Tweet
George W. Bush vient de demander une hausse de 10 % des fonds dédiés à la sécurité des réseaux informatiques pour l'année fiscale à venir, soit quelque 7,3 milliards de dollars. Ce qui représente une progression de 73 % par rapport au budget de 2004.
Selon le département de la sécurité intérieure, le nombre d'attaques contre les réseaux gouvernementaux a progressé de 152 % en 2007 pour atteindre 13 000. Cette annonce du président américain intervient alors que le DHS a procédé à l'opération Cyber Storm II du 10 au 14 mars. L'exercice, le deuxième du genre, impliquant plusieurs pays (Grande Bretagne, Nouvelle Zélande, Australie) et de nombreuses entreprises privées vise à mesurer les capacités de réponses en cas de cyber-guerre.
Cette préoccupation est un serpent de mer dont la dernière manifestation remonte à la fin avril 2007. L'Estonie, qui avait décidé de déboulonner un monument à la mémoire des soldats de l'Armée rouge, avait subi un vaste "déni de service distribué" (DDoS). Les sites Web de plusieurs banques ou de sites gouvernementaux estoniens avaient subi un bombardement de demandes incongrues qui les avait paralysés. L'OTAN s'en était mêlée, s'estimant "préoccupée". De fait, l'Estonie accusait Moscou d'être à l'origine de cette cyber-guerre. Celle-ci aurait pu dégénérer sur le plan diplomatique et devenir ainsi, réellement, préoccupante.
ATTAQUES MÉDIATISÉES, VOIRE SURMÉDIATISÉES
D'autres attaques de ce type ont été médiatisées depuis qu'Internet est devenu un réseau grand public. Pour autant, elles ne durent pas bien longtemps. Il s'agit d'une guerre des nerfs entre les administrateurs des sites et des "pirates" cachés derrière une armée de PC infectés par une forme de cheval de Troie (un botnet). Grossièrement, au cours d'une telle offensive, les requêtes des botnets sont peu à peu dirigées par les responsables des serveurs vers une poubelle virtuelle et non plus vers le site. L'attaque meurt de sa belle mort en quelques heures. Au pire en quelques jours.
Surmédiatisées, ces attaques sont considérées comme totalement anecdotiques par les hackers ou les experts sérieux. "C'est une guerre de patience entre l'administrateur et le pirate. Le pirate y perdra in fine son botnet et sa patience. L'administrateur perdra de la bande passante et devra gérer des process plus lents", rigole un vieux routard de la scène mondiale du hack et accessoirement créateur de deux sociétés de sécurité informatique. "C'est extrêmement simple à mettre en place. Mais si l'on veut parler de choses vraiment sérieuses, il faut s'intéresser aux failles spéciales mises en place par des sociétés ayant pignon sur rue dans chaque pays."
Une idée également évoquée par Paul-André Pays, consultant, expert en sécurité informatique et en cryptographie : "Quel est l'intérêt d'un DDoS ? Quel est l'effet rémanent, autre que psychologique, d'avoir bloqué quelques heures un service comme une banque ou une administration ? C'est voisin de zéro. Cela ne deviendrait grave qu'en réussissant un blocage simultané de plusieurs semaines de milliers de services. Mais qui en aurait les moyens ? Les services américains en achetant Microsoft, et/ou à un degré moindre Oracle et quelques autres, pour qu'ils piègent les logiciels et donnent les clés à ces services, mais il me semble utopique de penser qu'alors les attaques pourraient être à la fois aussi fortes et ciblées 'contre un ennemi' sans toucher autant – ou presque – l'économie américaine et celles de ses amis... Ce serait comme du nucléaire à large échelle, l'attaquant subissant les retombées..."
Une évidence lorsque l'on voit par exemple la vitesse à laquelle un virus bien codé fait le tour de la planète. De même, paralyser un pays entier ralentirait la circulation des données sur le reste du Réseau. Le groupe de hackers L0pht, mondialement respecté, avait fait sensation en témoignant devant le Congrès américain en mai 1998 : "Donnez-nous quelques portables et nous paralysons Internet en une demi-heure", avaient-ils expliqué en substance à des sénateurs ahuris.
