B. UNE MENACE AUX FORMES MULTIPLES
Le déni de service , qui vise à stopper le fonctionnement d'un système informatique, et l' intrusion en vue de détourner des informations constituent les deux principales formes de menaces pesant sur les systèmes gouvernementaux ou d'entreprises sensibles.
L' usage des technologies informatiques apparaît comme une alternative au recours à des méthodes plus traditionnelles , telles que la destruction, le brouillage par rayonnement électromagnétique, l'intrusion physique ou le contrôle de sources de renseignement internes.
Les conséquences de telles attaques doivent être distinguées selon qu'elles se limitent à rendre indisponibles des sites d'information ou des services en ligne accessibles au grand public, ou qu'elles atteignent plus directement le réseau interne d'institutions ou d'entreprises.
Enfin, ces attaques s'appuient de plus en plus sur des communautés de pirates informatiques susceptibles d'offrir leurs services à des organisations criminelles comme à des Etats, ce qui n'exclut pas la mise en place par ces derniers de leurs propres moyens offensifs.
1. Les principaux types d'attaques informatiques
Par distinction avec les actes délictueux commis par des individus isolés et les activités frauduleuses de réseaux se livrant à la « cybercriminalité », on a pu parler de véritable guerre informatique pour caractériser les actions visant à paralyser les systèmes d'une institution ou d'une entreprise, ou à en détourner ou déformer les données.
De manière générale, on distingue trois modes principaux de guerre informatique :
- la guerre contre l'information, qui s'attaque à l'intégrité de systèmes informatiques pour en perturber ou en interrompre le fonctionnement ;
- la guerre pour l'information, qui vise à pénétrer les réseaux en vue de récupérer les informations qui y circulent ou y sont stockées ;
- la guerre par l'information, qui utilise le vecteur informatique dans un but de propagande, de désinformation ou d'action politique.
Votre rapporteur évoquera ici plus particulièrement les principales formes d'attaques constatées au cours de la période récente, à savoir les actions par déni de service et le vol ou l'altération de données.
. Les attaques par déni de service
Les attaques par déni de service ( Denial of service - DOS ) visent à saturer un ordinateur ou un système en réseau sur internet en dirigeant vers lui un volume considérable de requêtes. On parle également de déni de service distribué ( Distributed denial of service - DDOS ) pour des attaques fonctionnant sur le même principe, mais dont l'effet est démultiplié par l'utilisation d'ordinateurs compromis et détournés à l'insu de leurs propriétaires. Les évènements d'Estonie en constituent l'exemple type. La masse de requêtes qui parvient simultanément sur un même système dépassant ses capacités, celui-ci n'est plus en mesure de fonctionner normalement.
Les botnets (réseaux de « robots » logiciels) constituent le vecteur privilégié de ces attaques. Ces réseaux de machines compromises (ou machines « zombies ») sont aux mains d'individus ou de groupes malveillants (les « maîtres ») et leur permettent de transmettre des ordres à tout ou partie des machines et de les actionner à leur guise.
Le botnet est constitué de machines infectées par un virus informatique contracté lors de la navigation sur internet, lors de la lecture d'un courrier électronique (notamment les spams ) ou lors du téléchargement de logiciels. Ce virus a pour effet de placer la machine, à l'insu de son propriétaire, aux ordres de l'individu ou du groupe situé à la tête du réseau.
On estime aujourd'hui que le nombre de machines infectées passées sous le contrôle de pirates informatiques est considérable. Il pourrait atteindre le quart des ordinateurs connectés à l'internet, soit environ 150 millions de machines.
Le détenteur du réseau est rarement le commanditaire de l'attaque . Il monnaye sa capacité d'envoi massive à des « clients » animés de préoccupations diverses. La constitution de tels réseaux est ainsi utilisée en vue de l'envoi de courriers électroniques non désirés ( spams ) à des fins publicitaires ou frauduleuses, ou encore afin de dérober des informations personnelles de la cible visée. L'attaque par déni de service n'est qu'une des applications possibles. Son corollaire est le chantage au déni de service, c'est-à-dire l'extorsion de fonds auprès des entreprises ou organismes en échange d'une levée des attaques de saturation.
