crédibilité à la fois des opérations en cours et des futures que nous risquons bien de peiner à identifier comme telles.

Je serais donc tenté de ne pas faire preuve de suffisance à l’égard de ces avatars, sous peine, dans quelques mois, de rire jaune à mon tour. Autrement dit, on n’est pas sorti de l’auberge.

[Entrée n°5] En tout cas, on peut dire que le soviet éponge.

Par défaut
Pat Kinsella - illustration intitulée "Cold War Propaganda"

Pat Kinsella – illustration intitulée « Cold War Propaganda »

La perspective d’un dimanche ensoleillé suscite toujours chez moi un fort émoi intellectuel qu’il ne me parait pas inutile de partager une fois de plus avec vous. De but en blanc, et quitte à susciter quelques irritations dominicales, rappelons que le principe d’attribution d’une attaque informatique est 1) un processus éminemment politique, 2) qui n’est pas une science exacte 3) qui répond à un but politique. Je m’égare à préciser que si ce dernier est clairement défini, c’est quand même mieux.

Le scepticisme faisant donc loi en la matière, je serais tenté de vous conseiller de moins vous attacher à croire la « voix de son maître » qu’à chercher, pour chaque déclaration officielle, les raisons, bonnes ou mauvaises, objectives ou intéressées, qui poussent un État à attribuer à tel attaquant la paternité de telle ou telle récente, mais néanmoins sympathique, quoi que parfois irritante, joyeuseté informatique.

Alors oui, je vous venir – c’est qu’on ne vous la fait pas. Le principe d’attribution répond tout de même à un processus analytique que l’on peut imaginer, au moins à l’échelle des états, suffisamment consolidé pour ne pas uniquement reposer sur le sentiment d’une poignée d’analystes aux doigts étrangement mouillés.

Manière de laisser glisser par ailleurs que l’attribution est un processus qui anime l’ensemble des différents échelons tactiques, opératifs et stratégiques, ainsi que tout un ensemble de sources, dont les différents éclairages participent à alimenter la réflexion des échelons supérieurs. On raconte d’ailleurs dans les couloirs feutrés de certains services qu’il existerait en source ouverte des grilles de lecture adéquats. Une hypothèse qui heureusement n’a jamais été étayée de faits vérifiables, au soulagement de certains traitants peu scrupuleux, mais je digresse.

Alors pourquoi évoquer le riant sujet de l’attribution en ce beau dimanche ensoleillé. Sujet que l’on sait par ailleurs générateur de frictions, en témoigne les chaleureuses passes d’armes que certains d’entre vous ont probablement constaté sur plusieurs réseaux sociaux. Une fois n’est pas coutume le facepalm, qu’il soit baroque ou indulgent, reste la norme.

Plus récemment, plusieurs articles publiés par la presse allemande ont suscité chez moi une curiosité renouvelée. De mémoire, ces extraits, accompagnés parfois d’indicateurs relativement précis sur le mode opératoire de l’attaquant : sujet de courriel malveillant, expéditeur suspect, font preuve d’un niveau de détail assez inédit. Tous ont pour dénominateur commun un document du l’Office fédéral de sécurité informatique (BSI). D’aucun serait tenté de comparer le BSI à notre ANSSI nationale, mais tout de même, messieurs, un peu de retenu

Un rapide passage par les archives de l’internet nous rappelle que d’autres services gouvernementaux allemands ont régulièrement au cours de l’année abreuvé la presse allemande d’éléments relatifs au groupe APT-28, que l’on ne présente d’ailleurs plus ici. Éléments par ailleurs souvent accompagnés d’accusations en direction de Moscou.

On raconte sur certains canapés soyeux que le BSI pourrait par ailleurs faire preuve d’une forte activité en direction des autres CERT européens, abreuvant qui le souhaite d’indicateurs de compromission (IOC). Hypothèse donc. Force est de constater, qu’étant donné le contexte actuel, personne ne s’en plaindra et c’est heureux. (Preuve au passage que le principe d’attribution n’est pas neutre)

Ces différents éléments indiquent, ou plutôt suggèrent l’hypothèse que le gouvernement allemand pourrait avoir élaborer une stratégie de communication agressive destinée  déstabiliser le groupe APT-28. Je me sens soudainement enveloppé d’un scepticisme pesant. Je vais donc m’expliquer.

En communiquant tout azimut en direction des autres organismes de sécurité occidentaux, Berlin pourrait bien obliger le groupe APT-28, par ailleurs impliqué dans d’autres opérations, à adapter son architecture d’attaque en conséquence. Une action, qui si elle est répétée en plusieurs occasions, forcera l’attaquant à consommer profusion de moyens pour maintenir son niveau d’activité. La nature étant ce qu’elle est et les Russes n’échappant pas à ce principe élémentaire, si cette stratégie fonctionne, l’activité du groupe pourrait momentanément ralentir en plusieurs endroits.

D’autre part, si l’affaire fonctionne, le principe de défense collective dans le cyberespace régulièrement mise en échec par certains de ses détracteurs les plus virulents pourrait d’une manière un peu détournée, je le concède, retrouver là une seconde jeunesse ; renforçant par la même occasion, le caractère éminemment politique du principe d’attribution. Je conclurai provisoirement sur le sujet en rappelant que le principe de défense collectif n’est pas strictement borné à la lutte informatique offensive (LIO) et qu’il y a heureusement fort à faire en matière de coopération, au sein de l’OTAN et ailleurs. En voici une nouvelle preuve.

Dans le cyber, la coopération fait la force. Je dis ça, je dis rien.

 

[Entrée n°4] Dans le doute, Meriadoc, il faut toujours suivre son flair.

Par défaut
Nick Sadek - Illustration série au profit d'un article au sujet de la cyberdéfense.

Nick Sadek – Illustration tirée d’une série au sujet de la cyberguerre. Oui, rien que ça.

Franchement, je ne dis pas ça, parce que je suis un garçon fragile, mais avouez que mettre aux enchères des outils d’attaque informatique liés à la NSA, ça ne manque tout de même pas de panache. Imaginez maintenant que les attaquants créent pour l’occasion une grossière légende, qui associe revendications fumeuses sur fond de lutte des classes et personnage de space-opéra. Avouez que l’affaire commence à prendre une tournure, pour le moins, amusante.

Derrière cette situation passablement cocasse, quelques faits qu’il me semblent pas inutile de souligner. Remarquons en premier lieu, que pour un mois de relâche – nous sommes en août que diable – l’actualité cybernétique est particulièrement dense et notamment liée à de nombreuses révélations, qui impliquent tour à tour, sans trop avoir l’air de, la Russie et les États-Unis. A la louche, parce que je suis magnanime : l’affaire du DNC, les révélations relatives au groupe Sauron, les russes qui affirment être la cible d’attaques sophistiquées et maintenant notre Shadow Broker qui semble vouloir faire trembler la NSA. Je concède ne pas être un observateur très futé, mais tout de même, avouez que cela fait beaucoup d’événements sans dénominateur commun apparent.

Par ailleurs, les revendications du Shadow Broker ne semblent pas très sérieuses. Je ne dis pas que vouloir lutter contre les nantis et le pouvoir n’est pas louable, mais la méthode dans ce cas présent manque clairement de souffle. De même, je ne dis pas non plus que le principe d’une enchère publique ne manque pas de panache, mais là aussi, il faut reconnaître que le dispositif ne sert pas d’éventuelles motivations financières. Avec moins de 1000€ en jeu à ce jour en une grosse semaine, je suis tenté de dire, que s’il s’agit d’argent, l’affaire est mal engagée. Par conséquent, il faudra le concéder, la théorie d’un groupe d’hacktivistes aux motivations politiques ne tient pas la route. Cette couverture est d’ailleurs si peu crédible, qu’elle pourrait prêter à sourire si le contexte géopolitique ne suscitait pas tant de questions.

Portrait du Shadow Broker (Mass Effect 2). Le garçon ne parait pas sympathique. On préférait que ce soit encore un coup des russes.

Portrait du Shadow Broker (Mass Effect 2). Le garçon ne parait pas sympathique. On préférait que ce soit encore un coup des russes.

D’ailleurs coïncidence rigolote qui n’en est peut être pas une. Il semblerait qu’une partie des bitcoins utilisés pour nourrir l’enchère proviendrait d’un lot saisi par le FBI dans le cadre de la fermeture du site de vente de produits illégaux, Silk Road. L’information est sans frais et mériterait d’être savamment recoupée, mais avouez que l’anecdote est cocasse.

