[Entrée n°8] Si vous ne savez pas mentir, va falloir apprendre mon vieux. C’est la base du métier.

Par défaut

Intrigante illustration intitulée « La guerre par tout les moyens« , où l’on comprend habilement, qu’une inoffensive clé USB en forme de bombe, peut servir les sombres desseins de l’Empire. Tirée de la collection « Politische Plakate » du talentueux Wyn T.

Les révélations de Wikileaks suscitent chez moi toujours un certain émoi, car sont, trop souvent, la promesse d’une semaine tourmentée, où il faudra redoubler d’ingéniosité et de pédagogie pour démêler le vrai du faux, calmer les fantasmes de certains et essayer de tirer partie d’éventuelles informations avant l’adversaire. Les 8,761 dossiers concernant le Center for Cyber Intelligence (CIA/CCI) n’ont, une fois de plus, pas fait exception. Revenons, voulez-vous, sur cette amusante affaire #Vault7. Oui, les révélations s’appellent #Vault7. Elles sont importantes nous dit Wikileaks, elles ont donc un nom.

J’attire l’attention de l’habile lecteur sur les commentaires qui seront formulés dans cet article. Ces derniers étant rédigés quelques jours après la première série de révélations, baptisée Year Zero, plusieurs de mes appréciations pourraient perdre de leur pertinence au cours des prochaines publications. Wikileaks nous en ayant promis des tas d’autres. Le vertige me saisit.

Dans son communiqué de presse, l’ONG souligne l’importance de la trouvaille en présentant les archives comme une « collection d’outils prêts à l’emploi [This extraordinary collection, which amounts to more than several hundred million lines of code, gives its possessor the entire hacking capacity of the CIA] (!), qui aurait circulé librement au sein d’un premier cercle de confiance, notamment constitué de prestataires privés« . Certes, le communiqué de presse évoque aussi une archive, qui aurait été dérobée sur un réseau classifié de Langley. On ne sait donc déjà plus à quel saint se vouer, mais passons.

Malgré l’effet d’annonce, la colossale archive ne présente, à priori, pas vraiment d’intérêt d’un point de vue opérationnel. Les quelques outils présents sont souvent disponibles en source ouverte ou ne présentent pas d’intérêt immédiat. Pas non plus d’exploits qui nécessiteraient de contre-mesures d’urgence. Seule une étude longue et minutieuse permettra peut-être de tirer parti de quelques lignes de code ou de certains commentaires de praticiens trouvés ça et là.

Certes, au détour de ce qui semblait qu’un wiki de travail, on apprend que la CIA a développé des moyens de lutte informatique offensive (LIO) ciblés de très bon niveau, ce qui ne devrait surprendre personne et éventuellement rassurer les plus sceptiques d’entre nous sur les capacités de la CIA. On apprend, pèle-mêle, qu’à l’instar de n’importe quel service de renseignement national, la CIA cherche, entre autre, à maquiller ses opérations offensives (false flag) et travaille en étroite collaboration avec les plus éminentes universités américaines. Croustillant, mais rien de concret. Retour à la case départ.

Pire, Wikileaks assure avoir déjà pris contact avec certains fabricants pour les aider à corriger les vulnérabilités qui se trouveraient dans les archives #Vault7, mais étant donné le manque de transparence du dispositif, rien n’assure le citoyen prévenant que les failles seront corrigées – si tenté qu’elles existeraient, mais trêve de mauvaise foi. Le praticien lui est condamné à attendre un hypothétique Patch Tuesday. Comme dans le vraie vie quoi.

Pour la petite histoire, je suis personnellement plus inquiet par les multiples vulnérabilités découvertes cette semaine sur le framework Apache Struts (CVE-2017-5638), qui permettent de l’exploitation de code à distance. Ces dernières, en plus d’être d’une criticité remarquable, sont facilement exploitables à partir de scripts dont la mise en œuvre est de niveau Brevet des collèges. Au premier comptage, des milliers de serveurs seraient concernés. Certains racontent que la grande moisson aurait déjà commencé. Comme quoi.

