Articles Tagués ‘cyberdefense’

norsePour faire suite à mon post sur la cybersécurité, je me suis souvenu qu’en visitant le Microsoft Innovation Center à Issy-les-Moulineaux, un mur d’images présentait une carte du monde des cyberattaques en temps réel. Après une rapide recherche, c’est la société NORSE, pour promouvoir son service IPViking, qui a mis en ligne cette carte.  Pour être précis, il s’agit d’attaques contre un « pot de miel » (honeypot), donc un ensemble de serveurs préparés pour servir de leurres informatiques aux pirates. Mais c’est tout de même impressionnant.

Pour voir cette carte en temps réel, cliquez ici.

On est aux Etats-Unis, bien sûr. L’agence (russe) Kaspersky vient de révéler que depuis 2001, les US se sont dotés d’un « projet Manhattan » de la cybersécurité. Pourquoi ne l’ont-il pas révélé avant? Sans doute parce que ledit projet est purement… offensif.

Le travail réalisé par Kaspersky est impressionnant. Ils ont capturé, analysé, disséqué plusieurs familles de « malware », et ont montré leur lien avec un groupe de la National Security Agency, dont l’identité vient d’être révélée: the « Equation Group ». Ce groupe est actif depuis au moins 2001, et correspond à l’unité d’opérations « sur mesure » de la NSA (NSA Tailored Operations Unit). Bien que les capacités de la NSA dans le domaine soient mieux connues depuis que l’hebdomadaire allemand Der Spiegel a publié un document de 50 pages sur les outils technologiques et malwares de l’Agence, en 2013, c’est la première fois que l’Equation Group est exposé.

Et ils ne sont pas inactifs. D’après Kaspersky, ces malwares – la NSA les appelle des implants – ont été déployés discrètement. Dans la première phase, ils ont servi de « validateurs » pour cibler les portes d’entrée à des cibles potentielles. L’implant est diffusé sur le web (dans un forum par exemple), infecte discrètement la victime, et le processus de validation décide si l’ordinateur infecté possède ou non un intérêt pour la NSA. Dans le cas contraire, l’implant se désinstalle (et vous n’en saurez jamais rien).

La deuxième phase est plus intéressante: si l’ordinateur est une cible, alors le validateur déclenche le téléchargement à partir d’un site discret de la NSA d’une version plus sophistiquée. Cette version contient un « bootkit » qui  prend le contrôle du système d’exploitation de votre machine. Et les logiciels antivirus ne le trouveront jamais : il s’installe au plus profond du régistre Windows, et est bien sûr crypté. Ces outils, qui peuvent ensuite lire, écrire, transmettre ou détruire votre machine, sont de plusieurs générations plus avancés que ceux que l’on trouve aujourd’hui dans le cyberespace.

Et nous, Français, dans tout cela? Oui, la cybersécurité est une des priorités du Livre Blanc. Et oui, l’ANSSI (Agence Nationale pour la Sécurité des Systèmes d’Information) a vu ses moyens augmenter considérablement. Certes, nous n’avons pas non plus le budget de 10 milliards de dollars annuels de la NSA. Toutefois, il conviendrait au moins de se poser la question de l’opportunité de concevoir des outils de cyberdéfense offensifs. Cela nécessitera un véritable débat doctrinal, car après tout « la dissuasion existe dès lors que l’on a de quoi blesser à mort son éventuel adversaire, qu’on y est très résolu, et que lui même en est bien convaincu. « . Ce n’est pas moi qui l’ai dit, c’est le Général de Gaulle en parlant de la dissuasion nucléaire, mais dans le conflit asymétrique qui menace aujourd’hui toutes les nations modernes dans le cyberespace, peut-on faire l’économie de cette réflexion?

(illustration : L’étage du centre opérationnel de la NSA en 2012. (c) http://bigbrowser.blog.lemonde.fr/2013/06/27/album-de-famille-lhistoire-de-la-nsa-racontee-en-photos/)