D’autre part, l’extrait des documents partagés par l’attaquant en guise de bonne foi est passablement intriguant. Les données à caractère technique, puisqu’il s’agit d’outils et de scripts à fin de lutte informatique offensive (LIO), sont à priori à la fois inédits et légitimes, c’est à dire associés au groupe baptisé Equation Group, très fortement suspecté d’être lié à la NSA – agence dont on ne présente plus l’activité en ces murs, tant elle est connue comme le loup blanc. Outils toutefois assez anciens, car datant de 2013 pour les plus récents. Une éternité donc, mais bref, passons.

Cependant, difficile d’évaluer l’origine et les motivations de cette compromission. Les plus sensibles se laisseront à fantasmer sur une compromission interne, qui parait toutefois bien improbable, mais qui, rappelant l’affaire Snowden, pourrait servir le discours de l’attaquant. L’hypothèse d’un serveur C2 associé aux opérations de LIO de la NSA compromis par l’attaquant il y a plusieurs mois et dont les données ne seraient que publiées aujourd’hui parait plus crédible. Même s’il ne repose sur aucun fait tangible, je le crains. La thèse ne reste pas moins séduisante pour nombre d’observateurs assidus, dont je partage d’ailleurs les conclusions.

Point trop de naïveté n’en faut. Cet étrange déballage d’affaires compromettantes de chaque coté de l’Atlantique n’est probablement pas le fruit d’un fortuit alignement des planètes. Les différents éléments publiés ça et là d’un niveau de fiabilité variable suggèrent au moins une hypothèse, qui me parait pas inutile de développer, en précisant une fois de plus, même si je suis sûr que cela n’est pas nécessaire, mais grossier personnage que je suis, je me permets tout de même, qu’il s’agit d’une hypothèse sur la base de faits dont la fiabilité reste à confirmer.

Imaginons donc un instant que l’affaire du DNC ait provoqué ou tout du moins participé à créer un contexte favorable à l’engagement d’un silencieux bras de fer entre Moscou et Washington, qui se traduit :

  • Coté américain, par des tentatives de compromission du dispositif d’attaque russe, en gros les serveurs C2 utilisés dans les opérations russes en cours ;
  • Coté russe, par un renforcement de la campagne d’influence contre Washington. Opération d’influence, à priori assez complexe, destinée à obtenir de multiples effets sur différentes audience-cible, et dont, je le crains, j’ai du mal à percevoir l’effet désiré. Peut être parce que je me plante après tout.

Dans ce contexte l’affaire du Shadow Broker pourrait avoir pour objet de faire passer un message dissuasif par le canal le plus à même de déstabiliser Washington, tout en rendant, par la même occasion, une réponse officielle du gouvernement Obama plus complexe. A titre d’exemple, publier des outils d’attaque associés à la NSA rappelle, si l’était besoin, à la communauté internationale et aux citoyens américains, l’hypocrisie de l’administration américaine. Hypocrisie partagée par nombre d’États bien entendu, mais qui reste toujours un peu embarrassant d’évoquer publiquement.  Je vois là une belle exploitation des faiblesses du colosse américain, d’autant plus bienvenue, que les documents sont assez anciens. Ce qui serait maintenant assez marrant, c’est que l’on constate dans les semaines à venir l’utilisation par des groupes étatiques russes d’outils disponibles dans le leak publié par Shadow Broker.

Bon, vous l’aurez compris cette hypothèse me séduit particulièrement. Je sais, je suis un garçon facile. Quoiqu’il en soit, si l’hypothèse d’une confrontation grandissante entre les deux tours se confirme, il ne sera pas inintéressant de suivre avec un intérêt renouvelé les architectures d’attaque des groupes associés aux États-Unis et à la Russie, car je n’imagine pas un instant les États-Unis rester les bras ballants face à une éventuelle manœuvre de Moscou.

Cela dit, il semblerait toutefois que, dans cette affaire, la Russie ait pris une longueur d’avance en dictant le tempo de la manœuvre et les règles du jeu, tant il est vrai que dans le cyberespace – oui, j’ai dit cyber – est un monde de faux semblant, et que, par conséquent, la cohérence du discours prime souvent sur la réalité des faits.

A ce jeu là, on le concédera, Moscou semble remarquablement bien se démerder.

[Entrée n°3] Les cons, ça ose tout. C’est même à ça qu’on les reconnaît.

Par défaut
From Jeff Östberg to a Wired text called "warfare has changed forever now that there are no secrets".

Jeff Örtberg – Warfare has changed forever now that there are no secrets (Wired)

Je ne suis pas de nature sensible, mais la persistante routine qui consiste à infecter l’ordinateur de son voisin par message piégé a encore suscité dernièrement chez moi une ébauche de bourdonnement intellectuel, qui me semble pas inutile de partager avec vous.

