mercredi 13 mai 2009

La cyberguerre venue du froid


Comment et pourquoi la Russie a développé une forme de cyberguerre open source.

Ce texte a été initialement publié dans Alliance Géostratégique.


Cybercrimes sans châtiments

En Russie, le boom du hacking eut lieu après la crise financière de 1998 : des myriades de petites et de grandes entreprises mirent la clé sous la porte, délaissant des masses de programmeurs-développeurs sur le carreau. Aujourd'hui encore, près de 70% des étudiants en sciences et en technologie ne trouvent aucun débouché à leur sortie de l'université et l'actuelle « Grande Récession » n'éclaire point leurs horizons. Pourtant, les facultés sci-tech russes forment remarquablement bien et contournent le manque de ressources avec une ingéniosité incomparable. À défaut d'être absolument paritaires, leurs effectifs féminins sont bien plus élevés qu'à l'ouest (de 13 à 43% d'étudiantes selon les académies), un héritage égalitariste de l'ère soviétique. Orbitant autour des campus et/ou proposant des offres légales en ligne, des chasseurs de cyber-têtes offriront des opportunités de carrières inespérées à ces diplômés en mal d'avenir.

Selon le Centre de Recherche en Criminalité Russe et Eurasienne, la très grande majorité des entreprises cybercriminelles russes sont créees et dirigées par des diplômés en informatique et/ou d'école de commerce originaires de bonnes familles, parfois fils d'anciens ou de nouveaux apparatchiks. Très peu de mafieux endurcis car aisément repérables et insuffisamment calés, très peu de hackers car trop geeks et pas du tout gestionnaires. Néanmoins, l'apport en capitaux des premiers est indispensable, l'apport en industrie des seconds est incontournable l'ensemble étant fortifié par des relations parentales bien placées. Certaines cybermafias sont peu ou prou les divisions informatiques des fameuses mafias russes. La plus connue d'entre elles est le Russian Business Network (RBN) purement issu des protocoles Internet, fondé et dirigé par un certain « Flyman » - qui n'a pas encore 30 ans - neveu d'un puissant homme politique russe et donc à l'abri des forces de sécurité et des poursuites judiciaires.

Les personnels de ces entreprises cybercriminelles très agiles sont composés de garçons et de filles diplômés, compétents, mignons, joviaux, cheveux clairs, yeux verts, casiers judiciaires vierges... Et parfois mineurs car dans le hacking, la valeur attend de moins en moins le nombre d'années. Nés sous la perestroïka ou pendant la décomposition post-communiste et n'ayant jamais connu la kafkaïenne rigueur soviétique, cette « e-génération » montante a toujours vécu à travers les arriérés salariaux des parents, la loi des mafias, la corruption exubérante et l'insécurité galopante. Dès lors, jeunes talents en Russie ayant mené leurs études d'arrache-pied, comment auraient-ils pu résister à cette tentation voire à ce quasi non-choix ?

Ceux qui n'ont pas été recrutés sur le parvis de la fac obtiendront rapidement l'adresse d'une « shkola hackerov ». Diplômé d'informatique de l'université de Moscou, Dimitri se rend trois par semaine chez le Pr V., une dame corpulente dans la quarantaine qui lui donne des cours particuliers de hacking dans son appartement nettement moins rangé que son bureau Linux Ubuntu. Après quelques liasses de roubles et avant chaque leçon, il est sermonné pour l'enième fois sur les dangers de l'alcool, de la cigarette, de la drogue et du cyberpiratage. Après un ou deux semestres de formation intense, le Pr V. orientera professionnellement Dimitri avec une justesse toute algorithmique. Une fois installé, il côtoiera ses camarades de promo et gagnera autant voire plus qu'un cadre informatique américain ou européen, c'est-à-dire le paradis terrestre en Russie. De quoi attirer, retenir et motiver les cerveaux.

Traumatisée par une criminalité violente sans fin, la société russe est plus encline à passer l'éponge sur le cyberpiratage qui, au moins, n'ensanglante pas les rues ou les couloirs d'immeubles et ne trouble guère l'ordre public. De plus, les foisonnants syndicats du cybercrime sont perçus par l'opinion d'abord comme la nouvelle matière grise de la Russie à l'ère informationnelle, puis comme des Robin des Bois extorquant de la menue monnaie à un Occident trop gras, faisant convenablement vivre leurs familles et partageant le butin avec les autorités. En effet, ces syndicats flirtent constamment avec les cyber-agents fédéraux qui en profitent pour arrondir leurs fins de mois, mettre à jour leurs connaissances et savoir concomitamment « qui est qui et qui fait quoi ».

Échange de bons procédés oblige, les cybermafias bénéficient de la complaisance et de la protection du FSB – surtout contre Interpol et les extraditions vers les Etats-Unis et l'Europe – et garantissent de ne jamais s'en prendre aux cyberstructures gouvernementales. Un accord tacite solidement respecté jusqu'ici.

Il convient donc d'appréhender préalablement la réalité socioéconomique et politique russe avant d'émettre quelque jugement de valeur ou de lui transposer des schèmes occidentaux. Par ailleurs, malgré des finalités plus ou moins divergentes, cybercrime et cyberguerre recourent à des modes opératoires très souvent identiques. Un bref survol des tactiques et techniques cybercriminelles est également indispensable pour mieux cerner l'approche russe de la cyberguerre et ses récentes évolutions.

Bons botnets de Russie

Pépinières prolifiques du spamming, du scamming, du phishing, du vol de numéros de cartes et codes bancaires, d'hébergements mafieux « à l'épreuve des balles » et de malwares, les cybermafias russes seraient à elles seules la source de plus d'un tiers de la cybercriminalité planétaire. Longtemps avant les cybercriminels occidentaux, elles ont intégré les malices en ligne dans une industrie digne de ce nom : audit, e-marketing, packs, forfaits, solutions personnalisées, tarifs segmentés, suivi des opérations, veille technologique, gestion de la relation clientèle, service après-vente, assistance technique, tutoriaux, etc... En Russie plus qu'ailleurs, le « malware-as-a-service » (MaaS ou code malicieux comme service) est porté par un cycle d'innovation de plus en plus rapide et par une réduction constante des risques opérationnels.

Les produits pay-or-deny sont très appréciés : pour 100 dollars, un créancier énervé ou un parrain en colère peut commanditer des plantages répétés de serveurs – via la technique du déni de service distribué (DDoS) - jusqu'à ce que son débiteur lui verse la somme exigée. Dans certains cas, point besoin d'être un hacker chevronné : il suffit de remplir un formulaire en ligne et de désigner les sites ou les serveurs à paralyser ! Dans un environnement entrepreneurial où la force précède souvent le droit, cette sommation se révèle plus efficace qu'une lettre d'huissier. Un site de phishing (usurpation d'identités numériques) se négocie entre 1000 et 3000 dollars mensuels, plus 50 dollars pour une option comme le retour crypté de données. Aujourd'hui, maintes applications MaaS comportent des kits préprogrammés et des interfaces conviviales, ceci afin que de simples informaticiens de gestion proposent des services cybercriminels en arrière-plan sans nécéssairement connaître leurs détails techniques.

En informatique, la virtualisation consiste en quelque sorte à créer un ou plusieurs ordinateurs virtuels et leurs systèmes d'exploitation à l'intérieur d'un ordinateur réel utilisant un système d'exploitation identique ou différent. Les outils de virtualisation servent à faire fonctionner ce qu'on appelle communément des serveurs privés virtuels (Virtual Private Servers ou VPS) ou encore environnements virtuels (Virtual Environments ou VE). L'interconnexion de plusieurs machines virtuelles combinée à de solides procédés de cryptage et de reroutage permet aux cybermafias russes d'agir très en-dessous des radars cybersécuritaires, et ce, sans laisser de traces dans les disques durs physiques utilisés. Le recours à des architectures décentralisées en ligne (chat, réseaux peer-to-peer et applications Web 2.0) disséminent d'autant les activités dans un brouillard numérique et compliquent à l'extrême la traçabilité électronique et de facto la recherche de preuves.

Distribués et redistribués par des spams, des virus, des fichiers téléchargés ou des hyperliens piégés, les botnets sont de minuscules programmes ultra-furtifs permettant de contrôler à distance plusieurs milliers d'ordinateurs. Ils sont conçus essentiellement pour diffuser des e-mails publicitaires - la preuve par votre courriel quotidien ! - mais aussi pour espionner l'activité en ligne d'un ordinateur, détecter des mots de passe, des données bancaires ou des adresses IP, paralyser et infecter des serveurs commerciaux ou gouvernementaux et même effacer intégralement leurs contenus. De sournois virus, vers, troyens et botnets commme Bagel, MyDoom, NetSky, Storm Worm, Pinch, Damrai et Scratch, pour ne citer qu'eux, ont été incubés dans quelques serveurs de Saint-Petersbourg.

Au printemps 2009, des chercheurs californiens avaient intercepté et observé un botnet agir pendant 10 jours : en une heure, celui-ci avait collecté plus de 70 Go de données bancaires et numéros de cartes de crédit, et 56 000 mots de passe concernant 8310 comptes auprès de 180 000 ordinateurs et 410 établissements financiers de par le monde dont PayPal, Capital One, E-Trade et Chase ! On comprend que le botnet soit l'un des outils préférées du cybercrime, du cyber-espionnage et de la cyberguerre.

Machines virtuelles, DDoS, botnets, peer-to-peer, reroutage, Web 2.0, cryptage, troyens, architectures décentralisées... Comment déterminer la nature et l'origine d'un acte cybercriminel ou d'un assaut cybernétique – pour peu qu'il soit détectable - au vu des innombrables techniques « zombifiant » des milliers d'ordinateurs de par le monde avant d'atteindre sa cible ? Si votre gouvernement affirme avoir été victime d'une erreur de mise à jour logicielle ou d'un quelconque virus, prenez cette information avec des pincettes sans toutefois verser dans la paranoïa; le bogue à effet domino étant le prix de l'incessante complexité cybernétique.

Les guerriers cybernétiques et leurs armes étant à peu près connus, abordons maintenant des aspects cyberstratégiques typiquement russes.

Bienvenue en Cybérie

Durant la seconde moitié des années 90, les administrations et entreprises russes renouvelaient leurs équipements informatiques et télécoms avec du matériel essentiellement américain. En 1996, cette déferlante de technologies provenant de l'ouest mit la puce à l'oreille du sous-comité de la Douma à la sécurité de l'information : celui-ci soupçonnait ces équipements d'incorporer des dispositifs de cyber-espionnage et d'intrusion malveillante menaçant les réseaux informatiques et télécoms russes. En 1999, la division cybersécuritaire du FSB fut créée et fut aussitôt chargée de concevoir une stratégie cybersécuritaire et une doctrine cyberguerrière en collaboration étroite avec l'armée russe.

La phobie du cheval de Troie « hardware » n'est point une spécifité russe. Approvisionné par l'équipementier télécoms chinois Huawei à hauteur de 15 milliards d'euros depuis l'hiver 2009, l'opérateur British Telecom avait reçu une volée de bois vert de la part du Joint Intelligence Committee (MI-5, MI-6 et GCHQ, tous abonnés à BT) via Whitehall au sujet « de modifications masquées ou de dispositifs difficilement détectables qui pourraient plus tard interrompre ou désactiver à distance les réseaux » de Sa Majesté; « d'autant plus que nous n'avons qu'une connaissance limitée des capacités de nos adversaires », avait alors ajouté le JIC.

En outre, un projet de fusion entre Huawei et la firme américaine 3Com – fournissant le gouvernement fédéral en solutions cybersécuritaires – avait été bloqué puis rejeté par la Maison Blanche. Motif : « cette opération va en l'encontre des intérêts nationaux des États-Unis ». En fait, la NSA et le FBI avaient agité leurs drapeaux rouges à propos de Ren Zhengfei, l'actuel dirigeant de Huawei, auparavant directeur de la division R&D télécoms de l'Armée Populaire de Libération !

NB : En matières de cybercriminalité et de cyberguerre, on remarquera une évolution chinoise comparable et presque similaire à celle russe. Le Parti Communiste = l'état chinois qui pourchasse les cyberdissidents sans relâche, fait plutôt preuve d'une indulgence marquée envers les hacktivistes... Surtout lorsqu'ils visent des sites pro-tibétains, pro-ouïghours ou pro-Falun Gong et des serveurs gouvernementaux taïwanais, européens ou américains. Dans le « prêt-à-cyberpirater » globalisé, apparaissent de remarquables produits composites user-friendly comme Black Energy et Botnet Attacker à moins de 100 dollars, codeveloppés par des hackers chinois et russes.

