Une erreur dans le texte ?

WannaCry, un an après : des représailles étaient-elles possibles ?

Le cliché de Hollywood sur la cybersécurité dépeint volontiers un hackeur seul, capable de semer le chaos sur la planète entière avec son simple ordinateur portable. En réalité, les cyberattaques sont de moins en moins l'oeuvre de « script kiddies », des codeurs malveillants et souvent inexpérimentés avec pour principal objectif de satisfaire leur ego. C'est aujourd'hui une affaire d'États et de relations internationales.

Pour tout comprendre sur le virus Wannacry, voici nos précédents dossiers :

WannaCry, un an après (Partie 1) : aux origines d’une des plus grandes cyberattaques de tous les temps

WannaCry, un an après (Partie 2) : un virus trop simple à désactiver

WannaCry, un an après (Partie 4) : les mesures prises par les acteurs touchés

Une fois l'épidémie WannaCry stoppée et les nombreux défauts du virus mis au grand jour, les analystes veulent savoir qui a créé le ver, dans quel but, et s'il est possible d'exercer des représailles pour dissuader de futurs hackeurs. Dans les faits, ce n'est pas aussi facile.

Le problème de l'attribution

Dans le monde physique, si quelqu'un lance un missile sur vous, vous savez en général très vite qui est le responsable. Vous pouvez donc aisément lui répondre par voie militaire et lui faire comprendre qu'il n'a pas intérêt à vous tirer dessus. Dans le cyberespace, c'est beaucoup plus compliqué. Une cyberattaque peut venir de n'importe où et avoir été faite par n'importe qui, sans que ce ne soit marqué en gros dessus. Pire : l'acteur à l'origine de l'agression peut aisément brouiller les pistes en plantant ce que l'on appelle des false flags, de façon à faire croire que c'est quelqu'un d'autre qui est responsable. C'est ce qu'on appelle le « problème de l'attribution », et c'est stratégiquement très embarrassant, car cela nous empêche de réagir.

Deux grandes méthodes ont permis de dégager des indices concernant les créateurs de WannaCry. La première est l'analyse linguistique. La documentation du virus est écrite en plusieurs langues ; elle suggère que les hackeurs avaient un niveau courant, mais non natif en anglais, et un niveau bilingue en chinois. Des fichiers de paramètres linguistiques signalent que le virus a été codé sur des ordinateurs disposant de claviers coréens. Ces indices semblent pointer vers la Corée du Nord, qui entretient des liens étroits avec la Chine. Mais de tels false flags seraient assez faciles à mettre en place. Cela n'est donc pas suffisant pour trancher.

L'analyse du code semble plus probante. Le 15 mai, alors que l'attaque est encore en cours, le chercheur de Google en cybersécurité Neel Mehta poste un tweet pour le moins sibyllin. Traduit dans une langue plus compréhensible par Kaspersky, il remarque des similitudes entre le code d'une des premières souches de WannaCry, détectée en février 2017 sur les ordinateurs d'une entreprise, et du code de février 2015 appartenant au Lazarus Group.

https://twitter.com/neelmehta/status/864164081116225536

Actifs depuis 2009 et réputés travailler pour Pyongyang, les hackeurs de Lazarus se sont illustrés par de nombreux coups d'éclat. Ils sont surtout connus pour avoir piraté les studios Sony en novembre 2014 peu après la sortie du film comique The Interview, qui critiquait le régime nord-coréen. Ils sont également suspectés d'être derrière le cyberbraquage de la Bangladesh Bank en février 2016, où 81 millions de dollars avaient été siphonnés vers des comptes aux Philippines.

https://www.youtube.com/watch?v=BxPg1AQwAfU

La Corée du Nord avait visiblement peu goûtée à l'humour douteux de The Interview (L'interview qui tue en France)

En théorie, n'importe quel hackeur peut récupérer du code précédemment utilisé par un autre groupe. Mais pour Kaspersky, le false flag serait improbable : des détails suggèrent que les concepteurs de WannaCry avaient un accès véritablement conséquent au code de Lazarus. Symantec relève d'autres ressemblances entre la structure du virus et les techniques de Lazarus ; la responsabilité de ce dernier serait donc"hautement probable". La firme note cependant que la faiblesse technique de WannaCry, que nous avons décrite dans un précédent article, évoque plus un acte cybercriminel qu'une opération d'État.

Dans les mois suivants, au fil de l'enquête, l'origine nord-coréenne du virus se précise pour les autorités américaines. Le 18 décembre 2017, le Département d'État accuse officiellement le pays de Kim Jong-Un d’être à l’origine de l’attaque. Le conseiller à la sécurité nationale de l’administration Trump, Tom Bossert, rédige un éditorial dans le Wall Street Journal où il déclare disposer d’éléments suffisants pour déclarer que la cyberattaque a été commanditée par Kim Jong-Un en personne.

Pourquoi avoir créé WannaCry ?

Si la Corée du Nord est bien à l'origine de l'affaire, reste à déterminer ses motivations. Elles ne sont a priori pas évidentes. Comme tout ver réseau, WannaCry s'est propagé de manière indiscriminée. La Russie a été considérablement plus touchée que les autres pays, mais le régime de Vladimir Poutine est favorable à Pyongyang, qui n'avait donc aucun intérêt à l'attaquer. WannaCry n'a récolté qu'une somme risible d'argent, presque mille fois plus faible que le butin de la Bangladesh Bank. La présence d'un kill switch a permis d'arrêter la première vague du virus en moins de 24 heures, et le ver n'a pas été lancé sur des infrastructures sensibles comme le réseau électrique.