La paralysie d'un système d'information par ce type d'attaques est relativement facile à obtenir lorsqu'il s'agit d'un service accessible au public sur le réseau internet. La vulnérabilité des réseaux internes, en principe non accessibles de l'extérieur, est moindre, mais elle est liée au degré d'étanchéité entre ces réseaux et l'internet.
Or les systèmes d'information internes sont de plus en plus ouverts pour répondre aux besoins de mobilité des personnels et de communication avec des partenaires extérieurs.
. Le vol ou l'altération de données
Le vol ou l'altération de données contenues sur des réseaux informatiques peuvent être réalisés par des moyens variés.
Les plus simples reposent sur l'intervention humaine, soit par intrusion, soit par le jeu de complicités internes, soit par le vol d'équipements (notamment les ordinateurs portables). Les plus sophistiqués font appel à des techniques d'écoute des flux d'information ou d'interception des rayonnements émis par les équipements et qualifiés, dans cette hypothèse, de « signaux compromettants ».
S'agissant des intrusions sur les systèmes d'information par des voies informatiques , l'une des techniques utilisées est celle du « cheval de Troie », c'est-à-dire d'un programme informatique ou d'un fichier comportant une fonctionnalité cachée connue de l'attaquant seul et lui permettant de prendre le contrôle de l'ordinateur compromis, puis de s'en servir à l'insu de son propriétaire. Un cheval de Troie se cache en général dans un programme d'aspect inoffensif ou usuel, et son activation implique l'intervention de l'utilisateur (ouverture d'une pièce jointe, utilisation d'un lien de connexion à un site internet). A la différence des virus propagés à une très grande échelle, les chevaux de Troie constituent le plus souvent des attaques ciblées, adaptées à la victime choisie, qui ne peuvent être détectées automatiquement par les antivirus. Ils s'installent durablement sur la machine compromise.
Cette technique peut être utilisée pour intégrer l'ordinateur visé dans un réseau de machines compromises ( botnet ).
Elle couvre aussi les différents modes d'intrusion ayant pour but d' accéder aux informations contenues dans l'ordinateur , voire de les modifier. Peuvent ainsi être installés des programmes enregistrant la frappe de l'utilisateur sur le clavier (« keylogger ») en vue de récupérer des données confidentielles (mots de passe, coordonnées bancaires) et le contenu des fichiers créés, ainsi que des logiciels espions (« spyware ») permettant de transmettre à des tiers des informations sur les usages habituels des utilisateurs du système, par exemple ses données de connexion. Enfin, il est également possible par ce biais de transférer vers un ordinateur extérieur les fichiers stockés dans l'ordinateur compromis. La sophistication de ces programmes permet de fractionner ces envois afin de les rendre moins détectables dans le flux normal de communication.
La caractéristique de ces techniques d'intrusion est leur furtivité , qui les rend difficilement décelables, grâce à des outils de dissimulation d'activité ( rootkits ).
Il est à noter que l'installation de tels programmes malveillants peut aussi bien s'effectuer par d'autres moyens, par exemple le branchement par la personne visée d'un périphérique (clef USB, assistant personnel) qui aura été préalablement infecté. De ce point de vue, l'usage de plus en plus répandu d'équipements mobiles constitue un risque supplémentaire pour l'intégrité des réseaux . Leur connexion à un réseau interne après avoir été infectés à l'extérieur rend inopérants les dispositifs de sécurité tels que les pare-feux.
Enfin, l' externalisation de certains traitements informatiques représente un risque potentiel dès lors que les précautions nécessaires ne sont pas prises vis-à-vis des sous-traitants quant à la protection de données sensibles, notamment pour les services gouvernementaux.
2. Les cibles potentielles
Les attaques informatiques peuvent aussi bien viser des particuliers que des entreprises ou des institutions publiques. En ce qui concerne celles mettant en cause la défense ou la sécurité nationale, les services de l'Etat , les opérateurs d'importance vitale et les entreprises intervenant dans des domaines stratégiques ou sensibles sont particulièrement concernés. Toutefois, ces attaques n'emportent pas le même type de conséquences selon qu'elles visent des sites ou services accessibles au public, des systèmes opérationnels ou plus directement des personnes détentrices d'informations sensibles.
. Les sites et services accessibles au public
On pourrait penser que l'attaque de leurs sites internet ne met pas directement en cause le fonctionnement même de l'Etat, des services publics ou des entreprises.
Provoquer l'indisponibilité du site internet d'une institution ou d'une administration, comme on l'a vu en Estonie, répond essentiellement à un objectif politique, de même que la défiguration ( defacement ) du contenu et son remplacement par des messages à connotation protestataire ou revendicative. Pour une entreprise, le préjudice s'évaluera davantage en termes d'image, avec d'éventuelles incidences commerciales.
Cependant, un très grand nombre de ces sites abritent également des services en ligne qui se sont considérablement développés ces dernières années et dont l' interruption causerait d' importantes perturbations dans la vie sociale et économique de la nation .
On pense ici aux relations des particuliers avec l'administration de l'Etat ou les collectivités territoriales, qui ont mis en place de nombreuses possibilités de démarches en ligne, ou avec des entreprises commerciales (entreprises de transport, services financiers, commerce par internet), ainsi qu'aux relations entre les entreprises elles-mêmes (relations avec les fournisseurs et les sous-traitants).
Compte tenu de la place prise aujourd'hui par ces services, leur indisponibilité produirait un effet de désorganisation et entraînerait de sérieuses pertes économiques.
. Les systèmes opérationnels : le cas des opérateurs d'importance vitale et des systèmes d'information militaires
Les réseaux internes des administrations et des entreprises sont a priori moins vulnérables aux attaques extérieures, dès lors qu'ils sont indépendants des sites internet accessibles au grand public. Toutefois, rares sont désormais les organisations qui utilisent pour leurs activités opérationnelles (gestion administrative et financière, processus industriels) des applications développées spécifiquement et totalement isolées du réseau extérieur. Pour des raisons de coût et de simplicité, le recours à des applications disponibles sur le marché est privilégié. Par ailleurs, la densification des échanges d'information ou encore les procédés de gestion à distance et de télémaintenance vont à l'encontre du principe de cloisonnement censé protéger ces systèmes des agressions extérieures.
Aux yeux de votre rapporteur, une attention particulière doit être portée sur les installations d'importance vitale (réseaux de transport, de distribution d'eau et d'électricité). Celles-ci utilisent des systèmes de supervision et de régulation communément désignés par leur acronyme anglais SCADA ( Supervisory, control and data acquisition ), qui permettent de surveiller et contrôler sur une aire géographique très étendue des opérations telles que la gestion de l'électricité ou de l'eau, la signalisation des feux ou les flux de transport. Grâce à ces systèmes, les opérateurs peuvent agir à distance sur des automates industriels ou des commandes.
Si de tels systèmes étaient le plus souvent particulièrement sécurisés par leur rusticité technique et leur indépendance des autres réseaux, ils font désormais plus largement appel à des technologies modernes appliquant les protocoles internet standard, pour des raisons économiques, mais aussi parce qu'elles sont souvent les seules disponibles sur le marché. Les vulnérabilités potentielles de ces produits à large diffusion sont particulièrement analysées et exploitées par les pirates informatiques.
Votre rapporteur a pu constater, au cours de ses auditions, que ce type de vulnérabilité potentielle avait été pleinement pris en compte par une entreprise comme EDF pour la gestion de la production et de la distribution électrique. Celle-ci applique un niveau de sécurité très élevé pour ses applications informatiques de nature industrielle, qu'elle a totalement isolées des autres réseaux internes et qu'elle soumet à des procédures très strictes en matière d'accès, d'identification et de surveillance.
Les systèmes de type SCADA peuvent également être utilisés dans d'autres types d'activités industrielles moins vitales. Une protection insuffisante peut conduire à les exposer aux agressions extérieures et en perturber le fonctionnement.
Enfin, s'agissant des installations d'importance vitale, il faut signaler qu'une évolution majeure est en cours avec la convergence des réseaux téléphoniques et internet . La généralisation de la « voix sur IP » rendra les communications téléphoniques vulnérables aux mêmes types d'attaques que les systèmes informatiques.
Votre rapporteur souhaite également mentionner la question spécifique des capacités militaires .
Les systèmes d'information opérationnelle et de commandement , utilisés dans les systèmes d'armes, les transmissions de données et les communications militaires, sont généralement isolés des autres réseaux. Toutefois, le nombre croissant de systèmes utilisés et leur interconnexion avec une multitude de terminaux, conformément au principe des opérations en réseaux, élargit le périmètre d'éventuels points de vulnérabilité. L'utilisation d'applications informatiques disponibles sur le marché « grand public » augmente elle aussi les risques de vulnérabilité.
Dès lors, il paraît clair que la lutte informatique va inévitablement devenir un nouveau compartiment du champ de bataille , avec ses aspects défensifs et offensifs, comme l'était déjà le domaine de la guerre électronique.
. Les détenteurs d'informations sensibles
Les détenteurs d'informations sensibles, au sein de l'appareil d'Etat, des grandes institutions de recherche ou des entreprises, y compris petites ou moyennes, constituent un troisième type de cibles potentielles pour des attaques informatiques.
On se situe ici dans le champ des activités d'espionnage ou d'ingérence , au travers de méthodes nouvelles visant à cibler, par les techniques qui ont été mentionnées plus haut (notamment les chevaux de Troie), les ordinateurs et les systèmes mobiles ou périphériques de personnes identifiées en fonction de leur niveau de responsabilité et de leurs contacts.
Le recours aux technologies d'intrusion peut intervenir en complément ou à la place d'autres modes de captation de données informatiques, telles que le vol d'ordinateurs portables des personnes cibles ou leur « fouille » informatique, par exemple aux passages de frontières.
L'objectif est d'acquérir des informations d'intérêt politique, militaire, économique, scientifique, technologique ou industriel.
3. Le profil des « attaquants » : pirates informatiques, terroristes, services étatiques ?
L' identification de l'origine d'une attaque informatique est particulièrement difficile . Les procédés utilisés font le plus souvent appel à une succession d'ordinateurs pouvant être situés dans plusieurs pays différents. Remonter la chaîne des machines impliquées supposerait des enquêtes extrêmement longues, tributaires des aléas de la coopération judiciaire internationale. Les méthodes de dissimulation sont nombreuses et vont du détournement d'ordinateurs à l'insu de leur propriétaire au recours à des ordinateurs publics et anonymes, comme ceux situés dans les cybercafés.
Malgré tout, la plupart des services gouvernementaux et des observateurs désignent, derrière ces attaques, des groupes de pirates informatiques dont les méthodes semblent de plus en plus sophistiquées.
. Les « pirates » informatiques : un profil qui se « professionnalise »
A l'évidence, les attaques informatiques actuelles ne peuvent être imputées à de simples « amateurs » isolés, procédant par jeu ou par défi et désireux de tester ou de démontrer leur niveau de performance technique.
Avec l'essor de l'internet s'est développée une nouvelle catégorie de pirates ( hackers ) agissant en groupes et essentiellement motivés par l'appât du gain. Ces groupes mettent au point des outils qu'ils peuvent exploiter directement ou offrir sur le marché à des clients tels que des organisations criminelles ou mafieuses, des officines d'espionnage économique, des entreprises ou des services de renseignement.
On considère que ces groupes peuvent parfois agir de leur propre initiative, par motivation « patriotique ». Cette hypothèse a été avancée lors de la crise diplomatique russo-estonienne du printemps 2007, ainsi que pour diverses attaques émanant de pirates chinois et dirigées contre les Etats-Unis ou Taïwan.
L'attaque par déni de service reste le mode opératoire privilégié de ces groupes qu semblent toutefois également maîtriser des technologies plus complexes et plus discrètes de pénétration des systèmes d'information pour y dérober des données.
La presse a fait état de l'existence de tels groupes en Russie et dans des pays de l'ex-Union soviétique, où leurs activités ne seraient guère entravées. Nombre de pirates informatiques agissent également depuis les Etats-Unis. Enfin, les groupes de pirates les plus importants et actifs seraient situés en Chine. On notamment été cités la « Red Hacker's Alliance » qui, selon la presse de Taïwan, compterait près de 20 000 membres, le groupe « Titan Rain », impliqué dans les attaques survenues aux Etats-Unis en 2001, ou la « China Eagle Union ».
. Vers un « cyberterrorisme » ?
L'utilisation de l'arme informatique par des groupes terroristes, soit directement, soit indirectement par l'intermédiaire de pirates informatiques qu'ils rémunèreraient, est un risque qui a été fréquemment évoqué.
Les groupes terroristes utilisent largement internet à des fins de propagande et de prosélytisme, ainsi que comme moyen de communication, y compris semble-t-il aux moyens de systèmes de chiffrement. En revanche, aucune attaque terroriste d'envergure par voie informatique , par exemple contre des infrastructures sensibles, n'a pour l'instant été répertoriée .
On sait cependant que les organisations terroristes ont acquis une maîtrise significative des outils informatiques et de l'internet qui pourrait leur permettre de mener des attaques plus sérieuses. A titre d'exemple, la branche armée du Jihad islamique palestinien a récemment déclaré avoir mis en place une unité de « cyberguerre » qui revendique des attaques contre des sites militaires et des sites de journaux israéliens.
Par ailleurs, les groupes de pirates restent susceptibles de monnayer leurs services auprès de ces organisations.
. L'implication des Etats : le cas de la Chine
Si nombre de services de renseignement entretiennent une compétence offensive dans le domaine informatique, ne serait-ce qu'en matière d'écoute passive des flux d'information, leur implication dans des attaques n'a jamais été avérée.
Bien que l'on ne dispose bien évidemment d'aucune source officielle à ce sujet, la Chine aurait concentré au sein de l' Armée populaire de libération la totalité de ses capacités étatiques, tant défensives qu'offensives.
Selon le Département de la défense américain, la Chine a intégré depuis longtemps la lutte informatique comme une partie intégrante de sa stratégie militaire. Elle y voit le moyen de compenser, par des moyens peu coûteux, l'infériorité de ses moyens conventionnels. Elle dispose à cet effet d'un immense réservoir humain, et n'est donc pas entravée par les limites physiques tenant au nombre d'opérateurs qui pourraient rendre moins efficaces des attaques de grande ampleur. Toujours selon les militaires américains, les planifications d'un éventuel conflit avec Taïwan intégreraient le ciblage des systèmes d'information, notamment ceux utilisés pour les flux logistiques, moins protégés que les systèmes opérationnels.
Si l'armée chinoise semble disposer d'un département spécialisé doté de moyens conséquents, on ne peut exclure que le gouvernement chinois s'appuie également sur les nombreux groupes de pirates informatiques mentionnés ci-dessus. L'internet est très étroitement contrôlé par les autorités chinoises qui disposent de ce fait d'un important moyen de pression sur ces groupes.