Total Pageviews

Wednesday, December 3, 2014

Opération Cleaver

Selon l’entreprise de sécurité Cylance[1], des hackers iraniens, liés au gouvernement, auraient mené depuis plusieurs mois des attaques contre des systèmes sensibles (SCADA) dans le monde, visant une dizaine de telles structures aux Etats-Unis. Si l’on s’en réfère à la cartographie des attaques réalisée (reprise sur le site Security Affairs)[2], des attaques auraient visé les infrastructures françaises (secteur de l’énergie). Le champ géographique de ces opérations est d’ailleurs extrêmement large puisqu’il touche Etats-Unis, Europe, Moyen-Orient, Chine (au total 16 pays identifiés). Les secteurs touchés sont multiples : armée, énergie, télécommunications, transport, aéroports, hôpitaux, éducation, industrie de défense, chimie, gouvernements…

Les formules clefs du rapport :
-          L’Iran est la nouvelle Chine (entendre que ses capacités de cyberattaques, sa stratégie, ses objectifs sont résolument agressifs et constituent une menace planétaire ; mais encore relation étroite entre entreprises privées et Etat, brouillage des frontières entre actions des entreprises légitimes et les équipes de hackers soutenues par l’Etat)
-          Les campagnes iraniennes actuelles peuvent être vues comme des opérations de représailles aux attaques que le pays a subies depuis 2009 (Stuxnet, puis Duqu, Flame, Gauss…).
-          Les capacités iraniennes ont évolué très rapidement au cours des dernières années. Finie l’époque où ces hackers menaient des actions relativement simples (type défiguration de sites).
-          Cette campagne met potentiellement en danger la sécurité des passagers des transports aériens, des systèmes de contrôle industriels, des systèmes SCADA, des infrastructures critiques
-          La démonstration des cyber-capacités peut être une manière d’imposer l’Iran sur la scène internationale
-          L’Iran a signé un accord de coopération technique avec la Corée du Nord : menace potentielle accrue contre les infrastructures sud-coréennes
-          L’attribution à l’Iran s’appuie sur l’identification des adresses IP utilisées par les agresseurs
-          Des individus sont identifiés, au moins par leur pseudo : Parviz, Nesha, Alireza, etc.

Quelques commentaires :
-          Les opérations de représailles iraniennes (Shamoon, opération Ababil,compromissiond e certificats de Comodo et DigiNotar, opération Saffron Rose, opértion Newscaster…) auraient commencé dès la prise de conscience par l’Iran des attaques subies.  Ce que nous subissons aujourd’hui est donc d’une certaine manière, le fruit des cyberattaques américaines/israéliennes (et autres ?) lancées contre l’Iran. On prend ici la mesure des risques, des conséquences des cyberopérations. Les représailles font partie de l’arsenal dont disposent les Etats qui estiment être victimes d’actes de force, de menaces à la souveraineté nationale. Les attaques ne peuvent toutefois toutes être considérées comme actions de représailles. Nombre d’entre elles volent des données, testent les résistances, préparent le terrain pour de futures opérations, etc. Dans ce feu continu, on ne sait plus qui a commencé, réagi, qui est légitime…  
-          La mise en lumière au travers de tels rapports de l’intérêt que portent les hackers aux systèmes critiques, ne peut que conforter les Etats qui comme la France inscrivent dans la loi des mesures spécifiques (même si contraignantes) applicables aux OIV.  La page d’accueil du site de Cylance affiche d’ailleurs une citation en ce sens : "Hopefully the Operation Cleaver report serves as a wake up call for global critical infrastructure providers." (attribuée à Stuart McLure, CEO). Selon Stuart McLure, la meilleure des protections consiste à disposer d’un avantage compétitif sur l’adversaire, et renforcer la cible de telle sorte que le coût de l’opération soit prohibitif pour l’attaquant[3] (principe de la dissuasion). Le signal d’alerte est donné, il faut savoir l’entendre, et savoir agir en conséquence. Tel est en substance le message véhiculé au travers de ce rapport, qui n’est pas sans rappeler la démarche du rapport Mandiant, s’intéressant plus spécifiquement aux opérations chinoises. Le préambule du rapport Cylance, rédigé par Stuart McLure, rappelle d’ailleurs que bien des catastrophes auraient pu être évitées, si les mesures de correction avaient été prises alors que les dangers étaient déjà identifiés (de citer ici l’accident du vol 811, le 24 février 1989, à bord duquel il se trouvait). Il est des désastres que l’on peut prévenir. Ce discours est toutefois discutable pour au moins deux raisons : la personne qui le prononce a des intérêts commerciaux (son discours est-il alors si objectif qu’il y paraît ?) ; le discours est quelque peu formaté et le catastrophisme sur fond de cyberattaques majeures est distillé depuis près de 20 ans (phénomène d’accoutumance, d’usure). Il a peu de chances de prendre, pour plusieurs autres raisons : les acteurs concernés sont préoccupés par d’autres contraintes, commerciales, financières/budgétaires en situation de crise, le souci de la rentabilité (investir dans la cybersécurité est-il rentable ?). Le poids de ce que j’appellerai la double peine, à savoir l’impact des cyberattaques elles-mêmes, et le coût de la sanction imposée par l’Etat (la victime est criminalisée, passible d’amendes du fait de n’avoir pas informé l’Etat des attaques subies, ou de n’avoir pas pris les mesures de sécurité suffisantes) seront-t-ils suffisamment incitatifs ? Les entreprises vont-elles pour autant acheter davantage de solutions de cybersécurité ?




[1] http://www.cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf
[2] http://securityaffairs.co/wordpress/wp-content/uploads/2014/12/Operation-Cleaver-targets.png
[3] http://blog.cylance.com/operation-cleaver-prevention-is-everything

No comments:

Post a Comment