Le scénario d'une dissuasion numérique des États-nations est-il invraisemblable ?

Les 8,4 millions d'habitants de la ville de New York sont plongés dans l'obscurité après qu'une cyberattaque audacieuse d'un État-nation a mis hors service le réseau électrique de la ville, provoquant un chaos indescriptible et l'effondrement des marchés boursiers du monde entier. En représailles, les États-Unis lancent une série de cyberattaques contre les systèmes d'approvisionnement en eau et d'évacuation des eaux usées de Moscou, inversant les systèmes de pompage et provoquant le débordement des excréments dans les maisons, les entreprises et les rues.

Imaginez ce scénario improbable où l'un ou l'autre camp commence à lancer des grenades « zéro-day » sur la technologie de l'autre camp, ce qui l'amène à renvoyer plusieurs de ses propres missiles « zéro-day ». Et cela devient alors beaucoup plus compliqué si une tierce partie au conflit, soutenant l'un ou l'autre camp, tente d'apporter son aide en lançant sa propre ogive zero-day. Ce scénario est-il la raison pour laquelle nous n'avons pas vu l'un ou l'autre camp déclencher un cyber-chaos mondial ?

When Russia attacked Ukraine, it started a series of alerts from government agencies and cybersecurity organizations setting an expectation of some form of devastating cy

Lorsque la Russie a attaqué l'Ukraine, elle a déclenché une série d'alertes émanant d'agences gouvernementales et d'organisations de cybersécurité, laissant présager une forme de cyberattaque dévastatrice contre l'Ukraine et éventuellement contre ceux qui la soutiennent.

Les messages ne cessent d'affluer : le 21 mars 2022, la Maison Blanche a publié une déclaration du président Biden sur la cybersécurité de [leur] pays, dans laquelle il met en garde contre le risque de cyberactivité malveillante de la Russie contre les États-Unis en réponse aux sanctions économiques imposées par les gouvernements occidentaux.

Ces messages continuent de se diffuser, suggérant de maintenir la vigilance et de s'assurer qu'il n'y a pas de faiblesses dans les opérations et les pratiques existantes. Ces conseils s'adressent en particulier aux organisations et aux entreprises qui entrent dans la catégorie des infrastructures critiques, où les perturbations sont source d'incertitude et de chaos potentiel, comme on a pu le constater lorsque Colonial Pipeline a subi une attaque de rançongiciel en 2021, et lors des attaques BlackEnergy et Industroyer contre des centrales électriques ukrainiennes en 2015 et 2016, respectivement.

Il y a et il y a depuis plusieurs années, sans aucun doute, une augmentation des cyberattaques malveillantes contre les infrastructures critiques. Selon des organismes gouvernementaux tels que la Cybersecurity & Infrastructure Agency (CISA) des États-Unis, « En 2021, les autorités chargées de la cybersécurité aux États-Unis, en Australie et au Royaume-Uni ont observé une augmentation des incidents sophistiqués et à fort impact de rançongiciels contre les organisations d'infrastructures critiques à l'échelle mondiale ». La monétisation de la cybercriminalité, alimentée par la facilité des paiements anonymes en crypto-monnaies, a provoqué une opportunité sans précédent que les cybercriminels continuent d'exploiter pour gagner de l'argent.

La confirmation de l'attribution des cyberattaques est complexe, surtout lorsqu'il y a souvent plusieurs parties impliquées : l'auteur, le fournisseur de services, l'attaquant, les opérateurs, etc. Les cyberattaques qui ont lieu pendant le conflit en Ukraine ne sont pas différentes et sont difficiles à attribuer à une partie quelconque. Toutefois, il semble que la plupart des cyberattaques signalées et potentiellement attribuables au conflit, à ce jour, soient limitées, ciblées et axées sur les personnes se trouvant directement dans la zone de guerre ou dans le secteur des communications. Même la découverte, par les chercheurs d'ESET, de logiciels malveillants d'effacement de données - tels que HermeticWiper, IsaacWiper et CaddyWiper ciblant des appareils en Ukraine - ne peut, à l'heure actuelle, être attribuée à aucune partie.

Toute cyberattaque, surtout si elle est soutenue par les ressources et les moyens de renseignement d'un acteur étatique, peut causer des dommages incalculables non seulement à sa cible, mais aussi à ceux qui ne sont pas directement impliqués. L'histoire a démontré que les cyberarmes, telles que les vulnérabilités de type « zéro-day » ou les logiciels malveillants destructeurs, peuvent tomber entre de mauvaises mains, même pendant les périodes et les régions les plus paisibles de l’histoire.

En 2017, la fuite des outils de piratage de l'Agence nationale de sécurité américaine (NSA), qui comprenaient EternalBlue, a présenté une méthode de compromission initiale utilisée par la suite par les rançongiciels WannaCryptor (alias WannaCry), NotPetya et BadRabbit, causant des dommages d'une valeur de plus d'un milliard de dollars américains dans plus de 65 pays. La vulnérabilité de type « zéro day » EternalBlue était entre les mains de la NSA depuis plus de cinq ans avant qu'une brèche ne les oblige à révéler son existence à Microsoft.

Le livre de Nicole Perlroth, This Is How They Tell Me the World Ends : The Cyberweapons Arms Race, publié en février 2021, montre comment les gouvernements sont les principaux clients du marché du zero-day. Pour de nombreux lecteurs, il peut être choquant que ce livre, qui documente un marché clandestin florissant d'exploits et de vulnérabilités de type « zéro-day », existe, mais pour beaucoup d'autres, il est probablement moins surprenant, même le fait que les gouvernements soient les principaux clients de ce marché clandestin.

Certains incidents, tels que Stuxnet et l'attaque de la chaîne d'approvisionnement de SolarWinds, démontrent la puissance que peut avoir une cyberattaque sophistiquée - l'un a détruit des installations nucléaires en Iran et l'autre a vu l'exfiltration de données de milliers de systèmes potentiellement infestés dans des agences gouvernementales et des entreprises du monde entier. Par rapport au coût des armes conventionnelles, l'acquisition de la capacité de lancer une cyberattaque est relativement bon marché et également très difficile à attribuer, ce qui rend toute attaque très contestable, contrairement à une guerre traditionnelle se déroulant au sol.

Le fait que toutes les parties possèdent la capacité et pourraient être motivées pour lancer une cyberattaque d'un potentiel incalculable, si elles décidaient de le faire, pourrait générer une cyberdissuasion, de la même manière que nous parlons des armes nucléaires de destruction massive comme d'une dissuasion nucléaire. Il est peu probable que l'on voie bientôt des militants pour la paix dans le domaine des cyberarmes ou des appels au « désarmement des cyberarmes » et à l’arsenal des attaques de type zéro day, mais j'espère que ce sera le cas un jour. L'internet ne devrait jamais être utilisé comme une arme pour provoquer une destruction massive.

Pour conclure, si aucune cyberattaque majeure et dévastatrice contre les infrastructures critiques n'a été perpétrée par l'une ou l'autre des parties au conflit ukrainien, cela ne signifie pas qu'il n'y en aura pas, ni qu'elle ne se propagera pas de manière incontrôlée à d'autres nations non impliquées.