Je le concède, la pèche aux cétacés n’est pas une pratique nouvelle. Cependant, deux récents événements (ici et ) ont, une fois de plus, attiré mon attention sur cette intrigante pratique, qui semble, à première vue, régner sans partage au royaume de l’infection informatique.

Parlons donc harponnage (aʀpɔn) un instant. D’abord parce que la pratique éclaire quelques principes de lutte informatique pas forcément inintéressants, parce que c’est d’actualité, et enfin parce que la technique de harponnage peut potentiellement placer chacun de nous au centre du grand échiquier cybernétique. Dès lors que l’on occupera une place clé dans la société bien entendu. Encore que. Bref. Tout un programme donc.

Ce courriel d'apparence innofensif va exposer votre modeste bécane à la curiosité moscovite (Trend Micro)

Ce courriel d’apparence inoffensif va pourtant exposer votre modeste bécane à la curiosité moscovite. (Trend Micro)

Une première remarque en préambule. Une rapide étude des dernières grandes opérations d’espionnage informatique – non, je ne dirais pas cyber, c’est un gros mot – ne laisse que peu de place au doute. A première vue, et même dans le cadre d’opérations sophistiquées impliquant l’exploitation de plusieurs vulnérabilités 0-day, ainsi que la conception de logiciels malveillants modulaires, l’utilisation de messages piégés reste la norme.

Une fois passée la stupeur causée par cette évidente révélation, le lecteur sera tenté de chercher les causes de cette domination du courriel suspect, que l’on dit pourtant contesté par plusieurs autres vecteurs, tels que le point d’eau, la clé USB ou la complicité interne – pour n’en citer que quelques uns. Que ce dernier se rassure, les explications ne manquent pas et reposent sur autant de principes, qui me semblent fondateurs en matière de lutte informatique offensive. LIO en français, les gars, LIO.

En premier lieu, tordons le cou une nouvelle fois à deux idées reçues : une attaque informatique est peu coûteuse – ça dépend, les hackers sont des complexes d’œdipe en cagoules noires et lunettes grossissantes – c’est vrai pour les lunettes, c’est faux pour la cagoule. Partons donc du principe qu’une opération d’origine étatique répond à un objectif et engage des moyens, dont le commanditaire d’origine politique, attendra un retour sur investissement. Une mission, des hommes, des moyens, un tempo.

Ce principe oblige l’attaquant à structurer son attaque et à élaborer une ligne d’action qui lui permettra d’obtenir l’effet recherché en engageant un minimum de moyens parmi ceux à sa disposition. La lutte informatique repose sur un vivier de moyens humains à la fois rares et très spécialisés. Je vous mets au défi de trouver dans votre entourage un spécialiste rétro-ingénierie qui programme en Delphi. Autrement dit, on tachera donc à ne pas gaspiller ses précieuses forces et à concentrer ses efforts sur l’effet majeur d’une attaque informatique : l’élévation de privilège à fin de prise de contrôle à distance.

Revenons donc à notre harponnage, voulez-vous. En la matière, on gagera que la technique de harponnage jouit d’un rapport coût/effet pour le moins redoutable. Plusieurs observateurs évoquent même un taux d’infection de plus de 70% pour certains groupes étatiques. Ce dernier point, associé à une remarquable flexibilité d’emploi, explique en grande partie la popularité des techniques de hameçonnage et de harponnage.

Ainsi, en fonction de ses besoins ou de ses moyens, l’attaquant aura tout loisir de privilégier une attaque en profondeur en envoyant un message ciblé, en général d’apparence légitime, à un acteur clé de l’architecture réseau visé, imaginons le DSI, ou simplement de s’orienter vers une campagne de hameçonnage sensiblement moins sophistiquée, mais qui pourra toutefois ouvrir de multiples portes, générer un bruit conséquent et perturber les mécanismes de défense de la cible. D’aucuns me feront remarquer qu’il est possible de combiner les deux. Effectivement. On aurait d’ailleurs tort de s’en priver.

