Il est d’une banalité affligeante aujourd’hui de dire que l’informatique est partout. Les « communications électroniques », bien que non restreintes uniquement à l’informatique, sont considérées par l’Europe comme aussi critiques que l’énergie, la finance ou le transport. Cela place ce secteur à part dans la guerre économique car à la fois cible et vecteur d’attaques.
L’informatique est doublement duale.
D’abord l’informatique est cible et vecteur. Cible car ce sont les ordinateurs et autres clouds qui détiennent les données tant convoitées de la guerre économique, des secrets industriels aux photos dénudées de star(lette)s. Mais aussi vecteur car elle permet de mener des attaques tant techniques (empêcher l’accès à un site de paris en ligne la veille de la finale de la coupe du monde de foot) qu’informationnelles : désinformation, rumeur ou polémique sont triviales grâce à la démocratisation d’Internet servant à amplifier l’opération.
A lire aussi: L’intelligence économique, une culture du renseignement appliquée à l’entreprise
La dualité contenu / contenant
Vols de données ou attaques informationnelles, ces opérations concernent le contenu : l’information n’est plus dans un coffre-fort mais dans des serveurs ou sur nos smartphones partout sur la planète. En 2011, l’action de la Société Générale a plongé de 15 % en une séance car une rumeur a été propagée par un journal britannique, Internet a fait le reste.
Du coup, nos machines deviennent elles-mêmes un enjeu et servent à l’attaque si l’attaquant parvient, artificiellement, à propager une information, à l’amplifier grâce à des milliers de serveurs. Mais il est plus facile de poser l’information au bon endroit. Par manque de subtilité, l’attaquant ayant piraté le compte Facebook de N. Sarkozy en 2011 s’est fait attraper de suite.
Évidemment, pour accéder à l’information il faut accéder à son contenant. C’est sur cet aspect que nous allons maintenant nous concentrer.
Qui dit « guerre » dit « attaques »
Les attaques informatiques sont de deux natures : celles qui abusent de certains comportements humains et celles, plus pernicieuses car invisibles, purement techniques.
Dans le premier cas, il s’agit par exemple d’un email envoyé en se faisant passer pour un ami, un dirigeant, la banque, vous poussant à entreprendre une action : installer une fausse mise à jour, rentrer vos coordonnées sur un site web qui n’est pas celui que vous croyez. Un moyen simple de compromettre rapidement de nombreuses machines est, par exemple, de s’introduire sur un site pornographique et de modifier le contenu des pages web pour que, lorsque le chaland vient visiter le site, un message apparaisse sur son écran lui suggérant fortement d’installer tel programme afin de pouvoir visualiser les vidéos tant recherchées. Évidemment, le programme en question aura été piégé et installera en même temps un RAT (Remote Administration Tool) ouvrant l’accès de cette machine à un pirate. On voit aussi de nombreuses fausses mises à jour (Flash, Acrobat, anti-virus divers) piéger des millions de personnes.
A lire aussi: L’impôt, arme de guerre économique
L’autre option, technique, consiste à abuser des bugs (erreurs involontaires introduites lors des développements, du genre pouvant conduire au célèbre écran bleu et redémarrage de Windows) présents dans tous les programmes : Windows, Office, Chrome, ceux précédemment cités… tous les programmes ont des bugs. Mais certains de ces bugs permettent de transformer le programme en porte ouverte pour l’attaquant. Il suffit d’envoyer un document piégé à une personne et qu’elle ouvre ce document pour prendre le contrôle de son ordinateur, sans qu’elle s’en rende compte (pas plus qu’un éventuel anti-virus qui ne sert globalement à pas grand-chose contre ce type d’attaques). C’est pourquoi les éditeurs sortent régulièrement des mises à jour : certes, pour corriger des bugs et ajouter de nouvelles fonctionnalités, mais aussi pour corriger ces failles de sécurité. Ces programmes permettant de détourner un bug s’appellent des exploits.