Retour en Cybérie. En 2001, le Général Vladislav Sherstyuk, membre du Conseil de Sécurité russe, déclara au sous-comité infosécuritaire de la Douma que « la nouvelle ère de l'information provoquera la prochaine spirale de la course aux armements. Contrairement aux armes nucléaires stratégiques, le développement de capacités de frappe cybernétique nécéssitera des compétences s'étendant au-delà de la sphère militaire ».

Or, la Russie n'a plus d'industrie informatique et dépend quasi complètement de technologies américaines. D'où sa quête opiniâtre d'atouts asymétriques dans le domaine informationnel, à fortiori au vu de la puissance américaine incontestée et des émergences indienne et chinoise sur le plan cybernétique. Les traces de la crise financière de 1998 sont encore fraîches, le vivier grossissant de cyberguerriers potentiels au sein des syndicats russes du cybercrime constitue donc une véritable aubaine. Cette quête d'un avantage asymétrique cybernétique s'inscrit parfaitement dans la doctrine militaire russe qui omet rarement les fondamentaux stratégiques, compose avec les rusticités tactiques et techniques et sait donner la priorité à l'ingéniosité et au pragmatisme plutôt qu'au « top du militech »... Comme c'est trop souvent le cas en Amérique et en Europe, n'est-ce pas, Mr Joseph Henrotin ?

Parallèlement, les pays baltes se rapprochèrent des États-Unis puis intégrèrent peu à peu l'Union Européenne et l'OTAN. Ces nouveaux états-nations renouvelèrent massivement et rapidement leurs architectures informatiques et télécoms avec des technologies américaines et devinrent, à divers degrés, des paradis du « netware ». En Estonie, on peut payer son parking avec son mobile, voter par internet et accéder au wi-fi disponible dans de très nombreuses stations d'essence, les cabinets ministériels locaux préfèrent les réunions en ligne et les signatures numériques. Du fait de leur immense richesse gazière, les républiques du Caucase suscitèrent la convoitise des investisseurs internationaux et furent elles aussi tenues de se doter de cyberstructures professionnelles et d'une visibilité électronique (sites gouvernementaux et commerciaux) dignes de ce nom, malgré une pénétration domestique plutôt faible de l'internet.

Le décor est planté, les personnages sont sur scène, l'intrigue est ficelée, il ne reste plus qu'à jouer la pièce...

En ligne, camarades de party !

Au printemps 2007, le gouvernement estonien fit déboulonner une statue datant de l'ère soviétique, commémorant les soldats russes tués au combat pendant la seconde guerre mondiale. Peu après, la majeure partie des sites et serveurs estoniens gouvernementaux, commerciaux et bancaires cessèrent de fonctionner pendant plusieurs jours voire pendant plusieurs semaines pour certains. À ce jour, l'Estonie demeure le seul pays au monde à avoir véritablement vécu une cyberattaque de grande ampleur. Il en fut quasiment de même en Lituanie en août 2008 après la promulgation d'une loi interdisant l'affichage public des symboles de l'époque soviétique.

Durant les quinze jours précédant l'expédition militaire russe en Géorgie de l'été 2008, des cyberattaques graduellement augmentées ciblèrent d'abord quelques sites .ge, puis firent feu de tout bois dès les premiers coups de canons : hacktivisme, opérations cyberpsychologiques, propagande en ligne, DdoS, etc. Même le service VoIP/ToIP (voix et téléphonie par internet) du gouvernement géorgien fut hors service durant plusieurs jours. Cependant, il n'est guère étonnant que plusieurs infrastructures informatiques et télécoms d'un pays bombardé soient hors d'usage.

Lors des pourparlers entre l'OTAN et le Kirghizistan concernant l'usage de la base aérienne de Mana afin de ravitailler la FIAS en Afghanistan, le net kirghize fut à son tour victime de cyberattaques régulières mais de bien moindre ampleur que celles évoquées précédemment. D'une certaine façon, ce pays a été sauvé de représailles en ligne plus prononcées du fait de son sous-équipement réseautique.

Dans les quatre cas, les cyberattaques ont été savamment menées par des essaims d'hacktivistes et de script kiddies. Was ist das ? Durant la guerre de Géorgie, le site stopgeorgia.ru et maints forums et blogs hacktivistes ou partisans fournissaient tutoriaux, schémas de coordination opérationnelle, scripts et kits préprogrammés en vue d'attaquer à volonté l'internet géorgien. Ces mêmes plate-formes 2.0 procuraient également des listes publiques de sites et de serveurs géorgiens à cibler. D'où l'expression script kiddies, qui a également contribué à l'émergence du concept de « cyberguerre open source » à laquelle tout le monde peut participer : professionnels, amateurs, néophytes...

De Bonaparte, réveille-toi : la Russie a restauré ta ferveur révolutionnaire et ta levée en masse !

Les autorités russes eurent effectivement tous les arguments pour nier leur implication, mais elles ne peuvent prétendre n'avoir eu vent de cette cyberguerre irrégulière et crowdsourcée à coût zéro. Si elles n'ont point appuyé sur une seule gachette électronique, elles ont très probablement sonné le clairon via le Web 2.0 auprès de programmeurs-développeurs cybercriminels pour l'argent, cyberpirates par passion et hacktivistes pour la gloire. Pendant ce temps, leurs camarades des forces de sécurité prenaient des mesures drastiques à leur encontre : 1/ trouver un stylo, 2/ prendre un carnet de notes, 3/ ne pas interférer, 4/ siroter un café.

Quelques mois plus tard, Eka Tkeshelashvili, directrice du Conseil National de Sécurité géorgien avait affirmé savoir exactement qui commanditait et menait les cyberattaques contre son pays mais avait reconnu son incapacité à pouvoir en apporter une seule preuve incontestable. Nul doute que ses homologues estonien, lituanien et kirghize firent des constats identiques. D'ailleurs, à quoi bon poursuivre un état en justice – devant quel tribunal, au fait ? - pour des actions commises par quelques uns de ses citoyens ou par des non-états à la fois légaux, clandestins, virtuels et apparemment protégés par leurs autorités ?

Une chose est sûre : entretenant des rapports difficiles avec ses voisins baltes et caucasiens – embrassant ostensiblement l'Amérique et l'Europe à ses portes ! - la Russie a vite appris à orchestrer cyberguerre open source, diplomatie réelle ou virtuelle et guerre conventionnelle. Une bonne leçon de tactique et de stratégie à l'ère informationnelle.

PS : Pourquoi a-t-il fallu tant de temps aux États-Unis et à l'Europe pour appréhender ces perspectives et ces réalités ? « À l'ouest », la cyberguerre régulière est uniquement l'affaire des militaires et des agents spéciaux, et le cybercrime sous toutes ses formes est durement sanctionné par la loi. Ce qui ne m'empêche guère de sérieusement douter d'une quelconque placidité de ces puissances sur les théâtres cybernétiques.

Cet article a été initialement publié dans Alliance Géostratégique, pour le thème "La Russie, puissance résurgente" (mai 2009).

En savoir plus :

  1. Ce texte est une synthèse réactualisée et augmentée de mes précédents articles Cybercrimes et châtiments en Russie, la Russie cyberpirate la Géorgie et Déclaration de cyberguerre, comportant des annexes et des bibliographies plus fournies.

  2. Présence PC : Le point sur la virtualisation

  3. Arstechnica : Researchers hijack botnet, score 56,000 passwords in an hour

  4. Times : Spy chiefs fear Chinese cyber attack

  5. Wired : Top Georgian Official: Moscow Cyber Attacked Us – We Just Can't Prove It


3 commentaires:

ZI a dit…

Et bien merci pour ce tableau complet et impressionnant. clap!clap!clap!

Reste plus qu'à savoir comment réagir...

F. de St V. a dit…

Encore du e-trèsbonarticle.

Cela fait froid dans le dos, un petit coup de remontant pour se remettre... Les hordes russes de 101111001110 sont derrière nos écrans.

Un conseil: le retour à la carte papier, au calque et aux crayons de couleur dans les états-majors!

Frédéric a dit…

''Mars Attaque'' n'a pas tord, il faut toujours avoir une solution de secours quand la technologie nous lache.

Voir l'usage du morse dans ''ID4'' ;)