Certains avaient suggéré au début de la crise que WannaCry servait à embarrasser la NSA avec ses propres outils qui avaient fuité quelques mois avant. Cela ne tient que moyennement à l'échelle d'un pays comme la Corée du Nord, et correspond mal au professionnalisme rodé de Lazarus. De plus, en faisant simplement fuiter les failles de la NSA, les Shadow Brokers avaient déjà mis l'agence dans l'inconfort. Une hypothèse plus plausible est que le virus s'est accidentellement échappé des laboratoires où il a été créé, et ce avant qu'il soit mature.

Une explication plus élaborée viendrait de Joseph Nye, grand monsieur des relations internationales à qui l'on doit l'expression « soft power ». Sans mentionner WannaCry en particulier, il souligne qu'un État peut vouloir signaler qu'il dispose de telles capacités de cyberguerre, sans causer de dégâts tout de suite. Un coup de semonce, en quelque sorte. Nye prend l'exemple de virus russes retrouvés en 2017 sur le réseau électrique américain : ils sont inoffensifs, mais leur simple présence a de quoi inquiéter quand on sait qu'ils viennent du groupe Dragonfly, qui avait causé de menaçantes coupures de courant en Ukraine en 2015 et 2016.

Quelques mois après WannaCry, un « remake » beaucoup plus destructeur du ver a d'ailleurs fait surface en Ukraine. NotPetya, un ransomware russe, a frappé de nombreuses entreprises ukrainiennes avant de toucher de façon collatérale une grande entreprise de transport maritime. Ce ver, ouvertement conçu pour détruire et non pour extorquer de l'argent, a causé ce qui reste à l'heure actuelle la plus grosse cyberattaque de tous les temps en matière de pertes économiques.

Comment contre-attaquer ?

En mettant la responsabilité de WannaCry sur la Corée du Nord, Tom Bossert déclarait que Pyongyang « subirait les conséquences » de ses actions. À la suite de quoi, les États-Unis n'ont... rien fait du tout. Du moins, rien d'annoncé publiquement. Six mois plus tard en juin 2018, Donald Trump et Kim Jong-Un se serraient même la main à Singapour, sous le regard perplexe de la communauté internationale.

La question des représailles est centrale dans la recherche sur la cyberguerre. Internet étant globalement plus proche de la passoire que du coffre-fort lorsque l'on parle de sécurité, il est y souvent plus facile de (contre-)attaquer que de se défendre. Cet art de la contre-attaque s'appelle la «  dissuasion », concept que le chercheur Martin Libicki de la RAND Corporation a beaucoup étudié (attention, fichier .pdf lourd) dans le domaine cyber.

Au temps de la Guerre froide, la dissuasion nucléaire reposait sur la possibilité d'annihiler l'humanité. La dissuasion cyber pose d'autres soucis, moins dévastateurs, mais certainement gênants. En particulier, le problème de l'attribution donne l'impression de se battre dans le noir au milieu d'un magasin de porcelaine. Exemples choisis :

Pour émettre des représailles, vous devez réagir vite après l'attaque. Sinon, l'État adverse risque de ne pas faire le lien entre les deux et se croira agressé de nulle part.

Avant de réagir vite, vous devez déterminer correctement le responsable de l'attaque. Sinon, vous risquez de taper sur un pays tiers qui n'a rien demandé.

Dans les rares cas où vous parvenez à vite déterminer le responsable, vous devez frapper très fort pour être dissuasif -- au risque que l'État adverse ne comprenne pas pourquoi vous lui en voulez autant.

Vous devez être sûr que le responsable a vraiment fait exprès d'envoyer l'attaque. Peut-être était-ce un accident dont il n'avait même pas conscience !

Et même quand l'État adverse voudra signaler haut et fort qu'il est responsable d'une attaque, vous vous demanderez si ce n'est pas un false flag.

Le monde deviendra-t-il une gigantesque bataille de polochons où les États s'enverront et recevront des cyberattaques sans trop savoir de qui, vers qui, ni pourquoi ? Libicki résume la situation en un diagramme, qui montre aux décideurs toutes les raisons possibles de ne pas répondre à une cyberattaque. Il y en a beaucoup.

Au final et dans la plupart des cas, la réponse qui arrangerait le mieux les États pourrait être celle de l'« insouciance » : autrement dit, ne rien faire. En suivant le célèbre dicton d'Internet « don't feed the troll », l'État attaqué pourrait tout simplement ignorer l'agression, feignant que celle-ci ne lui a causé aucun dégât. Dépité, l'agresseur devrait se tourner vers d'autres modes opératoires. Quand la cyberattaque a causé des dégâts visibles, comme pour WannaCry, l'État peut rejeter le blâme sur les acteurs privés. C'est bien de leur faute s'ils n'ont pas mis à jour leurs systèmes, non ?

C'est pourtant la porte ouverte à un tourbillon philosophique. Comme le disait le sociologue Max Weber, le propre de l'État réside dans le « monopole de l'usage de la force légitime » (en clair, la police et l'armée). Que se passe-t-il si l'État cède une partie de ce monopole à des entreprises privées sur les questions cyber ? Quand des géants du numérique se retrouvent seuls à défendre leurs utilisateurs contre des « cybercriminels » et des « États voyous », comme le disait Tim Cook, n'endossent-ils pas ce faisant un peu le rôle des États ?

Nous ne répondrons pas à toutes ces interrogations ici. Mais dans le prochain et dernier article de cette série, nous verrons si les acteurs privés ont pris ce rôle de défense que les États leur ont laissé -- ou du moins, s'ils ont pris quelques précautions depuis WannaCry.