Cette efficacité, que les plus modestes qualifieront de bon aloi, tient à trois principaux facteurs :

  • La domination des réseaux sociaux ou, mieux dit, l’empreinte grossissantes de nos empreintes numériques. En la matière, parait-il que Linked’In serait du bain béni pour l’apprenti attaquant. Plus généralement, l’internet est un vivier d’informations de source ouverte très facile d’accès, dont on aurait tort de sous-estimer l’apport. Duchemin évoque sa participation à un salon de Défense. Bien, construisons lui un mail d’apparence légitime au sujet de son inscription. Comment ça, déjà vu ?
  • Le mauvais (ou l’absence de) paramétrage(s) de certains serveurs de courriels, qui sont parfois, il faut le concéder, de vraies passoires.
  • La crédulité de l’utilisateur. Vous, moi. A peu près tout le monde après 18H et avant le café de 9h.
Exemple de fichier infecté (.ppt) utilisé dans le cadre de la campagne Patchwork. Pas mal pour des petits nouveaux non ?

Exemple de fichier infecté (.ppt) utilisé dans le cadre de la campagne Patchwork. Pas mal pour des petits nouveaux, non ? (Cymmetria)

Dans le milieu, il est communément admis, à raison, que le principal maillon faible de la défense est le vecteur humain, pour tout un tas de raisons qui seront, pourquoi pas, un jour l’objet d’un article. Or, ce vecteur est souvent sous-estimé, quand il n’est tout simplement pas négligé. Quand elle est menée – dans le meilleur des cas – la sensibilisation du personnel repose sur des mécanismes de culpabilisation, qui ne poussent pas le personnel, particulièrement les VIP, à réagir efficacement (et rapidement) en cas de doute.

Malheureusement, de nombreux précédents l’indiquent. Bien souvent, c’est bien la vigilance et la réactivité de l’utilisateur qui permet de lever le doute rapidement. A titre, d’exemple, certains attaquants, parmi les plus érudits, préfèrent agir en début/fin de journée. L’idée est d’attaquer quand le dispositif de sécurité est le plus fragile. Par exemple, quand le personnel dédié à la SSI est absent ou occupé ailleurs, afin de gagner de précieuses heures sur la défense. Or ces précieuses heures peuvent être suffisantes pour permettre à l’adversaire de se déplacer dans le réseau et commencer un éventuel sabotage ou une exfiltration de données. Les cinéphiles se rappelleront sans doute du passage de data-center dans la série M.Robot.

Le lecteur intrigué pourra sans doute trouver sur l’internet quelques astuces ici et là pour élever son niveau de vigilance. Pour ma part, je me contenterai de rappeler qu’il n’est jamais malvenu de faire part de ses doutes à son RSSI de quartier. D’autre part, un coup d’œil rapide sur le lien, l’origine de l’expéditeur ou l’extension en pièce jointe, associé à une petite mise en perspective du message par rapport à la politique organisationnelle de son organisme, permet d’éviter de transformer une regrettable boulette en catastrophe nationale.

En cas de doute, on ne le répétera jamais assez, il n’est jamais trop tard pour aller à confesse et ainsi donner de précieux renseignements à la défense, qui, à ne pas douter, est déjà entrain de seller ses chevaux pour partir en guerre contre l’ennemi. Vae victis, les gars, Vae victis.

[Entrée n°2] Faut pas prendre les enfants du bon Dieu pour des canards sauvages

Par défaut

On dira ce qu’on voudra, mais on ne pourra pas nier que la semaine a été sensiblement marquée par plusieurs rebondissements relatifs à l’affaire du DNC. Une forte activité informationnelle, qui me parait assez logique étant donné le contexte politique. On concédera assez aisément que la nomination de deux candidats aux élections présidentielles reste une événement relativement important pour une démocratie.

Les plus observateurs diront que je radote, mais je ne peux m’empêcher de penser que l’affaire est entrain de créer un dangereux précédent, que nous risquons bien de regretter amèrement dans quelques années. Mais point trop d’alarmisme n’en faut.

Dans cette affaire, deux événements ont particulièrement attiré mon attention. En premier lieu, remarquons une Maison-Blanche, qui surprend par son silence. On parle tout de même d’une opération qui perturbe le processus d’élection d’un pays démocratique et dont l’attribution semble de moins en moins faire de doute. Un gouvernement qui a d’ailleurs semblé faire preuve d’un peu plus d’assurance pendant l’affaire Sony, je dis ça… Certes, vous pourriez me faire remarquer, qu’il est compliqué de se positionner en période d’élection sur une affaire qui concerne directement son parti, et vous auriez raison.