L’affaire #Vault7 n’est cependant pas complétement dénuée d’intérêt opérationnel. Un rapide coup d’œil sur le contexte national et international, ainsi que sur l’environnement informationnel relatif à l’affaire devrait laisser, plus d’un, songeur.

Premier remarque, l’affaire fait suite à une actualité post-élection US très tendue, sur fond de confrontation entre Moscou et la communauté de renseignement américaine. Tensions qui ont été notamment très marquées entre l’administration Trump et le bureau du DNI en janvier 2017.

D’autre part, l’affaire #Vault7 vise clairement à saper la légitimité de la communauté de renseignement américaine, et pas seulement la CIA. Le communiqué de presse de Wikileaks à ce sujet est une mine d’or. Cette posture de Wikileaks, qui n’a rien d’inédit il faut le concéder, vient directement / indirectement (à vous de juger) soutenir la rhétorique de Moscou, laissant penser que finalement la CIA est bien mal placée pour reprocher l’interférence russe dans les élections américaine, puisque cette dernière aurait, à titre d’illustration, fait la même chose en France en 2012. À l’approche des élections françaises, l’allusion est d’ailleurs amusante.

Enfin on ne peut s’empêcher de remarquer que, contrairement à l’affaire Snowden, les primo-diffuseurs n’ont pas été des médias traditionnels coutumiers de ce genre de révélations, tels que le Spiegel, The Intercept ou encore le Washington Post, mais deux médias russes anglophones, RT et Sputnik, notoirement connus pour être très proches des intérêts de Moscou – alerte euphémisme. De même, lorsque l’on connait le rôle très trouble joué par Wikileaks dans le cadre des fuites consécutifs à la compromission du réseau du DNC en 2017, la coïncidence laisse songeur. J’entends à l’oreillette que cette affaire n’est d’ailleurs pas sans rappeler non plus l’affaire Shadow Brokers, dont on suspecte aussi une possible implication du Kremlin.

En conclusion, on aurait tort de ne pas s’interroger sur la raison d’être de cette affaire – et pas seulement sur son soit-disant contenu inédit. #Vault7 ne sert pas seulement les intérêts de Wikileaks, mais joue très certainement un rôle dans un grand échiquier mondial, que l’on aurait tort de ne pas mettre en perspective avec l’actualité russe.

Une humble invitation à la méditation autour d’un bon café, si vous voulez mon avis.

[Entrée n°6] Il joue de l’harmonica, mais il joue aussi de la gâchette.

Par défaut
sub

Amusante illustration intitulée « The Russians are coming » par Ryan Murray. Félicitation à celle ou à celui qui identifiera le paisible classe Akoula qui s’égaye en arrière plan entre les thons rouges.

Ce n’est pas une question de physique, sachez-le, mais je suis de ceux qui préfèrent les plaisanteries courtes. Récemment, d’autres, tels que les opérateurs de l’intriguant groupe ShadowBroker, semblent avoir fait le choix contraire avec un certains succès que l’on ne peut pas nier. Si l’affaire du ShadowBroker ou les déboires de l’Equation Group ne suscitent chez vous que de vagues réminiscences, je vous laisse quelques éléments ça et pour vous rafraîchir la mémoire. Pour les autres, essayons de tirer quelques enseignements à la lumière des événements qui se sont produits samedi dernier.

A ce sujet, les mieux informés d’entre vous auront peut être déjà consulté le nouveau pamphlet publié par le riant ShadowBroker samedi à une heure où l’aube colore à peine les baies serveur et que les claviers sont encore couverts d’une fraîche rosée printanière. La déclaration disponible ici laisse songeur. Dans un style qui ferait passer Borat pour un écrivain britannique, les auteurs du texte se plaignent du manque d’intérêt que suscite leur vente aux enchères, plafonnée au moment de la rédaction de cet article à environ 937€. Ce qui pèse pas bien lourd, on le concédera.

Évidemment, difficile donc de ne pas comprendre le désarroi de ces âmes en peine. Il faut dire que personne ne semble assez dupe pour investir dans une grossière transaction qui laisse franchement penser qu’elle ne sert qu’à masquer les réelles intentions du groupe à l’origine de cette amusante légende.

Par facilité, suggérons, non sans fondement, que l’affaire du ShadowBroker est une opération d’influence, au même titre que Guccifer 2.0 et les bondissants hacktivistes du groupe Fancy Bear. Pseudonyme qui prête d’ailleurs franchement à sourire lorsque l’on sait que le nom est par ailleurs attribué à un groupe d’espionnage étatique d’origine russe, baptisé APT-28. Cocasse, mais bref, passons. On serait tenté de se moquer de la portée de ces opérations, parfois jugées grossières et sans effets clairement mesurables. A mon sens, il s’agit d’une erreur.

Ces différentes opérations d’influence sont loin d’être grossières et témoignent d’une sophistication croissante qui ne fait plus aucun doute. D’aucuns seraient tentés de dire que c’est en forgeant que l’on devient forgeron, mais puisqu’il s’agit d’un évident lieu commun, je n’en ferais rien. De la dignité que diable. Il y a des légendes qui meurent là bas.

Première remarque, les opérateurs à l’origine de ces opérations témoignent d’une compréhension du contexte culturel et politique de l’audience-cible qui force le respect. Que ce soit dans le cas de Guccifer 2.0 ou de Fancy Bear, les différentes légendes sont élaborées à partir de lieux communs connus, compris et largement admis par l’Internet. Autrement dit, ces avatars sont à première vu globalement crédibles et tombent de moins en moins à coté – ce qui est déjà quelque part un tour de force. Un respect de la norme qui participe largement à la réussite de l’opération et que je serais tenté d’appeler principe de crédibilité (1).

A cela, il faut remarquer l’excellente maîtrise du principe de viralité (2). On notera à titre d’exemple que chaque compte Twitter en charge de la légende s’abonne immédiatement à de grands comptes de média actifs sur l’audience-cible. On pourra aussi arguer à juste titre que nos légendes ne manquent pas d’originalité pour attirer l’attention, que ce soit en participant à des conférences sur le sujet ou bien en répondant volontiers aux demandes d’interviews. Ben voyons. Évidemment, chacune s’inscrive dans une actualité brûlante, ce qui a pour objet de susciter des réactions et donc de l’intérêt.

Deuxième remarque, malgré le scepticisme général d’une poignée d’experts et les différentes critiques émises à l’encontre de ces légendes, les opérateurs continuent à animer chacun d’entre elle avec un zèle qui rappelle les plus belles heures de la Grande Russie. Chacune de ces animations s’inscrivent dans une ligne d’action personnalisée, pour le moins sophistiquée qui facilite leur intégration au sein de l’audience-cible, ce qui paradoxalement participe, à la fois à renforcer chacune des légendes, tout en brouillant les pistes. Si pour le sceptique, le caractère artificiel de ces avatars ne fait pas de doute, pour le autres, c’est à dire 90% de l’audience-cible, la limite devient de plus en plus floue avec le temps, perturbant les repères de chacun. Ce troisième principe pourrait bien être appelé principe de persistance (3).

D’autre part, il faut bien souligner les formidables capacités d’adaptation des équipes en charge de ces opérations de déception. Capacités d’adaptation qui n’en sont peut être pas d’ailleurs, car rien ne permet de dire qu’un volet influence n’est pas systématiquement mise en œuvre à chaque campagne d’espionnage. Sait-on jamais. Capacités qui, associées à une parfaite maîtrise des trois principes présentés plus haut, produisent des résultats pour le moins encourageant.

Quoiqu’il en soit, il est probable que les équipes en charge de ces animations montent en compétence au fil du temps, obtiennent de nouveaux moyens, linguistiques notamment, et bien sûr, gagnent de l’expérience, ce qui va sans doute participer à renforcer la crédibilité à la fois des opérations en cours et des futures que nous risquons bien de peiner à identifier comme telles.

Je serais donc tenté de ne pas faire preuve de suffisance à l’égard de ces avatars, sous peine, dans quelques mois, de rire jaune à mon tour. Autrement dit, on n’est pas sorti de l’auberge.

[Entrée n°4] Dans le doute, Meriadoc, il faut toujours suivre son flair.

Par défaut
Nick Sadek - Illustration série au profit d'un article au sujet de la cyberdéfense.

Nick Sadek – Illustration tirée d’une série au sujet de la cyberguerre. Oui, rien que ça.

Franchement, je ne dis pas ça, parce que je suis un garçon fragile, mais avouez que mettre aux enchères des outils d’attaque informatique liés à la NSA, ça ne manque tout de même pas de panache. Imaginez maintenant que les attaquants créent pour l’occasion une grossière légende, qui associe revendications fumeuses sur fond de lutte des classes et personnage de space-opéra. Avouez que l’affaire commence à prendre une tournure, pour le moins, amusante.

Derrière cette situation passablement cocasse, quelques faits qu’il me semblent pas inutile de souligner. Remarquons en premier lieu, que pour un mois de relâche – nous sommes en août que diable – l’actualité cybernétique est particulièrement dense et notamment liée à de nombreuses révélations, qui impliquent tour à tour, sans trop avoir l’air de, la Russie et les États-Unis. A la louche, parce que je suis magnanime : l’affaire du DNC, les révélations relatives au groupe Sauron, les russes qui affirment être la cible d’attaques sophistiquées et maintenant notre Shadow Broker qui semble vouloir faire trembler la NSA. Je concède ne pas être un observateur très futé, mais tout de même, avouez que cela fait beaucoup d’événements sans dénominateur commun apparent.

Par ailleurs, les revendications du Shadow Broker ne semblent pas très sérieuses. Je ne dis pas que vouloir lutter contre les nantis et le pouvoir n’est pas louable, mais la méthode dans ce cas présent manque clairement de souffle. De même, je ne dis pas non plus que le principe d’une enchère publique ne manque pas de panache, mais là aussi, il faut reconnaître que le dispositif ne sert pas d’éventuelles motivations financières. Avec moins de 1000€ en jeu à ce jour en une grosse semaine, je suis tenté de dire, que s’il s’agit d’argent, l’affaire est mal engagée. Par conséquent, il faudra le concéder, la théorie d’un groupe d’hacktivistes aux motivations politiques ne tient pas la route. Cette couverture est d’ailleurs si peu crédible, qu’elle pourrait prêter à sourire si le contexte géopolitique ne suscitait pas tant de questions.

Portrait du Shadow Broker (Mass Effect 2). Le garçon ne parait pas sympathique. On préférait que ce soit encore un coup des russes.

Portrait du Shadow Broker (Mass Effect 2). Le garçon ne parait pas sympathique. On préférait que ce soit encore un coup des russes.

D’ailleurs coïncidence rigolote qui n’en est peut être pas une. Il semblerait qu’une partie des bitcoins utilisés pour nourrir l’enchère proviendrait d’un lot saisi par le FBI dans le cadre de la fermeture du site de vente de produits illégaux, Silk Road. L’information est sans frais et mériterait d’être savamment recoupée, mais avouez que l’anecdote est cocasse.

D’autre part, l’extrait des documents partagés par l’attaquant en guise de bonne foi est passablement intriguant. Les données à caractère technique, puisqu’il s’agit d’outils et de scripts à fin de lutte informatique offensive (LIO), sont à priori à la fois inédits et légitimes, c’est à dire associés au groupe baptisé Equation Group, très fortement suspecté d’être lié à la NSA – agence dont on ne présente plus l’activité en ces murs, tant elle est connue comme le loup blanc. Outils toutefois assez anciens, car datant de 2013 pour les plus récents. Une éternité donc, mais bref, passons.

