19 mai 2017

WannaCry : le défi de la prolifération « cyber » (Tribune Les Echos.fr, Guillaume Tissier)

Dans la campagne de cyberattaques en cours, ce n’est pas tant le ransomware WannaCry qui mérite l’attention que la propagation très rapide du malware via l’exploitation d’une faille présente sur de nombreuses versions du système d’exploitation Windows. « L’exploit » qui permet d’utiliser cette vulnérabilité, EternalBlue, a en effet été dérobé à la NSA dans le cadre d’un piratage ou d’une fuite interne, puis publié urbi et orbi parmi une série d’outils offensifs par le groupe Shadow Broker le 14 avril 2017. Et comme ce type de fuite, d’origine interne ou externe, tend depuis Edward Snowden à devenir une habitude outre-Atlantique, la question que l’on peut légitimement se poser est de savoir s’il est bien raisonnable de développer ce type d’arsenal quand on est incapable de garder ses petits secrets. Comme le dit le proverbe chinois, on ne jette pas de pierre quand on habite une maison en verre… Le risque, c’est en effet la prolifération de « l’arme cyber ».

Ce risque est d’abord lié à la nature même de l’espace numérique : s’il est impossible de télécharger sur le web un missile de croisière prêt à l’emploi, le malware, en raison de sa nature dématérialisée, est lui achetable et téléchargeable en ligne sans autre forme de complication. Toute utilisation de l’arme informatique est aussi, par essence, proliférante puisque la « charge utile » peut être réutilisée, modifiée, détournée, comme le prouvent les nombreuses variantes qui ont suivi l’utilisation de Stuxnet contre les centrifugeuses iraniennes. Seule contrainte : pour être pleinement efficace, l’arme doit exploiter des vulnérabilités non corrigées sur les ordinateurs cibles. Peu importe en effet, contrairement à ce qui est souvent dit, que ces vulnérabilités soient dites « 0 day » (c’est-à-dire non encore corrigées par les éditeurs). Il suffit que les correctifs n’aient pas été appliqués. Dans les attaques en cours, la vulnérabilité, longtemps exploitée par la NSA (dont on peut noter qu’elle est à la fois en charge à la fois de la sécurisation des réseaux et du renseignement), avait ainsi fini par être corrigée par Microsoft en avril. Sans pour autant que le « patch » n’ait été déployé de manière généralisée sur les systèmes d’information…

Ce risque de prolifération est enfin aggravé par le « brouillard » permanent qui entoure l’espace numérique. Dans la pratique, l’attribution certaine des attaques informatiques est en effet impossible tant sont grandes les possibilités techniques d’obfuscation, d’obscurcissement, d’anonymisation, etc. La fuite de données dont a récemment été victime la CIA (Vault 7) montrait d’ailleurs que le framework Marble permettait à l’agence d’intégrer automatiquement des bouts de code en russe, chinois, arabe ou farsi dans ses développements informatiques pour leurrer d’éventuels poursuivants. Faute de solution technique en matière d’attribution, la tentation est donc grande aujourd’hui de recourir au principe de la « fiction juridique » que le juriste allemand Rudolf von Jhering définissait comme un « mensonge technique consacré par la nécessité ». En d’autres termes, un pays est désigné coupable pour des raisons politiques… Cette instrumentalisation du droit est assurément très efficace. Mais il n’est pas certain que les relations internationales s’en trouvent pacifiées.

Au-delà des aspects techniques et juridiques, c’est en réalité la résilience des sociétés modernes, hyper-connectées, et donc hyper-vulnérables, c’est-à-dire leur capacité à encaisser et à rebondir face à des attaques de ce type, qui est en jeu. Pour l’instant, des attaques comme WannaCry choquent par leur effet systémique. Mais ce choc se transformera en chaos lorsque ces opérations affecteront gravement des systèmes vitaux. Il y a peut-être là matière à réflexion pour le Groupe des experts gouvernementaux qui travaille à l’ONU sur les « comportements responsables » des États. Microsoft, dont le directeur juridique a récemment appelé à une convention de Genève informatique, ne s’y est pas trompé.

Source : Les Echos.fr