[Entrée n°5] En tout cas, on peut dire que le soviet éponge.

Par défaut
Pat Kinsella - illustration intitulée "Cold War Propaganda"

Pat Kinsella – illustration intitulée « Cold War Propaganda »

La perspective d’un dimanche ensoleillé suscite toujours chez moi un fort émoi intellectuel qu’il ne me parait pas inutile de partager une fois de plus avec vous. De but en blanc, et quitte à susciter quelques irritations dominicales, rappelons que le principe d’attribution d’une attaque informatique est 1) un processus éminemment politique, 2) qui n’est pas une science exacte 3) qui répond à un but politique. Je m’égare à préciser que si ce dernier est clairement défini, c’est quand même mieux.

Le scepticisme faisant donc loi en la matière, je serais tenté de vous conseiller de moins vous attacher à croire la « voix de son maître » qu’à chercher, pour chaque déclaration officielle, les raisons, bonnes ou mauvaises, objectives ou intéressées, qui poussent un État à attribuer à tel attaquant la paternité de telle ou telle récente, mais néanmoins sympathique, quoi que parfois irritante, joyeuseté informatique.

Alors oui, je vous venir – c’est qu’on ne vous la fait pas. Le principe d’attribution répond tout de même à un processus analytique que l’on peut imaginer, au moins à l’échelle des états, suffisamment consolidé pour ne pas uniquement reposer sur le sentiment d’une poignée d’analystes aux doigts étrangement mouillés.

Manière de laisser glisser par ailleurs que l’attribution est un processus qui anime l’ensemble des différents échelons tactiques, opératifs et stratégiques, ainsi que tout un ensemble de sources, dont les différents éclairages participent à alimenter la réflexion des échelons supérieurs. On raconte d’ailleurs dans les couloirs feutrés de certains services qu’il existerait en source ouverte des grilles de lecture adéquats. Une hypothèse qui heureusement n’a jamais été étayée de faits vérifiables, au soulagement de certains traitants peu scrupuleux, mais je digresse.

Alors pourquoi évoquer le riant sujet de l’attribution en ce beau dimanche ensoleillé. Sujet que l’on sait par ailleurs générateur de frictions, en témoigne les chaleureuses passes d’armes que certains d’entre vous ont probablement constaté sur plusieurs réseaux sociaux. Une fois n’est pas coutume le facepalm, qu’il soit baroque ou indulgent, reste la norme.

Plus récemment, plusieurs articles publiés par la presse allemande ont suscité chez moi une curiosité renouvelée. De mémoire, ces extraits, accompagnés parfois d’indicateurs relativement précis sur le mode opératoire de l’attaquant : sujet de courriel malveillant, expéditeur suspect, font preuve d’un niveau de détail assez inédit. Tous ont pour dénominateur commun un document du l’Office fédéral de sécurité informatique (BSI). D’aucun serait tenté de comparer le BSI à notre ANSSI nationale, mais tout de même, messieurs, un peu de retenu

Un rapide passage par les archives de l’internet nous rappelle que d’autres services gouvernementaux allemands ont régulièrement au cours de l’année abreuvé la presse allemande d’éléments relatifs au groupe APT-28, que l’on ne présente d’ailleurs plus ici. Éléments par ailleurs souvent accompagnés d’accusations en direction de Moscou.

On raconte sur certains canapés soyeux que le BSI pourrait par ailleurs faire preuve d’une forte activité en direction des autres CERT européens, abreuvant qui le souhaite d’indicateurs de compromission (IOC). Hypothèse donc. Force est de constater, qu’étant donné le contexte actuel, personne ne s’en plaindra et c’est heureux. (Preuve au passage que le principe d’attribution n’est pas neutre)

Ces différents éléments indiquent, ou plutôt suggèrent l’hypothèse que le gouvernement allemand pourrait avoir élaborer une stratégie de communication agressive destinée  déstabiliser le groupe APT-28. Je me sens soudainement enveloppé d’un scepticisme pesant. Je vais donc m’expliquer.

En communiquant tout azimut en direction des autres organismes de sécurité occidentaux, Berlin pourrait bien obliger le groupe APT-28, par ailleurs impliqué dans d’autres opérations, à adapter son architecture d’attaque en conséquence. Une action, qui si elle est répétée en plusieurs occasions, forcera l’attaquant à consommer profusion de moyens pour maintenir son niveau d’activité. La nature étant ce qu’elle est et les Russes n’échappant pas à ce principe élémentaire, si cette stratégie fonctionne, l’activité du groupe pourrait momentanément ralentir en plusieurs endroits.

D’autre part, si l’affaire fonctionne, le principe de défense collective dans le cyberespace régulièrement mise en échec par certains de ses détracteurs les plus virulents pourrait d’une manière un peu détournée, je le concède, retrouver là une seconde jeunesse ; renforçant par la même occasion, le caractère éminemment politique du principe d’attribution. Je conclurai provisoirement sur le sujet en rappelant que le principe de défense collectif n’est pas strictement borné à la lutte informatique offensive (LIO) et qu’il y a heureusement fort à faire en matière de coopération, au sein de l’OTAN et ailleurs. En voici une nouvelle preuve.

Dans le cyber, la coopération fait la force. Je dis ça, je dis rien.