Les hors-la-loi de Moore





Eugene Kaspersky, PDG de la société antivirus russe Kaspersky Lab, admet qu'il lui a traversé l'esprit l'année dernière qu'il pourrait mourir dans un accident d'avion causé par une cyberattaque. Kaspersky est un homme aux goûts éclectiques et à l'humour enfantin ; lorsque nous nous sommes rencontrés dans son bureau à la périphérie de Moscou, il grignotait une collation de bébés crabes entiers sucrés et lyophilisés du Japon, et à un moment donné, il m'a montré une paire de sous-vêtements pour hommes, achetés dans une rue de Moscou, qui avaient estampillé Protégé par Kaspersky Anti-Virus. Mais il est devenu assez sérieux lorsque le sujet est passé aux jours précédant le 1er avril 2009.

C'était la date à laquelle un ver informatique virulent appelé Conficker devait recevoir une mise à jour de son créateur inconnu, mais personne ne savait à quelle fin. Une modification du code de Conficker pourrait amener les quelque trois millions de machines de son armée d'ordinateurs asservis, appelés botnets, à commencer à attaquer les serveurs d'une entreprise ou un réseau gouvernemental, à vomir des milliards de spams ou simplement à améliorer le propre du ver. capacité à se propager. C'est comme si vous aviez une armée d'un million de vrais soldats. Que pouvez-vous faire? Kaspersky a demandé rhétoriquement. Tout ce que tu veux . Il laissa entrer ça un instant. Nous attendions le 1er avril pour quelque chose . J'ai vérifié mon horaire de voyage pour m'assurer que je n'avais pas de vol. Nous n'avions aucune idée de cette fonctionnalité. Les responsables de la sécurité étaient vraiment nerveux. À la fin? Rien ne s'est passé. Ouf! Ouf! Kaspersky a crié. Il se signa, joignit les mains dans une posture de prière et regarda vers le plafond.

Le sida peut-il être guéri ?

Cette histoire faisait partie de notre numéro de juillet 2010



  • Voir le reste du numéro
  • S'abonner

Les inconnues concernant Conficker au printemps 2009 (l'infection reste répandue mais, jusqu'à présent, inactive) reflètent de plus grandes inconnues sur la gravité de la cybersécurité ( voir Briefing ). Les tendances ne sont pas prometteuses : visitez les laboratoires de Kaspersky, ou ceux de toute entreprise de sécurité informatique ou avant-poste de recherche, et vous apprendrez rapidement que les logiciels malveillants sont plus difficiles à détecter, que la diffusion des spams est plus rapide et que les attaques augmentent en nombre et en impact financier ( voir la montée des cybermenaces mondiales voir le diaporama ). Les experts en sécurité et les attaquants sont enfermés dans une sorte de course aux armements. Dans le cas de Kaspersky, ses ingénieurs et cryptographes font tout, de la recherche de méthodes de détection de virus automatisées plus rapides à la recherche d'indices sur ce qui s'en vient sur les blogs de hackers en russe.

Les solutions ingénieuses se multiplient, mais les attaques se multiplient encore plus vite. Et les révélations de cette année sur les attaques basées en Chine contre des cibles commerciales et politiques, y compris Google et le Dalaï Lama, suggèrent que l'espionnage électronique sophistiqué se développe également. Ce que nous avons vu, au cours de la dernière décennie, c'est que la loi de Moore fonctionne plus pour les méchants que pour les gentils, déclare Stewart Baker, ancien avocat général de la National Security Agency et ancien chef des politiques à la Département américain de la sécurité intérieure, se référant à la prédiction selon laquelle les circuits intégrés doubleraient la capacité des transistors environ tous les deux ans. Ce sont vraiment les « hors-la-loi de Moore » qui gagnent ce combat. Le code est plus complexe, et cela signifie plus d'opportunités d'exploiter le code. Il y a plus d'argent à gagner en exploitant le code, et cela signifie qu'il y a de plus en plus de personnes sophistiquées qui cherchent à exploiter les vulnérabilités. Si vous regardez des choses comme les logiciels malveillants trouvés, ou les attaques, ou la taille du transport que les gens tirent, il y a une augmentation exponentielle.

Alors que ces conflits de faible intensité se poursuivent, la menace d'une cyberguerre pure et simple augmente également. Selon le FBI, plus de 100 nations ont développé des organisations pour mener des activités de cyberespionnage, et au moins cinq nations - les États-Unis, la Russie, la Chine, Israël et la France - développent de véritables cyber-armes, selon un rapport de novembre 2009 de la société de sécurité informatique McAfee. (En mai, le Sénat américain a confirmé le directeur de la National Security Agency, le général Keith Alexander, à la tête du nouveau Cyber ​​Command américain.) Ces arsenaux pourraient désactiver les réseaux militaires ou faire tomber les réseaux électriques. Et la bataille pourrait s'intensifier à la vitesse de la lumière, pas seulement celle des missiles balistiques intercontinentaux. Les cyber-armes peuvent affecter un grand nombre de personnes, ainsi que le nucléaire. Mais il y a une grande différence entre eux, explique Vladimir Sherstyuk, membre du Conseil de sécurité nationale de Russie et directeur de l'Institut pour les questions de sécurité de l'information à l'Université d'État de Moscou. Les cyber-armes sont très bon marché ! Presque gratuit.



Cette forme de bataille est encore largement spéculative et peut impliquer des armes spécialisées, alors que le siège des attaques de pirates et de logiciels malveillants est une réalité quotidienne pour les particuliers et les entreprises. Mais les deux types de conflits partagent le même médium, et ils pourraient partager certaines des mêmes approches. Peut-être le plus important, le premier devient plus facile à mener et plus dangereux, dans l'environnement trouble et chaotique créé par le second. S'attaquer aux botnets, s'attaquer aux trucs d'espionnage d'entreprise, n'éliminera pas la menace d'une cyber-guerre perturbatrice, déclare Greg Rattray, ancien responsable de la sécurité nationale de la Maison Blanche et auteur de S guerre stratégique dans le cyberespace . Mais un écosystème plus propre mettrait en lumière les activités de cyberguerre, les rendant plus faciles à détecter et à combattre.

Sourire et le supporter: En l'absence d'accords internationaux solides sur la lutte contre la cybercriminalité, la collaboration ad hoc fait parfois l'affaire, comme lorsque Eugene Kaspersky, PDG de la société de sécurité moscovite Kaspersky Lab, a aidé la police néerlandaise à fermer un botnet. Mais de tels succès isolés ne suivent pas le rythme de l'augmentation exponentielle des attaques.

À un niveau de base, une technologie défectueuse est responsable de tout le gâchis. De nombreux composants de nos réseaux actuels n'ont pas été conçus pour être particulièrement sécurisés ( voir The Internet Is Broken , décembre 2005/janvier 2006 ). Rapport après rapport des agences fédérales, du Conseil national de recherches et des groupes de réflexion comme Rand ont clairement indiqué que la réparation définitive du cyberespace nécessitera une accélération de la recherche et du développement pour rendre les technologies matérielles, logicielles et réseau plus sûres, puis obtenir ces technologies rapidement. en place. Le dernier appel est venu dans un rapport publié en novembre dernier par le Department of Homeland Security, qui a conclu que la seule solution à long terme… est de s'assurer que les générations futures de ces technologies sont conçues avec une sécurité intégrée dès le départ.



Mais la sécurisation du cyberespace ne peut pas attendre des réseaux entièrement nouveaux. En attendant, nous devons commencer à nous attaquer à une foule d'autres problèmes systémiques. Parmi eux : les pratiques de sécurité de bon sens sont souvent ignorées, la coopération internationale est aussi inégale que la technologie est poreuse, et les fournisseurs d'accès Internet ne font pas assez pour bloquer le trafic malveillant. Le durcissement des objectifs – et le fait d'avoir de bonnes lois et une bonne capacité d'application de la loi – sont les éléments fondamentaux clés, quelles que soient les autres activités que nous voulons essayer de poursuivre, a souligné Christopher Painter, directeur principal de la cybersécurité à la Maison Blanche, lors d'une récente conférence. Examen de la technologie a enquêté sur trois épisodes récents - une enquête exceptionnelle sur un botnet en Hollande, une enquête sur l'espionnage basé en Chine en Inde et dans d'autres pays, et les attaques Internet de 2007 contre le petit État balte d'Estonie - pour tirer des leçons sur la façon de mieux contrôler et sécuriser les cyberespace dont nous disposons, et préparez-vous à la cyberguerre qui, nous l'espérons, ne viendra jamais.

