Un membre de votre famille a-t-il aidé à lancer une cyberattaque qui a mis toute une nation à genoux? Non, sérieusement, ne riez pas. En avril 2007, les communications dans l’État balte d’Estonie se sont effondrées suite à une attaque coordonnée basée sur les ordinateurs de millions d’utilisateurs innocents à travers le monde, comme vous et vos proches. La grève était remarquable pour prouver que la cyberguerre était passée de l’idée à la réalité. Et tout a commencé avec les mouvements d’un soldat.

Le soldat de bronze est une statue de deux mètres qui se trouvait autrefois sur une petite place de Tallinn, la capitale de l’Estonie, au-dessus du cimetière des soldats soviétiques perdus pendant la Seconde Guerre mondiale. Le monument a longtemps divisé la population du pays, les Estoniens natifs le considérant comme un symbole de l’occupation soviétique (et ancien nazi) et une importante population minoritaire (environ 25% du total) d’immigrants ethniques russes le considérant comme emblème de la victoire soviétique sur les revendications nazies et russes sur l’Estonie. Lorsque le gouvernement Ansip nouvellement nommé a lancé des plans pour déplacer la statue et les restes dans le cadre du mandat électoral de 2007, cette décision a déclenché les pires émeutes que le pays ait jamais connues – et une cyberattaque stupéfiante de la part de la Russie.

Le 27 avril, alors que deux jours de troubles secouaient le pays et que l’ambassade d’Estonie à Moscou était assiégée, un déni de service massif (DDoS) a inondé la majeure partie de l’infrastructure Internet de l’Estonie, ce qui a pratiquement paralysé Internet. Les cibles n’étaient pas des sites Web militaires, mais des sites Web non militaires appartenant à des organisations telles que des banques, des journaux, des fournisseurs d’accès Internet (FAI) et même des utilisateurs à domicile. Une grande partie de l’attaque est venue de pirates informatiques utilisant des adresses de FAI en Russie, mais l’élément le plus destructeur de l’attaque était un botnet qui a sélectionné des millions d’ordinateurs infectés par le virus dans le monde pour détruire l’infrastructure estonienne.

Anatomie de la cyberattaque

Le botnet a amené les routeurs du réseau estonien à s’envoyer constamment des paquets d’informations inutiles, inondant rapidement l’infrastructure utilisée pour mener toutes les opérations Internet dans le pays. L’attaque s’est principalement concentrée sur de petits sites Web faciles à atteindre, mais néanmoins d’une efficacité désastreuse. Les sites bancaires sont devenus inaccessibles, paralysant la majeure partie de l’activité économique de l’Estonie. Des sites de presse ont également été attaqués pour tenter de désactiver les sources d’informations. Les fournisseurs de services Internet ont également été choqués, bloquant l’accès à Internet pour des couches importantes de la population.

Alors que le gouvernement estonien attendait une réaction en ligne à sa décision de déplacer la statue, il n’était absolument pas préparé à l’ampleur de la cyberattaque. Le ministre estonien de la Défense a enregistré le dossier pour déclarer l’attaque une « situation de sécurité nationale », ajoutant que « cela peut être comparé efficacement à la fermeture de vos ports maritimes ». (1)

Dès qu’il est devenu clair que la majeure partie de l’infrastructure commerciale Internet du pays était affectée, l’équipe estonienne d’intervention en cas d’urgence informatique (CERT-EE) a appelé à l’aide d’experts en sécurité informatique du monde entier et a mis en place une équipe de secours numérique ad hoc, le qui comprenait des personnes de ma propre entreprise, Beyond Security. Il nous a fallu quelques jours pour aller au fond de la menace et commencer à créer les premières défenses, qui concernaient principalement l’application des techniques de filtrage des entrées réseau BCP 38 aux routeurs concernés afin d’éviter de falsifier les adresses sources du trafic Web. L’attaque s’est rapidement calmée lorsque nous avons commencé à prendre des mesures défensives. Mais dans les jours qu’il a fallu pour lutter contre l’attaque, il est probable que le pays ait perdu des milliards d’euros en baisse de productivité et en temps d’arrêt des activités.

