Projections des conflits sur l’espace numérique

Thierry Berthier Chaire de cyberdéfense & cybersécurité Saint-Cyr – Thales - Sogeti

Thierry BerthierChaire de Cybersécurité & Cyberdéfense Saint-Cyr

Sogeti Thaleshttp://www.chaire-cyber.fr/

Chaire GCAC – IIRCOhttp://fondation.unilim.fr/chaire-gcac/

http://echoradar.eu/http://cyberland.centerblog.net

Thierry Berthier est chercheur au sein de la Chaire de Cyberdéfense & Cybersécurité des écoles Saint-Cyr – Thales, membre de l’Institut Fredrik Bull et membre du Comité d’Etudes de la Défense Nationale.

Il est maître de conférences en mathématiques à l’Université de Limoges, membre de la Chaire GCAC et de l’Institut international de recherche sur la conflictualité (IiRCO) de l’Université de Limoges. Il est également rédacteur régulier pour le Huffington Post, pour Le Plus, pour Contrepoints et d’autres revues en ligne.

Il est cofondateur du site d’analyse stratégique EchoRadar et a créé en 2013 le blog Cyberland.

Résumé

En quelques décennies, l’espace numérique est devenu le lieu de projection privilégié des révoltes, des insurrections, du terrorisme et des conflits armés. Toute guerre possède désormais sa composante « cyber » qui détermine sa conduite, tant au niveau tactique que stratégique. L’avant et l’après conflit n’échappent pas à cette évolution. De nature transversale et « interarmées », le cyberespace ne se limite pas au simple rôle de « mémoire numérique » archivant les données de guerre. Au contraire, il influence et agit très directement sur les décisions d’engagement des forces et sur l’ensemble des interactions qui opèrent entre les différents belligérants. La guerre en Syrie et en Irak et le conflit russo-ukrainien nous ont montré l’importance stratégique du cyberespace. L’endoctrinement religieux, la radicalisation et le recrutement de combattants terroristes s’appuient aujourd’hui sur la puissance d’impact de l’espace numérique et d’Internet en particulier. Chacun sait que les réseaux sociaux ont joué et jouent encore un rôle déterminant dans le recrutement de milliers de jeunes combattants étrangers engagés aux côtés de l’Etat Islamique en Syrie et en Irak. Cette capacité à fédérer une armée doit nous interroger sur la responsabilité « géostratégique » des grands acteurs mondiaux du numérique. Sur un autre plan, les armées occidentales, américaine, russe et chinoise s’orientent toutes vers la « dronification » de leurs systèmes d’armes et vers la robotisation du combat. Cette évolution profonde qui s’appuie encore sur le cyberespace transforme radicalement l’art de la guerre.

Le constat initial :

Les duels et les conflits humains s’exportent aujourd’hui

systématiquement sur le cyberespace.

L’approche :

Nous évoquons la projection des duels et des conflits sur l’espace numérique selon trois axes :

1 - La cybersécurité et son impact économique.

2 - La cyberdéfense et le conflit projeté.

3 – La robotisation du champ de bataille.

1 - La cybersécurité et son impact économique

La cyberconflictualité est en constante augmentation.On compte une APT dans le monde toutes les 2 secondes !

Carte des cyberattaques en temps réel : https://cybermap.kaspersky.com/

Une multiplication des cyberattaques en 2014 en Europe :TF1, BNP, Sony, Google, Le Monde, Associated Press, TV5 Monde en 2015 et les suivants, sous attaques aujourd’hui sans le savoir !

42,8 Millions de cyberattaques recensées dans le monde en 2014 selon les chiffres de l’étude PwC-2015. Une hausse de 48 % par rapport à 2013 avec près de 120 000 attaques-jours.

Le coût annuel moyen d’une cyberattaque pour une entreprise s’élevait en 2014 à 2,7 millions de dollars.

94 % des entreprises mondiales ont été victimes d’un incident de sécurité provenant d’une attaque externe, selon l’étude 2015 – Kaspersky Lab.