Par ailleurs, la posture du candidat Trump mérite bien quelques lignes. En plus d’être franchement gonflée – remarque, je dis ça mais je ne suis même plus surpris – sa dernière saillie publique, que je vous invite à déguster plus bas, me parait extrêmement dangereuse, car laisse penser que l’ingérence d’un pays tiers dans le processus politique d’une démocratie est un événement normal, qui s’inscrit légitimement dans le paysage politique. D’ailleurs, on me glisse à l’oreillette, que Moscou ne s’est caché cette semaine de faire remarquer qu’un acteur étatique « non identifié » aurait essayé de se glisser dans ses réseaux. Avouez tout de même que le timing est amusant.

Mais point trop de digressions. La responsabilité du Kremlin dans cette opération se faisant de plus en plus évidente, quoiqu’il est encore permis d’en douter, je permets de revenir modestement, et en quelques lignes, sur la stratégie russe en matière de guerre de l’information. En quelques lignes, les gars, en quelques lignes. Pas de panique.

En préambule, difficile de ne pas remarquer, lorsque l’on observe l’activité des groupes étatiques russes (aka APT-28 et consorts), l’association régulière d’opérations d’influence à des campagnes de cyberespionnage ou de sabotage. Cette caractéristique, très révélatrice du mode opératoire russe, est un marquant inédit, qu’il ne parait pas inintéressant de mettre en perspective avec les principes de doctrines à l’origine de l’actuel appareil politico-militaire russe.

Pour Moscou, influence  – les plus vénères écriront carrément PSYOPS – et opérations offensives dans le cyberespace sont intimement mêlées. D’abord parce que, pour les théoriciens moscovites, il n’existe pas de cyberespace, du moins tel que nous l’entendons, ici, en Occident, mais un milieu informationnel constitué de l’ensemble des domaines stratégiques (terre, milieu marin etc). Pour mieux comprendre, revenons en 1999.

L’arrivée de Poutine au gouvernement a marqué un tournant dans la doctrine russe, alors caractérisée par une déliquescence que les plus pudiques d’entre nous qualifieront de flagrante. Les premières expériences en Tchétchénie, puis la Géorgie, ont servi de laboratoire à un nouveau dispositif théorique, baptisé doctrine Gerasimov ou New Generation Warfare (NGW). A ce sujet, je vous invite à lire l’excellent papier publié par l’IFRI en novembre 2015. La lecture vaut le détour.

En quelques mots et sans trop s’éloigner du sujet, la doctrine Gerasimov se caractérise par une combinaison de stratégie directe et indirecte, qui embrasse l’ensemble des principaux champs de pouvoir, tels que la diplomatie, l’économie, l’information, l’armée et j’en n’oublie sûrement d’autres. Pour Gerasimov, le domaine cognitif, autrement dit le champ des perceptions, est un centre de gravité. L’objectif de cette doctrine est donc d’obtenir la victoire en contraignant l’adversaire accepter la supériorité, notamment informationnelle, de Moscou. Et c’est là que nos APT russes reviennent au galop.

Les opérations russes dans le cyberespace ont une triple vocation : produire du renseignement actionnable au profit du Kremlin (cyberespionnage), réduire le potentiel de l’adversaire (sabotage), modifier la perception du champ de bataille de l’adversaire (influence). L’ensemble a pour objectif de dégrader les capacités décisionnelles de l’adversaire, afin, à terme, de prendre l’avantage décisionnel. Si certains ont un doute, qu’ils se rassurent. Il me semble possible de mener les trois de front, dès lors que la compromission dans un (ou des) système(s) critique(s) est consommée. En premier lieu, parce que les trois s’inscrivent dans une temporalité complémentaire : T1 puis T2 puis T3. Ensuite, parce que, jusqu’à ce jour, les opérations à priori commanditées par Moscou se sont déroulées sur un temps long, qui a donné aux opérateurs russes une confortable marge de manœuvre. Mais que ces derniers se rassurent, cela pourrait changer dans les années à venir.

Je sens qu’au fond de la salle, on s’impatiente. Quel est le rapport avec l’affaire du DNC, me direz-vous ? Les événements des dernières semaines me laissent penser que les révélations de ThreatCrowd pourraient, d’une certaine manière, servir, opportunément bien entendu, les intérêts de Moscou. Je m’explique. Révéler une compromission de cette gravité, dès lors qu’elle touche aux intérêts d’une nation, n’est pas un acte anodin. Particulièrement, lorsque l’on semble être confronté à un attaquant d’origine étatique, particulièrement s’il est russe. Nous avons vu, plus haut, pourquoi.

