Академический Документы
Профессиональный Документы
Культура Документы
Le cyber-terrorisme
Depuis le 11 septembre 2001, les pays largement informatiss ont commenc prendre srieusement en compte les risques de cyber-terrorisme contre leurs entreprises et leur socit en gnral. Mais il ne faut pas oublier que le cyber-terrorisme, mme s'il semble actuellement entrer dans une nouvelle phase d'expansion, n'est pas un phnomne nouveau. Avec une culture de la connectivit ancre de plus en plus profondment dans les socits dites "modernes", il est promis un bel avenir. Aujourd'hui, on ne saurait plus vivre sans certains services dont l'pine dorsale est constitue par des rseaux informatiques qui pourraient tre rduits nant par quelques attaques bien relles, judicieusement menes dans le monde virtuel. Nous allons dfinir dans cet article les notions de cyber-terrorisme et de cyber-terroristes, puis envisager diffrents scnarios possibles, examiner les armes dont disposent les cyberterroristes, et enfin aborder les mesures prendre pour construire une dfense efficace, car la menace de cyber-terrorisme doit maintenant tre intgre dans toute tude de scurit.
Patrick CHAMBET
-2-
Le cyber-terrorisme
Patrick CHAMBET
-3-
Le cyber-terrorisme
Enfin, un dernier type de cyber-terroristes est constitu par des tats. Comme il existe des "tats terroristes", on commence observer des "tats cyber-terroristes". Certains n'en sont encore qu' la phase de prparation, notamment l'acquisition par diffrents moyens d'quipements informatiques performants. Ainsi, un lot de puissantes machines vendues par les Etats-Unis la Jordanie et destines l'origine quiper les Renseignements Gnraux de ce pays, a t dtourn au profit de la Libye [5].
Cibles et impacts
Nous avons vu que les cyber-attentats avaient pour but de causer un maximum de dommages et/ou un maximum de retentissement mdiatique, culturel ou social. La simple dfiguration ("defacement") de sites Web peu importants constitue donc peine le premier niveau des cyber-attentats. Ceux-ci consisteront plutt faire tomber des sites critiques ou de grande visibilit, ou rendre inoprantes les infrastructures critiques d'un pays ou d'une organisation. On peut aussi considrer la corruption de donnes vitales comme un cyberattentat, puisque la confusion et la chute de confiance cres seront de nature porter prjudice la socit. Les cibles des cyber-attentats seront donc constitues prioritairement par : Les installations de gestion des tlcommunications (centraux tlphoniques, points d'accs GSM, rseaux filaires et non filaires, relais hertziens et satellites) Les sites de gnration et de distribution d'nergie (centrales nuclaires, thermiques, sites de rgulation EDF) Les installations de rgulation des transports (aroports, ports, contrle arien et maritime, gares ferroviaires et routires, autoroutes, systmes de rgulation des feux rouges des grandes agglomrations) Les installations de distribution de produits ptroliers (raffineries, dpts, rseaux de stations services) Les centres de gestion du courrier postal
Patrick CHAMBET
-4-
Le cyber-terrorisme
Les sites de distribution d'eau (usines de traitement, centres d'analyse, stations d'purartion) Les institutions financires et bancaires (bourses nationales, rseau SWIFT, home banking, rseaux de distributeurs de billets) Les services d'urgence, de sant et de scurit publique (police, pompiers, SAMU, hpitaux) Les services gouvernementaux (scurit sociale, assurance maladie, sites institutionnels) Les mdias (chanes de tlvision, groupes de presse, fournisseurs de contenus divers) Les lments symboliques d'une socit et d'un mode de vie (grande distribution, industries reprsentatives, ...).
Une attaque sur plusieurs de ces cibles simultanment pourrait avoir un effet dvastateur pour un pays non prpar. Le moment choisi pour les attaques est galement important. Les cyber-terroristes choisiront par exemple de frapper en mme temps que des vnements politiques ou militaires, ou bien quand l'attention est dirige dans une autre direction. Ils profiteront galement du moment o les procdures se relchent et o le personnel de surveillance tombe dans la routine. Mais, comme nous l'avons vu, c'est surtout en raction des attaques terroristes ou contreterroristes que les pirates choisissent de frapper. Les impacts lis l'attaque des cibles prcdentes peuvent tre trs varis : conomiques (des actions ou une bourse peuvent s'effondrer, des entreprises faire faillite), sociaux (chmage, perte de certaines prestations, perte de son "identit sociale"), environnementaux, vitaux. Dans tous les cas, la confusion et la chute de confiance suivant les attaques seront de nature porter prjudice la socit en gnral. Les gnes importantes dans les oprations de la vie courante, qui peuvent aller jusqu'au blocage total de certaines fonctions du pays (distribution de billets, d'essence, de produits frais), constituent des dommages majeurs. Certains dommages peuvent mme constituer une menace sur la vie de certains individus : ainsi, la mise hors service des systmes de contrle de refroidissement des racteurs d'une centrale nuclaire peut conduire rapidement un accident radiologique majeur (surtout si la chute automatique des barres de secours a t dsactiv), ncessitant l'vacuation d'une zone considrable, avec risque vital plus ou moins long terme pour la population la plus touche. De mme, un aroport priv de ses systmes de contrle arien aura beaucoup de mal viter des collisions, voire des crashes d'appareils. Enfin, un systme de traitement de l'eau victime d'une attaque pourra rendre dangereuse une eau qui n'aura pas t suffisamment chlore, provoquant potentiellement des pidmies. Le cyber-terrorisme a parfois t qualifi de terrorisme sans mort. Cela pourrait changer l'avenir.
Patrick CHAMBET
-5-
Le cyber-terrorisme
Historique
L'historique du cyber-terrorisme montre que les attaques voques prcdemment ne sont pas seulement thoriques. Sans tre exhaustif, voici quelques vnements marquants dans l'histoire du cyber-terrorisme : En 1996, un sympathisant du mouvement amricain White Supremacist a attaqu et temporairement mis hors service un ISP qui tentait de l'empcher d'envoyer en masse des messages racistes. L'attaquant avait alors envoy le message prmonitoire suivant : "Vous n'avez pas encore vu de vrai terrorisme lectronique. C'est une promesse" [6]. En 1997 et les annes suivantes, des sympatisants du mouvement Zapatiste mexicain ont effectu des intrusions plusieurs reprises dans les systmes logistiques mexicains et ont contribu influencer l'opinion publique en faveur des Zapatistes, dont la situation, face l'arme mexicaine, tait critique. Des agents d'influence ont propag des rumeurs sur l'instabilit du Peso mexicain, ce qui a conduit un effondrement de celui-ci, obligeant le gouvernement ngocier avec les rebelles. En 1998, des militants espagnols ont attaqu l'IGC amricain (Institute for Global Communications) en effectuant un mail bombing en direction des responsables de l'ISP et des commandes effectues avec de faux numros de carte bancaire. Ils menaaient en outre d'attaquer les autres clients de l'ISP. Ces militants reprochaient l'IGC d'hberger le site Web du journal Euskal Herria, une publication base New York et soutenant le mouvement indpendantiste Basque, et en particulier de soutenir le terrorisme car une partie du site contenait des informations concernant l'ETA. L'IGC a fini par retirer le site incrimin. En 1998, la guerrila Tamoule dans le nord du Ski Lanka a engorg les serveurs des ambassades ski-lankaises avec environ 800 e-mails par jour pendant deux semaines. Les e-mails contenaient le message suivant: "Nous sommes les Tigres Noirs d'Internet et nous allons interrompre vos communications". Les services de renseignement ont qualifi ces attaques comme tant les premires attaques connues de terroristes contre les systmes informatiques d'un tat.
Patrick CHAMBET
-6-
Le cyber-terrorisme
D'autres exemples non dats sont plus difficilement vrifiables: en Floride, des attaquants auraient dtourn les appels au 911 (la police, aux Etats-Unis) vers un magasin de pizzas emporter. Plus grave, au Massachusetts, un pirate a provoqu la coupure des communications d'une tour de contrle de la FAA pendant 6 heures. En Russie, des pirates auraient utilis un collaborateur interne de Gazprom (organisme qui dtient le monopole du ptrole en Russie) pour implanter un cheval de Troie leur permettant d'obtenir le contrle du systme de distribution qui gre les flux de ptrole dans les pipe-lines. En 1999, pendant le conflit du Kosovo, les ordinateurs de l'OTAN ont t les cibles de mail bombing et de tentatives de dnis de service de la part d'opposants aux bombardements de l'OTAN, dont certains situs dans les tats en conflit. Les serveurs de l'OTAN ont t plusieurs fois mis hors service pendant plusieurs jours. En 1999, aprs le bombardement "non tactique" de l'ambassade chinoise Belgrade, des attaquants chinois ont dpos des messages du type "nous ne cesserons d'attaquer jusqu' ce que la guerre s'arrte" sur des sites gouvernementaux amricains. En fvrier 2001, un serveur (heureusement de dveloppement) du fournisseur d'lectricit California ISO [7] a t laiss connect Internet pendant 11 jours et, bien sr, hack. En avril 2001, aprs la collision au dessus de la Chine entre un avion espion amricain et un chasseur chinois, et l'incarcration de l'quipage amricain en Chine, des groupes de hackers des deux camps (comme les groupes "Honker Union of China" et "Chinese Red Guest Network Security Technology Alliance", en Chine) se sont mens une guerre violente. Plus de 1200 sites amricains ont t dfigurs ou cibles d'attaques de type dni de service distribu (DDoS), dont les sites de la Maison Blanche, de l'US Air Force, du Dpartement de l'Energie, mais aussi d'entreprises diverses. En aot 2001, le ver Code Red, qui s'est propag trs grande vitesse sur Internet, faisait apparatre le message "Hacked by Chinese". Mme si aucune preuve n'atteste avec certitude que ce ver provient de Chine, on ne peut s'empcher de mettre ce message en relation avec les attaques de 1999 (cf ci-dessus). La charge utile de ce ver consistait tablir un grand nombre de connexions vers le site Web de la Maison Blanche afin de provoquer un dni de service distribu. Depuis, d'autres vers (Nimda, Slammer par exemple) ont dfray la chronique (voir paragraphe suivant). Si l'on considre que la dfiguration de sites Web constitue le tout premier degr de cyber-attentat, on peut tudier les conflits Inde/Pakistan et Isral/Palestine depuis 1999 jusqu' aujourd'hui l'aune des dfigurations de sites appartenant aux diffrentes parties. On observe un strict parallle entre le nombre de dfigurations de sites et les vnements politiques et militaires dans les rgions cites. Cette comparaison rvle une connexion intime entre les conflits qui ont lieu dans le monde physique et dans le monde virtuel. En 2001 et 2002, plusieurs documents retrouvs en Afghanistan et lors des enqutes sur les rseaux d'Al Qaida ont montr que le cyber-terrorisme tait activement tudi par Oussama Ben Laden, passionn par ce type de guerre moderne. Il a consacr des sommes importantes au recrutement dans le monde arabe des meilleurs informaticiens et spcialistes d'Internet. Un plan en ce sens lui avait t remis en juin 2001 par un intgriste soudien de Londres. D'ailleurs, depuis la capitale britannique, les rseaux Internet intgristes sont de plus en plus actifs [8].
Patrick CHAMBET
-7-
Le cyber-terrorisme
Patrick CHAMBET
-8-
Le cyber-terrorisme
Les vers : Code Red, Nimda, Lion, Adore, Slammer ont montr leurs capacits. Certains prtendent mme que le ver Slammer a infect Internet en 10 minutes seulement [9]. Heureusement, celui-ci ne comportait pas de charge utile hostile et ne rsidait qu'en mmoire. On peut imaginer le rsultat d'un ver de ce type qui serait capable de mettre hors service instantanment les serveurs infects, ou de modifier des informations sur ceux-ci... Les intrusions classiques, permettant d'implanter des chevaux de Troie, de rcuprer des donnes sensibles ou de mettre hors service des serveurs internes non accessibles autrement. La modification furtive de donnes, suite une intrusion ou l'action d'un ver, qui serait capable de dcrdibiliser une entreprise ou une organisation, ou mme de faire perdre toute confiance en une institution fonde sur cette confiance, comme par exemple la bourse. L'implantation de bombes logiques, qui sont capables de se dclencher selon certains paramtres ou certains vnements, et peuvent, l encore, faire tomber toute une srie de serveurs en mme temps, ou modifier des donnes critiques au moment opportun et de manire automatique.
Patrick CHAMBET
-9-
Le cyber-terrorisme
Principes de dfense
Les conflits actuels tant de plus en plus accompagns par des attaques informatiques, la menace de cyber-terrorisme doit maintenant tre intgre toute politique de scurit. Les principes de dfense appliquer sont ceux de la scurit des systmes d'information en gnral : vous avez entre les mains une excellente source de rfrence pour cela. Il faut donc travailler sur les concepts de dfense en profondeur, coupler la scurit organisationnelle et la scurit logique, sans oublier la scurit physique. En ce qui concerne la scurit technique, la lecture de MISC vous apportera les bases ncessaire. Pour mmoire, on peut citer : Maintenir un tat de vigilance lev Effectuer ou faire effectuer une veille technique concernant les dernires vulnrabilits publies Mettre jour trs rgulirement les systmes d'exploitation et les applications Limiter le nombre de services disponibles sur les serveurs et dsactiver tous les autres Scuriser les configurations, et en particulier changer tous les mots de passe par dfaut, appliquer des mots de passe solides, et utiliser le principe du moindre privilge pour faire tourner les services Mettre en place un filtrage d'accs en entre mais aussi en sortie afin que votre plate-forme ne puisse pas tre utilise comme source d'attaques vers d'autres cibles
Patrick CHAMBET
- 10 -
Le cyber-terrorisme
Installer des anti-virus ct serveurs et ct clients et les mettre jour trs souvent Activer les systmes de journalisation disponibles sur les systmes et les applications; centraliser, analyser et sauvegarder les logs rgulirement Utiliser des IDS correctement configurs et analyss rgulirement Effectuer des sauvegardes rgulires, les stocker dans un endroit sr et tester les procdures de restauration de manire rgulire Effectuer des sauvegardes Effectuer des sauvegardes.
Il ne faut pas non plus oublier les risques internes (voir le cas de Gazprom cit prcdemment), d'autant plus que les cibles sont de plus en plus constitues par les postes de travail internes, moins scuriss et oprs par du personnel non form aux questions de scurit. La sensibilisation du personnel est donc primordiale, tout comme la scurisation des postes de travail, et en particulier des navigateurs Web et des clients de messagerie (voir MISC No 1).
L'avenir
Les risques venir ont de grandes chances de provenir de DDoSNets de plus en plus labors et de vers de plus en plus intelligents, qui vont certainement voir le jour. Des chercheurs ont prdit l'mergence de nouvelles sortes de vers (Warhol worms, flash worms), qui pourraient se diffuser sur Internet en quelques minutes ou mme quelques secondes, laissant peu de temps aux administrateurs pour ragir. Des vers hybrides combinant un ensemble de vulnrabilits anciennes, afin de maximiser leurs chances d'infection, ou bien des vers exploitant des vunrabilits non encore publies, et donc non patchables immdiatement, vont certainement voir le jour. De tels vers ne laisseront pas d'autre alternative que de stopper les services en attendant la diffusion du correctif de scurit par les diteurs. Pour l'instant, les vers que nous avons vus passer taient d'une technologie assez fruste. Des vers plus sophistiqus et intelligents, pouvant se mettre jour de manire autonome en allant tlcharger des plug-ins plus rcents sur des sites prcis, pouvant aller chercher de nouvelles cibles et des instructions sur des channels IRC, pourront effectuer des besognes beaucoup plus dangereuses tout en tant beaucoup plus discrets.
Conclusion
Les frappes physiques sont de plus en plus menes en parallle avec des frappes logiques. Le cyber-terrorisme fait maintenant intgralement partie des tactiques des groupes terroristes, et les attaques informatiques augmentent en volume, en sophistication et en coordination. Face cette menace de plus en plus pressante, l'Europe a commenc ragir. En lanant le projet de Cyber Security Task Force, la Commission Europenne entre dans la premire phase dlaboration dune doctrine par lexpression des besoins, cest--dire lnumration des vulnrabilits gnres par la socit de linformation. La Commission Europenne a sollicit la Rand Corporation Europe pour rflchir sur cette typologie des vulnrabilits. Si nul ne songe contester lexpertise de ce think tank, un certain nombre de rserves peuvent tre formules sur lobjectivit de l'analyse de ce cabinet amricain... [14].
NOTES
[1] Cyber Attacks During the War on Terrorism: A Predictive Analysis. Dartmouth Institute for Security Technology Studies. http://www.ists.dartmouth.edu/ISTS/counterterrorism/cyber_attacks.htm [2] http://www.kimble.org/mostwanted.htm http://www.kill.net [3] Le mot Taliban est un pluriel. [4] Le cyber-combat sera trait par ailleurs. [5] Le Monde du Renseignement No 425 du 14 mars 2002.
Patrick CHAMBET
- 11 -
Le cyber-terrorisme
[6] Dorothy Denning, Hacktivism, and Cyberterrorism: The Internet as a Tool for Influencing Foreign Policy. http://www.nautilus.org/info-policy/workshop/papers/denning.html (12 dcembre 2001) [7] http://www.caiso.com [8] Roland Jacquard, "Les archives secrtes d'Al Qaida", Ed. Jean Picollec. [9] http://www.cnn.com/2003/TECH/internet/02/05/virus.spread.reut/index.html [10] Roland Jacquard, "Les archives secrtes d'Al Qaida", op.cit. [11] http://www.qoqaz.com http://www.cybcity.com/azzamjihad/ Fatwas: http://www.faharis.net/fatwa.shtml [12] http://www.maktabah.net/home.asp [13] Jean Guisnel, "Guerres dans le cyberespace", Ed. La Dcouverte [14] Christian Harbulot, "La guerre cognitive: A la recherche de la suprmatie stratgique", 25 septembre 2002.
Patrick CHAMBET - http://www.chambet.com Consultant Senior - Edelweb - Groupe ON-X http://www.edelweb.fr - http://www.on-x.com Crdits photo: P.C. - N.R.
Patrick CHAMBET
- 12 -