Si
l’on en croit les nombreux experts, la guerre cyber est une toute
nouvelle forme de guerre. A première vue, oui. Mais à y
regarder de plus près, non. Bien au contraire, la guerre cyber
reprend des tactiques aussi vieilles que le monde.... Explications.
Dire que la guerre cyber est une forme innovante de guerre, c’est
regarder un seul profil de la question. Quand je parle de guerre cyber,
je vise aussi bien les militaires que les pirates informatiques. Les
deux emploient
grosso modo
les mêmes méthodes. Mes arguments ne sont pas
forcément ceux avancés par les fameux experts, mais ce
qui change d’abord avec la guerre cyber, c’est que :
1. L’attaquant n’a plus aucune contrainte de distance pour atteindre sa
cible. Or, toute l’histoire de la guerre comporte la question de la
distance. Aux premiers temps de l’Humanité, l’attaquant devait
forcément se positionner au plus près de sa cible pour la
frapper, à la portée du poing ou du pied. Puis au fil du
temps, cette distance a grandi, l’objectif étant d’être le
moins près possible de l’adversaire, pour être
soi-même le moins exposé aux coups : la cible est
écartée à portée du gourdin, puis du jet de
pierre, du fusil, du canon, etc. Avec les missiles, un grand
écart est accompli : cette fois-ci, on peut carrément
tirer sur l’ennemi d’un pays à l’autre, et même d’un
continent à l’autre, grâce à leur portée
longue distance. Mais cette portée est encore limitée.
Avec l’attaque informatique, plus aucune limite : depuis son
ordinateur, l’attaquant peut désormais atteindre n’importe quel
objectif à n’importe quelle distance, y compris à l’autre
extrémité de la planète.
2. Un individu unique peut avoir à lui seul toute la puissance
d’une armée. En paralysant ou détruisant des
systèmes d’information sensibles ou vitaux, un seul pirate peut
désorganiser un pays : bourse, banques,
électricité, contrôles aériens, etc.
3. L’attaquant peut rester toujours invisible. S’il le veut et ne
commet pas d’erreur, il peut rester anonyme et la cible ne saura jamais
qui l’a assiégée. Auprès de qui riposter ?
Drôle de guerre !
Mais le tout repose sur de vieilles recettes
Evidemment, ces nouveaux pouvoirs guerriers sont loin d’être
minces, et on se demande quelles performances supplémentaires
nous attendent, hormis la guerre interplanétaire... Mais
à y regarder de plus près, les tactiques de la guerre
cyber ne font que reprendre de très anciennes recettes.
Si l’on s’en tient aux techniques informatiques, prenons, par exemple,
les attaques par force brute, le crackage, le
flooding, ou l’attaque massive
distribuée. Ces procédés d’assaut direct et
agressif rappellent le siège des citadelles, leur blocus ou la
destruction des remparts à la catapulte. Rien de neuf : c’est la
transposition de bien vieilles formes de combat.
Beaucoup plus intéressants : les stratagèmes d’attaque
indirecte. Exemple, le
spoofing.
Masquer son identité pour empêcher l’ennemi d’identifier
le responsable de l’attaque, ou se faire passer pour un utilisateur
autorisé, ou encore faire porter le chapeau à quelqu’un
d’autre, sont aussi des stratagèmes vieux comme le monde. C’est
la meilleure façon de passer inaperçu, ou encore de semer
la zizanie pour faire s’entre-déchirer plusieurs cibles à
la fois. Dans l’art de la guerre, rien n’est plus important que de
savoir tromper l’ennemi.
Le
spoofing n’est que l’une
de ces multiples ruses dont dispose l’attaquant pour tromper l’ennemi.
Elle s’inspire de l’art du caméléon, du camouflage et du
faussaire pour passer les lignes ennemies avec de faux papiers ou de
vrais faux.
Les trojans méritent bien leur nom
Autre exemple, le cheval de Troie : il s’agit ici de déguiser un
programme espion ou destructif dans la peau d’un programme attrayant,
pour percer la ligne ennemie (en l’occurrence pénétrer
inaperçu dans les ordinateurs ciblés). Cette manoeuvre
dont le nom est emprunté au célèbre épisode
de l’Antiquité (
L’Iliade)
remonte en réalité beaucoup plus loin dans le temps. Il y
a plus de deux mille ans déjà, un stratège chinois
l’appelait : «
cacher une
épée dans un sourire ».
Plus récemment, on retrouve un mot d’ordre similaire dans la
devise de VicodinEs (auteur du virus
Melissa)
: «
Desire, Deception,
Infection » (Désir, Tromperie, Infection).
Mêmes objectifs, mêmes moyens : attirer l’utilisateur cible
vers un programme alléchant, l’inciter à le lancer en le
trompant sur la marchandise, et réaliser ainsi l’infection. Le
stratagème ne manque pas d’humour parce qu’en attisant son
désir pour le faire plonger, l’attaquant entraîne sa cible
exactement où il le voulait. Et comble du raffinement : la cible
est vaincue par sa propre faute !
En la matière, les humains n’ont peut-être même rien
inventé, puisque certains animaux savent parfaitement se
déguiser en végétaux pour attirer leur proie et la
dévorer.
La manipulation est indispensable
Le
social engineering
consiste à obtenir des informations utiles auprès de la
cible en se faisant passer pour une personne autorisée : un
utilisateur en déplacement en province qui appelle parce qu’il a
oublié son mot de passe, un membre du service de maintenance ou
un employé du téléphone. Usurpation. Exploitation
de la naïveté. La ruse est connue depuis qu’est né
le premier espion.
Dès le départ, quand il teste les failles du
système à pénétrer, le pirate lance des
appâts, sniffe, scanne, ce sont tout simplement d’autres actions
de renseignement, qui peuvent être doublées d’actions de
manipulation pour entraîner sur de fausses pistes. La guerre de
l’information utilise aussi toutes les ressources de la manipulation :
intoxication, désinformation et j’en passe.
Finalement, ce qui caractérise plutôt la nouveauté
dans l’art de la guerre cyber, c’est l’utilisation massive de la
manipulation. Ainsi, la force brute a cédé la
première place à la ruse sous toutes ses formes. Avec la
furtivité, l’usurpation d’identité, le doute sur
l’authenticité des requêtes, les techniques de leurres, de
feintes, de masques, d’attraction-séduction, n’est-on pas
entré de plain-pied dans l’ère de la guerre de l’illusion
et de la manipulation ? Etrangement, de la force brute à la
ruse, on est passé à une guerre subtile aux
méthodes plus... féminines. Il est là, le vrai
changement.
Certains liens présents dans cette page peuvent être affiliés. Sauf si c'est spécifié dans le texte, cela ne veut pas dire que la rédaction vous recommande les produits/services en question.