Ombre et Grum

Le Néerlandais de la ville de Sneek n'avait que 19 ans, mais il avait déjà accompli plus que ce que la plupart d'entre nous peuvent prétendre : il avait pris le contrôle illicite de 150 000 ordinateurs dans le monde. Les victimes involontaires avaient été arrêtées au moyen de messages intelligents semblant provenir de leurs contacts sur Windows Live Messenger de Microsoft. Ceux qui ont cliqué sur un lien dans le message ont téléchargé un virus ; chaque ordinateur est alors devenu un bot. À l'été 2008, selon un acte d'accusation américain, l'homme, Nordin Nasiri, a décidé de vendre le contrôle de ces machines asservies - un botnet qu'il a appelé Shadow - pour 25 000 euros.

Les botnets sont parmi les menaces les plus sérieuses sur Internet. Ce sont les moteurs du spam et de la fraude et de l'usurpation d'identité que le spam perpétue (selon un récent rapport de la société de sécurité MessageLabs, près de 130 milliards de messages de spam sont envoyés chaque jour, et les botnets sont responsables de 92 % d'entre eux). Ils sont également responsables de menaces telles que les attaques par déni de service, dans lesquelles des gangs d'ordinateurs inondent un serveur d'entreprise ou gouvernemental avec tellement de trafic qu'il ne peut pas fonctionner. Des milliers de grands botnets envahissent l'éther numérique, y compris certains qui sont des millions de machines puissantes. Les botnets sont vraiment la cause première et le véhicule de la plupart des maux qui se produisent et affectent tout le monde, déclare Christopher Kruegel, informaticien et chercheur en sécurité à l'Université de



Californie, Santa Barbara.

Espionnage dans le Cloud : Comment des pirates informatiques basés en Chine ont exploité les services Web 2.0 pour gérer un réseau d'espionnage mondial.

Au printemps dernier, des chercheurs ont découvert un réseau d'espionnage informatique dirigé depuis la Chine par des auteurs qui restent inconnus. Sur la carte ci-dessus, les cercles représentent les emplacements de 139 ordinateurs connus pour avoir été infectés par le logiciel espion ; ils comprenaient des membres du Secrétariat du Conseil de sécurité nationale de l'Inde, du Bureau du Dalaï Lama et de l'ambassade du Pakistan aux États-Unis. Les ordinateurs infectés utilisaient des services Web 2.0 populaires (représentés ci-dessus comme un nuage) pour se connecter aux sites des attaquants, et ces sites ont ensuite envoyé aux machines les adresses des serveurs de commande et de contrôle auxquels ils se connecteraient et enverraient leurs données. Dans un cas documenté par les chercheurs, 1 500 lettres du Dalaï Lama ont été envoyées de Dharamsala, en Inde, à un serveur de commandement et de contrôle à Chongqing, en Chine. Les chercheurs soupçonnent que les infections d'origine ont pris racine lorsque certaines victimes ont ouvert des documents Word et PDF chargés de virus qui leur ont été envoyés par courrier électronique. Des ordinateurs infectés ont également été trouvés en Chine ; certains ont été utilisés par les attaquants pour tester leur système.

Au fur et à mesure que les choses se sont déroulées, l'affaire Nasiri a été un modèle pour une enquête transnationale réussie sur un botnet. Aux États-Unis, le FBI a obtenu une information sur le Néerlandais et l'a transmise à l'unité de haute technologie de la police nationale néerlandaise, qui l'a arrêté. Ensuite, de manière inhabituelle, les enquêteurs néerlandais ont demandé l'aide de sociétés antivirus pour élaborer des instructions permettant d'effacer l'infection des ordinateurs des victimes et de reprendre le système de commande et de contrôle du botnet, qui fonctionnait sur des serveurs aux Pays-Bas. Ils voulaient faire quelque chose de nouveau – éliminer le botnet, se souvient Roel Schouwenberg, chercheur en antivirus à Kaspersky Lab, que la police néerlandaise a contacté pour effectuer la tâche. Il y avait un certain risque qu'il soit volé par d'autres méchants.

Le problème, c'est que l'enquête américano-néerlandaise était une exception. À l'époque où Shadow était fermé, un autre botnet, connu sous le nom de Grum, gagnait en puissance ( voir Botnet Snapshot dans le diaporama) . Le système de commandement et de contrôle de Grum était hébergé par une société ukrainienne appelée Steephost. En novembre 2009, Alex Lanstein, un chercheur de la société de sécurité informatique américaine FireEye, a écrit un e-mail sérieux à l'adresse de notification d'abus de Steephost. Salut Abus, a-t-il commencé, j'ai pensé que vous seriez intéressé de connaître un réseau criminel en aval de vous. Il a exposé les faits sur Grum et d'autres sites malveillants qu'il hébergeait, mais il n'a reçu aucune réponse. Quelques jours plus tard, cependant, il a remarqué l'apparition d'une sorte de feuille de vigne de botnet : les adresses Web des sites malveillants conduisaient désormais à de fausses pages d'accueil de commerce électronique. En mars, la société de sécurité informatique Symantec a déclaré que Grum était responsable de 24 % de tous les spams sur Internet, contre 9 % à la fin de 2009.

Les propriétaires de Steephost, qui n'ont pas pu être joints pour commenter, n'avaient pas à s'inquiéter de faire un pied de nez à Lanstein. Les botnets opèrent librement au-delà des frontières nationales, et les forces de l'ordre sont loin derrière. Un traité visant à renforcer la coopération en matière d'enquête, la Convention européenne sur la cybercriminalité, a été signé par 46 pays, principalement en Europe, mais comprenant les États-Unis, le Canada, l'Afrique du Sud et le Japon. Mais il n'a pas été signé par la Chine, la Russie ou le Brésil, qui (avec les États-Unis) se disputent le leadership en tant que principaux hôtes mondiaux de cyberattaques. Certains signataires, comme l'Ukraine, ne sont pas connus pour leurs efforts enthousiastes visant à arrêter les botnets. Et les tentatives pour créer une version globale sont au point mort ( voir L'impasse mondiale sur la cybercriminalité ). Les botnets sont une menace sérieuse, mais nous n'avons pas de chance tant qu'il n'y aura pas d'accord international sur le fait que la cybercriminalité a vraiment besoin de contre-mesures et de poursuites assez rigoureuses dans pratiquement tous les pays utilisateurs d'Internet, déclare Vern Paxson, informaticien à l'Université de Californie, Berkeley, qui étudie les attaques Internet à grande échelle.

Compte tenu des faibles perspectives d'un accord mondial, les États-Unis tentent de forger des accords bilatéraux avec certaines des pires sources d'attaques, dont la Russie. La Russie coopère de manière ponctuelle à la poursuite de cybercriminels locaux - elle a récemment aidé à l'arrestation de plusieurs personnes en Russie qui auraient commis un vol en ligne de 10 millions de dollars auprès de la Bank of Scotland - mais ne permet pas aux forces de l'ordre d'autres nations accèdent à ses réseaux. Pourtant, Sherstyuk, le tsar russe de la sécurité de l'information, m'a dit : Nous voulons aider à établir les règles dans la sphère de l'information. Et je parie qu'il y a beaucoup de choses que nous pouvons faire ensemble.

Instantané du botnet : Un botnet appelé Grum est l'une des principales sources de spam sur Internet. Voici quelques-unes de ses statistiques vitales.

De nombreux fournisseurs de services Internet, une autre source potentielle de défense, font également un timide effort. Les FAI ont la capacité d'identifier et de mettre en quarantaine les machines infectées sur leurs réseaux, contenant ainsi une source de spam et d'attaques. Mais dans la pratique, la plupart des FAI ignorent tout sauf ces machines si nocives qu'elles incitent les autres FAI à riposter en bloquant le trafic. Il est beaucoup moins cher de fournir la bande passante supplémentaire que de résoudre le problème, explique Michel van Eeten, professeur de politique technologique à l'Université de technologie de Delft aux Pays-Bas, qui étudie les botnets. Il décrit le cas d'un FAI australien qui envisageait une technologie pour couper automatiquement les ordinateurs infectés. Le FAI a rapidement abandonné le plan lorsqu'il s'est rendu compte que 40 000 clients confus et en colère appelleraient chaque mois les lignes de support client, se demandant pourquoi ils avaient été coupés et comment nettoyer leurs machines. Les FAI s'occupent généralement des robots qui déclenchent des contre-mesures contre le FAI lui-même, van Eeten

dit, mais pas trop, en raison de l'impact financier de l'intensification d'un tel effort.