Dans le même ordre d'idées, un groupe de hackers avait découvert il y a quelques années un bug touchant un protocole d'administration (BGP) présent sur l'épine dorsale d'Internet (backbones). Conscients du danger représenté par cette faille (possibilité de couper un pays d'Internet), ils avaient immédiatement remisé leur trouvaille au fond d'un tiroir dont ils avaient jeté la clé... Quelques mois plus tard, en 2004, un autre hackeur, Paul Watson, découvrait le problème et se mettait en relation avec les CERT (Computer Emergency Response Team). La faille était comblée dans la plus grande discrétion pendant une quinzaine de jours à l'échelle de la planète.
CYBER-GUERRE ANECDOTIQUE
La partie visible de la cyber-guerre évoquée régulièrement par Washington – principalement des DDoS et des attaques sur des serveurs publics – semble bien anecdotique, techniquement parlant, si on la compare à certaines failles qui ne sont pas publiées et restent dans des cercles très privés de hackeurs de haut vol, souvent des experts en sécurité travaillant dans des entreprises ayant pignon sur rue. Dans ce cas, Washington surferait sur la peur des utilisateurs, souvent peu au fait des aspects techniques d'un réseau qu'ils utilisent de plus en plus, pour obtenir des budgets. Parler des dangers de la cyber-guerre évite aussi de s'attaquer à de vraies problématiques comme le facteur humain (utilisation de gadgets comme les mail sur téléphones portables, etc.) ou la sous-traitance. "Le problème des cahiers des charges et de la prise en compte de la sécurité en amont est essentiel. Le plus souvent les sous-traitants des gouvernements veulent surtout remporter le marché avant de penser sécurité, ce qui est toujours un coût très important dans un projet. L'exemple récent de la Société générale avec un trader qui déjoue aussi simplement les protections internes est intéressant. C'est bien le facteur humain qui est jeu ici. Pas des attaques DDoS. Penser sécurité en amont, cela restera, sans comparaison, bien plus efficace et bien moins cher que de vouloir sécuriser après coup", souligne Paul-André Pays, expert en sécurité et cryptographie, fondateur de la société Edelweb.
"Dr Mudge", leader du groupe L0pht, estimait en 1999 à propos du réseau Internet : "Il faut regarder la racine du problème. En fait, les gens veulent faire du business et du commerce d'une manière sécurisée alors que les fondations sur lesquelles ils veulent faire cela n'ont jamais été dessinées pour apporter la sécurité nécessaire au commerce."
- Le Monde
Selon le département de la sécurité intérieure, le nombre d'attaques contre les réseaux gouvernementaux a progressé de 152 % en 2007 pour atteindre 13 000. Cette annonce du président américain intervient alors que le DHS a procédé à l'opération Cyber Storm II du 10 au 14 mars. L'exercice, le deuxième du genre, impliquant plusieurs pays (Grande Bretagne, Nouvelle Zélande, Australie) et de nombreuses entreprises privées vise à mesurer les capacités de réponses en cas de cyber-guerre.
Cette préoccupation est un serpent de mer dont la dernière manifestation remonte à la fin avril 2007. L'Estonie, qui avait décidé de déboulonner un monument à la mémoire des soldats de l'Armée rouge, avait subi un vaste "déni de service distribué" (DDoS). Les sites Web de plusieurs banques ou de sites gouvernementaux estoniens avaient subi un bombardement de demandes incongrues qui les avait paralysés. L'OTAN s'en était mêlée, s'estimant "préoccupée". De fait, l'Estonie accusait Moscou d'être à l'origine de cette cyber-guerre. Celle-ci aurait pu dégénérer sur le plan diplomatique et devenir ainsi, réellement, préoccupante.
ATTAQUES MÉDIATISÉES, VOIRE SURMÉDIATISÉES
D'autres attaques de ce type ont été médiatisées depuis qu'Internet est devenu un réseau grand public. Pour autant, elles ne durent pas bien longtemps. Il s'agit d'une guerre des nerfs entre les administrateurs des sites et des "pirates" cachés derrière une armée de PC infectés par une forme de cheval de Troie (un botnet). Grossièrement, au cours d'une telle offensive, les requêtes des botnets sont peu à peu dirigées par les responsables des serveurs vers une poubelle virtuelle et non plus vers le site. L'attaque meurt de sa belle mort en quelques heures. Au pire en quelques jours.