Une attaque entrainant la violation des données d’une entreprise lui coûte en moyenne 720 000 dollars en 2014 et 2,54 millions de dollars lorsque l’attaque est ciblée (type APT).

Les attaques par dénis de service DDoS, qui bloquent partiellement ou totalement l’accès au système d’information de l’entreprise, lui coûtent entre 52 000 et 444 000 dollars. Les victimes perdent l’accès à des données critiques dans 61 % des cas et perdent des opportunités de contrats dans 33 % des cas.

Le budget moyen consacré à la cybersécurité dans l’entreprise s’élevait à 4,1 millions de dollars en 2014 soit une baisse de 4 % par rapport à 2013 (étude PwC).

D’après le Gartner Group, le pourcentage d’organisations possédant un plan formel de gestion d’une cyberattaque agressive est proche de…. 0 %.Ce chiffre devrait passer d’ici 2018 (toujours selon Gartner Group) à 40 % …

En un mot, la cyber-résilience généralisée va s’installer et les entreprises seront forcées d’investir par la seule hausse du niveau d’agressivité et de complexité des attaques.

On se dirige aussi vers l’externalisation du risque financier dû aux cyberattaques : Le marché de l’assurance « cyber » est en évolution exponentielle en 2015. En un an, la compagnie AIG a enregistré autant de souscriptions de contrats de couverture du cyber-risque que durant les trois dernières années…

La difficulté est d’évaluer précisément le risque : quelle est la valeur de la donnée ? Quelle est sa valeur d’impact ?

Les grandes tendances 2015 des cyber-agressions

Les Ransomwares

CTB Locker (en janvier 2015) : c’est un Ransomware ou Rançongiciel qui chiffre le disque de sa cible et demande une rançon pour décrypter les données.Il a fortement évolué depuis 2013 avec les premières versions de Cryptolockers.Le vecteur d’infection est souvent un email frauduleux contenant une fausse facture en archive .zip ou .cab

L’archive contient un binaire (Dalexis dropper) qui, une fois lancé affiche un document leurre puis exécute CTB Locker. Il trouve ensuite son serveur de contrôle et demande une clé de chiffrement. Muni de cette clé, il peut alors chiffrer la totalité des données du disque.

CTB Locker évolue. Il sait éviter les machines virtuelles, il sait utiliser Tor pour éviter les défenses classiques qui connaissent en général les adresses des cryptolockers. Il existe une variante spécifiquement destinée à la France.

Les malwares bancaires

Carbanak (février 2015) : ce malware est une évolution des malwares Zbot, Carberp et Quadars Un gang de cybercriminels l’a utilisé pour voler près d’un milliard de dollars à de nombreuses banques réparties sur 25 pays et en seulement deux ans !

Il y a eu d’abord une phase de « social engeneering » ciblant les établissements bancaires afin de comprendre les habitudes numériques de certains employés. Les ordinateurs de ces banques ont ensuite été infectés par le malware via une campagne de spear –phishing consistant en l’envoi de courriels ciblés contenant des pièces jointes et des liens corrompus.

L’exécution de Carbanak a déclenché des transferts de fond (en utilisant une banque en ligne ou un système de paiement électronique) vers les comptes du gang aux Etats-Unis et en Chine. Dans d’autres cas d’exploitation du malware, les attaquants sont parvenus à prendre le contrôle des systèmes comptables des banques ciblées en gonflant les soldes afin de masquer les vols. Le malware portait le solde d’un compte à 10 000 dollars alors qu’il n’en contenait que 1000 puis réalisait à partir de ce compte un virement de 9000 dollars sans que l’alarme ne se déclenche. Enfin, les distributeurs automatiques de billets ont également été visés par Carbanak.

Les botnets

Ramnit (février 2015) : C’est un botnet géant démantelé par Europol EC3 et la NCA Agence Nationale de Criminalité en février 2015. Ramnit avait infecté plus 3,2 millions d’ordinateurs devenus des machines zombies sous contrôle d’un unique attaquant.