Quant à l'affaire néerlandaise, elle a révélé que même les enquêtes réussies sont difficiles à poursuivre. Aujourd'hui, Nasiri attend son procès en Hollande pour des accusations néerlandaises. Mais un Brésilien initialement inculpé avec lui a échappé au procès. L'acte d'accusation américain avait allégué que le Brésilien avait orchestré la réception de 23 000 euros d'un acheteur et s'était arrangé pour recevoir des médias électroniques de Nasiri contenant le code du bot. Il semblait qu'il avait été pris en flagrant délit. L'année dernière, cependant, les États-Unis ont abandonné les charges, invoquant l'indisponibilité d'un témoin clé. La police néerlandaise dit qu'ils l'ont escorté à l'aéroport d'Amsterdam Schiphol et qu'il est retourné au Brésil, un homme libre.

Espionnage

En 1959, le chef spirituel tibétain, le Dalaï Lama, s'est enfui à Dharamsala, une ville pittoresque des contreforts himalayens du nord de l'Inde qui abrite toujours le gouvernement tibétain en exil. Là, un café local appelé Common Ground sert également d'organisation non gouvernementale qui essaie de combler le fossé entre les cultures chinoise et tibétaine. Mais en 2009, un informaticien en visite au café a découvert un pont d'un autre genre : un pipeline d'espionnage électronique. Le chercheur, Greg Walton, a remarqué que les ordinateurs du réseau maillé Wi-Fi de la ville, appelé TennorNet, étaient dirigés vers un serveur de commande et de contrôle à Chongqing, en Chine.

L'étendue de l'espionnage s'étendait bien au-delà du café. Selon des chercheurs de la société de cybercriminalité d'Ottawa SecDev Group (y compris Walton) et de l'Université de Toronto, les victimes comprenaient des agences de l'establishment indien de la sécurité nationale; les données compromises comprenaient des informations personnelles, financières et commerciales appartenant à des Tibétains, des Indiens et des défenseurs des droits de l'homme du monde entier ( voir Espionnage dans le Cloud en diaporama ). La découverte est intervenue avant que les attaques basées en Chine contre Google et d'autres sociétés occidentales n'incitent Google à se retirer de la Chine ( voir China’s Internet Paradox, mai/juin 2010 ). Nous manquons de bonnes mesures pour déterminer l'ampleur du problème d'espionnage, mais il semble clair qu'il s'aggrave bien et rapidement, dit Paxson. Google Chine a été un signal d'alarme, et il y en a beaucoup plus.

Bataille de la Baltique : En 2007, à la suite d'un différend sur le projet de l'Estonie de déplacer un monument russe, des émeutes ont éclaté entre Russes et Estoniens.

La Chine nie que son gouvernement soit derrière les attaques du Dalaï Lama ou de Google, et le groupe de Toronto affirme que le groupe de Toronto dit qu'il ne peut pas prouver que c'était le cas. Mais on peut raisonnablement supposer qu'il existe un marché chinois du renseignement sur les personnes actives dans les cercles tibétains. De nombreuses institutions – entreprises, gouvernements, universités – se trouvent dans une position similaire à celle du gouvernement tibétain en exil, en ce sens qu'elles détiennent des données qui valent la peine d'être volées parce qu'elles ont de la valeur pour quelqu'un. Et les travaux canadiens ont mis en lumière les techniques d'espionnage mondiales qui, de l'avis de tous, sont bien plus répandues que les frappes des attaquants basés en Chine sur des cibles tibétaines. Avec une croissance exponentielle de la cybercriminalité, les organisations privées et publiques trouveront des cyber-pénétrations si elles regardent, explique John Mallery, informaticien au Laboratoire d'informatique et d'intelligence artificielle du MIT. Plus ou moins, les organisations sont embourbées dans des infrastructures et des composants intrinsèquement non sécurisés qui n'ont jamais été conçus pour la sécurité et, au mieux, ont été équipés de mesures de sécurité partielles. Aujourd'hui, l'attaquant a l'avantage au niveau architectural et innove plus vite que les défenseurs. Les organisations peuvent donc gérer leur vulnérabilité en isolant des informations précieuses.

Comme le suggère Mallery, la leçon à tirer est que les organisations doivent prévoir les pertes et rester constamment vigilantes, car aucune infrastructure informatique en réseau ne peut être vraiment sûre. Considérez qu'en réponse à des incursions antérieures (également détectées par les chercheurs canadiens), le personnel du Dalaï Lama avait installé des pare-feu à la pointe de la technologie un an avant la découverte de Walton. Mais les pare-feu doivent généralement être programmés pour bloquer les sites hostiles, et les espions basés en Chine ont utilisé un éventail toujours plus changeant d'intermédiaires apparemment inoffensifs, notamment Google Groups, Twitter et Yahoo Mail. On pense que les attaquants ont intégré leurs logiciels malveillants dans des documents Microsoft Word et PDF envoyés à partir d'adresses e-mail apparemment amicales qui ont été falsifiées ou piratées. Si la victime ouvrait la pièce jointe avec une version vulnérable d'Adobe Reader ou de Microsoft Office, le logiciel espion prenait racine.

Heureusement, certaines technologies émergentes pourraient apporter une solution même dans ces cas. Le cyberespionnage implique souvent l'envoi de commandes malveillantes à un ordinateur infecté qui renvoie ensuite des données. Détecter la signature de ces commandes, puis les bloquer, est l'objectif de Kruegel de Santa Barbara, qui a développé une technologie qui détecte la communication même si l'infection initiale n'a pas été détectée. Même si les attaquants peuvent compromettre les machines, explique Kruegel, si vous pouvez identifier les commandes assez rapidement, vous pouvez les cibler et les abattre. Il espère commercialiser la technologie d'ici un an.

Des changements au niveau politique pourraient également faire la différence : à l'heure actuelle, aucun traité n'empêche ce que les agents basés en Chine ont fait. Alors que les conventions des Nations Unies font des déclarations fortes sur les droits de l'homme, par exemple, et de telles conventions sont fréquemment

invoqué pour condamner les actions de la Chine et d'autres nations - rien de comparable ne traite du pillage numérique qui victimise des cibles dans les domaines de la politique, des affaires et des droits de l'homme. La cybercriminalité se transforme en cyberespionnage en raison de l'absence de restrictions au niveau mondial, explique Ronald Deibert, qui a aidé à diriger la recherche sur l'espionnage en tant que directeur du Citizen Lab, un avant-poste de recherche à l'Université de Toronto. Un traité aiderait à tenir les gouvernements responsables. Vous pouvez dire : « Voici le traité, et la Chine, vous ne respectez pas les règles, mais vous l'avez signé. » ( Voir Militariser le cyberespace, Carnets, p 12. ) En attendant, on peut supposer le pire en ce qui concerne la prévalence du cyberespionnage. Nous devons considérer cela comme une petite fenêtre sur un problème beaucoup plus large, dit-il. Nous avons en quelque sorte plongé notre doigt dans une piscine ici.

Ensuite, une grande partie de l'Internet estonien a été fermée par une série de cyberattaques. La difficulté d'attribuer ces attaques met en évidence le besoin de nouvelles technologies et d'accords internationaux élargis.

Qui l'a fait?

Le matin du 27 avril 2007, le gouvernement estonien, malgré les protestations de la Russie, a commencé à déplacer une statue en bronze d'un soldat soviétique qui avait été initialement installée dans la capitale Tallinn pour commémorer les morts de la Seconde Guerre mondiale. Les 300 000 Russes ethniques vivant en Estonie étaient furieux. Peu de temps après, les attaques sur Internet ont commencé. Les botnets ciblaient les journaux, les télécommunications, les banques et les sites gouvernementaux estoniens. Le réseau national a été assiégé pendant des semaines. La Russie semblait la coupable évidente : son gouvernement avait prévenu que le retrait de la statue serait catastrophique.

Si vous regardiez le trafic du réseau estonien pendant les attaques, vous auriez vu des armées de robots avancer depuis les États-Unis, l'Égypte, le Pérou et d'autres pays. Mais une inspection plus approfondie a révélé que de nombreux robots recevaient des commandes d'ordinateurs en Russie (et des instructions sur la façon d'inonder les sites Web estoniens de pings inutiles diffusées dans les salles de discussion en ligne basées en Russie). Pourtant, il était impossible de déterminer si le gouvernement russe lui-même dirigeait les activités hostiles. La Russie a nié toute responsabilité mais a refusé d'autoriser toute analyse médico-légale de ses réseaux.

Bref, il n'y avait pas de moyen facile d'attribuer l'attaque. Dans un monde qui envisage la perspective d'une cyberguerre, les situations la perspective d'une cyberguerre, des situations comme celle-ci sont parmi les plus gros problèmes auxquels les nations sont confrontées, mais certainement pas les seuls. Si une brèche de réseau visant à l'espionnage ne peut pas être facilement distinguée d'une brèche prélude à une attaque, il est difficile de savoir quand une contre-attaque est justifiée. Il n'y a pas non plus de moyen de mener des inspections pour les cyberarmes, de mesurer leur rendement potentiel ou de certifier qu'elles ont été détruites. Lorsque le Sénat a pressé le général Alexander, le nouveau chef de l'U.S. Cyber ​​Command, d'expliquer comment les États-Unis allaient traiter ces problèmes, ses réponses ont été classifiées. L'ensemble du phénomène de la cyberguerre est entouré d'un tel secret gouvernemental qu'il fait ressembler la guerre froide à une période d'ouverture et de transparence, écrit Richard Clarke, l'ancien tsar de la lutte contre le terrorisme, dans son nouveau livre, Cyber ​​War: The Next Threat to National Security. Et que faire à propos de ça.

Mais les implications du problème d'attribution sont assez claires. Une attaque contre un pays de l'OTAN oblige d'autres membres de l'OTAN à se joindre au combat, souligne Michael Schmitt, doyen et professeur de droit international au Centre européen d'études de sécurité George C. Marshall en Allemagne. Se tromper serait un désastre. Ce n'est pas une situation où vous pouvez pense l'autre côté a attaqué, dit-il. Vous devez connaître . Comme nous l'avons appris récemment, vous devez obtenir les preuves exactes lorsque vous partez en guerre. Et dans le cas d'une cybermenace, un gouvernement pourrait facilement méconnaître sa source, car les adresses Internet peuvent être dissimulées ou falsifiées. Je suis terrifié que vous attribuiez à tort à un État, dit Schmitt.

À long terme, les correctifs technologiques proposés pourraient résoudre ce problème. Des groupes de recherche de Georgia Tech, de l'Université de Californie, de San Diego, de l'Université de Washington et d'autres institutions travaillent sur des moyens d'établir la provenance des données. Dans une approche développée par des chercheurs de San Diego et de l'Université de Washington, l'identité de l'ordinateur d'origine qui a émis un paquet de données resterait attachée à ces données, sous forme cryptée. La clé numérique de cette identité serait détenue par un tiers de confiance, peut-être accessible uniquement sur décision de justice. Tous les instruments du pouvoir national, allant de la force diplomatique à la force militaire en passant par l'influence économique, ne valent pratiquement rien si vous ne pouvez pas attribuer l'auteur de l'attaque, déclare Stefan Savage, informaticien à l'Université de Californie à San Diego, qui développe la technologie. Mais alors que la technologie peut potentiellement vous dire l'identité

la technologie peut potentiellement vous dire l'identité d'une machine qui a mené une attaque (ou commis un crime), ce n'est pas toujours utile si la source d'origine était un ordinateur public. Pouvoir attribuer une activité à une machine particulière est très différent de pouvoir dire « Quelle était sa véritable source ? », explique Vern Paxson de Berkeley. Même si cela allait jusqu'au système terminal, c'est-à-dire le lieu de la véritable origine d'une attaque, vous pourriez avoir un café à Shanghai. Paxson prévient qu'en général, les approches de suivi des identités dans le cyberespace ont des implications évidentes en matière de confidentialité. La technologie permettant de résoudre ce genre de problèmes – la capacité de surveiller qui fait quoi et de le retracer – serait très puissante, dit-il. Mais ce serait aussi la technologie de l'État policier.

Avec des solutions encore lointaines, éviter une épidémie ou une escalade inutile de la cyber-guerre devra s'appuyer sur des techniques de renseignement plus conventionnelles. La surveillance des réseaux informatiques peut parfois fournir les indices nécessaires pour identifier et exposer un attaquant potentiel, explique Bret Michael, informaticien à la Naval Postgraduate School de Monterey, en Californie. Il en va de même pour les réseaux d'intelligence humaine de base. Si les agences de renseignement peuvent identifier la source d'une menace, elles peuvent mettre en lumière un malfaiteur avant qu'il n'attaque ou peu après, dit-il. Parfois, le simple fait d'être identifié suffit à empêcher une attaque d'avoir lieu.

Cyber ​​Sommet

Par une fraîche matinée d'avril de cette année, plus de 140 diplomates, décideurs politiques et informaticiens sont arrivés dans la ville de montagne de Garmisch-Partenkirchen, en Allemagne. Leur hôte était le ministère russe de l'Intérieur.

Le sujet de la conférence qui les a amenés là : comment sécuriser la sphère de l'information, comme disent les Russes. Mais cela signifiait différentes choses pour les gens de différents pays. Painter, l'assistant de la Maison Blanche, a mis l'accent sur la lutte contre la cybercriminalité. Les russophones – conscients des attentats suicides qui ont récemment frappé le métro de Moscou – ont parlé de contrecarrer la formation et l'organisation des terroristes en ligne. Un chercheur indien a parlé de l'utilisation du réseau par les terroristes de Mumbai et a décrit comment les lois indiennes ont été réformées en réponse. Des représentants de l'Internet Corporation for Assigned Names and Numbers (ICANN), l'autorité responsable des noms de domaine, ont parlé des derniers correctifs de sécurité. Une petite délégation chinoise y a assisté mais a regardé en silence.

Puis, le deuxième jour, Michael Barrett, le responsable de la sécurité des informations chez PayPal, est monté sur le podium pour rappeler aux participants ce qu'ils avaient en commun : un ensemble de technologies défaillant. Comme d'autres cibles, a-t-il déclaré, PayPal, qui offre aux internautes un moyen sécurisé d'envoyer de l'argent dans 190 pays et régions, est en état de siège. Ce qui devient clair pour nous, ainsi que pour tout praticien de la sécurité de l'information, c'est que la plupart des courbes – et nous pouvons tous creuser ces courbes, la quantité de virus sur Internet, le nombre d'incursions et bla bla bla – elles se ressemblent terriblement. Ils ont tous tendance à avoir une échelle logarithmique. Ils montent tous comme cette , dit-il avec un coup de main pointu vers le ciel.

Se référant à des conversations antérieures sur l'amélioration de la coopération et l'ajout de correctifs de sécurité, il a ajouté : ce n'est pas que ces choses soient mauvaises. Mais à ce stade, cela me rappelle un peu la définition de la folie, c'est-à-dire faire la même chose encore et encore et s'attendre à un résultat différent. Notre hypothèse est que pour sécuriser Internet, nous devons penser à la sécurité au niveau de l'écosystème, ce qui signifie repenser les fondements d'Internet. Au moment où Barrett s'échauffait, les organisateurs russes l'ont interrompu. Ils étaient en retard et c'était l'heure du déjeuner, mais la décision était symbolique d'un problème plus vaste. Essentiellement, nous n'avons pas la technologie pour faire face aux menaces générées par l'infrastructure réseau que nous avons mise en place, déclare John Mallery, chercheur au MIT. Plusieurs projets de recherche ont créé des bancs d'essai pour de nouvelles architectures Internet ou des prototypes de systèmes d'exploitation et d'architectures matérielles plus sécurisés, tels que des puces qui stockent certains logiciels dans des zones isolées. Mais le rapport du Department of Homeland Security a toujours trouvé un besoin urgent d'accélérer la recherche et le développement sur la sécurisation du cyberespace.

La discussion collective à Garmisch a été utile pour faire avancer les efforts à court terme. Changer le comportement des utilisateurs d'ordinateurs individuels et des entreprises sera crucial; il en sera de même pour le resserrement des liens avec l'application de la loi, l'installation des derniers correctifs technologiques et l'expansion de la diplomatie. Mais le passage aux nouvelles technologies sera finalement nécessaire. Et cela ne se produira probablement pas tant que nous ne subirons pas une panne ou une attaque majeure. Ce que nous avons vu, c'est que les courses aux armements progressent souvent de manière évolutive. Mais de temps en temps, ils saut , dit Paxson. S'il y a une cyberattaque qui perturbe une ville pendant une semaine, ou si une grande entreprise est mise à genoux, cela changera la donne. Je n'ai aucun moyen de savoir comment le prédire. C'est comme dire ici dans la région de la baie : « Y aura-t-il un gros tremblement de terre dans les trois prochaines années ? » Je ne sais vraiment pas.

Ses remarques m'ont rappelé les craintes d'accident d'avion de Kaspersky ; collectivement, nous ne pouvons tout simplement pas prédire comment et quand les choses pourraient changer. Mais comme l'a dit Baker, la leçon du 11 septembre, la leçon de l'ouragan Katrina, c'est que tôt ou tard, cela va arriver.

David Talbot est Examen de la technologie correspondant en chef de.

cacher