Une déclaration commune des autorités américaines, du FBI, de la CISA, de l'ODNI et de la NSA indique que le piratage de SolarWinds était « probablement d'origine russe ». Cette attaque s'inscrit-elle dans une cyberguerre plus globale ? Doit-on s’attendre à une riposte américaine ?
Atlantico.fr : Les services de renseignements américains accusent la Russie d’être à l’origine de la faille de sécurité majeure qu’a connu le pays en décembre. Quelle était l’ampleur et la gravité de cette faille et qu’a-t-elle compromis ?
Fabrice Epelboin : Le problème avec SolarWinds serait, ce n’est pas encore certain, une backdoor. C’est un passage secret dans une technologie qui permet soit à son fabricant, soit à des services de renseignements de prendre le contrôle d’une technologie et de surveiller. Cette backdoor aurait été découverte par des Russes selon les Américains. Toujours est-il que cette technologie SolarWinds qui est sur tout un tas de services est trouée. Avec cette faille, on peut visiter tout un tas de gens et potentiellement faire bien plus que les visiter. Microsoft a annoncé que les hackers avaient utilisé cela pour accéder au code de Microsoft. Et les conséquences peuvent être très importantes. Il y en a une myriade d’autres et l’ampleur est potentiellement gigantesque. Le scénario catastrophe serait qu’ils repèrent un problème dans le code de Microsoft et s’en servent pour attaquer tous les utilisateurs de Windows par exemple. On a encore du mal à quantifier l’ampleur de l’attaque. SolarWinds est utilisé de manière très vaste. C’est très compliqué d’anticiper les conséquences. S’il y avait une intention de saboter cela aurait des conséquences graves, mais ça aurait déjà été fait. On a utilisé une backdoor contre les Américains donc c’est un peu l’arme qui se retourne contre son créateur. Le problème c’est que ça va être compliqué de le réparer, parfois ce n’est pas vraiment réparable. Et si vous le réparez, vous perdez le système de surveillance que vous avez-vous-même mis en place. Il y a deux ou trois ans, deux cyberattaques célèbres NotPetya, un ransomware, et WannaCry, un wiper, ont utilisé du matériel volé à la NSA. Cette dernière attaque a touché Renault, Saint-Gobain ou encore Merx qui ont perdu plusieurs centaines de millions d’euros. Cela pose deux problématiques distinctes. Celle de réserver des passages secrets dans ce que l’on vend pour aller espionner et d’autre part le risque que les armes que vous créez soient volées.
Sait-on ce qui permet d’incriminer la Russie pour SolarWinds ?
Les Etats-Unis font leurs audits de manière sérieuse mais on ne saura vraiment jamais. Il faut séparer la dimension technique de la dimension politique. D’un point de vue technique, c’est impossible de faire une attribution à 100 % car on peut se faire passer pour ce qu’on n’est pas. L’audit technique va pointer les Russes mais c’est une décision politique de les pointer publiquement.
Cette fuite est-elle un élément isolé ou doit-on la comprendre comme un élément d’une cyberguerre plus globale ? Doit-on s’attendre à une riposte américaine ?
C’est une cyberguerre froide. Ce n’est pas une guerre ouverte. C’est un très gros coup dans un procédé qui est assez banal, quotidien. On ne parle que très rarement des cyber-attaques américaines mais il y en a autant voir plus que du côté Russe. La question de la réponse américaine, c’est une question de doctrine militaire. Il y a un perpétuel jeu de surveillance de part et d’autre. Mais tout le monde attaque tout le monde, y compris nous, Français. La principale utilisation de ce type d’attaques c’est l’espionnage industriel. On a accusé les Russes de chercher à voler les recettes des vaccins Covid, mais tout le monde fait ça. On a simplement un prisme déformant. Et les alliés s’espionnent les uns les autres. Il est difficile d’établir une comptabilité parce qu’on n’en parle pas, ça reste dans les arcanes de la diplomaties. Et dans certains cas, il n’y a plus rien à espionner. Airbus fait tourner Palantir sur ses systèmes et utilise Google Docs, donc il n’y a plus besoin de faire de l’espionnage.
Peut-on parler d’une cyberguerre mondiale qui serait en préparation voire en cours, est-ce un scénario possible ?
On ne va pas parler de cyberguerre mondiale car il n’y a pas des masses de victimes. C’est une cyberguerre mondiale froide, il y a peu de cyber-morts et cela se joue principalement sur la propriété intellectuelle. Il y assez peu de sabotages de systèmes, c’est essentiellement de la surveillance et de l’espionnage industriel. La problématique est un peu la même qu’avec le nucléaire. Tout le monde surveille tout le monde et peut nuire à l’autre. Le conflit cataclysmique facile à envisager, ce serait des attaques sur les réseaux électriques. Si on prive un secteur d’énergie, les émeutes urbaines surviennent très rapidement. Il y a eu une multitude d’attaques par le passé sur ces réseaux qui consistaient à regarder et non saboter. S’il n’y a que peu de sabotages à ce jour, ce n’est par impossibilité mais par peur des répliques. Mais celui qui a la plus grosse puissance d’attaque n’est pas forcément celui qui va gagner. Les Américains dominent, mais dans le cyber il y a un paramètre qui s’appelle la surface d’attaque, c’est le nombre de systèmes à défendre. Celle des Américains est absolument gigantesque. Un petit acteur avec des petits moyens peut provoquer des dégâts considérables car on ne peut pas tout défendre. Par exemple, Stuxnet est un virus américain qui devait saboter les usines d’enrichissement d’uranium iraniennes. Quand les Iraniens s’en sont aperçus, ils ont répliqué avec un armement très basique. Et ils ont paralysé la plus grande banque américaine et attaqué Aramco qui gère tout le pétrole saoudien. Aramco a été paralysé 40 jours. Dans cette logique personne n’a intérêt à attaquer frontalement. Le but du jeu c’est l’espionnage industriel, pas la guerre. La propriété industrielle existe sous forme de 0 et de 1 quelque part et c’est ça qu’il faut protéger. La limite de la comparaison entre la guerre et la cyberguerre c’est au niveau des décisions. Or il y a une vraie non-transposabilité du réel dans le numérique.
Est-ce qu’on peut avoir une désescalade dans la cyberguerre ?
Je ne vois pas très bien comment. Il pourrait y avoir des conventions internationales mais comme je vous le disais, l’attribution est toujours un acte politique et non technique. Cela pose un problème de doctrine militaire en termes de contre-offensive. La propriété industrielle représente une très grosse valeur, je ne vois pas pourquoi les Russes, les Chinois ou les Américains s’arrêteraient.
En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.
Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !