Attribution des cyberattaques : le jeu toujours plus compliqué de la dissuasion
Dans son rapport sur les menaces qui planent sur le cyberespace dans les années à venir, la firme FireEye insiste sur la notion d'attribution des attaques.
En février dernier, Paul Rascagneres, employé de la filiale sécurité de Cisco, Talos concluait un billet à propos d'un malware attribué à la Corée du Nord : « Alors que les acteurs progressent en compétences et en moyens, il est probable que nous observerons ces derniers adopter des ruses pour compliquer et brouiller l'attribution. L'attribution est déjà difficile. Il est peu probable qu'elle devienne plus simple. » En effet, à travers son analyse technique, sans aide des renseignements, le chercheur ne parvenait pas à réunir suffisamment d'indices pour rejoindre ses collègues quant à l'attribution de ce malware au Royaume ermite.
le processus d'attribution n'est jamais « 100 % fiable »
Souvent guidés par le contexte géopolitique, les chercheurs du secteur mêlent des signaux techniques, politiques dans une proportion qui leur est propre pour attribuer des attaques. Or, selon cet expert français, cette recette de l'attribution se confrontera à la possibilité des acteurs de tromper les enquêteurs : « potentiellement, écrit-il, nous allons voir des acteurs placer de nombreux faux indices ». Au risque de rendre encore plus fragile la certitude des enquêteurs.
David Grout, CTO de la branche européenne de FireEye, tempère auprès de Cyberguerre : « pour le moment, la possibilité de voir des acteurs masquer ou tromper l'enquêteur est encore faible ». Et s'il concède que le processus d'attribution n'est jamais « 100 % fiable », il constate que celui-ci peut encore, dans un petit nombre de cas, se conclure sur des quasi-certitudes : « nous suivons au quotidien 18 000 groupes malveillants et nous attribuons un peu moins de 10 % des attaques observées : c'est le résultat d'un processus qui attend de recueillir suffisamment d'éléments techniques et politiques avant de se prononcer. »
Le doute est pourtant cultivé par les acteurs malveillants les plus compétents comme le prouve, en 2017, l'étude Marcher dans l'ombre de votre ennemi réalisée par Costin Raiu et Juan Andres Guerrero-Saade pour Kaspersky. Cette dernière mettait en avant les jeux d'ombres mis en place par le groupe EnergeticBear pour attribuer ses attaques à la Chine, alors que le groupe est russe. Dans ce rapport, les chercheurs n'allaient toutefois pas jusqu'à parler d'une impossible attribution comme certains de leurs collègues, toutefois, pour eux, une des clefs de l'attribution passera par la complémentarité que peut apporter au monde de la cybersécurité le renseignement.
Vers des poursuites
Les enjeux de l'attribution sont fondamentaux pour l'avenir du cyberespace : comme le rappel David Grout, il est le pilier d'une dissuasion des acteurs. Incriminer un groupe et parfois un État explique-t-il va permettre d'«envisager des poursuites qu'elles soient judiciaires ou politiques ». Pour lui, la preuve de l'importance de l'attribution fut donnée par la signature du président Obama d'un accord avec la Chine qui aurait, en 2013, contribué à réduire de 80 % les attaques détectées en provenance de l'Empire du Milieu.
Mais alors que les solutions de paix négociée sont remplacées par des représailles, comme dans le cas des récentes tensions entre Moscou et Washington, l'enjeu des attributions devient un jeu dangereux.
Les puissances ont-elles néanmoins le choix quant à l'attribution permet non-seulement de poursuivre les attaquants, de dissuader les éventuels prochains, mais aussi de consolider la défense ? Le débat restera vif en 2019 même si, on peut déjà observer que les États-Unis ont choisi une position affirmée : le Département de la Justice et celui de la Sécurité Intérieure multiplient les poursuites. Quant à la France, elle compte de plus en plus d'outils à sa disposition dans le renseignement et dans la justice avec, notamment, la constitution au Parquet de Paris d'une cellule d'enquête sur la cybercriminalité qui fait ses preuves depuis 2014.