211service.com
Imaginez que les États-Unis viennent d'être frappés par une cyberattaque. Que se passe-t-il ensuite ?
illustration conceptuelle des yeux derrière les tuyaux Daniel Zender
Ce moment avait été de 10 mois dans la fabrication. Mais personne ne l'a remarqué jusqu'à la semaine dernière.
Un groupe de pirates informatiques bien dotés parcourt les réseaux de l'opérateur du gazoduc depuis près d'un an, récoltant des informations cruciales. Désormais, les pirates connaissent mieux le réseau que la société pipelinière : chaque équipement, l'ensemble de la main-d'œuvre de l'entreprise, les noms d'utilisateur et les mots de passe. Ils ont les privilèges nécessaires pour accéder à la fois aux ordinateurs de bureau de l'entreprise et aux machines du pipeline lui-même. Maintenant, ils sont prêts à frapper.
Cette histoire faisait partie de notre numéro de novembre 2019
- Voir la suite du problème
- S'abonner
Les États-Unis ont beaucoup de cyber-ennemis. Il échange quotidiennement des coups avec la Chine, la Russie, l'Iran et la Corée du Nord. Une cyberguerre à part entière, heureusement, reste l'étoffe de la théorie et des exercices sur table. Mais que se passe-t-il quand on éclate pour de vrai ?
Pour mieux comprendre comment cela se déroulerait, nous avons parlé à un certain nombre d'experts en cybersécurité et en sécurité nationale. Nous leur avons demandé d'envisager des scénarios hypothétiques, y compris celui de la page opposée dans lequel des pirates inconnus ont accédé aux ordinateurs, aux réseaux et au matériel des gazoducs en Nouvelle-Angleterre.
Les conséquences potentielles iraient de l'espionnage et du vol de propriété intellectuelle à des attaques plus dévastatrices qui pourraient laisser Boston sans électricité ou, dans le pire des cas, provoquer des incendies et des dommages potentiellement mortels. Ce qui se passera ensuite - et si cela dégénère en une véritable cyberguerre - dépend de qui est à l'attaque, de ses objectifs et de la manière dont les États-Unis réagissent.
Les variables en jeu signifient qu'on ne sait pas exactement comment cela se passerait. Mais imaginer le pire pourrait nous aider à mieux comprendre comment les conflits évoluent et nous permettre de planifier comment agir lorsque la cyberguerre débarque à notre porte.
Notre panel était composé de certains des plus grands experts américains en cyberguerre.

Angus King : wikimedia commons / Sandra Joyce : photo de courtoisie / Richard Clarke : wikimedia commons / Michael Daniel : photo de courtoisie / Eric Rosenbach : wikimedia commons / John Livingston : photo de courtoisie / mike Gallagher : wikimedia commons
sandra Joyce est vice-président senior du renseignement mondial de la société de cybersécurité FireEye, la première entreprise à nommer ouvertement des pirates du gouvernement chinois travaillant contre des entreprises américaines.
Richard Clark a travaillé dans les administrations de Bill Clinton, George W. Bush et Barack Obama. Il a été parmi les premiers hauts responsables de la Maison Blanche à se concentrer sur la cybersécurité.
Michael Daniel était tsar de la cybersécurité sous le président Obama. Il dirige maintenant la Cyber Threat Alliance, une équipe d'entreprises de cybersécurité partageant des informations sur les menaces.
Éric Rosenbach était le chef de cabinet de l'ancien secrétaire à la Défense Ash Carter. Il a dirigé l'activité cyber du ministère de la Défense et a élaboré la cyber stratégie de l'armée.
Jean Livingstone est le PDG de Verve Industrial Protection, une société qui gère la gestion de la cybersécurité industrielle pour des projets comprenant des pipelines de gaz naturel et d'autres infrastructures critiques.
Représentant Mike Gallagher est un ancien officier de contre-espionnage du US Marine Corps et maintenant coprésident de la Cyberspace Solarium Commission, un groupe d'experts chargé de formuler une doctrine américaine en matière de cybersécurité.
Sénateur Angus Roi est membre de la commission sénatoriale sur le renseignement et coprésidente de la commission Cyberspace Solarium.
Nous avons parlé à tous nos panélistes individuellement, et leurs réponses ont été modifiées pour plus de clarté et de longueur.
Rosenbach : La première chose qui arriverait serait que la NSA [National Security Agency] collecte des renseignements à l'étranger. Lorsque cela se produit pour la première fois, il y a juste une sorte d'image grise floue que quelqu'un opère dans une infrastructure de gaz naturel. Et vous ne savez pas nécessairement s'ils ont l'intention d'appuyer immédiatement sur la gâchette de l'attaque.
Roi: Le premier problème est l'attribution [c'est-à-dire qui est derrière l'attaque]. C'est l'un des principaux défis dans ce domaine, car les adversaires deviennent de plus en plus intelligents sur leurs pistes.
Je propose à la Cyberspace Solarium Commission que le gouvernement américain ait un centre d'attribution qui combinerait les ressources de la NSA, du FBI, de la CIA et d'autres agences de renseignement afin qu'il y ait un endroit central où aller.