Plus généralement, une révélation publique de cet ordre, que ce soit par le biais d’un vecteur officiel ou par un tiers, est un acte éminemment politique, qui doit s’inscrire dans une manœuvre de contre-influence consolidée. On veillera donc, en avance de phase de préférence, à définir l’objectif, l’état final recherché et une ligne d’action pertinente. Je préfère préciser, vu que c’est pas toujours évident pour tous, même au plus haut de l’appareil de l’État. Par conséquent, on pensera, dans un second temps, à construire des éléments de langage spécifiques et une stratégie de communication cohérente, qui s’inscrit dans la trajectoire choisie – une trajectoire qui a pour objet de contrecarrer celle de l’adversaire évidemment. D’ailleurs à ce sujet, je ne peux que vous conseiller la lecture d’un excellent article du remarquable Thomas Rid, chercheur britannique de son état, que l’on ne présente plus, à l’origine, notamment, mais pas que, du modèle Q et d’un excellent article, publié en 2011, baptisé « La cyberguerre n’aura pas lieu« . Un titre qui ne s’invente pas.

Quoiqu’il en soit, l’affaire du DNC rappelle, si l’était besoin, et Dieu sait qu’on a besoin de l’entendre, que la cyberdéfense n’est pas qu’une affaire de techniciens – garçons que j’adore soit dit en passant. Les opérations russes dans le cyberespace nous rappelle cruellement, qu’in fine, il s’agit (aussi/surtout) de maîtriser le champ informationnel de l’adversaire, afin de préserver ses propres capacités de décision et prendre l’avantage. A ce titre, il faut arrêter de faire preuve de candeur et prendre en compte le champ informationnel, d’abord afin de préserver ses capacités décisionnelles, et enfin parce qu’une stratégie de contre-influence bien ficelée peut prendre à défaut le discours de l’adversaire et transformer une faiblesse en un atout au profit de sa propre manœuvre.

Non, ne dites rien. Laissez moi rêver un instant.

[Entrée n°1] Un éléphant, ça trompe énormément.

Par défaut

Les plus observateurs d’entre vous auront sans doute suivi d’un œil circonspect le feuilleton qui secoue depuis début juin le parti Démocrate américain. Pour les autres, nul besoin de se flageller, l’affaire peut être résumée en quelques lignes.

Le 15 juin dernier, CrowdStrike publiait, dans un modeste article, plusieurs commentaires sur une surprenante double compromission du Democratic National Committee [DNC]. L’entreprise de sécurité américaine révèle alors la présence sur le réseau du parti Démocrate de deux acteurs incontournables du cyberespionnage étatique connus comme le loup blanc par chez nous : APT-28/SOFACY/FANCYBEAR et APT-29/COZYBEAR/COZYDUKE. Une accusation par la suite confirmée s’il était besoin par Mandiant et Fidelis, deux pointures dans le domaine, bien que toutefois américaines jusqu’au cou. Personne n’étant parfait, ma foi.

Quelques jours plus tard, l’affaire prend un nouveau tournant, lorsque @Guccifer_2, un hacktiviste roumain versé dans l’ingénierie sociale, affirme être à l’origine de la compromission du parti Démocrate et publie dans la foulée plusieurs documents, d’apparence légitime quoiqu’à priori dérobés des réseaux du DNC. Mais laissons un instant cette intrigante partie de l’affaire. Nous aurons l’occasion de revenir plus bas sur ce dossier.

Les moins profanes d’entre nous auront probablement lu par ci par là que les deux groupes ont été attribués à de nombreuses occasions ces dernières années aux services de renseignement russes. Il n’est pas question ici de revenir sur la fiabilité de ces hypothèses, que je juge personnellement pour le moins crédibles et que d’autres ont d’ailleurs mieux étayé, ici par exemple.

Admettons donc un instant que l’ours russe se cache derrière l’opération – ce qui parait, légitime. En préambule, quelques observations. Permettons-nous de remarquer un instant qu’il ne semblerait pas, après un mois de révélations publiques, que le parti républicain n’ait été infecté tant par APT-28 qu’APT-29, d’où plusieurs hypothèses  :

  • Trump peut compter sur une équipe de cyberwarriors de haut niveau, qui lui ont permis de maintenir à distance le monstre sibérien. Que les esprits les plus républicains me pardonnent, l’hypothèse me parait peu probable.
  • Le positionnement du candidat Trump en matière de politique étrangère, notamment vis-à-vis de Poutine et si clair que les services de l’État n’ont en aucun cas besoin d’information pour permettre à Moscou d’adopter une posture efficace pour protéger ses intérêts. Meh…
  • Certains observateurs ont parfois relevé ça et là, des connivences entre Trump et le régime de Moscou. Connivences, qu’il faut bien admettre, ne semblent pas être partagées par le camp démocrate et – contexte d’élection oblige – a de quoi inquiéter Moscou. Cette troisième hypothèse parait séduisante, car donne une piste d’explication non-exhaustive concernant l’affaire du DNC. Cela dit, rien ne coûte de préciser que rien ne prouve que le parti Républicain n’ait pas été ciblé ou n’allait pas être ciblé par ces attaquants. En géopolitique après tout, l’amitié n’exclut pas le contrôle. Il est possible que les réseaux démocrates correspondaient simplement plus à la priorité du moment pour Moscou, que le parti Républicain.

Les troublantes révélations de notre Guccifer 2.0 ont au moins le mérite de susciter quelques questions. D’autant plus lorsque l’on sait que la version 1.0 est actuellement en détention aux Etats-Unis, accusée de s’être laissée tenter à farfouiller dans la boite mail privée de Mme Clinton. CrowdStrike, dans un nouvel article, faisait d’ailleurs remarquer que la version 2.0 de l’attaquant roumain témoignait d’un opportunisme (et d’un manque de conviction), qui tranche tout de même avec son parcours d’hacktiviste patenté. En même temps, on comprend le type. Un séjour dans une prison en Virginie, ça doit émousser la combativité. Pour consulter les faits d’armes de ce gentleman et se faire une première idée sur le personnage, on pourra commencer par consulter sa fiche Wikipédia.

Nous pourrions continuer à discourir sur les nombreuses questions, doutes et angoisses qui se font pressantes autour de authenticité du compte @Gucciffer2.0. Cependant, imaginons, sans trop nous forcer, qu’il s’agisse là d’une nouvelle opération d’intoxication d’un des deux groupes de cyberespionnage russe. Admettons, là aussi, sans trop de peine étant donné les faits d’arme du groupe, qu’il s’agisse d’APT-28. Que nous enseigne donc cette nouvelle opération de déception au profit du Kremlin ?

  • Bien que l’opération semble avoir été élaborée en urgence, suite à l’attention médiatique générée par CrowdStrike, et bien que l’activité du compte @Guccifer_2 ne laisse peu de doutes sur l’origine de son opérateur , il faut bien le concéder, qu’à force, sans avoir l’air de, l’opération semble prendre chez les esprits les plus crédules. D’autre part, Iil faut bien remarquer que les récentes déclarations de Wikileaks et les gesticulations du parti Démocrate n’ont pas dû aider. Reste à évaluer l’impact opérationnel in fine sur les élections américaines, ce qui ne va pas être de la tarte.
  • Bien que raillée à tort par certains, cette nouvelle expérience nous rappelle cruellement un principe pourtant bien connu du stratège militaire. Une opération réussie combine économie des moyens et concentration des effets. Très clairement, au regard de la ligne d’action constatée depuis juin 2016, il semblerait bien que l’opération Guccifer2.0 soit un bel exemple en la matière dans le domaine cyber. De quoi donner des idées. Je dis ça, je dis rien.
  • On pourra arguer tant qu’on le veut que ce type d’opération est une habitude du camp russe héritée de sa doctrine en matière de guerre de l’information. Je ne peux pas m’empêcher de penser que cette nouvelle opération de déception s’inscrit dans une manœuvre préparée/organisée/décidée/validée et n’est pas le fruit d’une expérience vaguement cocasse d’un groupe d’analystes russes en mal de sensations fortes.

Je le concède, à ce stade, beaucoup de spéculations et peu d’informations vérifiables dans cette affaire – une situation qui place l’observateur dans une position inconfortable, mais qui est, je le crains, le pain quotidien de l’adepte d’actualités cybernétiques.

Cela dit, si l’hypothèse russe se confirme, cette affaire marquera un dangereux précédent. Prouvant, s’il était besoin, qu’il est tout à fait viable et bienvenu de combiner une campagne de déstabilisation à une opération de cyberespionnage politique, en inscrivant le tout dans une logique d’économie de moyens et concentration sur les effets.

Une affaire qui appelle, à mon sens, l’intérêt, sinon la curiosité, des plus observateurs d’entre nous. Un dossier à suivre, messieurs.