Cyber-attaques : une fatalité ?
Cyber-attaques de masse :
Hackers 1, Etats 0
Un rapport publié ce mercredi par la société américaine McAfee dévoile que 72 organisations et entreprises ont été les cibles de cyber-attaques depuis 2006. On soupçonne la Chine mais impossible de l'accuser sans preuves concrètes. Et il n'existe toujours pas de solution mondiale concertée pour agir contre les pirates. Décryptage avec Nicolas Arpagian, directeur scientifique à l’Institut National des Hautes Etudes de la Sécurité et de la Justice.
Crédit Flickr/zigazou76
Atlantico : L’ampleur des cyber-attaques révélées aujourd’hui par le rapport publié par la société MacAfee vous surprend-elle ?
Nicolas Arpagian : A partir du moment où dans nos organisations, on confie un nombre croissant de données aux systèmes d’informations, il est naturel que les cyber-attaques s’amplifient dans les mêmes proportions. Les attaques dont nous sommes témoins aujourd'hui sont à la mesure de notre dépendance numérique actuelle.
Dans ce cas précis, pouvez-vous dresser un portrait-robot de l’attaquant ?
Inévitablement, on agite le spectre chinois. On ne prête qu’aux riches. Il y a un savoir-faire chinois en la matière qui est incontestable mais il ne faut pas systématiquement évoquer la piste chinoise. Tous les grand pays se sont dotés de moyens humains, techniques et juridiques pour mener ce type d’opérations.
A quoi servent ces cyber-attaques ?
Dans cette nouvelle forme d’économie, on est dans une logique évidente de concurrence par la détention d’informations. Détenir des informations, c’est détenir un pouvoir. Il faut distinguer les opérations ou l’attaquant fait une campagne de communication en démontrant l’incapacité de l’attaqué à préserver des informations (type Anonymous vs. Sony), avec celles ou l’attaquant souhaite toute simplement capter le plus d’informations possibles pour pouvoir les utiliser ensuite à son profit. Ici l’attaquant aurait certainement souhaité que son mode opératoire reste camouflé le plus longtemps possible. Nous sommes dans un cas d’espionnage classique. Le but est de faire en sorte que celui qui est piraté ne change rien à son comportement, n’est pas conscience des attaques qui le touchent.
De plus en plus de cyber-attaques sont dévoilées par la presse, mais leurs conséquences paraissent floues, voire nulles. Comment l’expliquez-vous ?
Vu la difficulté, pour ne pas dire l’impossibilité, d’établir avec certitude l’origine de l’attaque, ces opérations provoquent rarement des conséquences au plus haut plan. Sans preuves concrètes, il est extrêmement difficile d’accuser un pays comme la Chine. Même si l’on pouvait relier l’attaque à des serveurs chinois, le cerveau d’une opération d’une telle ampleur aurait très bien pu brouiller les pistes en utilisant des ordinateurs zombies (botnets) pour fausser la localisation géographique des attaques.
Dans ce cas-là, quelle est la parade que les Etats peuvent utiliser contre ce genre d'attaque ?
L’annonce des Etats-Unis, il y a quelques semaines, d’assimiler à des actes de guerre conventionnelle les cyber-attaques sonne comme un aveu de faiblesse. Les Etats vont être obligés, en concertation avec les acteurs privés, de trouver des solutions concrètes à ce problème d’anonymat. Jusqu’à quel point peuvent-ils accepter l’excuse qui stipule qu’il est impossible de retracer avec certitude les origines d'une attaque ? Les solutions existent mais elles mettraient sérieusement en danger les conventions déjà en vigueur en matière de protection de la vie privée. Les Chinois et les Russes ont par exemple créé un Intranet. C’est un véritable outil de censure qui bafouerait nombre de nos principes démocratiques mais c’est aussi un excellent moyen de se protéger des attaques extérieures. L’équilibre se situe entre un intérêt supérieur de sécurité nationale et le droit de chaque internaute à une serre privée, à une confidentialité des connections.
De telles décisions sont-elles envisageables dans un avenir proche ?
Les Grecs et les Romains naviguaient déjà il y a des siècles, mais il a fallu attendre la convention de Montego Bay dans les années 80 pour avoir un texte qui régit le droit de la mer à l’échelle internationale. Même sur des sujets qui remportent l’adhésion de tous comme la lutte contre la pédopornographie sur Internet, il aura fallu attendre 3 ans de négociations pour arriver à un consensus. Si la plupart des pays ont signé la convention de Budapest en novembre 2001, beaucoup tardent toujours à l’appliquer. Cette accumulation de faits dévoilée par MacAfee pourrait être l’élément déclencheur qui pousserait les Etats à instaurer des mesures en ce sens.
Nicolas Arpagian
Nicolas Arpagian est directeur scientifique du cycle « Sécurité Numérique » à l’Institut National des Hautes Etudes de la Sécurité et de la Justice (INHESJ).
Nos articles sont ouverts aux commentaires sur une période de 7 jours.
Face à certains abus et dérives, nous vous rappelons que cet espace a vocation à partager vos avis sur nos contenus et à débattre mais en aucun cas à proférer des propos calomnieux, violents ou injurieux. Nous vous rappelons également que nous modérons ces commentaires et que nous pouvons être amenés à bloquer les comptes qui contreviendraient de façon récurrente à nos conditions d'utilisation.
Il faudrait Etats contre Etats, 1-0.
Les "hackers" individuels sont dotés d'une auréole de chevaliers blancs, pourchassant les secrets d'état. En fait, il s'agit bien plus d'espionnage, actrivité conventionnelle, grâce aux moyens modernes et d'actes de guerre d'état à état. La Chine sûrement, mais bien d'autres classés dans notre camp.
Bonjour Nicolas, ravi voir qu'Atlantico recrute les meilleurs ! Quand on sait à quel point il est déjà redoutable de mettre en place une politique de sécurité crédible à l'échelle d'une grande entreprise, j'ai très peur que les états ne réagissent que tardivement et mollement. A moins d'un big boom peu souhaitable.