En parallèle à la crise du Covid-19, les pays occidentaux ont assisté à une explosion des cyberattaques, qu’il s’agisse d’opérations d’espionnage d’État ou d’actions pour motifs crapuleux, et parfois les deux à la fois. Qu’elles qu’en soient les raisons, les opérations réalisées constituent à la fois une augmentation en terme quantitatif et peut-être aussi qualitatif.
Guy-Philippe Goldstein est consultant en stratégie et analyste des questions de cyberconflit. Il est senior analyste sur le cyberdesk de Wikistrat, un réseau mondial d’experts de questions stratégiques et de relations internationales.
Deux cas retiennent l’attention, qui sont à la fois emblématiques de la situation, mais également eux-mêmes des accélérateurs de la crise : l’affaire d’espionnage SolarBurst contre le logiciel SolarWinds d’une part ; l’attaque au rançongiciel contre le pipeline Colonial aux États-Unis de l’autre. L’analyse de ces deux cas offre une introduction pour comprendre le sens de la crise de cybersécurité qui est en cours, ses raisons et ses implications géopolitiques et diplomatiques.
Premier acte : l’affaire SolarWinds
Le 9 décembre 2020, c’est une firme de cybersécurité privée, FireEye, qui révèle qu’elle a été victime d’une cyberattaque probablement à des fins d’espionnage. L’attaque, très sophistiquée, serait en cours d’investigation par le FBI. L’origine pourrait en être le groupe Cozy Bear ou APT29 – en réalité une émanation du SVR, le renseignement russe. Une fois l’alerte lancée par ce groupe privé, les enquêteurs ne tardent pas à remonter dès le 13 décembre à la source originelle de l’attaque : la plateforme Orion éditée par la société de logiciels américaine SolarWinds. Réévalués au cours des semaines qui suivent, les dégâts apparaissent comme considérables. Orion est une plateforme de gestion et de contrôle de la performance des systèmes informatiques. En tant que système de gestion et de contrôle, Orion dispose d’accès privilégiés à certaines données clés. Or Orion, manipulé, se transforme en vecteur pour la distribution d’un maliciel nommé Sunburst par FireEye, la première firme à détecter l’attaque. C’est le paradoxe : le système de contrôle devient lui-même le mécanisme d’infection.
Plus de 18 000 clients, entreprises ou organismes publics, finissent par utiliser la version infectée d’Orion au moment de l’attaque, qui s’est déroulée sur plusieurs mois et peut-être même depuis un an, de décembre 2019 à décembre 2020. En outre, le point de contrôle privilégié que constitue Orion permet également d’avoir accès à certaines données appartenant à d’autres réseaux se connectant à celui géré par Orion, en particulier de prendre possession de certificats qui permettent de faire apparaître les opérations d’espionnages électroniques comme légitimes. On le comprend : avant même l’attaque, la position de quasi-monopole de marché dont se félicitait le PDG de SolarWinds avait fait d’Orion ce qu’en ingénierie on appellerait un « point de défaillance unique ». De par sa large utilisation, une vulnérabilité significative exploitée dans la seule couche du logiciel Orion constituerait mécaniquement une menace grave pour le réseau extrêmement vaste de ses clients et pour la sécurité nationale des grandes puissances occidentales, à commencer par celle des États-Unis. C’est précisément ce qui s’est produit.
Et les clients d’Orion sont non seulement nombreux, mais stratégiquement significatifs. Au moins 200 entreprises et organisations importantes auraient constaté non seulement des failles, mais parfois aussi des vols de données dans les semaines qui ont suivi. Parmi elles, les départements américains du Trésor et du Commerce, mais également le Center for Disease Control (CDC) d’Atlanta, le département d’État, le ministère de la Justice, des unités du Pentagone et également, potentiellement, Microsoft et 40 de ses clients, le New York Times, Boeing ou le Los Alamos National Laboratory. Et les victimes ne seraient pas qu’aux États-Unis : le Parlement européen, l’OTAN ou AstraZeneca pourraient potentiellement être aussi ciblés. Ainsi d’ailleurs que certaines entreprises du CAC 40 utilisatrices elles-mêmes de SolarWinds.