Clark : Le problème d'attribution n'est pas aussi grave que les gens le pensent. En ce qui concerne le cyber, si vous êtes dans les systèmes ennemis, vous saurez qui l'a fait parce que vous le verrez le faire. Si vous pouvez le voir en direct, vous avez de très bonnes chances de comprendre l'attribution. S'il s'agit d'une analyse post-hoc ou d'une analyse médico-légale, l'attribution peut être plus difficile, d'autant plus que nous savons maintenant que de nombreux pays, y compris peut-être les États-Unis, utilisent des outils d'attaque créés par d'autres pays. Et s'ils utilisaient un ordinateur avec un certain type de clavier, ou utilisaient d'autres techniques qui empreintes digitales dans un autre pays ? Cela crée un problème.
Rosenbach : Ensuite, vous verriez s'il pourrait y avoir une relation de coopération entre [diverses agences gouvernementales américaines] pour essayer de déterminer où l'attaque pourrait se produire, rechercher certains types de logiciels malveillants que les adversaires ont pu utiliser dans le passé.
Vous voyez si vous pouvez obtenir des renseignements plus granulaires à ce sujet. Pendant tout le temps que vous travaillez sur tous ces types de problèmes d'atténuation nationaux, vous pouvez essayer de penser à ce qui se passerait si l'attaque réussissait et à ce que vous faites. Quelle est la réponse aux incidents en hiver s'il y a des centaines de milliers de personnes, ou des millions de personnes, sans chauffage ?
Vous pensez à ce que vous diriez à ce sujet. En même temps, vous vous demandez si vous confronterez ou non la nation adverse avec ces informations. Allez-vous les voir et leur dites-vous, nous savons que vous avez des logiciels malveillants dans l'infrastructure et le réseau de gaz naturel ? Les menacez-vous vraiment ? Et puis, tout comme dans le cas des élections de 2016, et aussi pour la première fois lors de la cyberattaque [2014] sur Sony [Pictures], le président devrait parler à tous les conseillers principaux et au personnel pour savoir s'il rend public avec cette information. Est-il juste pour le public, si vous savez qu'une attaque est sur le point de se produire, que vous la gardiez pour vous ? Quels sont les avantages et les inconvénients de l'attribution publique ?
Gallagher : Un problème auquel nous devons faire face dans le cyber est de savoir si la difficulté d'attribution crée des problèmes de dissuasion et des échecs de dissuasion. Si vous essayez de dissuader un adversaire de mener une cyberattaque, vous devez être en mesure d'établir qui est l'adversaire et également signaler clairement quelle sera votre réponse. Il y a un débat ouvert sur la question de savoir si nous devrions avoir une telle politique déclaratoire dans le cyber ou si cela inciterait ce comportement juste en dessous du seuil que nous déterminons comme acceptable ou inacceptable.
Clark : Il y a environ quatre ans, la communauté du renseignement voulait savoir qui étaient ces [hackers]. Une fois que le [ministère de la Justice] s'est rendu compte que des connaissances étaient disponibles, ils ont ensuite demandé à la communauté du renseignement si elles pouvaient être déclassifiées. Assez remarquablement, le ministère de la Justice a gagné cela et a persuadé la communauté du renseignement de déclassifier. J'ai été surpris. Certaines d'entre elles font partie d'une stratégie de nom et de honte. Certaines personnes disent que la valeur est faible parce que les pirates ne seront jamais arrêtés, mais en fait quelques-uns l'ont été. Ils doivent faire très attention à l'endroit où ils voyagent.
Rosenbach : Après cela, vous commencez à entrer dans une phase où vous essayez de collecter plus d'intelligence. Vous essayez de trouver des options pour le président ou, si vous êtes dans un département ou une agence spécifique, pour le secrétaire, afin de déterminer comment vous pourriez atténuer le risque et l'impact d'une attaque comme celle-là. C'est là que ça commence à devenir vraiment compliqué.
Clark : Le cyber peut accélérer la guerre. Je pense que cela donne à un attaquant la capacité de faire des dégâts importants à la patrie de l'ennemi. Et il offre la possibilité de faire des dégâts avec rapidité. C'est vrai dans le cyber avec d'autres choses qui se produisent dans la guerre, comme les missiles hypersoniques et les armes pilotées par l'IA, qui pourraient entraîner une conclusion assez rapide d'une guerre - ou du moins la première phase d'une guerre qui se termine assez rapidement conclusion.
Je pense que cela fait partie de ce qui inquiète beaucoup de gens au Pentagone. Ils parlent beaucoup là-bas de la boucle de décision et d'entrer dans la boucle de décision de l'autre. Ils se rendent compte que les cyberarmes signifient qu'il n'y a peut-être pas beaucoup de temps pour décider comment réagir. Cela crée la possibilité d'une plus grande instabilité. Cela pourrait vous inciter à attaquer en premier. Vous devrez peut-être prendre des décisions sur la réaction avant d'avoir vraiment de bonnes informations sur ce qui se passe. Les guerres rapides sont quelque chose que nous n'avons pas encore vraiment compris.
