mardi 25 octobre 2016

La cyberattaque du “10-21”: aller au-delà des déclarations d’emphase

A lire la presse depuis vendredi dernier, c’est un peu comme s’il y avait eu un avant et un après 21 octobre 2016 dans l’histoire récente du cyberespace. Toujours plus de qualificatifs graves, inquiétants, anxiogènes pour décrire un événement certes important, mais pour lequel le manque d’informations fiables et vérifiées fait cruellement défaut. 

Pour rappeler les faits, la société américaine Dyn, un des principaux fournisseurs de services DNS, a subi une cyberattaque de grande ampleur en deux temps le 21 octobre 2016, la technique employée (attaque DDOS) consistant à saturer de requêtes via des ordinateurs dits “zombies” les serveurs dans le but de rendre ces derniers non opérationnels. Ce type de cyberattaque est très courant dans le cyberespace, on pourrait même dire qu’elle est basique dans son déploiement. Cependant, la cyberattaque du “10-21” diffère entre autres par le profil de la cible: en effet, en s’en prenant à un fournisseur de services DNS, les auteurs ont fait coup double, attaquant Dyn mais aussi ses clients qui dépendent du bon fonctionnement de ses services pour être accessibles. 

C’est ainsi que de nombreux sites internet, dont Twitter, Spotify, Amazon, Ebay ont été inaccessibles pendant plusieurs heures pour de nombreux Américains, l’Europe n’étant que partiellement affectée par cette cyberattaque. Le poids des entreprises visées et la réaction des internautes qui ont commenté en direct leur impossibilité à accéder à leurs services ont favorisé un bruit médiatique impressionnant, faisant passer cette cyberattaque pour une catastrophe sans précédent. Sans nier les conséquences évidentes d’une telle entreprise criminelle, il convient de chercher à faire la part des choses et à analyser la tête froide ce qui s’est produit. 

Tout d’abord, contrairement à ce que j’ai pu lire ces derniers jours sur Internet, il ne s’agit pas des prémices d’une “apocalypse numérique”. La cyberattaque a eu des effets négatifs d’un point de vue économique, c’est évident (un service non accessible perd mécaniquement de l’argent chaque seconde), mais il est encore trop tôt pour en chiffrer précisément le montant. Je serais curieux de savoir quelle est l’attaque la plus dévastatrice d’un point de vue financier, en terme d’image, entre celle contre la société Dyn et celle contre Yahoo! cet été dont des centaines de millions d’identifiants ont été dérobés avec les conséquences en matière d’usurpation d’identité que l’on peut facilement imaginer.

Deuxièmement, je le précise de nouveau, la technique employée n’a rien de surprenant. Elle est connue de tous les experts en cybersécurité; seule l’utilisation d’objets connectés piratés mérite une attention particulière. 

Troisièmement, profitons-en pour rappeler que pour le moment, il n’y a aucune information comme quoi la société Dyn aurait subi un vol ou une destruction de données. Certes, une paralysie de ses services n’est pas un problème à sous-estimer, mais comparé encore une fois à une cyberattaque comme celle qu’avait subi le groupe pétrolier saoudien Aramco en 2012, où plus de trente mille ordinateurs avaient été infectés avec la perte de données stratégiques, la cyberattaque contre Dyn mérite d’être repensée dans un contexte global d'affrontements stratégiques dans le cyberespace.  

Comme à chaque cyberattaque, des commentateurs s’empressent de faire des hypothèses sur les commanditaires de l’attaque, et il faut le reconnaître, sans véritable preuve. La cyberattaque contre Dyn en est le parfait exemple: la Russie est pointée du doigt en raison des relations pour le moins froides avec les Etats-Unis et les récentes rumeurs sur des cyberattaques russes pour perturber l’élection présidentielle américaine, de même que la Chine dont on rappelle à juste titre les compétences en matière de cyberattaques. Rappelons néanmoins qu’avoir le potentiel de mener une cyberattaque de grande ampleur ne signifie pas l’avoir fait. Certains évoquent également la piste de cybercriminels regroupés qui auraient vendu leur savoir-faire à un commanditaire. Toutes ces pistes sont envisageables, mais aucune ne prend l’ascendant sur les autres pour l’instant. 

Le cyberespace a ceci de spécifique qu’il y est très facile de brouiller les pistes et qu’il est par conséquent extrêmement compliqué et souvent très coûteux en termes de moyens humains et financiers de remonter jusqu’aux organisateurs de la cyberattaque. A moins d’une erreur grossière des assaillants qui auraient laissé des “empreintes techniques”, l’enquête du FBI risque d’être longue et compliquée, d’autant qu’il n’est pas non plus impossible que la cyberattaque soit due à des anciens salariés de Dyn, comme cela s’est produit par le passé pour d’autres entreprises. Le “brouillard informationnel” qui caractérise encore largement les cyberattaques actuelles doit donc inciter à la plus grande prudence pour éviter des analyses erronées et de participer inconsciemment ou non à la propagande de certains acteurs stratégiques. 

On peut cependant tirer quelques enseignements de cette cyberattaque. En premier lieu, cette dernière démontre avec clarté l’interdépendance toujours plus croissante entre les entreprises du numérique, la défaillance des uns ayant des conséquences immédiates pour les autres. 

Elle rappelle également la vulnérabilité des acteurs du cyberespace contre les attaques de type DDOS. Pourtant bien connues, ces attaques voient leurs effets démultipliés par le développement rapide des objets connectés, ces derniers ne faisant que trop rarement l’objet d’une véritable démarche de sécurisation de leurs systèmes via des mises à jour et des corrections de failles de sécurité. 

Une véritable coordination internationale des acteurs politiques et économiques est à mettre en place afin de développer et d’imposer des standards en matière de cybersécurité, obligeant les éditeurs de logiciels à assurer un suivi de longue durée. Certes, cela a un coût et de nombreux acteurs risquent de s’y opposer, mais il s’agirait d’une mesure de base, à même de complexifier la tâche des assaillants. 

Rappelons toutefois, sans chercher à alarmer, que les assaillants auront toujours une longueur d’avance, profitant de l’effet de surprise et développant des outils à même d’affaiblir les défenses numériques toujours plus coûteuses mises en place par les entreprises. 

C’est donc une attitude de prudence qu’il convient d’adopter dans le cyberespace. De plus en plus complexe, s’intégrant toujours plus dans nos existences (smart cities par exemple), ce dernier sera mécaniquement sujet à l’intérêt des cybercriminels et d’acteurs stratégiques désireux d’affirmer leur puissance et de le rendre plus conflictuel. 

                Tribune publiée initialement pour le Huffington Post Québec le 24 octobre 2016

Aucun commentaire:

Enregistrer un commentaire