Cette cyberattaque se révèle être le fruit de maladresse comme l’utilisation de mot de passe simple par défaut (« SolarWinds123 »), allié à une sophistication, une persistance et de facto un investissement important qui ne peuvent être l’apanage de simples groupes criminels. Brad Smith, le PDG de Microsoft, a qualifié l’attaque de « la plus large et la plus sophistiquée que le monde ait connue à ce jour », avec peut-être plus d’un millier d’ingénieurs qui auraient participé à son développement. Le chiffre est probablement une exagération – s’il était vérifié, il constituerait une proportion absolument considérable et peu crédible des effectifs du SVR dédié à cette opération. Cette déclaration montre néanmoins l’état de stupéfaction dans lequel l’attaque a plongé certaines des entreprises informatiques les plus larges et les plus sophistiquées au monde.
A lire également : Les États-Unis vont annoncer des sanctions contre la Russie en représailles au piratage massif de SolarWinds
Deuxième acte : Colonial Pipeline
Une autre cyberattaque a profondément marqué les esprits à Washington et accéléré plusieurs trains de mesures qui étaient en discussion à la suite de l’affaire SolarWinds : la cyberattaque contre le pipeline Colonial à partir du 7 mai 2021.
Colonial Pipeline est une infrastructure critique d’approvisionnement de l’énergie pour toute la côte est des États-Unis. Partant de Houston, le pipeline approvisionne en produits pétroliers (essence, diesel, kérosène) 17 États américains constituant une large partie des États du sud-est des États-Unis, du Texas jusqu’au New Jersey, en passant par la Géorgie, la Virginie et la Pennsylvanie : c’est plus de deux millions et demi de barils, soit 45 % de la consommation de produits pétroliers de la zone, qui sont fournis ainsi chaque jour. Si elle était une entité indépendante, la zone couverte constituerait en réalité le 3e plus grand consommateur de produits pétroliers au monde après les États-Unis et la Chine.
Le 7 mai, DarkSide, un opérateur cybercriminel d’origine russe agissant pour des motifs crapuleux, prend le contrôle de certaines données de Colonial Pipeline dans le cadre d’une attaque de rançongiciel. Les données sont chiffrées par DarkSide et ne pourront être divulguées à nouveau à Colonial Pipeline qui si l’entreprise paie une rançon de 75 bitcoins, soit environ 4,4 millions de dollars. L’entreprise réagit alors par deux actions importantes : d’une part, elle paye la rançon ; d’autre part, elle décide de stopper temporairement ses activités de distribution de produits pétroliers. Payer la rançon n’est pas recommandé par les autorités américaines (comme françaises d’ailleurs). C’est à chaque fois un signal de confirmation pour l’ensemble des cybercriminels qu’il existe bien un marché solvable de l’extorsion, et que les attaques de rançongiciels continuent d’offrir un bon retour sur investissement. Mais du point de vue de l’industriel dont les activités sont à l’arrêt, il n’y a parfois pas vraiment le choix. Comme le dit de manière franche un responsable de cybersécurité, « c’est un cybercancer. Vous voulez vivre ou mourir ? Ce n’est pas une situation où l’on peut attendre ».
Cependant, dans le cas Colonial Pipeline, c’est l’entreprise elle-même qui suspend ses activités. Pourtant, ce n’est pas l’informatique extrêmement sensible des systèmes industriels de production (ce qu’on appelle le domaine OT pour Operational Technology) qui a été touchée, un domaine critique qui couvre tant les aspects de production et de distribution que les conditions de sécurité matérielle dans la chaîne d’activité. Non, dans le cas Colonial Pipeline, ce n’est que l’informatique bureautique classique (le « domaine IT ») des services généraux qui semble avoir été atteinte. D’ailleurs, la cyberattaque elle-même provient peut-être d’une banale attaque par hameçonnage, l’envoi d’un email piégé auquel il ne faut pas toucher, mais sur lequel un employé aurait cliqué sans faire attention.
Et pourtant, la direction décide de l’arrêt des activités par précaution. Pourquoi ? Peut-être parce que quinze mois plus tôt, un autre pipeline américain de gaz naturel a été lui aussi victime d’une attaque de rançongiciel. Dans ce précédent cas, l’attaque avait également démarré dans l’informatique bureautique des services généraux, mais avait été capable de passer du domaine IT au domaine OT, passage pourtant réputé le plus souvent infranchissable, et de mettre en danger les systèmes de production. Certes, ce n’étaient pas les systèmes de commandes industrielles qui avaient été atteints, mais certains capteurs et outils d’enregistrement des données de production. Cet environnement de donnée est en fait critique pour contrôler la sécurité de la production, qui a été arrêtée. Et c’est probablement l’exemple qu’a suivi Colonial Pipeline.
