211service.com
S'il s'agit d'une cyberguerre, où sont toutes les cyberarmes ?
Comme la bombe atomique à la fin de la Seconde Guerre mondiale, le virus informatique connu sous le nom de Stuxnet, découvert en 2010, semblait inaugurer une nouvelle ère de guerre. À l'ère de la cyberguerre, ont averti les experts, les attaques silencieuses basées sur des logiciels remplaceront les munitions explosives, les chars et les mitrailleuses, ou du moins prépareront le terrain pour eux.
Ou peut être pas. Près de quatre ans après sa première identification publique, Stuxnet est une anomalie : la première et la seule cyberarme jamais connue à avoir été déployée. Aujourd'hui, certains experts en cybersécurité et en infrastructures critiques veulent savoir pourquoi. Y a-t-il moins de cibles réalistes qu'on ne le pense ? De telles armes sont-elles plus difficiles à construire qu'on ne le pense ? Ou la génération actuelle de cyberarmes est-elle tout simplement trop bien cachée ?
De telles questions étaient dans l'esprit des meilleurs experts mondiaux de la sécurité des systèmes de contrôle industriel la semaine dernière lors de la conférence annuelle S4 conférence en dehors de Miami. S4 rassemble les meilleurs experts mondiaux de la sécurité des réacteurs nucléaires, des réseaux électriques et des chaînes de montage.
Chez S4, il y avait un large consensus sur le fait que, bien après que le nom de Stuxnet ait disparu des gros titres, les systèmes de contrôle industriels tels que les contrôleurs logiques programmables Siemens sont toujours vulnérables.
Eireann Leverett , chercheur en sécurité au cabinet IOActif , a déclaré aux participants à la conférence que les pratiques de sécurité courantes dans le monde des technologies de l'information d'entreprise sont encore rares parmi les fournisseurs qui développent des systèmes de contrôle industriels (voir Protéger les réseaux électriques des pirates informatiques est un énorme défi ). Leverett a noté que les systèmes de contrôle industriels modernes, qui se vendent à des milliers de dollars l'unité, sont souvent livrés avec des logiciels dépourvus de contrôles de sécurité de base tels que l'authentification des utilisateurs, la signature de code pour empêcher les mises à jour logicielles non autorisées ou la journalisation des événements pour permettre aux clients de suivre les modifications apportées à l'appareil. .
Il est également clair que, dans les années qui ont suivi la découverte de Stuxnet, les pays développés et en développement ont saisi les cyberopérations comme une nouvelle voie fructueuse pour la recherche et le développement (voir Bienvenue dans le complexe industriel des logiciels malveillants). Laura Galante, ancienne analyste du renseignement du département américain de la Défense qui travaille maintenant pour la société Mandant , a déclaré que les États-Unis ne suivaient pas seulement les activités de pays comme la Russie et la Chine, mais aussi la cible de choix de la Syrie et de Stuxnet : l'Iran. Galante a déclaré que les cyberarmes donnent aux nations plus petites et plus pauvres un moyen de tirer parti d'une force asymétrique contre des ennemis beaucoup plus gros.
Même ainsi, des cyberarmes vraiment efficaces nécessitent une expertise extraordinaire. Ralph Langner , peut-être la plus haute autorité mondiale sur le ver Stuxnet, soutient que le simple piratage de systèmes critiques ne compte pas comme une cyberguerre. Par exemple, Stuxnet a fait la une des journaux pour avoir utilisé quatre exploits pour des trous zero day (ou non découverts auparavant) dans le système d'exploitation Windows. Mais Langner a déclaré que l'expertise métallurgique nécessaire pour comprendre la construction des centrifugeuses iraniennes était bien plus impressionnante. Ceux qui ont créé Stuxnet avaient besoin de connaître la quantité exacte de pression ou de couple nécessaire pour endommager les rotors en aluminium à l'intérieur, sabotant ainsi l'opération d'enrichissement d'uranium du pays.
Se concentrer sur les outils logiciels qui peuvent causer des dommages physiques place la barre beaucoup plus haute pour les discussions sur les cyberarmes, soutient Langner. Selon cette norme, Stuxnet était une véritable cyberarme, mais l'attaque Shamoon de 2012 contre le géant pétrolier Saudi Aramco et d'autres compagnies pétrolières ne l'était pas, même si elle a effacé les disques durs des ordinateurs infectés.
Certains prétendent que les conditions d'utilisation d'une cyberarme aussi destructrice ne se sont tout simplement plus réunies, et il est peu probable qu'elles le soient avant un certain temps. Des opérations comme Stuxnet - des projets furtifs conçus pour dégrader lentement la capacité d'enrichissement de l'Iran au fil des ans - sont l'exception plutôt que la règle, a déclaré Thomas Rid du Département d'études sur la guerre du Kings College de Londres. Il n'y a pas trop de cibles qui se prêteraient à une campagne secrète comme l'a fait Stuxnet, a déclaré Rid.
Rid a déclaré aux participants que la qualité des renseignements recueillis sur une cible particulière fait la différence entre une cyberarme efficace et un flop.
Il est également possible que d'autres cyberarmes aient été utilisées, mais les circonstances entourant leur utilisation sont secrètes, verrouillées par les gouvernements en tant qu'informations classifiées ou protégées par des accords de non-divulgation stricts.
En effet, Langner, qui travaille avec certaines des plus grandes entreprises industrielles et gouvernements du monde, a déclaré qu'il connaissait une autre véritable cyberattaque physique, celle-ci liée à un groupe criminel. Mais il ne voulait pas en parler.
Les professionnels du contrôle industriel et les universitaires se plaignent du fait que les informations nécessaires à la recherche d'attaques futures sont tenues hors du domaine public. Et les services publics, les entreprises industrielles et les propriétaires d'infrastructures critiques commencent à peine à se rendre compte que les systèmes qu'ils supposaient isolés de l'Internet public ne le sont très souvent pas.
Pendant ce temps, la technologie entraîne des changements encore plus rapides et transformateurs dans le cadre de ce qu'on appelle l'Internet des objets. La connectivité Internet omniprésente combinée à des ordinateurs et des capteurs peu coûteux et minuscules permettra bientôt aux systèmes autonomes de communiquer directement entre eux (voir Sécuriser la maison intelligente, des grille-pain aux toilettes ).
Sans fonctionnalités de sécurité appropriées intégrées aux produits industriels dès le départ, le potentiel d'attaques et de dommages physiques augmente considérablement. Si nous continuons à ignorer le problème, nous allons avoir de gros ennuis, a déclaré Langner.