Portion de code composant Ramnit

Les spywares

Babar (février 2015) : C’est un spyware (logiciel espion) découvert par une agence de renseignement canadienne et étudié par la société de cybersécurité Gdata.

Documents classifiés issus des révélations de l’affaire Snowden.

D’après cette étude (rétro ingeneering) le logiciel espion pourrait être attribué à une agence de renseignement française. Une seconde version « Casper » a été découverte en mars 2015.

La tendance est à la multiplication des logiciels espions souvent développés par les états.Ils servent à la surveillance ciblée et à la lutte contre le terrorisme.Lorsqu’ils tombent dans de mauvaises mains, ils peuvent être utilisés à des fins criminelles.

L’exploitation de vulnérabilités « hardware »

Le piratage massif des cartes SIM par la NSA

La NSA (US) et le CGHQ (UK) sont entrés dans les réseaux de fabriquants de cartes SIM pour dérober des clés de cryptage afin de faciliter les interceptions de communications d’utilisateurs.

L’affaire est révélée en février 2015 (The Intercept & Snowden leaks) .Immédiatement, le cours de l’action Gemalto dévisse de 8 %.

Démenti publié par Gemalto fin février.

Gemalto confirme deux attaques réussies en 2010 et 2011 contre ses systèmes.

Et les cyberattaques qui ciblent la sécurité nationale ….

Le vol de données coûte de plus en plus cher à l’entreprise.

Les spywares et solutions de cyberespionnage sont de plus en plus nombreuses sur le marché, accessibles, efficaces, furtives et faciles à mettre en œuvre par une cellule de hackers.

La prolifération de fausses données produites pour mener une cyberattaque provoque de fortes turbulences et pose le problème de leur détection.

L’arrivée massive des objets connectés fournit une multitude de nouveaux vecteurs d’entrée aux futures cyberattaques. En 2014, on a vu apparaitre des premiers botnets constitués d’objets connectés (une armée de réfrigérateurs connectés – « un monde de Thingbots »).

La voiture connectée, semi autonome puis autonome devient la cible de hackings provoquant le prise de contrôle du véhicule par l’attaquant. La cyberattaque peut devenir létale.

Les trois piliers de la cyberconflictualité sont bien identifiés :

- Les infrastructures matérielles avec leurs failles de sécurité,

- La couche logicielle avec ses vulnérabilités algorithmiques,

- Le facteur humain, les fragilités et les biais cognitifs.

La montée en puissance de l’intelligence artificielle et la production massive de données (40 Zetaoctets à l’horizon 2020) augmentent l’intensité et la complexité des cyberattaques.

Le guide des bonnes pratiques ne suffit plus à assurer la sécurité numérique…

En France, c’est l’ANSSI qui est chargée de la protection des intérêts numériques nationaux et plus particulièrement des OIV Opérateurs d’Importance Vitale.

http://www.ssi.gouv.fr/

2 - La cyberdéfense et le conflit projeté

Des cyberarmées ont été créées au sein de toutes les armées, petites ou grandes.

Aux Etats-Unis, on trouve le célèbre « U.S. Cyber Command » (USCYBERCOM) qui est situé à Fort Meade.

En Chine, on trouve la très discrète « PLA Unit 61398 » encore appelée APT1 pour « Advanced Persistent Threat 1 » à l’origine de très nombreuses cyberattaques furtives (APT).

En Israël, on trouve l’ultra performante « Unité 8200 » qui est certainement à l’origine de l’opération Stuxnet (?).

PLA Unit 61398

Dès 2011, le conflit syrien a été projeté sur le cyberespace

Durant le conflit syrien, le régime de Bachar el Assad et l’EI ont massivement utilisé les réseaux sociaux comme instruments de propagande, de contre-information, d’endoctrinement et de recrutement. D’une façon générale, la projection algorithmique du combattant reflète son engagement et ses actions.