Conséquence de cet arrêt qui a duré quelques jours, dans certains États comme les deux Caroline, la Géorgie, la Virginie, mais aussi Washington D.C. et la Floride, les prix ont grimpé de 8 % et la moitié des stations-service ont été obligées de fermer, d’autant que l’annonce de la cyberattaque a créé un petit mouvement de panique auprès de certains particuliers pour l’approvisionnement en essence. La situation était plus grave dans certaines métropoles régionales comme Charlotte ou Atlanta. Autre conséquence : l’administration Biden a été obligée de renforcer sa réflexion et de durcir le ton. Elle venait d’être mise en défaut sur l’une des infrastructures les plus critiques et stratégiques de la nation : celle de l’approvisionnement en énergie.
A lire également : Podcast : Cyber : les nouvelles guerres invisibles. Laurent Gayard
Deux facettes d’une crise grave
Ces deux cyberattaques sont de nature profondément différente : l’une est clairement d’origine étatique à des fins d’espionnage ; l’autre a des objectifs crapuleux et semble provenir d’un groupe cybercriminel. Cependant, pris ensemble, ces deux cas soulignent trois leçons aux portées importantes pour la protection de nos économies et pour notre sécurité nationale.
Première leçon : en cybersécurité, aucun système n’est hors d’atteinte. La barrière IT/OT peut être franchie (Colonial Pipeline). Et on ne peut pas faire confiance à un logiciel, même et surtout s’il s’agit d’une plateforme de contrôle (Orion de SolarWinds). Cela implique de penser la cybersécurité comme si l’attaque était réalisable, et donc de réfléchir à la réaction en rebond des systèmes, ce que l’on appelle la résilience. Cela implique aussi une grande méfiance à avoir face à toute solution en monopole, ou qui pourrait être imposée de manière uniforme par des administrations centralisées.
Deuxième leçon : au niveau micro, le facteur humain demeure l’un des principaux vecteurs de risque. Il peut s’agir de l’erreur de l’employé qui clique alors qu’il ne devrait pas ; ou bien de l’erreur du concepteur qui laisse des mots de passe simples par défaut (SolarWinds). Effectivement, 90 à 95 % des cyberattaques ciblant des systèmes civils ou militaires incluent une composante d’erreur humaine, souvent parmi l’un des plus importants facteurs. Un nombre important de ces cyberattaques pourrait être supprimé si, comme pour la sécurité routière, on se décidait à pratiquer l’équivalent de « mettre sa ceinture de sécurité ».
Troisième leçon : au niveau macro et géopolitique, il est d’autant plus délicat de riposter à ces cyberattaques qu’elles se situent à un niveau de seuil « infra ». D’une part, l’espionnage même avec des moyens de type cyber (SolarWinds) ne constitue pas une pratique qui relève de l’acte de guerre. D’autre part, le groupe DarkSide, comme de nombreux autres gangs cybercriminels avec leurs affiliés, n’est pas une émanation de l’État russe. Certes, nombre de ses animateurs vivent probablement en Russie – et d’ailleurs les outils logiciels de DarkSide sont programmés de manière à interdire toute utilisation contre une organisation où l’on parlerait le russe. Mais à la différence de l’attaque NotPetya ou même de l’attaque du Cybercalifat contre TV5Monde, aucune firme privée ni aucun service occidental n’ont pu prouver à cette date un lien clair avec des organes de l’État russe.
Mais ce faisant, pour la Russie de Poutine, l’inaction face à ces groupes permet indirectement de laisser s’affaiblir l’image des États-Unis et des grands pays occidentaux qui sont les principales cibles de cyberattaques ; et peut-être aussi de tester certaines idées et capacités pour autant que l’univers entre criminels et organismes de sécurité ne serait pas si étanche en Russie. Cela d’autant que les attaques contre SolarWinds et Colonial Pipeline ont atteint des composantes clés des infrastructures critiques américaines. Et qu’elles font la démonstration de l’intérêt d’une manœuvre potentiellement jointe : une campagne cybercriminelle autonome de rançongiciels, épuisant les ressources des autorités occidentales de cybersécurité, pourrait augmenter les chances de réussite d’une campagne parallèle et bien plus pointue d’espionnage, voire de sabotage cyber.
Toutes ces raisons expliquent à la fois les dernières mesures du président Biden pour renforcer la cybersécurité privée via les récentes Executive Order, ainsi que l’importance prise par le sujet dans les rapports avec la Russie. Les faiblesses graves en termes de cybersécurité des pays occidentaux sont autant d’invitation à l’agression. L’importance des enjeux, soulignés par les cas SolarWinds et Colonial Pipeline, doit pousser à une réaction défensive d’un niveau de magnitude désormais supérieur.