A la poursuite des pirates informatiques

Comment les Etats luttent contre la cybercriminalité

By YONAH JEREMY BOB
vue d'un écran (photo credit: INGIMAGE)
vue d'un écran
(photo credit: INGIMAGE)

Il y a environ quatre ans, les experts du Shin Beth (service de sécurité intérieure israélien) ont déjoué une cyberattaque menée contre l’Etat juif par l’Iran, l’un de ses plus farouches ennemis et parmi ceux qui utilisent les méthodes les plus sophistiquées. Le logiciel malveillant avait été déployé sur certains centres névralgiques du réseau de communication israélien ; il attendait le moment opportun pour agir et perturber la diffusion radiophonique et télévisuelle. Plutôt que d’appréhender les pirates en flagrant délit, le Shin Beth a choisi de les laisser commencer à accomplir leur forfait, et de les espionner dans le même temps afin de les identifier. Ils ont pu ainsi éliminer la menace et engager une contre-attaque, révélant parallèlement des détails sur ces cybercriminels à toute une communauté de hackers.

Un enjeu devenu crucial
Cet incident a été rapporté pour la première fois il y a un an dans un article du magazine en ligne Cybertech. Depuis, les langues ont commencé à se délier. Récemment, le Shin Beth s’est exprimé publiquement sur le thème de la cybercriminalité et les moyens de déjouer les attaques informatiques. L’enjeu, en effet, est devenu crucial en Israël, ce qui a conduit les pouvoirs publics à investir énormément de moyens pour lutter contre ce fléau.
« Les services de renseignement ont commencé à s’intéresser au phénomène de la cybercriminalité dès 1994. Au fil des ans, nous avons appris à combattre des cyberattaques de plus en plus nombreuses et sophistiquées. Notre département de cybersécurité est aujourd’hui ultra-performant », indiquait en juin dernier le directeur du Shin Beth, Nadav Argaman. « Nous n’attendons pas d’être attaqués pour agir. Nous ne nous limitons pas à identifier les malfaiteurs et à déjouer leurs actes. Nous nous efforçons d’anéantir leurs capacités, avant même qu’ils ne commettent leurs piratages. Notre action n’a pas de limites, nous prenons toutes les menaces au sérieux », insistait Nadav Argaman.
Il y a une décennie, les équipes de l’agence passaient 4 % de leur temps à combattre les piratages informatiques ; aujourd’hui, ils y consacrent le quart. Rien qu’en 2016, le Shin Beth a identifié quelque 2 000 hackers solitaires potentiels. Israël a donc fait de la cybersécurité une priorité et un enjeu national, à tel point qu’il est désormais considéré comme un champion dans ce domaine. Signe des temps, le nombre de sociétés spécialisées en sécurité informatique ne cesse, lui aussi, de progresser. La confidentialité y est de mise, comme tout ce qui touche à la défense du pays.
Pas une science exacte
Les professionnels s’accordent à dire que déjouer ces attaques est avant tout un art, non une science exacte, et que le facteur chance est parfois déterminant. La cybersécurité est un secteur très vaste qui demeure vulnérable, et ce en dépit des moyens investis : même les Etats ou les sociétés qui s’estiment les mieux protégés des piratages peuvent commettre des erreurs. C’est ce qui est arrivé au Royaume-Uni, pays pourtant considéré comme l’une des cinq puissances cybernétiques au monde. Londres a été victime d’un piratage de grande envergure qui a infecté le réseau informatique du parlement l’été dernier. Après analyse, la Russie a été montrée du doigt comme étant l’auteur de cette attaque. Or une telle accusation ne doit pas être prononcée à la légère, compte tenu des conséquences diplomatiques. Deux mois plus tard, les Britanniques faisaient cependant marche arrière, au terme de plus amples investigations désignant clairement l’Iran.
Ces deux incidents, au Royaume-Uni et en Israël, illustrent la difficulté à lutter contre les hackers qui peuvent modifier leurs modes opératoires à volonté, et disposent, pour certains d’entre eux, de moyens illimités.
Les outils des cyber-enquêteurs
Michael Daniel, ancien responsable de la cybersécurité au sein de l’administration Obama, s’est exprimé récemment sur les enjeux et les outils de cette lutte. La première démarche après une attaque, a-t-il expliqué, est de rechercher sur le terrain les preuves matérielles, c’est-à-dire suivre le même processus que dans une enquête criminelle. De nombreux indices techniques permettent d’émettre une hypothèse crédible sur l’identité du coupable. Pour caractériser une attaque, il faut en déchiffrer les codes, décrypter les enregistrements, retracer toutes les connexions effectuées par un utilisateur, en étudiant le relevé précis de ses opérations auprès de son serveur. Ces données permettent de remonter jusqu’au fournisseur d’accès de l’utilisateur, dont l’identification est fournie par l’adresse IP (Internet Protocol), une suite de chiffres assignée à chaque appareil connecté à un réseau et à l’Internet. Un jeu de piste qui prend certes du temps, mais qui est indispensable à toute enquête.
« Comme pour chaque investigation, que ce soit dans le domaine de la cybernétique ou lors d’une enquête policière classique, le processus est le même : il faut récolter le maximum d’informations et formuler des hypothèses », résume Michael Daniel, qui est aujourd’hui président de Cyber Threat Alliance, une organisation chargée de coordonner les efforts des acteurs de la cybersécurité pour lutter plus efficacement contre les menaces.
« La première étape est de faire des copies des disques durs des ordinateurs soupçonnés d’avoir été utilisés par les pirates. Nous étudions alors toutes les opérations effectuées, tous les sites consultés, et nous analysons les outils informatiques dont les hackers se sont servis pour s’introduire dans le réseau. Si vous trouvez un malware (programme malveillant qui permet d’extraire d’un ordinateur ou d’un appareil mobile des informations personnelles ou des mots de passe, voler de l’argent ou encore empêcher des propriétaires d’accéder à leur appareil), vous l’analysez pour voir d’où il provient. Vous tentez de comprendre quelles opérations ont été effectuées par les pirates et dans quel but », explique Michael Daniel.
Logiciels malveillants
« Quand vous analysez le logiciel pirate, vous pouvez ainsi remonter jusqu’au RAT (Remote administration tool ou outil d’administration à distance, un programme permettant la prise de contrôle à distance d’un ordinateur depuis un autre ordinateur). Grâce à un RAT, une personne à distance se retrouve exactement dans la même situation qu’un individu installé physiquement devant l’écran de son ordinateur. Ces programmes sont multiples, mais vous pouvez repérer de quels types de RAT il s’agit. A partir de là, il faut se demander si le modèle identifié est plus susceptible d’être utilisé par tel pays ou par telle organisation criminelle », poursuit-il.
« Un bon exemple de RAT est le logiciel malveillant dénommé “poison ivy” (poison grimpant). Si ce malware apparaît dans le réseau ou dans un ordinateur, vous pouvez effectuer des rapprochements avec des données qui ont déjà été répertoriées par les forces de sécurité et les services de renseignement, de manière à identifier l’utilisateur », explique encore l’expert en cybersécurité. « Les données techniques que nous extrayons incluent les logiciels malveillants et l’historique des connexions. Ensuite nous essayons de procéder à des rapprochements avec d’autres cas de piratage informatique. Un hacker utilisant un logiciel de type “poison ivy” peut aussi faire des rebonds, c’est-à-dire faire en sorte que ces messages passent par une succession de routeurs, situés en Malaisie par exemple », indique-t-il.
« Parallèlement, il faut tenter de briser le bouclier de protection derrière lequel les hackers cachent leur adresse IP. Le déchiffrer nécessite souvent d’emprunter des chemins détournés. Les pirates ont parfois recours au protocole TOR (acronyme pour The Onion Router), mécanisme de serveurs proxy enchaînés et encryptés permettant de surfer anonymement sur la toile. Grâce à celui-ci, votre connexion transite par un réseau de “nœuds” qui masquent votre IP réelle », ajoute Michael Daniel. Les pirates peuvent aussi choisir d’autres méthodes pour masquer leurs identités, par exemple naviguer d’un ordinateur à un serveur.
Le jeu du chat et de la souris
« C’est un jeu du chat et de la souris, une course-poursuite infernale. Les hackers doivent arriver à devancer ceux qui leur courent après et avoir suffisamment d’avance pour les semer. Pour les enquêteurs, il s’agit de remonter la chaîne le plus rapidement possible. C’est tout l’enjeu », résume le spécialiste.