La cyber-guerre au Moyen-Orient

L’incident estonien sera cité dans l’histoire comme le premier exemple majeur (et espérons-le le plus important) d’une cyber-guerre à part entière. Cependant, il y a un endroit sur terre où la cyberguerre fait désormais partie du paysage Internet quotidien – et elle continue.

Au Moyen-Orient, le conflit israélo-arabe a un élément Internet important, avec des milliers d’attaques et de contre-attaques par an. Telle était la situation après l’effondrement des pourparlers de paix dans la région et a été précédée par une cyber-guerre spontanée à grande échelle entre des hackers arabes et israéliens en 1999 et 2000. Des compatriotes arabes de nombreux pays sont impliqués. Un groupe de hackers marocains sévit contre les sites web israéliens depuis environ six ans, et la station de radio militaire israélienne a été récemment infiltrée par un hacker irakien.

Contrairement à la frappe de type blitzkrieg en Estonie, cette guerre prolongée n’a pas pour but de paralyser les fonctions critiques de l’ennemi, mais plutôt d’affaiblir le moral, d’épuiser les ressources et d’entraver l’économie. Les cibles sont généralement faciles à utiliser sur Internet: de petits sites Web de trading, des newsletters et même des services à domicile, dont la sécurité peut facilement être compromise. Capturer et supprimer ces sites est un moyen d’intimider l’opposition – en créant un sentiment de « s’ils sont ici, où pourraient-ils être? » – et entraîne une perte significative de données, de bénéfices et de confiance pour les propriétaires de sites.

La cyber-guerre se propage

Si les exemples de l’Estonie et du Moyen-Orient étaient nos seules expériences de cyberguerre, il serait alors tentant de les remettre entre les mains d’acteurs locaux et, par conséquent, de ne pas s’inquiéter de la communauté de sécurité au sens large. Malheureusement, ces cas ne sont qu’une partie d’une tendance beaucoup plus large à perturber les plates-formes de communications numériques. En janvier de cette année, par exemple, deux des quatre FAI du Kirghizistan ont disparu suite à une attaque DDoS majeure dont les auteurs restent inconnus. (2) Bien que les détails ne soient pas clairs, l’attaque aurait désactivé jusqu’à 80% du trafic Internet total entre l’ancienne république soviétique et l’Occident.

La grève semblait avoir été menée par des réseaux russes soupçonnés d’avoir des liens avec des activités criminelles dans le passé, et probablement la seule chose qui a empêché des troubles généralisés dans cette affaire était le fait que les services en ligne du Kirghizistan, contrairement à ceux de l’Estonie, sont pauvres dans les meilleurs moments. Ce n’était évidemment pas la première attaque de ce genre dans le pays. (3) Il est allégué que DDoS était politiquement motivé lors de l’élection présidentielle de 2005 dans le pays, prétendument attribué à un journaliste kirghize sympathisant du parti d’opposition.

La Chine a également été impliquée dans la cyberguerre ces dernières années, bien qu’à une plus petite échelle. Des pirates informatiques du pays auraient infiltré l’ordinateur portable du secrétaire américain à la Défense, les réseaux français sensibles, les ordinateurs américains et allemands, les réseaux néo-zélandais et les systèmes de police, de défense, d’élections et de banque centrale de Taiwan.

De même, en 2003, la cyberintimidation a fait irruption sur le site officiel du parti travailliste du Royaume-Uni et a publié une photo du président américain George W. Bush avec son chien – dirigé par Tony Blair, alors Premier ministre du Royaume-Uni (4). L’incident a attiré l’attention sur l’approche laxiste des sites Web gouvernementaux en matière de sécurité, bien que, dans cet incident particulier, il ait été signalé que des pirates informatiques avaient profité du fait que l’équipement de surveillance utilisé par la société d’hébergement du site Web ne fonctionnait pas correctement. Et depuis 2001, les militants des droits des animaux ont recouru à la piraterie pour protester contre le commerce des fourrures, ternissant le site Web de la marque de luxe Chanel avec des images d’animaux abattus. (5)

Le cas de la défense

Que signifient tous ces incidents pour les décideurs du monde entier? L’expérience de l’Estonie et du Moyen-Orient montre clairement que la cyberguerre est une réalité et la première, en particulier, démontre son potentiel destructeur. Pour être honnête, l’Estonie était en quelque sorte la cible idéale d’une cyber-attaque. Émergeant de la domination russe au début des années 1990 avec peu d’infrastructures de communication à l’ancienne, le pays a pu s’adapter aux pays d’Europe occidentale et créer une économie basée sur des services en ligne tels que la banque, le commerce et le commerce électronique. la gouvernance. Dans le même temps, la petite taille du pays – l’un des moins peuplés de l’Union européenne – signifiait que la plupart de ses sites étaient également mineurs et pouvaient facilement être ébranlés en cas d’attaque. Enfin, au moment de l’incident estonien, il n’y avait rien de cette ampleur dans le passé.