L’histoire du faux tweet de la SEA qui valait 136 milliards Le 24 avril 2013, la SEA attaque le compte Twitter de l'agence Associated Press (AP). Elle en prend momentanément le contrôle et publie à 13h07 le message suivant : « Breaking : Two Explosions in the White House and Barack Obama is injured »Les 1.9 millions d'abonnés au compte Twitter d'Associated Press reçoivent le faux message posté par la SEA en le considérant comme authentique. La réaction des marchés financiers est presque immédiate : entre 13h08 et 13h10, l'indice principal de Wallstreet, le Dow Jones (DJIA) perd 145 points soit l'équivalent de 136 milliards de dollars (105 milliards d'euros) en raison notamment du trading haute fréquence (HFT) qui a interprété et « réagi » au faux tweet. Les actions Microsoft, Apple, Mobil perdent plus de 1% presque instantanément. Quelques minutes plus tard, Associated Press reprend le contrôle de son compte et publie immédiatement un tweet annonçant que le message précédent était un faux et qu'il résultait du piratage de son compte.

Le faux tweet de la SEA qui valait 136 milliards de dollars

En quelques minutes, tous les indices dévissent…

Morale : Véracité et Valeur d’impact d’une donnée sont INDEPENDANTES

L’Etat Islamique (EI) a intégré l’espace numérique à sa stratégie

L’EI applique le « Management de la Sauvagerie », l’étape la plus critique que franchira l’Oumma (2004 – publication sur internet d’Abu Bakr Naji, membre d’AlQaeda).

L’EI s’appuie sur l’ensemble des vecteurs numériques pour diffuser un message de terreur auprès de ses opposants, de ses ennemis, de ses propres troupes et de ses futures recrues.

La mise en ligne de milliers de vidéos d’exécutions sommaires, de décapitations, et d’actes contraires à la convention de Genève révèle aux ennemis de l’EI comment ils seront traités lorsqu’ils seront capturés. Il s’agit d’une stratégie militaire très ancienne mais efficace pour se montrer plus puissant qu’on ne l’est…).

Par ses vidéos postées sur tous les supports disponibles, l’EI montre à ses combattants qu’elle est une organisation « sans pitié », qui ne craint personne et qui peut tenir tête à l’ensemble de la communauté internationale.

Il existe des milliers de comptes « pro-EI » sur Twitter. Depuis un an Twitter les supprime en général au bout d’un ou deux jours. Ils sont ensuite immédiatement recréés sous un autre nom par leurs titulaires.

Une lutte pour la persistance de l’information est engagée entre les combattants (et cybercombattants) de l’EI et les équipes de modération de Twitter, Facebook, Youtube, Google, LinkedIn…

Une vidéo d’exécution de prisonniers postée sur Youtube est supprimée en moins d’une heure aujourd’hui. Il faut donc la dupliquer rapidement et la stocker sur d’autres supports (peu ou pas maintenus, dans le Cloud) tout en assurant sa promotion par des liens mis à jour. C’est typiquement un contexte de duel algorithmique dans lequel on cherche à maximiser d’un côté la durée de vie d’une information et de l’autre à la minimiser…

Cyber-subversion, Cyber-manipulation, & Cyber-renseignement

Cyber-subversion, Cyber-manipulation, & Cyber-renseignement

On voit apparaitre des opérations de cybermanipulation et cybersubversion complexes, efficaces, qui s’inscrivent dans la durée.Elles s’appuient toutes sur des structures de données fictives.

Cf. article : « Les structures de données fictives utilisées en ingénierie sociale » Revue de la Gendarmerie Nationale N° 254 – décembre 2015 - https://fr.calameo.com/read/002719292cc116672a5f7?page=79https://fr.calameo.com/read/002719292cc116672a5f7?page=79

Exemple récent : l’OP Newscaster 2011(?) - 2014

Type : cyber-renseignementSupervision : Iran (selon étude iSight Partners)Cibles : USA, Israël, CE (?)Plus de 2000 individus impactés.