« Pendant la Seconde Guerre mondiale, il est souvent arrivé qu’en cas d’incapacité à déchiffrer les codes utilisés par les puissances de l’Axe (Allemagne, Italie et Japon), il soit malgré tout possible de dire à qui ces messages étaient adressés en examinant la manière dont ils étaient cryptés. Nous utilisons la même logique, en partant du principe que tel pirate fait les choses dans un certain ordre et utilise un procédé qui lui est propre. C’est ainsi que vous pouvez commencer à l’identifier », poursuit Michael Daniel.
« Parfois cependant, les indices sont insuffisants, notamment si les hackers parviennent à effacer les données. Un échec peut aussi s’expliquer par un manque de moyens ou de compétences pour analyser les éléments techniques recueillis. Dans certains cas, on manque simplement de chance », précise l’expert.
Tout un art
Joseph Krull est aujourd’hui responsable de la sécurité chez Accenture, l’une des sociétés de conseil les plus performantes au monde dans le domaine informatique. Il a passé 19 ans dans les services américains de renseignement, avec des missions qui l’ont notamment conduit en Israël, en Egypte, en France et au Tchad. « Remonter à l’origine d’un piratage n’est pas une science exacte, c’est un art », souligne ce dernier, ajoutant que cacher son identité Internet est une opération relativement banale, car il suffit bien souvent de se dissimuler derrière des intermédiaires (proxies).
« Les pirates agissent de manière ordonnée et ils réutilisent bien souvent certains procédés éprouvés, car c’est dans la nature humaine de répéter ce qui a déjà bien fonctionné dans le passé. Quand vous observez le même système d’attaque sur une longue période, vous pouvez vous faire une idée bien précise des assaillants – identité, provenance et objectifs », explique Joseph Krull. « Il faut également compter sur leurs erreurs, car les hackers en font aussi, c’est humain. On détermine ainsi quelles traces ils ont laissées, comment ils ont modifié le code, ou à quel moment ils ont tenté de changer une adresse IP. »
Ruses et failles de hackers
Avec tous les outils dont les services de renseignement disposent, la question se pose avec encore plus d’acuité : comment des hackers ont-ils pu induire en erreur les Britanniques, au point que ces derniers ont accusé les Russes d’avoir perpétré ces attaques, alors qu’en réalité c’étaient les Iraniens ?
Selon Michael Daniel, cette confusion proviendrait du fait que les Iraniens ont utilisé des logiciels malveillants russes et lancé leurs attaques depuis le territoire russe. « Il y a de nombreuses manières de déjouer les recherches et tromper les enquêteurs. Des pays peuvent utiliser des logiciels malveillants tout en prétendant qu’ils sont en train de traquer des activités criminelles, et ainsi se justifier d’avoir lancé leurs attaques hors de leur territoire », ajoute-t-il.
L’ancien responsable de la cybersécurité à la Maison-Blanche estime pour sa part que « c’est justement à cette étape que le renseignement a un rôle essentiel à jouer, à savoir dévoiler les subterfuges des hackers. Il est facile de se méprendre dans un premier temps et d’aller dans une mauvaise direction, mais après un temps de réflexion et une analyse plus poussée, les experts se réorientent. »
La Grande-Bretagne a vraisemblablement été conduite sur une fausse piste après une première analyse uniquement basée sur les origines et les localisations d’une liste d’adresses IP. « L’une de ces adresses IP a peut-être mené à identifier une entité russe. Mais quand vous creusez et étudiez les connexions, vous vous dites : “Stop, nous nous sommes précipités et nous nous sommes trompés dans nos conclusions. Ce code, nous l’avions déjà identifié comme provenant des Iraniens.” »
« L’identification constitue toujours un challenge, c’est ce qui est le plus difficile. La plupart des pays se cachent derrière un réseau pendant un certain temps avant d’être détectés », ajoute Joseph Krull. « En général, la solution intervient après des analyses encore plus approfondies de toutes les opérations effectuées par les pirates. C’est bien souvent la clé de la réussite. Vous devez examiner la syntaxe des messages, la manière dont sont définis les codes. On s’aperçoit alors qu’il ne s’agit pas d’une syntaxe russe, mais persane par exemple. Vous pouvez aussi étudier les dates et codes d’erreurs des messages. Parfois, ce sont aussi les horaires qui semblent farfelus, car les hackers ont oublié de prendre en compte les différents fuseaux horaires. Certains pirates peuvent lancer des attaques en pleine nuit pour vous induire en erreur, mais ces tactiques peuvent justement avertir du fait qu’il y a quelque chose de louche », détaille Michael Daniel. Il ajoute qu’il est indispensable de croiser les données collectées par les services de cybercriminalité avec celles recueillies par le renseignement et la police. « Vous pouvez alors trouver des éléments communs entre le renseignement d’origine électromagnétique (SIGINT, signals intelligence) ou celui d’origine humaine (HUMINT, human intelligence), ou même découvrir d’autres données qui modifieront votre version. D’après mon expérience, il faut au moins quelques semaines pour arriver à formuler des conclusions, et plusieurs mois pour être certain de celles-ci.»
Un puzzle complexe
Le temps joue effectivement en faveur des enquêteurs, car il est clair que plus l’investigation est longue, plus on aura de chance de mettre au jour les erreurs faites par les hackers, souligne Michael Daniel. Et d’expliquer que fréquemment, les services chargés de lutter contre les cyberattaques sont induits en erreur parce qu’ils sont sous pression, et doivent formuler des conclusions le plus rapidement possible. « Chaque cas est différent. J’aurais aimé que tout repose sur les compétences, mais parfois c’est uniquement une question de chance », insiste l’expert.
Rassembler et comprendre les données collectées par la police et les services secrets revient à reconstituer un puzzle très complexe. Les résultats peuvent être totalement différents des hypothèses initiales. Dans la cyberguerre, le rôle joué par le renseignement dépend de l’attaquant supposé. S’il s’agit d’un pays de premier plan, il y a davantage de chances que les services secrets aient déjà organisé une surveillance de celui-ci ou même espionné ses activités. Il s’agit ensuite de jongler efficacement entre les preuves fournies par l’enquête policière et les données transmises par les services secrets.
L’union fait la force
Le renseignement électromagnétique est-il plus fiable que les analyses sur le terrain ? « En réalité, plus on a d’informations, mieux c’est. Les renseignements fournis par les individus ne seront jamais aussi nombreux que ceux d’origine électromagnétiques en termes de volume, mais parmi toutes ces informations recueillies, il y a aussi beaucoup de déchets ou de données inutiles », indique Michael Daniel. Chaque acteur transmet des informations différentes. « Les agences de renseignement les plus efficaces intègrent et étudient toutes les données quelles qu’elles soient. Il faut croiser toutes les informations pour être le plus performant possible. »
« Pour identifier les pirates informatiques, il est indispensable de savoir comment ils sont formés et de connaître leur mode de fonctionnement. Il ne faut pas négliger le fait que les Etats disposent de ressources illimitées et investissent souvent des montants exorbitants dans les cyberattaques », explique Joseph Krull.
L’ancien chef du Shin Beth Yoram Cohen a récemment affirmé qu’Israël réussit toujours à identifier les responsables d’une cyberattaque. Une remarque qui a surpris les professionnels, car dans ce milieu, nombreux sont ceux qui estiment impossible de déterminer avec une certitude totale l’origine d’une attaque, tant les pistes peuvent être brouillées.
Selon Joseph Krull, Yoram Cohen faisait certainement référence à des attaques dont les suspects avaient été préalablement identifiés ou faisaient partie d’une liste de coupables potentiels. « Mon expérience professionnelle m’a montré que personne ne peut identifier avec certitude les auteurs d’une attaque. Même avec d’énormes moyens et l’aide des services de renseignement, je ne pense pas que ce soit possible », assure-t-il.
Ce qui est certain, c’est que la traque progresse grâce à des moyens de plus en plus sophistiqués, comme le recours à l’intelligence artificielle pour cibler les hackers. La course aux armements dans la cybercriminalité n’en est qu’à ses débuts.
© Jerusalem Post Edition Française – Reproduction interdite


Related Tags
Israeli cybersecurity
computer hacker