Il est sûr de dire que les autres nations ne seront pas prises si facilement. En effet, à tout le moins, ce qui s’est passé en Estonie prouverait au reste du monde que les cyberarmes peuvent être très efficaces et devraient donc être considérées comme une priorité pour la planification militaire et de défense.

Qu’est-ce qui pourrait faire de la cyberguerre la tactique de choix pour un État en guerre? Il y a au moins cinq bonnes raisons. Le premier est qu’il est «propre». Elle peut détruire toute l’économie d’une nation cible sans détruire l’infrastructure sous-jacente.

La seconde est qu’il s’agit d’une forme d’engagement presque totalement indolore pour l’attaquant: une attaque peut être déclenchée en appuyant sur un bouton sans qu’il soit nécessaire d’engager un soldat.

La troisième raison est le rapport coût-efficacité. Un botnet de 21 000 machines peut être obtenu pour «seulement quelques milliers de dollars», une fraction du coût d’une arme conventionnelle, mais il peut causer des dommages et des perturbations qui valent des centaines de fois. (6)

Le quatrième est qu’il est particulièrement difficile pour les administrations nationales de contrôler et de protéger leurs frontières en ligne. Une attaque DDoS peut être évitée simplement en installant de meilleurs pare-feu sur un site Web (par exemple), mais aucun pays n’a actuellement le pouvoir de dire aux FAI, aux télécommunications et aux autres entreprises Internet de le faire. ceci, qui laisse le pays ouvert aux cyberattaques.

Le dernier, mais certainement la raison, est un défi raisonnable. Dans aucune des attaques de guerre cybernétique vues jusqu’à présent, il n’a été possible de lier la frappe à une autorité gouvernementale, et en fait, il aurait été presque impossible de le faire. Dans le cas des attaques de piratage chinois, par exemple, les autorités ont fourni une défense qui signifie: «Il y a probablement un milliard de hackers sur notre territoire et si c’était nous, nous serions stupides de le faire par les Chinois. Adresse IP. ‘

Une logique similaire fournit potentiellement une absence pour le gouvernement russe dans le cas de l’Estonie: s’il est si bon marché et facile d’obtenir un botnet pour mener une attaque DDoS, pourquoi les Russes se donneraient-ils la peine de pirater les attaques de leurs propres FAI? Et dans l’offensive du Kirghizistan, bien que la source DDoS indique clairement une main russe, les motifs de l’implication de la Russie restent vagues, ce qui laisse entendre qu’elle pourrait avoir été provoquée par le parti sortant du Kirghizistan, qui fonctionnait avec des criminels à gages. De Russie.

Tactiques de protection

Avec tous ces avantages, il est peu probable qu’une force militaire qui mérite son sel ignorera encore la possibilité d’une cyberguerre. En fait, à la suite de l’incident estonien, il est encore possible que l’incidence de la cyberguerre ait augmenté, et nous ne le savons tout simplement pas, car les capacités défensives des peuples en conflit se sont accrues. En outre, une autre leçon importante de l’Estonie est qu’il est possible d’attaquer la défense contre les cyberattaques. Il n’y a pas de solution, pas de solution miracle, mais un certain nombre de mesures peuvent être prises pour résoudre les types de problèmes DDoS auxquels l’Estonie est confrontée et les types d’attaques de piratage qui se poursuivent au Moyen-Orient.