NewsOnAir : un site d’information fictif

Une architecture complexe qui s’inscrit dans la durée…

Les ingrédients de l’Op Newscaster- Un site d’information avec une Rédaction fictive

- Un noyau cohérent construit sur un réseau de profils fictifs (la Rédaction du journal)

-La confiance qui s’installe sur le long terme avec les lecteurs et les futures cibles

Newscaster a ciblé des décideurs, des officiers, généraux, amiraux américains, des membres du congrès.

C’est aussi la réponse iranienne à l’opération Stuxnet :La ruse perse projetée sur l’espace numérique.

Comment va évoluer le hacking ?

L’augmentation des puissances de calcul, le déferlement des objets connectés, la montée en puissance de l’autonomie des systèmes et de l’IA fournissent de nouvelles portes d’entrée aux hackers.

La convergence NBIC (Nanotechnologies, Biotechnologies, Informatique, Sciences Cognitives) transforme la nature des attaques en rapprochant les espaces numérique et physique.

La convergence NBIC induira certainement le neuro-hacking…

Comment va évoluer le hacking ?

Nos projections algorithmiques deviendront alors la cible de cyberattaques massives.

Les individus seront physiquement impactés.

Le niveau global de cyberconflictualité augmentera de façon exponentielle, accompagnant l’élévation de l’IA et le mouvement de convergence NBIC…

Comment va évoluer le hacking ?

3 - La robotisation du champ de bataille

La robotisation du champ de bataille touche aujourd’hui toutes les armées, petites et grandes.

Les américains sont les leaders dans le domaine des drones d’observation et de combat. Ils ont d’ailleurs fondé leur doctrine de lutte contre le terrorisme sur l’utilisation de ces drones en Afghanistan, dans les zones tribales du Pakistan, en Irak, en Libye, au Mali et au Nord Cameroun.

Prédator tirant un missile Hellfire

Defense Advanced Research Projects Agency

Du côté de la Fédération de Russie…

Les systèmes d'armes semi-autonomes et autonomes seront largement employés par les troupes russes d'ici 2018. Ils devraient représenter plus de 30 % de l'ensemble du matériel mis en service d'ici 2025.

Le Général Valeri Guérassimov, chef d’État-major des forces armées de la Fédération de Russie et vice-ministre russe de la Défense vient de déclarer que son pays cherche à développer des unités de combat robotisées capables d'intervenir sur toutes les zones de crises.

L’Unité de combat robotisée Platform-M

Robot sentinelle russe Volk-2

Robot démineur russe Ouran-6

Robot russe Argo Poids : environ 1000 kg ; dimensions : longeur 3,4m ; largeur 1m ; hauteur 1,65m

Vitesse de déplacement 20km ; durée opérationnelle : 20 heures ; Armement : mitrailleuse, grenade anti-char RPG26, grenades RSG2

Robot tireur russe Strelok

Char russe T14 ArmataA tourelle automatisée – vers une « dronification » du T14

A la frontière des deux Corées : SGR A1 développé par Samsung

La « dronification » et la robotisation font évoluer les systèmes d’armes vers la semi-autonomie puis vers l’autonomie.

Cette évolution pose des questions à la fois éthiques et stratégiques.

L’intelligence artificielle occupe désormais un rôle central dans la révolution de l’armement moderne. Elle participe à la projection du combat sur l’espace numérique.

Le problème du contrôle du système d’arme, transféré sur le cyberespace, nous interroge à nouveau sur les risques de hacking et de détournement.

Les défis technologiques et les enjeux stratégiques ne doivent pas être sous-estimés… Ils engagent notre sécurité.

Merci Retrouvez-nous sur

http://cyberland.centerblog.net/

http://echoradar.eu/

Sur Twitter : https://twitter.com/echo_radar