Il existe deux grandes familles d’exploits. Tout d’abord, ceux qui corrigent les vulnérabilités connues, et pour lesquelles les éditeurs proposent des mises à jour. Ces mises à jour n’étant pas systématiquement déployées sur les systèmes, les ordinateurs restent vulnérables, et il est alors possible d’en prendre le contrôle. On trouve de tels exploits sur Internet, mais ils sont souvent difficiles à utiliser et nécessitent une expertise pour les adapter à la cible. Mais les exploits les plus intéressants sont les 0-days : il s’agit d’exploits visant des vulnérabilités qui n’ont pas été rapportées à l’éditeur et pour lesquels il n’existe donc pas de correctif. De fait, ils sont un passe-partout pour accéder à de très nombreuses cibles. Par exemple, en 2009-2010, un seul et même 0-day a été utilisé dans l’opération Aurora pour « intruser » Google, Adobe, Northman Group, Morgan Stanley et quelques autres.
Aujourd’hui, ces 0-days se monnaient. Pendant longtemps, les éditeurs proféraient des menaces ou lançaient des procès envers les gens qui leur signalaient des problèmes de sécurité. Maintenant, ils proposent quelques milliers de dollars. Dérisoires ? Les 0-days sont achetés par des gouvernements, des sociétés ou des « mafias » à des sommes pouvant dépasser 300 000 dollars pour les plus rares.
De la professionnalisation de la guerre informatique
Pas la peine de revenir sur « l’affaire Snowden » : les gouvernements se sont toujours espionnés les uns les autres et ont espionné leur population, que ce soit pour les contrôler ou pour assurer leur sécurité. Certains gouvernements utilisent les informations recueillies par leurs espions à des fins économiques, mais ces attaques, malgré leur ampleur, restent l’apanage d’un petit nombre.
Pour prendre un exemple qui touche potentiellement tout le monde, le vol d’identité (identity theft) se marchande très bien : numéro de carte d’identité, de sécurité sociale et de cartes de crédit évidemment. Il y a tout un écosystème entre ceux chargés de voler ces informations, de les revendre (des brokers) ou d’acheminer les biens mal acquis (les mules). D’une manière générale, on constate que les forces illégales d’Internet se sont structurées pour optimiser leurs profits, comme le ferait toute entreprise commerciale.
En 2012, en remontant sur un serveur utilisé pour cibler une entreprise travaillant sur des infrastructures critiques, on a retrouvé les noms d’une dizaine d’autres entreprises, elles aussi victimes d’attaques. Tout était automatisé pour s’introduire, puis exfiltrer les informations de ces cibles. Des documents piégés étaient envoyés à chaque cible, en sélectionnant avec soin les destinataires. Lorsque le document était ouvert, le poste était compromis, et les fichiers siphonnés vers ce serveur, organisé par cible. Ensuite, des traitants récupèrent les fichiers pour les analyser.
Modus operandi
Certaines attaques sont massives : les attaquants envoient des centaines de milliers de mails, par exemple, en espérant qu’un petit pourcentage d’internautes les ouvrira et sera piégé (comme pour le spam).
Mais de plus en plus, les attaques vers les entreprises sont ciblées et préparées. Il y a d’abord un recueil d’information sur la cible. Grâce aux réseaux sociaux, à tout ce que les entreprises publient sur elles-mêmes, à tout ce que les services administratifs ou d’autres publient sur les entreprises, il est relativement aisé de cartographier une cible. Et cela sans parler de ce qui se trouve sur Internet et qui ne devrait pas l’être. Par exemple, en scannant tout Internet, nous avons trouvé des documents classifiés, des certificats pour des applications bancaires – clé de voûte de la sécurité de ces applications – des plans de distribution d’énergie et de nombreux autres documents sensibles. Sur le plan technique, on parvient aujourd’hui à scanner des pays entiers. La difficulté n’est plus de trouver les informations mais de les traiter.
Fort de ces informations, il reste alors à planifier son attaque avec les bons exploits, 0-days ou non, puis à récupérer son trésor pour le traiter.
A lire aussi: Crime organisé et cyber
On reconnaît la démarche classique du cycle du renseignement, utilisé aujourd’hui par tous les attaquants, peu importe le côté de la Loi où ils se trouvent.
Guerre informatique vs guerre économique
Une guerre ne se déroule jamais sur un seul plan. Aujourd’hui, les aspects financiers, médiatiques et techniques ont autant de poids que le champ de bataille principal. Tous ces plans sont liés. La guerre informatique alimente la guerre économique, qui alimente la guerre informatique, et ainsi de suite.
Certains acteurs utilisent l’informatique illégalement pour nuire à un compétiteur ou lui voler ses secrets, mais ces pratiques ne sont nouvelles que par la technologie sur laquelle elles s’appuient. L’informatique n’est qu’une arme de plus dans la lutte économique.