Daniel: Tout comme la façon dont la puissance aérienne a changé la nature de la façon dont les militaires ont appliqué la force et ouvert des options, je pense que le cyberespace fait la même chose en ce qu'il offre de nouvelles voies de conflit. Certaines des nouvelles physiques et mathématiques du cyberespace signifient que, par exemple, la distance ne signifie pas la même chose. Vous pouvez provoquer un effet physique jusqu'à l'autre bout de la planète sans presque le type d'investissement que vous devez faire pour le faire dans un domaine physique.
Joyce : Quand on pense au type de conflit militaire contre militaire, les États-Unis ont un net avantage. Nous avons des pairs proches, mais essentiellement les États-Unis dépensent plus que tout le monde. Lorsque des pays veulent défier les États-Unis, ils ne peuvent pas le faire de la manière dont les États-Unis sont forts. Ils opteront donc pour d'autres voies.
Rosenbach : Les nations qui sont les adversaires des États-Unis ont réalisé que l'asymétrie des opérations cybernétiques et d'information est un énorme avantage pour elles. L'exemple le plus important et le plus clair serait la Corée du Nord. Pensez à leurs compétences en tant qu'unité cyber-opérationnelle. Pensez à certaines des attaques qu'ils ont commises dans le passé. Pensez à certaines des choses qu'ils font actuellement en termes d'utilisation de ransomwares pour collecter des fonds via des crypto-monnaies afin de contourner les sanctions économiques.
Le fait qu'ils disposent de très peu d'infrastructures télécoms et informatiques, et donc qu'ils ne soient pas vulnérables, [fait du cyber] un outil encore meilleur pour eux. Cela signifie [that] si les États-Unis ou d'autres pays essayaient de comprendre comment atténuer l'impact des cyberopérations nord-coréennes, ils devraient recourir soit à des sanctions économiques, où il ne reste plus beaucoup d'options, soit carrément opérations militaires, où vous risquez trop d'escalade.
Ensuite, les Russes, bien sûr, ont totalement perfectionné cela en utilisant des cyber-opérations et des opérations d'information assez agressives et une guerre hybride. L'Ukraine est un excellent exemple. Là, ils attaquent à la fois la grille et les élections. Bien sûr, ils attaquent également les élections américaines.
Un exemple plus récent est ce que le Cyber Command américain a fait contre le Corps des gardiens de la révolution islamique d'Iran pour essayer d'avoir un impact sur eux, de limiter l'efficacité de cette organisation militaire iranienne et, en même temps, de contrôler l'escalade afin qu'elle ne se transforme pas en un conflit plus large. .
Roi: Je suis très inquiet pour les gazoducs. Notre réseau de gazoducs n'a pas les mêmes types de contrôles et d'exigences que le réseau électrique, même si, en ce qui me concerne, le réseau de gazoducs fait partie du réseau électrique car une grande partie de notre électricité provient du gaz naturel.
Gallagher : Environ 85 % des infrastructures critiques [aux États-Unis] appartiennent au secteur privé. C'est un défi très difficile. Cela est unique au cyber, dans de nombreux cas, et oblige le ministère de la Défense et la communauté du renseignement à fonctionner un peu différemment. Peut-être être un peu plus ouvert en termes d'informations qu'ils sont prêts à partager avec le secteur privé.
Livingstone : Si l'on pense historiquement à la défense nationale, c'est une responsabilité gouvernementale. Vous construisez une marine, vous construisez une armée, vous défendez les frontières. Le rôle du secteur privé à cet égard a été en grande partie de fournir à cette armée ou à cette marine tout ce dont elle a besoin. Il ne s'est pas défendu. Mais si nous avançons de 20, 30, 50 ans, tout à coup vous avez un monde où la sécurité de la nation dépend du secteur privé et non du gouvernement. Quel est le rôle du gouvernement dans un monde où ma sécurité dépend de ce que mon service public décide de dépenser ? Ou à quoi ce gazoduc à but lucratif décide-t-il de dépenser de l'argent ? Ou pourquoi cette usine chimique à 50 miles de moi décide de dépenser de l'argent ? C'est une question de politique publique très difficile, et nous n'y arriverons pas, je ne pense pas, tant qu'il n'y aura malheureusement pas d'incident majeur.
Roi: Il m'est apparu évident que nous n'avons pas de doctrine, que nous n'avons pas de stratégie et que nous n'avons aucune politique qui dissuadera de quelque manière que ce soit les adversaires de nous poursuivre. Nous sommes un rendez-vous pas cher. Pourquoi ne nous attaqueriez-vous pas dans le cyberespace si vous pouvez le faire avec une relative impunité ? Jusqu'à ce que nous développions une capacité de dissuasion et une meilleure résilience, cela va continuer à se produire.
La bonne nouvelle est que nous sommes le pays le plus connecté au monde. La mauvaise nouvelle est que nous sommes le pays le plus connecté au monde. Cela fait de nous les plus vulnérables.
• Une version antérieure de cet article indiquait que Sandra Joyce est vice-présidente du renseignement mondial chez FireEye. Elle est première vice-présidente.