Surmédiatisées, ces attaques sont considérées comme totalement anecdotiques par les hackers ou les experts sérieux. "C'est une guerre de patience entre l'administrateur et le pirate. Le pirate y perdra in fine son botnet et sa patience. L'administrateur perdra de la bande passante et devra gérer des process plus lents", rigole un vieux routard de la scène mondiale du hack et accessoirement créateur de deux sociétés de sécurité informatique. "C'est extrêmement simple à mettre en place. Mais si l'on veut parler de choses vraiment sérieuses, il faut s'intéresser aux failles spéciales mises en place par des sociétés ayant pignon sur rue dans chaque pays."
Une idée également évoquée par Paul-André Pays, consultant, expert en sécurité informatique et en cryptographie : "Quel est l'intérêt d'un DDoS ? Quel est l'effet rémanent, autre que psychologique, d'avoir bloqué quelques heures un service comme une banque ou une administration ? C'est voisin de zéro. Cela ne deviendrait grave qu'en réussissant un blocage simultané de plusieurs semaines de milliers de services. Mais qui en aurait les moyens ? Les services américains en achetant Microsoft, et/ou à un degré moindre Oracle et quelques autres, pour qu'ils piègent les logiciels et donnent les clés à ces services, mais il me semble utopique de penser qu'alors les attaques pourraient être à la fois aussi fortes et ciblées 'contre un ennemi' sans toucher autant – ou presque – l'économie américaine et celles de ses amis... Ce serait comme du nucléaire à large échelle, l'attaquant subissant les retombées..."
Une évidence lorsque l'on voit par exemple la vitesse à laquelle un virus bien codé fait le tour de la planète. De même, paralyser un pays entier ralentirait la circulation des données sur le reste du Réseau. Le groupe de hackers L0pht, mondialement respecté, avait fait sensation en témoignant devant le Congrès américain en mai 1998 : "Donnez-nous quelques portables et nous paralysons Internet en une demi-heure", avaient-ils expliqué en substance à des sénateurs ahuris.
Dans le même ordre d'idées, un groupe de hackers avait découvert il y a quelques années un bug touchant un protocole d'administration (BGP) présent sur l'épine dorsale d'Internet (backbones). Conscients du danger représenté par cette faille (possibilité de couper un pays d'Internet), ils avaient immédiatement remisé leur trouvaille au fond d'un tiroir dont ils avaient jeté la clé... Quelques mois plus tard, en 2004, un autre hackeur, Paul Watson, découvrait le problème et se mettait en relation avec les CERT (Computer Emergency Response Team). La faille était comblée dans la plus grande discrétion pendant une quinzaine de jours à l'échelle de la planète.
CYBER-GUERRE ANECDOTIQUE
La partie visible de la cyber-guerre évoquée régulièrement par Washington – principalement des DDoS et des attaques sur des serveurs publics – semble bien anecdotique, techniquement parlant, si on la compare à certaines failles qui ne sont pas publiées et restent dans des cercles très privés de hackeurs de haut vol, souvent des experts en sécurité travaillant dans des entreprises ayant pignon sur rue. Dans ce cas, Washington surferait sur la peur des utilisateurs, souvent peu au fait des aspects techniques d'un réseau qu'ils utilisent de plus en plus, pour obtenir des budgets. Parler des dangers de la cyber-guerre évite aussi de s'attaquer à de vraies problématiques comme le facteur humain (utilisation de gadgets comme les mail sur téléphones portables, etc.) ou la sous-traitance. "Le problème des cahiers des charges et de la prise en compte de la sécurité en amont est essentiel. Le plus souvent les sous-traitants des gouvernements veulent surtout remporter le marché avant de penser sécurité, ce qui est toujours un coût très important dans un projet. L'exemple récent de la Société générale avec un trader qui déjoue aussi simplement les protections internes est intéressant. C'est bien le facteur humain qui est jeu ici. Pas des attaques DDoS. Penser sécurité en amont, cela restera, sans comparaison, bien plus efficace et bien moins cher que de vouloir sécuriser après coup", souligne Paul-André Pays, expert en sécurité et cryptographie, fondateur de la société Edelweb.
"Dr Mudge", leader du groupe L0pht, estimait en 1999 à propos du réseau Internet : "Il faut regarder la racine du problème. En fait, les gens veulent faire du business et du commerce d'une manière sécurisée alors que les fondations sur lesquelles ils veulent faire cela n'ont jamais été dessinées pour apporter la sécurité nécessaire au commerce."
- Le Monde