Cependant, difficile d’évaluer l’origine et les motivations de cette compromission. Les plus sensibles se laisseront à fantasmer sur une compromission interne, qui parait toutefois bien improbable, mais qui, rappelant l’affaire Snowden, pourrait servir le discours de l’attaquant. L’hypothèse d’un serveur C2 associé aux opérations de LIO de la NSA compromis par l’attaquant il y a plusieurs mois et dont les données ne seraient que publiées aujourd’hui parait plus crédible. Même s’il ne repose sur aucun fait tangible, je le crains. La thèse ne reste pas moins séduisante pour nombre d’observateurs assidus, dont je partage d’ailleurs les conclusions.

Point trop de naïveté n’en faut. Cet étrange déballage d’affaires compromettantes de chaque coté de l’Atlantique n’est probablement pas le fruit d’un fortuit alignement des planètes. Les différents éléments publiés ça et là d’un niveau de fiabilité variable suggèrent au moins une hypothèse, qui me parait pas inutile de développer, en précisant une fois de plus, même si je suis sûr que cela n’est pas nécessaire, mais grossier personnage que je suis, je me permets tout de même, qu’il s’agit d’une hypothèse sur la base de faits dont la fiabilité reste à confirmer.

Imaginons donc un instant que l’affaire du DNC ait provoqué ou tout du moins participé à créer un contexte favorable à l’engagement d’un silencieux bras de fer entre Moscou et Washington, qui se traduit :

  • Coté américain, par des tentatives de compromission du dispositif d’attaque russe, en gros les serveurs C2 utilisés dans les opérations russes en cours ;
  • Coté russe, par un renforcement de la campagne d’influence contre Washington. Opération d’influence, à priori assez complexe, destinée à obtenir de multiples effets sur différentes audience-cible, et dont, je le crains, j’ai du mal à percevoir l’effet désiré. Peut être parce que je me plante après tout.

Dans ce contexte l’affaire du Shadow Broker pourrait avoir pour objet de faire passer un message dissuasif par le canal le plus à même de déstabiliser Washington, tout en rendant, par la même occasion, une réponse officielle du gouvernement Obama plus complexe. A titre d’exemple, publier des outils d’attaque associés à la NSA rappelle, si l’était besoin, à la communauté internationale et aux citoyens américains, l’hypocrisie de l’administration américaine. Hypocrisie partagée par nombre d’États bien entendu, mais qui reste toujours un peu embarrassant d’évoquer publiquement.  Je vois là une belle exploitation des faiblesses du colosse américain, d’autant plus bienvenue, que les documents sont assez anciens. Ce qui serait maintenant assez marrant, c’est que l’on constate dans les semaines à venir l’utilisation par des groupes étatiques russes d’outils disponibles dans le leak publié par Shadow Broker.

Bon, vous l’aurez compris cette hypothèse me séduit particulièrement. Je sais, je suis un garçon facile. Quoiqu’il en soit, si l’hypothèse d’une confrontation grandissante entre les deux tours se confirme, il ne sera pas inintéressant de suivre avec un intérêt renouvelé les architectures d’attaque des groupes associés aux États-Unis et à la Russie, car je n’imagine pas un instant les États-Unis rester les bras ballants face à une éventuelle manœuvre de Moscou.

Cela dit, il semblerait toutefois que, dans cette affaire, la Russie ait pris une longueur d’avance en dictant le tempo de la manœuvre et les règles du jeu, tant il est vrai que dans le cyberespace – oui, j’ai dit cyber – est un monde de faux semblant, et que, par conséquent, la cohérence du discours prime souvent sur la réalité des faits.

A ce jeu là, on le concédera, Moscou semble remarquablement bien se démerder.