La cyberattaque qui venait du froid

CyberWeek, Tel-Aviv, 27 juin 2017, deux heures de l’après midi. Dans le cadre de cette grande conférence étalée sur une semaine et dédié à la cyber-défense, l’allemand Karsten Geier prend la parole aux côtés de Christopher Painter, le coordinateur de la cybersécurité pour le département d’Etat. Geier a dirigé le  « Group of Governmental Experts » des Nations Unies sur les questions Cyber.

Or, le vendredi précédent, les discussions se sont achevées sur un échec. Certains pays, tels que la Russie, ne veulent pas que le droit de la guerre traditionnel s’applique au cyber-espace. Ce droit demande entre autres à ce qu’en situation de conflit, on ne vise pas délibérément des cibles civiles, sans lien avec des objectifs militaires. L’échec signe l’absence de telles protections des civils dans le cyber-espace.

Le même jour, le 27 juin dernier, un maliciel - malware - frappe plus de 65 pays, de l’Europe aux Etats-Unis en passant par la Chine ou la Russie. Des grandes sociétés comme Mondelez, Saint-Gobain, la SNCF – mais aussi Maersk (transport maritime), le port de Mumbaï ou une chocolaterie Cadbury en Australie sont touchées. Le maliciel demande que l’on paie une rançon de 300 dollars pour récupérer les données. Il ressemble de prime abord à une évolution d’un autre maliciel de rançonnage apparu en mai 2017... WannaCry. Les deux maliciels utilisent une vulnérabilité informatique découverte par la NSA mais jamais divulguée jusqu’à ce qu’un groupe mystérieux, « Shadow Brokers » révèle ces trouvailles en avril 2017. Via cette nouvelle cyber-attaque apparemment crapuleuse, la NSA est humiliée.

Sauf que dans le cyber-espace, attaquer c’est manipuler. Dans les jours qui suivent, la communauté internationale des chercheurs en cybersécurité, y compris russes, vont démonter cette manipulation.

Une première évidence : il est impossible de récupérer les données après paiement de la rançon. L’identifiant indiqué à cet effet est inutile, généré aléatoirement. Pire : le maliciel efface des sections entières du disque dur. Il ne s’agit pas d’une opération de rançon, mais en fait de destruction pure et simple. La rançon, c’est un leurre pour les médias.

L’opération n’est pas crapuleuse. Elle est politique. La cible ? 65 pays sont atteints, mais c’est surtout l’Ukraine, en guerre avec la Russie depuis 2014, qui supporte le gros de l’attaque. Celle-ci proviendrait d’un update infecté de ME Doc, un logiciel de comptabilité imposé par les autorités ukrainiennes. On peut imaginer le désordre provoqué pour les sociétés locales et peut-être aussi pour l’évaluation des taxes & impôts. La société de cybersécurité ESET note que 4/5^ième de ses clients ukrainiens sont touchés. Le secteur stratégique énergétique ou manufacturier y est ciblée en priorité : en Ukraine, l’industrie est frappée dès 08.00 du matin alors que le reste du tissu économique n’est atteint qu’à midi.

La cible politique, c’est aussi la NSA.  La faille trouvée par les services de renseignement américains, et révélé par les mystérieux Shadow Brokers, est incluse dans le maliciel - mais elle n’est en réalité pas essentielle pour la diffusion du maliciel. L’un des contributeurs de Peerlyst, un réseau de chercheurs, note que la propagation du maliciel peut s’effectuer aussi via des outils employés lors d’opérations d’intrusions persistantes et avancées. Pour le chercheur Matt Tait, ancien du GCHQ britannique, ainsi que pour The Grugq, un intermédiaire reconnu de vulnérabilités informatiques, certains médias occidentaux sont tombés dans le panneau en dénonçant la NSA. Les attaquants ont voulu l'humilier en lui faisant porter indirectement la responsabilité de l’attaque. A la tentative de déstabilisation de l’Ukraine s’est ajoutée une opération d’influence contre la NSA.  La supercherie est soulignée par la société de cybersécurité FSecure : elle révèle que le maliciel a été achevé en février 2017 - plusieurs semaines avant que « Shadow Brokers » ne fasse ses révélations.

Quelle puissance cherche à semer le chaos en Ukraine ET à humilier la NSA ? Probablement l’une de celle qui a fait échouer les discussions du UN Group of Governmental Experts quatre jours avant le 27 juin.. En effet, le sommet cherchait à créer un consensus sur l'application des lois internationales dans le cyberespace. Le 27 juin 2017 marque une étape de plus dans l’escalade militaire dans laquelle nous sommes entrés dans le cyberespace. Sans coup d’arrêt, sans ligne rouge clairement adressée à la puissance provocatrice à l’Est de notre continent, cette escalade finira par déborder sur le monde physique.

Mise à jour (01/03/2018) : 9 mois plus tard

Les éléments exposés dans l’article de juillet dernier étaient basés à la fois sur une analyse politique et sur les analyses techniques de chercheurs indépendants (Matt Tait, The Grugq) et de société de cybersécurité (FSecure). Ce faisceau d’indices ne pourrait servir de preuve formelle en cas d’une action en justice contre le gouvernement russe par les très nombreuses sociétés privées occidentales qui ont été victimes de NotPetya.

Cependant, le 15 février dernier, les gouvernements du Royaume-Uni, des Etats-Unis, du Canada, de l’Australie et de la Nouvelle-Zélande ont publiquement désigné le Kremlin comme à l’origine de NotPetya. Aucune preuve matérielle n’a été fournie. Les agences gouvernementales craignent souvent que cela puisse révéler leurs méthodes d’espionnages. Mais il est rare que ces cinq pays, qui coopèrent étroitement dans le renseignement technique, s’alignent pour autant sur une action politique commune lourde de conséquences : la condamnation publique d’une grande puissance, la Russie.

On peut estimer que pour atteindre ce consensus public, les éléments de preuves techniques détenues par les agences de renseignement sont probablement très significatifs. L’action souligne aussi à quel point NotPetya constitue une grave ligne rouge, franchie par la Russie, avec des impacts lourds de conséquence sur le commerce international – la société danoise Maersk, le leader mondial du transport maritime de containers, aurait été ainsi obligé de réinstaller 45,000 PC et 4,000 serveurs. Le ministre danois de la défense soutient d’ailleurs la condamnation publique de la Russie par le gouvernement britannique.