Faites une recherche en ligne avec le nom "SolarWinds" et vous obtiendrez une quantité impressionnante de suggestions d'articles de presse ou de blog dont les titres évoquent tous une cyber attaque "apocalyptique"([1]) : "Les États-Unis empêtrés dans l'une des plus graves cyberattaques jamais vues"([2]).
La cyber attaque "SolarWinds" Que quoi s'agit-il ?
S'il y a eu cyber attaque, c'est indéniable, il y a donc (i) des attaquants, (ii) des attaqués et (iii) un but de guerre (E.F.R. ou "Effet Final Recherché" en jargon cyber). Publiquement révélée le 8 décembre 2020, la cyber attaque SolarWinds est très probablement une vaste affaire d'espionnage (stratégique, militaire ou industriel, peut-être les trois à la fois). Comment expliquer une campagne de presse si unanime des deux côtés de l'Atlantique dénonçant un "drame de la décennie" dont nos alliés américains seraient la (principale et innocente) victime ?
Cyber attaque et espionnage
Avec l'apparition des réseaux de communications électroniques dans les années 1970 et l'adoption massive par les occidentaux des terminaux portables (ordinateurs, smartphones, tablettes, etc.) qui se connectent à l'Internet en Wi-Fi ou en 3G/4G, l'espionnage a depuis plusieurs décennies basculé dans le domaine du numérique. Les Anglo-Saxons (USA et Royaume-Uni principalement) ont alors développé des capacités de cyber attaque leur permettant de riposter en cas "d'agression", voire de procéder à des attaques à des fins préventives ([4]) ou purement offensives ([5]).
Si l'on met à part la cyber attaque massive dont l'Estonie a été victime en 2007, et l'affaire du virus StuxNet vers 2010 qui aurait conduit à l'arrêt du programme iranien d'enrichissement d'uranium, le phénomène n'était pas connu du grand public. Ce sont les révélations en 2013 d'Edward Snowden, ancien employé de la Central Intelligence Agency (CIA) et de la National Security Agency (NSA) qui vont mettre à jour l'ampleur du programme Etats-Uniens de surveillance, fruit de la paranoïa développé après le 11 septembre 2001.
A l'occasion des "leaks" ([6]) Snowden, les professionnels de la cyber sécurité ont découvert avec un mélange d'admiration et d'effroi l'ampleur et la sophistication des outils de cyber attaque dont disposaient alors les États-Unis ([7]). Si les États-Unis se sont toujours posés comme leader du cyber espace, à l'est de l'Europe, le Président Vladimir Poutine a annoncé publiquement dès 2006 faire du cyber une arme et un terrain de propagande prioritaire pour promouvoir les intérêts politiques, militaires et économiques de la Fédération de Russie. L'intérêt de l'arme cyber est qu'elle demande peu de capacité structurelle (un accès à Internet et des outils logiciels) mais beaucoup de savoir-faire humain. Évidemment, la Russie a depuis largement développé ses propres capacités de surveillance ([8]) et de cyber attaque.
Si l'on s'intéresse aux quinze dernières années, il semble que nombre d'exploits, au sens propre comme au sens cyber du terme ([9]) soient à mettre au crédit du savoir-faire de "russophones" ([10]) : la cyber attaque contre l'Estonie, la cyber campagne d'influence au Royaume-Uni en faveur du Brexit ou aux États-Unis en faveur du candidat Donald Trump en 2016.
N'oublions pas dans ce panorama rapide la République Populaire de Chine qui a également massivement investi le cyber espace, au point d'apparaitre entre 2000 et 2014 comme l'un des acteurs dominants du domaine, le plus souvent à des fins d'espionnage ([11]). Si la France a tenté de promouvoir la paix dans le cyber espace en 2018, il est intéressant de rappeler que ni les Etats-Unis d'Amérique, ni la Chine, ni la Russie n'ont signé "l'appel de Paris" ([12]) destiné à "garantir la sécurité internationale du cyberespace". C'est dans ce contexte qu'éclate en décembre 2020 "l'affaire" SolarWinds.
Une sophistication très importante de l'attaque
Techniquement, les professionnels du secteur qui acceptent de témoigner publiquement sont unanimes : la cyber attaque "SolarWinds" était d'une sophistication incroyable. Sa découverte a d'ailleurs été fortuite ([13]). Sa durée est tout à fait exceptionnelle, puisque les premiers indices de compromissions (signes de cyber attaque) seraient datés d'octobre 2019. L'entreprise par laquelle la cyber attaque aurait été principalement menée serait SolarWinds ([14]) qui compterait près de 18.000 clients infectés par une mise à jour logicielle corrompue.
