lundi 15 novembre 2010

La Lutte Informatique au service de la gestion des conflits numériques

Introduction. Le numérique : nouvel espace de souveraineté et de conflit

Le numérique comme espace de souveraineté

Après la terre, la mer, l’air, l’espace, le numérique est devenu le cinquième élément de souveraineté des Etats. Celui-ci a la propriété particulière d’être virtuel de par sa nature strictement informationnelle. En effet, le numérique n’a pas de représentation en tant que telle : il s’agit d’un flux continu et permanent d’informations du plus primitif au plus élaboré. D’où le qualificatif d’espace informationnel utilisé pour le caractériser. En fait, cet espace informationnel n’est représentable et délimitable qu’au travers de ses infrastructures physiques de stockage et de traitement de l’information reçue (serveurs) et du résultat de l’information traitée (sites) que l’on consulte via des ordinateurs. L’ensemble de ces éléments informatiques étant inter-connectés entre eux formant un réseau, l’espace informationnel a été nommé l’Internet. Ainsi, si un Etat peut être souverain sur les serveurs qu’il héberge sur son territoire et des sites qu’ils contiennent, il ne peut en être de même pour les échanges d’informations qui s’opèrent entre serveurs ou entre un internaute et un serveur. La souveraineté sur l’espace numérique ne peut être définie que sur les informations non circulantes (espace informationnel réel) et non sur les informations circulantes (espace informationnel virtuel). Or, ce sont à partir de ces informations circulantes qu’un Etat pourra lancer à distance un conflit numérique : autrement dit, l’information est l’élément constitutif de l’espace numérique mais des conflits qui s’y produisent d’une part et la virtualisation de cet espace d’autre part empêche l’identification certaine de la source du conflit. Elle est le ciment du numérique mais également l’arme exclusive d’attaque.

Le numérique comme espace de conflit

L’Internet est donc un espace virtuel, où opinions personnelles côtoient données confidentielles, rapports d’analyse et autres informations de gestion qui régissent de plus en plus notre vie quotidienne (infrastructures économiques, transports, énergie, défense…). Cette agrégation d’espaces informationnels fait de cet espace numérique un lieu propice au développement d’attaques où, paradoxalement, il en peut être à la fois la cible, le support ou bien le vecteur. En effet, lorsqu’un pirate informatique tente une intrusion dans un système informatique pour accéder à des données de toute nature, le cyberespace sert de support à l’attaque. Quand un compte de réseau social est piraté ou un site hameçonné, le cyberespace est la cible de l’attaque. Enfin, les attaques informationnelles (exemple : création artificielle d’opinion) ou les simples échanges entre personnes d’une organisation criminelle ou terroriste font du cyberespace un vecteur d’une menace en devenir. Dans la suite de ce document, nous utiliserons le terme de web offensif pour désigner ces utilisations faites de l’Internet par les attaquants informatiques.


1. L’information : moyen et objet de guerre

Le web offensif se sert de l’information pour :
  • Lancer des attaques dont le but est soit la découverte d’autres informations soit le blocage des infrastructures permettant leur traitement.
  • Aider à la préparation d’autres par l’établissement de canaux de communication cachés (stéganographie).
L’information est donc aussi un bien qu’une arme. Objet de valeur et moyen d’attaque, elle est aujourd’hui au centre des préoccupations des entreprises et des Etats. Les premières doivent protéger leur patrimoine informationnel (enjeux économiques), les seconds doivent protéger leurs infrastructures critiques (gouvernementaux, militaires et de défenses) et stratégiques (sécurité économique : énergie, technologies de pointe…). Dans ce billet consacré à la Lutte Informatique et aux conflits numériques, nous n’évoquerons que les problématiques informationnelles liées aux Etats mais ne perdons pas de vue que les entreprises sont également concernées. L’information est ainsi un objet de guerre (guerre pour la découverte l’information confidentielle et contre les structures informatiques de traitement de l’information appelée Déni de Service) et un moyen de faire la guerre (guerre par l’information avec des attaques informationnelles). Le nerf de la guerre est donc devenu informationnel et notamment entre les Etats qui se matérialise par des conflits numériques. Une veille du web offensif peut donc permettre d’anticiper, par la détection de signaux faibles (signes avant-coureurs) et la mise en place de métriques, la manifestation d’un conflit numérique.

2. Gestion des conflits numériques par lutte informatique offensive

Nous distinguons deux phases dans la gestion des conflits numériques :
  • Dans un premier temps, détecter si l’on se trouve dans une situation volontaire de conflit numérique puis caractériser le conflit en terme qualitatif et quantitatif (phase de constat et d’analyse préalable).
  • Dans un second temps, répondre en conséquence c’est-à-dire de manière proportionnée à l’attaque reçue et ciblée (phase de réponse).
Détecter et caractériser le conflit : faisabilité technique

Un conflit numérique concerne uniquement les Etats. II faut donc d’abord pouvoir attribuer l’attaque à une source identifiée pour répondre de manière ciblée. Hors techniquement, trouver la source d’une attaque dans un botnet n’est pas chose facile. Il est généralement très difficile de déterminer l’origine d’un conflit numérique et, par conséquent, d’en organiser la riposte. Les techniques de spoofing et l’usage de réseaux P2P masquent trop souvent le véritable instigateur d’un déni de service massif. Il est également presque certain que, durant la tentative de noyade IP perpétrée contre un éventuel coupable, des innocents fassent les frais de « dommages collatéraux ». Cependant, la recherche en la matière avance [1]. L’attaque doit être également caractérisée pour éviter soit de répondre à une attaque involontaire soit de répondre de manière disproportionnée. Cela implique de pouvoir qualifier les modes opératoires utilisés et de quantifier les moyens informatiques ayant servi à l’attaque.

Répondre en conséquence : modalités d’utilisation des armes informatiques

Comment l’Etat doit répondre à une attaque informatique ayant touchée ses infrastructures informatiques ? Au-delà de toute négociation bi-latérale préalable, d’un point de vue numérique, il faut adopter une éthique dans le protocole de réponse, définir une doctrine. Premièrement, à quelles ressources humaines confier la réponse ? En Chine et aux Etats-Unis, la doctrine officielle est la suivante : recruter les meilleurs attaquants qui sauront rendre inopérant les ordinateurs de l'ennemi sans se faire repérer [2]. La France a choisi une autre piste : former les services de gendarmerie au sein de l’OCLCTIC et recruter des ingénieurs.
Deuxièmement, quelle procédure de réponse suivre ? Le livre blanc sur la défense et la sécurité nationale [3] donne quelques pistes :
  • Le cadre d'emploi « devra respecter le principe de riposte proportionnelle à l'attaque, visant en priorité les moyens opérationnels de l'adversaire ».
  • La France se dotera très rapidement d’une doctrine en la matière et des moyens nécessaires, afin d’être à même de : mener une riposte proportionnée en cas d’agression ; neutraliser, dans le cadre d’une opération militaire, les systèmes d’information et de commandement de l’adversaire afin de le paralyser ou d’atteindre ses centres de décisions.
  • « Il convient donc de disposer d'une capacité de neutralisation à l'intérieur même des centres d'opérations adverses ».
Ainsi, dans une optique de guerre de l’information, le livre blanc donne une vision purement militaire des conflits numériques. Mais pouvoir neutraliser les systèmes d'information et de commandement de l'adversaire, développer des outils spécialisés (« armes numériques de réseaux », « laboratoire technico-opérationnel »...), nécessiterait de créer une synergie entre l’administration publique (ministères, militaires, officiers…), les laboratoires de recherche publique et d’entreprise et d’ouvrir le recrutement plus largement aux civils spécialistes. Toujours dans une optique de guerre de l’information, les seules cibles doivent être militaires : seules les centres de décision sont à atteindre et non les systèmes régissant la vie et les besoins de la population civile. La réponse devra être proportionnée en terme de force employée et de cibles matérielles visées en essayant d’établir des scénarii de conséquences au préalable.

Infrastructure administrative de lutte informatique

Depuis toujours le renseignement extérieur français a utilisé de multiples compétences pour accéder à des informations sensibles. Ces dernières années, le ministère de la Défense mène des travaux de recherche et de développement en matière de sécurité informatique et dispose de laboratoires d’études de virologie informatique [4] : Le Celar, l’ESAT (Ecole Supérieure et d’Application des Transmissions), la DGA (CALID), la DRM et la DST.

Schématiquement, en France, les compétences en matière de lutte informatique sont réparties comme suit :
  • Lutte informatique défensive (LID)
  • Premier ministre (Agence de la sécurité des systèmes d’information)
  • Ministères (Cellules spécialisées)
  • Lutte informatique offensive (LIO)
  • Ministère de la défense (Etat-major des armées)
  • Services spécialisés
Conclusion

Ainsi, une attaque informatique peut être utilisée comme une véritable arme numérique au même titre que les armes actuellement employées par les militaires. Le ver Stuxnet récemment découvert en est une parfaite illustration...

Sébastien Chainay

Sources

Aucun commentaire:

Enregistrer un commentaire