lundi 13 décembre 2010

CyberWar AfterMath

J'ai reçu un abondant courrier des lecteurs (ou plutôt un téléphone arabe des lecteurs devrais-je dire) autour de mon dernier billet, se résumant en gros à un déluge de critiques fondées sur ma prétendue illégitimité dans le domaine (pour simplifier).

Il est vrai que je n'ai pas eu l'occasion de présenter dans des conférences spécialisées, ou de participer à des "cyber-exercices" (même si je vais me permettre de bloguer là-dessus prochainement).

Mais puisque la première cyberguerre mondiale n'a pas encore eu lieu, il me semblait pourtant que mon opinion sur le sujet était tout aussi recevable que celle de n'importe qui - tout le monde en est réduit à des spéculations dans le domaine.

J'oserais même penser qu'en tant que professionnel de l'informatique, mon opinion est plus qualifiée. Car si tout le monde peut intuiter la dangerosité d'une grenade ou d'une baïonnette sans jamais en avoir utilisé une, il en est autrement dans le domaine informatique où aucune analogie avec le monde physique ne fonctionne. Les théoriciens de la cyberguerre n'ont pour la plupart aucune idée de ce qui se produit lorsqu'ils allument leur téléphone ou lorsqu'ils envoient un email. Ce qui les conduit à des conclusions absurdes, comme HADOPI l'installation d'un bot contrôlé par le gouvernement américain sur le PC de tout bon citoyen, ou le bouton rouge qui permet d'arrêter Internet.

Il en est ainsi des domaines techniques comme l'informatique ou la réparation de télé: personne ne peut avoir d'intuitions sans expérience. Le problème c'est qu'en informatique comme dans beaucoup de domaines de la vie courante (l'économie, la politique, etc.), absolument tout le monde a une solide opinion.

La différence entre un professionnel de l'informatique et un technicien, voire un simple utilisateur, est la même qu'entre un prof de maths qui enseigne en prépa et un prof de collège. Le premier doit faire face constamment à des situations qui le poussent aux limites de ses capacités, tandis que le second rabâche à des ignorants des concepts à apprendre par cœur (ton mot de passe doit être complexe, tu ne dois pas le noter sur un post-it, tu dois utiliser un antivirus, etc.).

Bien sûr, dans l'éducation nationale comme dans l'informatique, il existe de vrais passionnés à tous les niveaux, qui s'attaquent à des problèmes non résolus – le plus souvent sur leur temps libre.

Malheureusement, au bout du compte, l'opinion majoritaire reflétée par les médias et couramment admise (même au plus haut niveau) est bien loin des réalités techniques les plus élémentaires. Si vous avez 30 minutes à perdre, et que vous voulez vous payer une bonne tranche de rigolade, je vous conseille de regarder un récent reportage intitulé "les nouveaux pirates de l'informatique", suivi par "alerte à la cyberguerre". C'est disponible partout sur Internet, mais je ne peux pas vous donner de lien ici – seul Google a le privilège d'être au-dessus des lois.

Revenons à nos moutons

Ce débat sur la cyberguerre est né de mes réflexions sur StuxNet. Tout le monde s'extasie sur la "complexité" d'un tel code. Au gré des conférences ou de mes lectures sur Internet, j'ai pu entendre que StuxNet représentait 9 mois*hommes de travail, ou 10 millions de dollars. Ces chiffres sont bien entendu totalement fantaisistes, puisque le pays d'origine du virus – et donc le salaire moyen des développeurs – reste inconnu :)

On peut noter toutefois que la complexité d'un tel code est largement surestimée par les personnes qui ne sont pas des professionnels de l'informatique – tout comme un collégien va trouver la démonstration du grand théorème de Fermat incroyablement complexe, ce qui n'est pas forcément l'avis d'un professeur de prépa.

Prenons le cas du laboratoire privé Sogeti/ESEC. Malgré les fonds et les effectifs limités dont ils disposent, ils viennent pourtant de réimplémenter une attaque sur des cartes réseau, dont l'implémentation précédente était le fait d'un laboratoire de l'ANSSI. Est-ce à dire que "cinq gus dans un garage" peuvent rivaliser avec les services de l'état ? Je pense que oui (au facteur d'échelle près, les ressources de l'état étant illimitées), car la sécurité informatique est avant tout une affaire de matière grise – une ressource impossible à produire et difficile à capter.

Les techniciens informatiques (et a fortiori le grand public) sous-estiment les capacités des "vrais" hackers de plusieurs ordres de magnitude. Un seul homme (ou femme :) vraiment compétent remplace aisément 10 à 100 informaticiens peu motivés comme on en rencontre presque partout. Les exemples de Google (ou de Free) sont là pour nous le rappeler.

Pourquoi on ne voit rien … et ce qui se passe vraiment

Ce biais de perception provient essentiellement de la structuration du monde de la sécurité (aussi appelé le Security Circus).

Il faut bien comprendre que toutes les publications (dans les magazines ou les conférences) sont intrinsèquement sans valeur: ce ne sont ni des résultats produits pour des clients, ni des attaques dangereuses ou illégales, ni des technologies revendables ou brevetables.

Tout ce qui est réellement dangereux, parfois à la limite de la légalité, passe complètement en dessous du radar et "n'existe pas" pour la presse et le grand public en général. Et pourtant cette "masse manquante" représente l'essentiel des travaux produits par les professionnels de la sécurité dont l'activité présente suffisamment d'intérêt pour être financée (c'est-à-dire ceux qui en vivent d'une manière ou d'une autre).

Vu de l'extérieur, ceci donne l'impression que ce petit monde ronronne gentiment, de sauteries en conférences, sans vraiment empêcher le business de tourner rond. Ce qui est loin d'être représentatif de l'état de la menace aujourd'hui …

En vérité, tous les systèmes connectés à Internet sont sous le feu permanent d'intrus (qu'on va appeler "les chinois" pour simplifier – et c'est probablement d'ailleurs le cas). Suis-je mythomane ? Probablement pas, car j'ai eu l'occasion de les rencontrer "pour de vrai" à plusieurs reprises …

La véritable cyberguerre a déjà commencé, mais elle ne ressemble pas à ce qu'on nous présente d'habitude (pays désorganisé, infrastructures critiques en panne, etc.). Pour cela, quelques centimètres de neige suffisent :)

La véritable cyberguerre, c'est le pillage systématique de toutes les ressources technologiques occidentales par des individus entrainés, opiniâtres, et opérant en dehors de toute juridiction. Toutes les entités, des instances étatiques à la plus petite PME, sont victimes de ce ratissage systématique opéré par des attaquants qui ne connaissent pas le repos ni la compassion.

Là où les cybergénéraux attendent des DDoS massifs, par analogie avec les bombardements bien connus dans le monde physique, le réel danger provient de la cinquième colonne qui a probablement infiltré tous les systèmes connectés à Internet à l'heure où j'écris ces lignes (l'opération Aurora n'étant que la partie émergée de l'iceberg).

Une autre cyberguerre est possible

Ce qui se passe actuellement avec le site WikiLeaks me semble également relever de la cyberguerre, du moins de l'attaque non conventionnelle.

En me gardant bien de me prononcer sur le fond, cet épisode met en évidence la dépendance très forte du "cybermonde" vis-à-vis d'entités commerciales américaines bien réelles (à savoir EasyDNS, Paypal, MasterCard, Visa, … dans le cas présent).

Sans rentrer dans des scénarios trop compliqués, on imagine assez aisément que si demain un secrétaire d'état américain demande à l'ICANN, Microsoft, VeriSign, Cisco, et tous les opérateurs Tier-1 américains de bloquer les infrastructures d'un pays occidental, le résultat risque d'être assez catastrophique … et ce sans utiliser un seul virus !

Tout comme la redirection de l'Internet mondial au travers d'un opérateur chinois pendant une vingtaine de minutes (avril 2010) expose une autre fragilité rarement abordée dans les cyberdoctrines: BGP.

Conclure sur StuxNet

Le sabotage informatique est une activité à peu près aussi ancienne que l'informatique. En 1982 déjà, l'explosion d'un pipeline russe a très probablement été provoquée par le sabotage d'un système SCADA par la CIA. On doit pouvoir trouver des exemples similaires du côté de la fusée Ariane, même s'ils ne sont pas sur Wikipedia.

Aujourd'hui le PC sous Windows XP est effectivement devenu le consommable de base qui permet de contrôler à peu près tout et n'importe quoi. Un sabotage réussi aura toutes les chances d'impliquer de l'informatique à un moment ou un autre. Mais cela n'a rien de "magique" ou d'exceptionnel: c'est un métier !

Il est déjà assez simple (dans la plupart des cas) d'analyser des systèmes "fermés", comme le démontrent toutes les conférences de sécurité ces 15 dernières années, au cours desquelles les sujets les plus divers ont été abordés: logiciels propriétaires bien sûr, mais aussi faiblesses de conception des architecture PC, modems/routeurs, téléphones, consoles de jeu, radiocommunications comme le GSM ou le RDS/TMC, puces RFID, TPM, satellites, etc.

Si un étudiant arrive à pirater l'iPhone et la PlayStation 3 (avec un hyperviseur matériel conçu par IBM), on peut supposer que n'importe qui est capable de pirater un système SCADA avec très peu de moyens.

Mais si j'étais demain à la tête de l'opération "StuxNet 2", je ne m'embarrasserais pas des détails. Avec ses 427,000 collaborateurs, on peut supposer qu'il n'est pas trop difficile de pénétrer le réseau interne de Siemens. Il suffit ensuite d'aller y chercher la documentation et les codes sources nécessaires. Comme 100% des tests d'intrusion internes sont couronnés de succès, il n'est pas trop difficile d'être optimiste.

La présentation donnée par Val Smith lors de BlackHat 2010 sur le dynamisme de la "scène" chinoise permet de se rendre compte à quel point de telles opérations sont monnaie courante ... même si personne n'en parle.

Conclusion

Avant de coller le préfixe "cyber" à toutes les sauces, il est recommandé de passer le test suivant.

Car si une chose telle que la "cyberguerre" existe, elle ne ressemble ni à un DDoS, ni à StuxNet.