La liste des "cibles" atteintes est tout à fait éloquente :
- US Department of Defense (dont le Pentagone),
- US Department of Homeland Security dont le Cybersecurity and Infrastructure Security Agency, équivalent US de l'ANSSI ([15]),
- US Department of State,
- US department of Treasury,
- US department of Commerce, etc.
Plusieurs entreprises américaines de réputation mondiale figurent aussi au "palmarès" des attaquants : Boeing, Cisco, Amazon, Microsoft, Intel (pour ne citer que les plus emblématiques).
A qui profite le crime ?
Voyons d'abord le but de l'attaque. Manifestement, il s'agissait pour les attaquants d'obtenir du renseignement ([16]) (emails, documents numériques, éventuellement programmes d'ordinateur), et non de détruire les systèmes d'information visés ou de rançonner leur exploitant ([17]). Peut-être s'agissait-il aussi (et simultanément) d'organiser un pré-positionnement d'accès dans des systèmes d'information sensibles ou critiques, pour, un jour, en cas de contentieux… Au-delà de ces deux buts, fallait-il voir aussi une démonstration technique de force d'un adversaire naturel des États-Unis dans un domaine largement négligé par le Président des États-Unis de l'époque ([18]) ? Alors ? Qui seraient les attaquants ? "Des Russes" ([19]) selon une batterie d'officiels en poste à Washington D.C., ce qu'officiellement (et comme toujours) la Russie a nié ([20]).
L'occasion de financer une réaction nationale ?
En mai 2018, le Président Trump avait supprimé la fonction de Coordinateur cyber au sein du Conseil National de sécurité ([21]) avant de "virer" ("fire") en novembre 2020 ([22]) le Directeur de la CISA (Agence en charge de la cyber sécurité au sein du Homeland Security Department). L'objectif politique des attaquants de l'affaire SolarWinds n'était probablement pas de nuire au Président sortant dont le nombre de déclarations publiques déconcertantes en matière de cyber sécurité n'avait pas manqué de surprendre ([23]). Si manifestement, la tête de l'Exécutif négligeait le "problème" cyber depuis des mois, la révélation de l'ampleur de la cyber attaque SolarWinds a permis aux États-Unis de justifier un changement de politique en la matière. L'occasion était trop belle de poser les États-Unis en victime d'un odieux phénomène qu'ils avaient pourtant largement contribué à développer...
La campagne de presse, et les nombreuses communications publiques des officiel(le)s de l'Administration américaine ont convaincu l'opinion publique occidentale que la cyber attaque SolarWinds était d'un niveau exceptionnel et bien destinée à nuire aux infrastructures numériques de l'Oncle Sam. Et il faut le reconnaitre, ce but ci a été parfaitement atteint : les États-Unis, première puissance mondiale en matière de cyber attaque, ont subi une attaque massive pendant plus d'un an dans s'en rendre compte ! Une fois la communication publique assurée, le Président Biden a alors trouvé une formidable occasion politique de montrer sa compréhension du problème et sa capacité de réaction.
Dès janvier 2021, le nouveau Président des États-Unis, Joe Biden, a annoncé un renforcement général des capacités cyber des États-Unis et le déblocage d'une enveloppe de 9 milliards de dollars. Pour mettre ce chiffre en perspective, le budget annuel de la NSA depuis 2011 est d'environ 10 milliards de dollars. Affichant une volonté claire de rompre avec son prédécesseur, le Président Biden vient de confirmer officiellement début mars 2021 sa volonté de mettre la "sécurité cyber" au cœur de sa politique. L'Administration américaine a fait une promesse de "hack back" le 10 mars 2021 ([24]). Les États-Unis ont manifestement été techniquement piégés d'une manière tout à fait inattendue par une arme dont ils se pensaient le maître incontesté.
Force est de constater qu'une fois encore, avec pragmatisme, les États-Unis ont montré leur résilience face à une grave crise, en annonçant une relance massive au profit de l'industrie US de la cyber sécurité qui sort grande gagnante de cette crise dont l'ampleur des effets demeure aujourd'hui encore inconnue. Quant à l'attaquant, s'il est effectivement russe, il est à craindre qu'il n'ait sous-estimé la volonté de riposte (au sens le plus guerrier du terme) aujourd'hui affiché par les Etats-Unis d’Amérique.
Stanislas de Castaka
Auditeur de la 36ème promotion MSIE
[1] Un Sénateur Etats-Uniens a évoqué un cyber "Pearl Harbor"
[2] Les Échos du 27 décembre 2021
Le Monde 14 décembre 2020 "États-Unis : des pirates ont réussi à infiltrer les départements du Trésor et du commerce"
BBC.com 15 décembre 2020 "SolarWinds Orion: More US government agencies hacked"
Le Monde Informatique 15 décembre 2020 "6 questions sur le cyber-détournement de SolarWinds Orion"
Le Monde 17 décembre 2020 "Panique et incertitude aux États-Unis après une sévère opération d’espionnage informatique"
Les Échos 17 décembre 2020 "Les États-Unis empêtrés dans l'une des plus graves cyberattaques jamais vues"
Les Échos 18 décembre 2020 "Ce que l'on sait de la cyberattaque massive frappant les États-Unis en quatre questions"
Le Monde 19 décembre 2020 "Washington accuse la Russie d’être derrière une opération d’espionnage informatique"
The Gardian 19 décembre 2020 "What we know – and still don’t – about the worst-ever US government cyber-attack"
Les Échos 26/27 janvier 2021 "Les États-Unis se mobilisent pour faire face aux cyber attaques"
Le Monde 27 janvier 2021 "L’affaire SolarWinds, une des opérations de cyberespionnage «les plus sophistiquées de la décennie»"...
[3] "expression popularisée par le cinéma, à l'époque des frères Lumière, et donc au début du cinéma, vers 1895. Dans ce scénario, quelqu'un arrosant son jardin voit le tuyau retourné contre lui" .
[4] "tu vas m'agresser, je décide de le faire avant toi" - cette philosophie d'action rejoint le concept spécifiquement Etats-Uniens de légitime défense "préventive"
[5] Pour une illustration récente de la puissance d'attaque cyber des Etats-Unis d’Amérique , lire "CIA orchestrated dozens of hacking operations against targets worldwide, including APT34 and FSB hacks" (juillet 2020).
[6] Terme propre au monde cyber, les "leaks" désignent des fuites d'informations sensées être protégées et divulguées directement (ou indirectement via la presse dans le cas des révélations d'Edward Snowden) au public
[7] Écouter par exemple le podcast NoLimitSecu de juillet 2020.
[8] Notamment le programme "SORM" https://fr.wikipedia.org/wiki/SORM
[9] "Un "exploit" est, dans le domaine de la sécurité informatique, un élément de programme permettant à un individu ou à un logiciel malveillant d'exploiter une faille de sécurité informatique dans un système informatique"
[10] Le problème de l'incertitude technique de l'attribution des cyber attaques ne sera pas évoqué ici.
[11] Lire le très éclairant article "La Russie et le cyberespace, mythes et réalités d’une stratégie d’État" juillet 2017
[12] "Appel de Paris pour la confiance et la sécurité dans le cyberespace" du 12 novembre 2018 - Israël et l'Iran n'ont pas signé (non plus) cet appel, tandis que la Corée du Nord n'était pas invitée… https://pariscall.international/fr/
[13] apparemment un banal incident de sécurité identifié en décembre 2020 par une entreprise de cyber sécurité
[14] Entreprise dont le nom a été donnée - malgré elle - à cette cyber attaque. En termes d'image de marque, le résultat pour SolarWinds est simplement catastrophique, alors que ses logiciels n'ont été que le vecteur de l'intrusion, son exploitation reposant sur des vulnérabilités logicielles des sociétés Microsoft et VMWare.
[16] "intelligence" en anglais
[17] A priori, le motif bassement crapuleux est écarté par l'immense majorité des commentateurs
[18] en décembre 2020, Donald Trump, battu aux élections présidentielles, organisait son départ de la Maison Blanche dans des conditions de tensions politiques inédites
[19] Ce qui peut vouloir dire "le gouvernement russe" (ou l'un de ses services officiels de renseignement cyber offensif), un groupe "sponsorisé" par le gouvernement russe, un groupe de russophones agissant à titre "personnel" (?) ou par procuration, "pour compte" du gouvernement russe (ce qu'il est impossible à déterminer en analysant techniquement la cyber attaque concernée).
[20] "Kremlin spokesman Dmitry Peskov said Monday that Russia had “nothing to do with” the hack. “Once again, I can reject these accusations,” Peskov told reporters. “If for many months the Americans couldn’t do anything about it, then, probably, one shouldn’t unfoundedly blame the Russians for everything.” (time.com)
[21] "The White House eliminated the position of cybersecurity coordinator on the National Security Council on Tuesday, doing away with a post central to developing policy to defend against increasingly sophisticated digital attacks and the use of offensive cyber weapons" New York Times 15 mai 2018.
[22] "Director of CISA, the nation's top cybersecurity official, responsible for coordinating incident response… Chris Krebs, had been fired by Trump on November 18, 2020".
[23] Déclaration du Président Trump le 19 octobre 2020 " « Personne ne se fait pirater. Pour être piraté, vous avez besoin de quelqu'un qui a un QI de 197 et il doit connaître au moins 15 % de votre mot de passe. ».
[24] "The Biden administration reportedly plans to launch a series of covert cyber offenses aimed at Russian networks to retaliate for the widely reported SolarWinds hack that hit government agencies and critical infrastructure" 10 mars 2021.