Michel Juvin, expert de la sécurité et de la transformation

Fort de plus de 35 ans d’expérience dans le monde de l’informatique, Michel Juvin a été DSI puis Chief Information Security Officier (CISO), notamment dans des entreprises comme Lafarge ou Chanel. Il porte un regard profondément stratégique sur des sujets aussi divers que la propriété intellectuelle, les mécanismes de contrôles internes des entreprises, la sensibilisation aux enjeux de protection de l’information ou encore plus généralement sur la place prise par la technologie dans les organisations.

Dans cette chronique, il partage les notes prises à l’occasion de ses expériences et de ses rencontres, et ses réflexions sur les questions structurantes mais souvent inexprimées, qui pèsent sur les organisations.

Retrouvez les derniers articles de cette chronique :
Voir tous les articles

[Chronique] Les cyberarmes officialisées par la guerre… Que peut-on faire ?

Notre chroniqueur Michel Juvin revient sur un autre impact du conflit russo-ukrainien sur nos entreprises : la légitimation de facto de l’usage des cyberarmes et les défauts du droit international pour encadrer ces agressions complexes.

Les cyberarmes officialisées par la guerre On constate régulièrement les impacts collatéraux de la cyberguerre actuelle entre la Russie et l’Ukraine pour les entreprises et administrations françaises, qui vont parfois jusqu’à mettre en jeu des vies humaines. Face à ces agressions entre pays, force est de constater que les cyberarmes ne sont pas listées dans les statuts du Tribunal de Justice international.

A lire aussi : Guerre en Ukraine : quelles conséquences cyber pour les entreprises françaises ?

Or, les dirigeants de la Russie et de l’Ukraine ont légitimé l’utilisation des cyberarmes dans des messages officiels dès le début de cette guerre. Les services publics de ces deux pays ont été immédiatement visés par des groupes de hackers pour tenter de les déstabiliser. Certaines de ces attaques sur des services essentiels ou d’importance vital ont potentiellement eu des impacts léthaux pour des humains et des entreprises.

De même, beaucoup d’entreprises privées dans ces pays ont pu être touchées par l’absence des services en question suite à ces cyberattaques. Mais ce conflit s’est également étendu au-delà des frontières (grâce à Internet) et par le mécanisme de cohésion au sein des alliances comme celle de l’Otan (Ex-Alliance Atlantique) ou encore celle de l’OTSC[1]  (alliance ex-URSS). Ainsi les entreprises du monde entier sont exposées aux cyber-attaques et cela plus que « habituellement ».

D’un côté, les USA, l’Angleterre, le Canada ainsi que beaucoup de pays sous influence américaine (dont l’Europe) sont associés à l’Otan. D’autres pays ménagent plus ou moins les susceptibilités : on remarque ainsi qu’au sein même de l’Europe, la Serbie n’a pas eu une position très prononcée.

De l’autre côté, beaucoup de pays opposés aux USA se sont rapprochés des positions de la Russie. Ainsi, la Syrie, l’Iran, l’Erythrée, le Myanmar, le Venezuela ont ouvertement soutenu la Russie. La position de la Chine est aussi opposée aux US et donc non officiellement s’oppose à l’OTAN mais en conflit interne, attend pour prendre position. L’Inde ayant des intérêts dans le gaz Russe est aussi en attente et certains pays africains prennent eux position comme la Chine leur indique.

Le média Le Grand Continent donne une vision très intéressante des positions en date du 7 mars et donc de l’exposition des entreprises aux cyberattaques.

En synthèse, le blanc-seing donné autant par le Kremlin que le gouvernement Ukrainien à tous les hackers pour cibler des administrations et des services de tous les pays n’ont fait qu’accroître le sentiment d’insécurité dans lequel toutes les entreprises sont actuellement.

Comment réduire les risques pour les entreprises et les administrations ?

Dans ce contexte, l’idée serait d’ajouter les cyberarmes aux armes de destruction existantes dans les traités internationaux.

Sous l’égide de l’ONU, 139 pays ont signé la convention de Rome[2] reconnaissant la souveraineté d’un pays et de sa culture et délègue une partie de leur autorité nationale à une cour de justice internationale ; ouvrant le droit à un tribunal de Justice et sa cour pénale internationale. Cette cour liste quatre types de « crimes contre l’humanité » : les crimes contre l’humanité, les génocides, les crimes de guerre et les crimes d’agression comme relevant de sa juridiction. Ces différents crimes sont bien résumés dans l’article du site de la vie publique française décrit le rôle de la cour pénale internationale. Malheureusement, les cybercrimes ou attaques de type « cyber » n’y sont pas indiqués.

Revoir la définition des « crimes d’agression » dans le traité de Rome

A ce jour, on entend par crime d’agression : crimes commis par les personnes ou États ayant préparé, accompli ou promu un conflit armé visant à déstabiliser un ou plusieurs États souverains. Extrait des statuts de Rome 2010[3].

Pour rappel ; la liste des traités de contrôle et limitation des armements ne mentionne que les armes conventionnelles et pas les cyberarmes[4] ; et ce, qu’il soit question du traité sur la non-prolifération des armes nucléaire, chimiques ou bactériologiques[5] ou du protocole de Genève[6].

Ne pourrait-on pas penser que les cyberarmes font partie des conflits armés visant à déstabiliser un pays adverse et représentent alors une « déclaration de guerre » comme le suggère une publication de l’OTAN (paragraphe 12) en mai 2012 ?

L’objectif serait alors de réduire l’impact collatéral d’une cyber-attaque sur toutes les entreprises et en particulier celles qui ne sont pas la cible du conflit.

Cependant, deux problèmes sont à prendre en compte :

  • D’abord, comment identifier de manière précise l’auteur d’une cyber-attaque ?
  • Et ensuite, est-ce qu’il peut y avoir des nuances dans l’intensité ou l’impact d’une cyberattaque permettant de statuer qu’il s’agit d’une agression ?

 

Identifier l’attaquant

A l’exception de l’autoidentification d’un attaquant, comme c’est le cas depuis la guerre russo-ukrainienne, où un certain nombre d’organisations cybercriminelles ont ouvertement affiché leur position politique dans le conflit, il est très difficile de donner avec certitude le pays l’origine d’une organisation cybercriminelle. Comme me le rappelait Guillaume récemment Vassault-Houlières (co-fondateur de YesWeHack), les hackers peuvent concevoir des barrières pour faire croire qu’une attaque provient d’un pays différent de l’auteur de l’attaque.

Cependant, quelques pays réussissent à identifier de manière suffisamment certaine l’origine d’une cyberattaque ; la France, les US et l’Angleterre peuvent dans certain cas identifier l’origine d’un cyberattaquant. L’utilisation de la matrice du MITre permettra de donner avec plus de certitude cette information puisqu’elle peut analyser les méthodes, techniques et tactiques utilisées lors de l’attaque et donc l’auteur.

Il n’est donc pas totalement impossible d’identifier le pays agresseur sachant que de plus, dans le contexte de la guerre russo-ukrainienne, certains groupes de cybercriminels ont ouvertement pris parti pour ou contre la Russie. De cette manière, la nationalité de ces groupes a été identifiée.

Evaluer l’intensité des attaques

Par ailleurs, on constate que certaines attaques utilisent des failles de type Zero-Day qui sont notoirement plus dangereuses que d’autres. A titre d’exemple, le logiciel d’espionnage Pegasus bénéficie de plusieurs failles de type Zero-Day (et même Zero-Clic) qui sont régulièrement mises à jour, pour être continuellement opérationnel sur tous les continents et tous types de smartphone. Son utilisation par un pays envers des personnes sensibles au niveau national d’un autre pays ne devrait-il pas être considéré comme un vol de données stratégiques et donc d’une intensité relevant d’une forme d’agression suivant les statuts du Tribunal de Justice international ?

Dans le cas d’une attaque de type DDoS, il est facile de constater l’intensité par le volume de données reçue sur par la cible. Il est alors nécessaire de définir une échèlle de valeurs pour quantifier l’intensité d’une cyber-attaque. Cette échelle d’intensité d’une attaque s’appuierait sur une combinaison de facteurs comme la cible (domaine d’application), l’utilisation de malware contenant un ou plusieurs zéro-day et l’impact léthale et/ou humain de l’attaque et de fait, entrer dans le champ d’application du tribunal de Justice international ?

En mettant à jour les textes des cours pénales internationales notamment pour y ajouter les cyberarmes devrait diminuer le risque de l’utilisation de celles-ci et réduire leur impact collatéral sur les entreprises et les administrations ; ce qui permettrait de diminuer la pression et l’ambiance d’insécurité dans lequel nous vivons actuellement.

 

[1] Organisation du Traité de Sécurité Collective regroupant 6 pays : Russie, Arménie, Biélorussie, Kazakhstan, Kirghizistan et Tadjikistan

[2] mais seulement 123 pays l’ont ratifié en interne.

[3] https://www.memoiresdeguerre.com/article-crime-d-agression-121359350.html

[4] https://fr.wikipedia.org/wiki/Liste_des_traités_de_contrôle_et_de_limitation_des_armements

[5] https://fr.wikipedia.org/wiki/Traité_sur_la_non-prolifération_des_armes_nucléaires

[6] https://fr.wikipedia.org/wiki/Protocole_de_Genève


Commenter

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *