[Entrée n°4] Dans le doute, Meriadoc, il faut toujours suivre son flair.

Par défaut
Nick Sadek - Illustration série au profit d'un article au sujet de la cyberdéfense.

Nick Sadek – Illustration tirée d’une série au sujet de la cyberguerre. Oui, rien que ça.

Franchement, je ne dis pas ça, parce que je suis un garçon fragile, mais avouez que mettre aux enchères des outils d’attaque informatique liés à la NSA, ça ne manque tout de même pas de panache. Imaginez maintenant que les attaquants créent pour l’occasion une grossière légende, qui associe revendications fumeuses sur fond de lutte des classes et personnage de space-opéra. Avouez que l’affaire commence à prendre une tournure, pour le moins, amusante.

Derrière cette situation passablement cocasse, quelques faits qu’il me semblent pas inutile de souligner. Remarquons en premier lieu, que pour un mois de relâche – nous sommes en août que diable – l’actualité cybernétique est particulièrement dense et notamment liée à de nombreuses révélations, qui impliquent tour à tour, sans trop avoir l’air de, la Russie et les États-Unis. A la louche, parce que je suis magnanime : l’affaire du DNC, les révélations relatives au groupe Sauron, les russes qui affirment être la cible d’attaques sophistiquées et maintenant notre Shadow Broker qui semble vouloir faire trembler la NSA. Je concède ne pas être un observateur très futé, mais tout de même, avouez que cela fait beaucoup d’événements sans dénominateur commun apparent.

Par ailleurs, les revendications du Shadow Broker ne semblent pas très sérieuses. Je ne dis pas que vouloir lutter contre les nantis et le pouvoir n’est pas louable, mais la méthode dans ce cas présent manque clairement de souffle. De même, je ne dis pas non plus que le principe d’une enchère publique ne manque pas de panache, mais là aussi, il faut reconnaître que le dispositif ne sert pas d’éventuelles motivations financières. Avec moins de 1000€ en jeu à ce jour en une grosse semaine, je suis tenté de dire, que s’il s’agit d’argent, l’affaire est mal engagée. Par conséquent, il faudra le concéder, la théorie d’un groupe d’hacktivistes aux motivations politiques ne tient pas la route. Cette couverture est d’ailleurs si peu crédible, qu’elle pourrait prêter à sourire si le contexte géopolitique ne suscitait pas tant de questions.

Portrait du Shadow Broker (Mass Effect 2). Le garçon ne parait pas sympathique. On préférait que ce soit encore un coup des russes.

Portrait du Shadow Broker (Mass Effect 2). Le garçon ne parait pas sympathique. On préférait que ce soit encore un coup des russes.

D’ailleurs coïncidence rigolote qui n’en est peut être pas une. Il semblerait qu’une partie des bitcoins utilisés pour nourrir l’enchère proviendrait d’un lot saisi par le FBI dans le cadre de la fermeture du site de vente de produits illégaux, Silk Road. L’information est sans frais et mériterait d’être savamment recoupée, mais avouez que l’anecdote est cocasse.

D’autre part, l’extrait des documents partagés par l’attaquant en guise de bonne foi est passablement intriguant. Les données à caractère technique, puisqu’il s’agit d’outils et de scripts à fin de lutte informatique offensive (LIO), sont à priori à la fois inédits et légitimes, c’est à dire associés au groupe baptisé Equation Group, très fortement suspecté d’être lié à la NSA – agence dont on ne présente plus l’activité en ces murs, tant elle est connue comme le loup blanc. Outils toutefois assez anciens, car datant de 2013 pour les plus récents. Une éternité donc, mais bref, passons.

Cependant, difficile d’évaluer l’origine et les motivations de cette compromission. Les plus sensibles se laisseront à fantasmer sur une compromission interne, qui parait toutefois bien improbable, mais qui, rappelant l’affaire Snowden, pourrait servir le discours de l’attaquant. L’hypothèse d’un serveur C2 associé aux opérations de LIO de la NSA compromis par l’attaquant il y a plusieurs mois et dont les données ne seraient que publiées aujourd’hui parait plus crédible. Même s’il ne repose sur aucun fait tangible, je le crains. La thèse ne reste pas moins séduisante pour nombre d’observateurs assidus, dont je partage d’ailleurs les conclusions.

Point trop de naïveté n’en faut. Cet étrange déballage d’affaires compromettantes de chaque coté de l’Atlantique n’est probablement pas le fruit d’un fortuit alignement des planètes. Les différents éléments publiés ça et là d’un niveau de fiabilité variable suggèrent au moins une hypothèse, qui me parait pas inutile de développer, en précisant une fois de plus, même si je suis sûr que cela n’est pas nécessaire, mais grossier personnage que je suis, je me permets tout de même, qu’il s’agit d’une hypothèse sur la base de faits dont la fiabilité reste à confirmer.

Imaginons donc un instant que l’affaire du DNC ait provoqué ou tout du moins participé à créer un contexte favorable à l’engagement d’un silencieux bras de fer entre Moscou et Washington, qui se traduit :

  • Coté américain, par des tentatives de compromission du dispositif d’attaque russe, en gros les serveurs C2 utilisés dans les opérations russes en cours ;
  • Coté russe, par un renforcement de la campagne d’influence contre Washington. Opération d’influence, à priori assez complexe, destinée à obtenir de multiples effets sur différentes audience-cible, et dont, je le crains, j’ai du mal à percevoir l’effet désiré. Peut être parce que je me plante après tout.

Dans ce contexte l’affaire du Shadow Broker pourrait avoir pour objet de faire passer un message dissuasif par le canal le plus à même de déstabiliser Washington, tout en rendant, par la même occasion, une réponse officielle du gouvernement Obama plus complexe. A titre d’exemple, publier des outils d’attaque associés à la NSA rappelle, si l’était besoin, à la communauté internationale et aux citoyens américains, l’hypocrisie de l’administration américaine. Hypocrisie partagée par nombre d’États bien entendu, mais qui reste toujours un peu embarrassant d’évoquer publiquement.  Je vois là une belle exploitation des faiblesses du colosse américain, d’autant plus bienvenue, que les documents sont assez anciens. Ce qui serait maintenant assez marrant, c’est que l’on constate dans les semaines à venir l’utilisation par des groupes étatiques russes d’outils disponibles dans le leak publié par Shadow Broker.

Bon, vous l’aurez compris cette hypothèse me séduit particulièrement. Je sais, je suis un garçon facile. Quoiqu’il en soit, si l’hypothèse d’une confrontation grandissante entre les deux tours se confirme, il ne sera pas inintéressant de suivre avec un intérêt renouvelé les architectures d’attaque des groupes associés aux États-Unis et à la Russie, car je n’imagine pas un instant les États-Unis rester les bras ballants face à une éventuelle manœuvre de Moscou.

Cela dit, il semblerait toutefois que, dans cette affaire, la Russie ait pris une longueur d’avance en dictant le tempo de la manœuvre et les règles du jeu, tant il est vrai que dans le cyberespace – oui, j’ai dit cyber – est un monde de faux semblant, et que, par conséquent, la cohérence du discours prime souvent sur la réalité des faits.

A ce jeu là, on le concédera, Moscou semble remarquablement bien se démerder.

[Entrée n°1] Un éléphant, ça trompe énormément.

Par défaut

Les plus observateurs d’entre vous auront sans doute suivi d’un œil circonspect le feuilleton qui secoue depuis début juin le parti Démocrate américain. Pour les autres, nul besoin de se flageller, l’affaire peut être résumée en quelques lignes.

Le 15 juin dernier, CrowdStrike publiait, dans un modeste article, plusieurs commentaires sur une surprenante double compromission du Democratic National Committee [DNC]. L’entreprise de sécurité américaine révèle alors la présence sur le réseau du parti Démocrate de deux acteurs incontournables du cyberespionnage étatique connus comme le loup blanc par chez nous : APT-28/SOFACY/FANCYBEAR et APT-29/COZYBEAR/COZYDUKE. Une accusation par la suite confirmée s’il était besoin par Mandiant et Fidelis, deux pointures dans le domaine, bien que toutefois américaines jusqu’au cou. Personne n’étant parfait, ma foi.

Quelques jours plus tard, l’affaire prend un nouveau tournant, lorsque @Guccifer_2, un hacktiviste roumain versé dans l’ingénierie sociale, affirme être à l’origine de la compromission du parti Démocrate et publie dans la foulée plusieurs documents, d’apparence légitime quoiqu’à priori dérobés des réseaux du DNC. Mais laissons un instant cette intrigante partie de l’affaire. Nous aurons l’occasion de revenir plus bas sur ce dossier.

Les moins profanes d’entre nous auront probablement lu par ci par là que les deux groupes ont été attribués à de nombreuses occasions ces dernières années aux services de renseignement russes. Il n’est pas question ici de revenir sur la fiabilité de ces hypothèses, que je juge personnellement pour le moins crédibles et que d’autres ont d’ailleurs mieux étayé, ici par exemple.

Admettons donc un instant que l’ours russe se cache derrière l’opération – ce qui parait, légitime. En préambule, quelques observations. Permettons-nous de remarquer un instant qu’il ne semblerait pas, après un mois de révélations publiques, que le parti républicain n’ait été infecté tant par APT-28 qu’APT-29, d’où plusieurs hypothèses  :

  • Trump peut compter sur une équipe de cyberwarriors de haut niveau, qui lui ont permis de maintenir à distance le monstre sibérien. Que les esprits les plus républicains me pardonnent, l’hypothèse me parait peu probable.
  • Le positionnement du candidat Trump en matière de politique étrangère, notamment vis-à-vis de Poutine et si clair que les services de l’État n’ont en aucun cas besoin d’information pour permettre à Moscou d’adopter une posture efficace pour protéger ses intérêts. Meh…
  • Certains observateurs ont parfois relevé ça et là, des connivences entre Trump et le régime de Moscou. Connivences, qu’il faut bien admettre, ne semblent pas être partagées par le camp démocrate et – contexte d’élection oblige – a de quoi inquiéter Moscou. Cette troisième hypothèse parait séduisante, car donne une piste d’explication non-exhaustive concernant l’affaire du DNC. Cela dit, rien ne coûte de préciser que rien ne prouve que le parti Républicain n’ait pas été ciblé ou n’allait pas être ciblé par ces attaquants. En géopolitique après tout, l’amitié n’exclut pas le contrôle. Il est possible que les réseaux démocrates correspondaient simplement plus à la priorité du moment pour Moscou, que le parti Républicain.

Les troublantes révélations de notre Guccifer 2.0 ont au moins le mérite de susciter quelques questions. D’autant plus lorsque l’on sait que la version 1.0 est actuellement en détention aux Etats-Unis, accusée de s’être laissée tenter à farfouiller dans la boite mail privée de Mme Clinton. CrowdStrike, dans un nouvel article, faisait d’ailleurs remarquer que la version 2.0 de l’attaquant roumain témoignait d’un opportunisme (et d’un manque de conviction), qui tranche tout de même avec son parcours d’hacktiviste patenté. En même temps, on comprend le type. Un séjour dans une prison en Virginie, ça doit émousser la combativité. Pour consulter les faits d’armes de ce gentleman et se faire une première idée sur le personnage, on pourra commencer par consulter sa fiche Wikipédia.

Nous pourrions continuer à discourir sur les nombreuses questions, doutes et angoisses qui se font pressantes autour de authenticité du compte @Gucciffer2.0. Cependant, imaginons, sans trop nous forcer, qu’il s’agisse là d’une nouvelle opération d’intoxication d’un des deux groupes de cyberespionnage russe. Admettons, là aussi, sans trop de peine étant donné les faits d’arme du groupe, qu’il s’agisse d’APT-28. Que nous enseigne donc cette nouvelle opération de déception au profit du Kremlin ?

  • Bien que l’opération semble avoir été élaborée en urgence, suite à l’attention médiatique générée par CrowdStrike, et bien que l’activité du compte @Guccifer_2 ne laisse peu de doutes sur l’origine de son opérateur , il faut bien le concéder, qu’à force, sans avoir l’air de, l’opération semble prendre chez les esprits les plus crédules. D’autre part, Iil faut bien remarquer que les récentes déclarations de Wikileaks et les gesticulations du parti Démocrate n’ont pas dû aider. Reste à évaluer l’impact opérationnel in fine sur les élections américaines, ce qui ne va pas être de la tarte.
  • Bien que raillée à tort par certains, cette nouvelle expérience nous rappelle cruellement un principe pourtant bien connu du stratège militaire. Une opération réussie combine économie des moyens et concentration des effets. Très clairement, au regard de la ligne d’action constatée depuis juin 2016, il semblerait bien que l’opération Guccifer2.0 soit un bel exemple en la matière dans le domaine cyber. De quoi donner des idées. Je dis ça, je dis rien.
  • On pourra arguer tant qu’on le veut que ce type d’opération est une habitude du camp russe héritée de sa doctrine en matière de guerre de l’information. Je ne peux pas m’empêcher de penser que cette nouvelle opération de déception s’inscrit dans une manœuvre préparée/organisée/décidée/validée et n’est pas le fruit d’une expérience vaguement cocasse d’un groupe d’analystes russes en mal de sensations fortes.

Je le concède, à ce stade, beaucoup de spéculations et peu d’informations vérifiables dans cette affaire – une situation qui place l’observateur dans une position inconfortable, mais qui est, je le crains, le pain quotidien de l’adepte d’actualités cybernétiques.

Cela dit, si l’hypothèse russe se confirme, cette affaire marquera un dangereux précédent. Prouvant, s’il était besoin, qu’il est tout à fait viable et bienvenu de combiner une campagne de déstabilisation à une opération de cyberespionnage politique, en inscrivant le tout dans une logique d’économie de moyens et concentration sur les effets.

Une affaire qui appelle, à mon sens, l’intérêt, sinon la curiosité, des plus observateurs d’entre nous. Un dossier à suivre, messieurs.