Comment déclencher et conduire une cyberattaque ?
Une vision de militaire et de chercheurs
C’est une vision de militaire et de chercheur que nous a présenté Eric Filliol lors du FIC 2009, ardent défenseur du livre de colonels chinois Qiao Liang et Wang Xiangsui, « Unrestricted Warfare » ("la guerre sans limites"). Pour lui « la notion de bunker en cyber attaque est complètement dépassée ». « L’attaquant n’a aucune éthique tout est permis, la seule mesure qui compte, c’est l’efficacité finale », déclare-t-il. Voilà pour les naïfs qui croient encore que l’attaquant informatique possède un idéal. « La guerre est une forme extrême de communication entre deux ou plusieurs groupes, visant à protéger et à accroître ses richesses », rappelle-t-il. De plus en plus, le profit est le motif de plus en plus direct d’une cyberattaque, même si des forces terroristes (Al Qaïda) mènent des cyberattaques. Pour lui, la cyberattaque se marque « par la soudaineté de l’attaque. La victime ne peut plus faire de renseignements, et les capacités d’analyse a posteriori sont limitées. L’attaquant a la possibilité de remonter le temps. La représaille numérique et la notion de légitime défense n’ont plus aucun sens en cas de cyberattaques », précise-t-il. L’attaquanr possède toujours un avantage, dû à la spécificité d’Internet. En cas de cyberattaque, celui qui a dégaîné en premier a souvent gagné, les représailles ne peuvent pas permettre de contrer la cyberattaque, car elles ont lieu après coup. Le mal est déjà fait.
La cyberattaque est souvent menée par des supports mafieux ou terrorises. Il se réfère à la nébuleuse Al Qaïda, qui possède quelques talents en cyberattaque. A titre d’exemple, il cite « un membre d’AlQaïda , Afroze Abdul Razzak, qui a été arrêté à Bombay. Il était fortement suspect d’avoir introduit des failles critiques dans Windows ». La cyberattaque ressemble à la théorie des dominos. « Il y a une richesse combinatoire fabuleuse », décrit cet expert de la cyberattaque.
La cyberattaque est simple
Comment mener une cyberattaque ? Selon lui, rien n’est plus simple : « L’attaquant a la vision du joueur d’échec : la phase de renseignements est fondamentale. Or, toutes les occasions sont bonnes pour faire du renseignement. Faire approcher la cible par une jolie fille, récolter des renseignements sur lui lors des salons… ». C’est du social engeneering. Puis il y a une phase de planification, où tous les échelons sont couverts.
L’attaquant possède, selon lui, un profil bien particulier : il est anonyme, et pratique des techniques d’usurpation. Les attaques peuvent aller très loin ; on commence par une attaque en deni de services, puis on désorganise les transports et les infrastructures, enfin on en vient aux attaques contre les personnes, avec un effet dramatique, une dénonciation dans la presse, une grève, et une incrimination du staff de l’entreprise : on passe d’une cyberattaque à une attaque réelle d’une entreprise, par déstabilisation.
Selon lui, de tels évenements ne sont pas improbables, surtout sur les petites entreprises mal protégées, et peuvent être menées avec un clic de souris. Il poursuit : « des attaques ciblées déclenchent des émeutes, et des désordres sociaux sans équipe informatique. Tout ceci est possible avec un clic de souris. ». Et il souligne l’exemple de bandes de banlieues qui ont déposé des vidéos compromettantes sur des sites communautaires, comme la chanson d’un rappeur qui a déjà fait le tour de la terre grâce à Daily Motion…
L’appropriation des richesses, comme on l’a déjà dit engendre un risque de cyberattaque. Selon lui, « la zone maximum de danger pour une cyberattaque réside dans le fait que la richesse est en train de basculer des pays du Nord vers les pays du Sud ».
Il conclut par une présentation du risque pour la France : « la France possède un bon niveau en sécurité informatique, mais il y a un patrimoine sous-employé. Les décideurs d’aujourd’hui, qui ont entre quarante et cinquante ans, ne sont pas de la génération Interner. Ils sont donc vulnérables. On a de la ressource, mais pas la culture de l’opérationnel », souligne-t-il. « La démarche opératioinnelle, c’est la force des USA. En France, on ne sait pas faire. Nous ne sommes même pas capables de faire l’état des lieux et une cartographie des interdépandances », martèle-t-il. En termes de cyberattaques, la France possède une grande marge de progression et nous sommes vulnérables.