Pour éviter une attaque DDoS, il existe quatre types de défense:

o Bloquer les inondations SYN, qui sont déclenchées lorsqu’un attaquant (par exemple) falsifie l’adresse de retour d’un client, de sorte qu’un serveur recevant un message de connexion de sa part reste perturbé lorsqu’il tente de confirmer la réception.

o Application des techniques de filtrage des entrées réseau BCP 38 pour se protéger contre les paquets d’informations contrefaits, telles qu’utilisées avec succès en Estonie.

o Zombie Zappers, qui sont des outils open source gratuits qui peuvent dire à un appareil (ou «zombie») qui inonde un système d’arrêter de le faire.

o Sites à faible bande passante qui empêchent les attaques DDoS primitives simplement parce qu’ils n’ont pas assez de capacité pour aider à propager l’inondation.

Pour les attaques de pirates, comme celles observées au Moyen-Orient, il existe

trois types de défense de base:

o Rechercher les vulnérabilités connues du système.

o Vérifiez les trous dans les applications Web.

o Testez l’ensemble du réseau pour détecter le lien le plus faible et connectez les éventuels points d’accès.

Un scénario Doomsday?

Tous ces éléments sont des tactiques défensives utiles, mais qu’en est-il des actions stratégiques? Tout d’abord, l’expérience estonienne a montré qu’il est important que le CERT local ait la priorité en cas d’attaque, afin de s’assurer que les choses puissent revenir à la normale le plus rapidement possible.

Les autorités peuvent également, dans la mesure du possible, vérifier l’infrastructure nationale pour les vulnérabilités DoS et DDoS, et enfin les CERT nationaux peuvent scanner tous les réseaux dont ils sont responsables – ce que le Belge a déjà commencé à faire CERT. Compte tenu de l’ouverture d’Internet et des différents défis et intérêts de ceux qui y opèrent, ces mesures n’offriront bien entendu qu’une protection partielle. Mais j’espère que cela suffira à empêcher un autre incident en Estonie. Ou peut-être;

Il existe malheureusement un autre type de cyber-grève que nous n’avons pas encore vu et qui pourrait être plusieurs fois plus destructeur que ce qui s’est passé en Estonie. Au lieu d’essayer de s’introduire dans des sites Web uniquement pour les supprimer – un effort long et relativement peu coûteux – cette tactique impliquerait de placer des «bombes à retardement» sur les systèmes Web concernés. Celles-ci pourraient être définies pour être inactives jusqu’à ce qu’elles soient activées par une heure et une date spécifiques ou un événement spécifique, tel qu’un titre spécifique dans le fil d’actualité national. Ils allaient ensuite activer et fermer leur site hôte, soit en utilisant un DoS interne ou un autre mécanisme.

Les bombes à code peuvent rester en sommeil assez longtemps pour qu’une entreprise malveillante s’introduise et infecte la plupart ou la totalité des principaux sites Web d’un pays. Et dans le monde en réseau d’aujourd’hui, il ne s’agit pas seulement de causer des inconvénients. Considérez le nombre de services de base, des réseaux téléphoniques aux systèmes de santé, qui reposent désormais sur des plateformes en ligne. Frapper tout cela en une seule fois pourrait avoir un effet vraiment écrasant sur les capacités de défense d’une nation, sans qu’il soit nécessaire qu’un attaquant envoie un soldat au combat.

Les moyens de créer une telle attaque existent certainement. Alors faites de votre mieux pour le battre. Αυτό που συνέβη στην Εσθονία και τη Μέση Ανατολή δείχνει ότι πρέπει τώρα να θεωρήσουμε τον πόλεμο στον κυβερνοχώρο ως μια πολύ πραγματική απειλή. Τι θα μπορούσε να συμβεί αν αποτύχουμε να το προφυλάξουμε πραγματικά δεν το σκέφτομαι.

βιβλιογραφικές αναφορές

1. Mark Landler και John Markoff: «Οι ψηφιακοί φόβοι εμφανίζονται μετά την πολιορκία των δεδομένων

στην Εσθονία ». New York Times, 29 Μαΐου 2007.

2. Danny Bradbury: «Η ομίχλη του κυβερνοχώρου». The Guardian, 5 Φεβρουαρίου 2009.

3. Όμοια.

4. «Η ιστοσελίδα του Εργατικού παραβιάστηκε». BBC News, 16 Ιουνίου 2003.

5. «Η γούνα πετά». Ενσύρματο, 23 Ιανουαρίου 2001.

6. Spencer Kelly: «Αγορά ενός botnet». BBC

World News, 12 Μαρτίου 2009.


Source by Aviram Jenik


0 commentaire

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *