Dans cet article, le spécialiste des relations internationales Arthur V. Guri revient sur les attentats du 7 janvier contre le journal satirique Charlie Hebdo et notamment sur ses nombreuses répercussions dans le cyberespace. Après l’annonce par les Anonymous du lancement d’une #OpCharlieHebdo contre les sites web et comptes Twitter de djihadistes, la riposte s’est fait connaitre sous le hashtag #OpFrance. Durant plusieurs semaines, de nombreux sites web francophones ont ainsi été défigurés, en protestation contre la ligne éditoriale de Charlie Hebdo.
[caption id="attachment_906" align="aligncenter" width="475"] http://xkcd.com/932/[/caption]Une bonne opportunité pour illustrer quelques caractéristiques intéressantes du cyberespace, et, sans vouloir tomber dans l’insouciance irresponsable, pour faire résonner le petit xkcd ci-dessus…
La thèse : la suprématie de l’informationLa thèse de ce billet est simple : sans vouloir minimiser les impacts non négligeables qu’elle a pu avoir, cette opération #OpFrance fait essentiellement la part belle à l’intox et à la désinformation, et n’est clairement pas un acte de « cyberguerre », ni même du « cyberterrorisme », mais tout au plus un acte de « cybervandalisme ».
Après avoir décortiqué un exemple très concret de cette « cyberintox », on tentera de lire ces évènements à travers un prisme « cyberstratégique », et on tâchera d’en tirer quelques lessons learnt.
« Cyberintox » : l’exemple d’un tweet percutant Rien de mieux pour illustrer le néologisme de « cyberintox » que ce tweet épinglé depuis le 20 janvier en haut du compte Twitter d’un collectif d’hacktivistes supportant #OpFrance. [caption id="attachment_908" align="aligncenter" width="475"] Capture d’écran réalisée sur Twitter le 01/02/15[/caption]Plusieurs éléments peuvent être relevés ici :
- une provocation directe de « l’adversaire » par l’utilisation du hashtag #OpCharlieHebdo, pour s’assurer que l’acte soit remarqué ;
- une tentative d’émulation de sa propre communauté, en utilisant le hashtag #OpFrance et les mentions d’autres comptes Twitter « amis » ;
- une volonté de médiatiser l’acte directement au sein de la communauté francophone et dans un média crédible, en mentionnant le compte de @zataz, magazine français reconnu sur le sujet de la sécurité informatique ;
- la recherche du « buzz », en associant un lien vers gouv.fr et la capture d’écran d’un fichier Excel contenant une liste de personnes et des informations de contact, laissant entendre que le fichier a été exfiltré d’un serveur du Ministère de l’Intérieur français.
Commençons par le plus important : ce fichier ne provient pas de interieur.gouv.fr et sa sensibilité est sans doute toute relative…
Une connaissance extrêmement basique des opérateurs de recherche spécifiques de Google [1] permettra à tout internaute un tant soit peu intéressé de constater que ce fichier est en fait la liste des membres actifs de la « Compagnie des Experts de Justice en Criminalistique » (CEJC), disponible par ailleurs publiquement sur le site www.cejc.eu.
Alors qu’est-ce qui est grave ? Qu’est-ce qui ne l’est pas ? Pour ce qui l’est, dans quelle mesure ?
- Ce qui pourrait être « grave », c’est que ce fichier Excel n’est pas directement téléchargeable en l’état sur le site de la CEJC. Il se trouve dans une enfilade de sous-dossiers qui ne sont pas directement accessibles aux visiteurs du site web. Néanmoins, celles et ceux qui sont déjà familiers avec le concept de Google Hacking [2] le savent : Google indexe tout. Il est illusoire de croire qu’un fichier placé sur un serveur web mais vers lequel ne pointe aucun lien hypertexte est effectivement inaccessible. Le principe des moteurs de recherche comme Google est de crawler le web et d’indexer tous les fichiers trouvés.
- Ce qui pourrait être « grave » aussi, c’est que ce fichier Excel contient parfois (et parfois seulement) un peu plus d’informations que ce qui est publié sur le site web, notamment les adresses e-mail des membres et leurs numéros de téléphone.
- Ce qui n’est en revanche pas grave, voire presque risible, c’est que pour certains membres, il y a plus d’informations sur les pages publiques du site web que dans ce fichier prétendument exfiltré…J
- Ce qui n’est pas grave non plus, c’est que cette liste de noms n’est absolument pas secrète [3]. Par ailleurs, une grosse partie des informations contenues dans le fichier Excel peuvent être retrouvées sur Internet assez simplement avec quelques recherches.
Concrètement, on parle ici d’un fichier listant les 87 membres [4] d’une association dite « de loi 1901 », si respectable soit-elle, et pas vraiment un fichier ultra-sensible listant des agents secrets d’un service de renseignement du Ministère de l’Intérieur, et qui aurait été exfiltré par une APT [5] présente discrètement au plus profond des serveurs du Ministère depuis plusieurs années… Pourtant, c’est presque ce que le collectif d’hacktivistes semble avoir voulu laisser croire…
Tentative d’analyses « cyberstratégiques »Cet exemple a au moins le mérite de nous permettre d’éprouver la littérature cyberstratégique (française notamment !) à notre disposition, et de tester les concepts qu’elle développe sur un cas réel.
– A la lumière du triptyque « DIC »L’un des concepts les plus fondamentaux et simples à appréhender dans la théorie de la sécurité de l’information est sans doute le fameux triptyque « DIC » [6] : disponibilité, intégrité, confidentialité.
Aucun doute sur les deux derniers aspects : ni l’intégrité ni la disponibilité des données n’ont été affectées.
Toute la question est de savoir si leur confidentialité a été atteinte. Pour cela, encore aurait-il fallu qu’elles soient effectivement confidentielles et qu’il y ait réellement eu un besoin de protéger cette confidentialité.
On pourra commencer à se demander si le cas relève réellement de la sécurité de l’information, ou plutôt de la communication…
– A la lumière du triptyque « espionnage, sabotage, subversion », et du Livre Blanc sur la Défense et la Sécurité Nationale (LBDSN) de 2013 [7]
Lorsqu’il s’agit de décrire les finalités d’une cyberattaque, on évoque classiquement trois catégories principales : l’espionnage, le sabotage, et la subversion [8][9]. Vu la réflexion menée jusqu’ici, on classera davantage l’attaque qui nous intéresse dans la troisième catégorie, puisqu’elle ne relève clairement pas du sabotage, et qu’on ne peut pas parler d’espionnage d’une information que l’on ne cherche pas vraiment à cacher.
Le LBDSN publié en 2013 définit plusieurs priorités stratégiques, dont la première est de « protéger le territoire national et les ressortissants français, et garantir la continuité des fonctions essentielles de la Nation ». Les « cyberattaques » sont parmi les plus importantes menaces prises en compte pour répondre à cette priorité stratégique [10]. Dans ce domaine, le LBDSN met essentiellement en avant les menaces liées aux velléités d’espionnage et de sabotage.
Deux points peuvent être retenus de cette section :
- on parle bien ici de subversion, et pas d’espionnage, même si les attaquants semblent vouloir faire croire le contraire ;
- la subversion, quand bien même elle constitue une menace réelle, n’apparait pas explicitement dans le LBDSN de 2013, et n’y est à ce titre pas considérée comme aussi prioritaire.
– A la lumière de « l’Introduction à la Cyberstratégie » d’Olivier Kempf [11]
Dans cette section, nous évoquons deux aspects du cyberespace : sa structure en couches, et ses caractéristiques/principes stratégiques. Pour cela, nous nous appuyons sur quelques idées développées par Olivier Kempf, dans son ouvrage « Introduction à la Cyberstratégie ».
Parmi les « caractéristiques stratégiques » décrites dans cet ouvrage, on retrouve notamment :
- la publicité – les attaquants utilisent le cyberespace pour démultiplier la publicité donnée à leur acte, tout en restant très discrets, en n’ayant pas à dévoiler leurs identités ;
- la discrétion – les attaquants peuvent cependant rester très discrets, en n’ayant pas à dévoiler leurs identités réelles ;
- la dualité – les attaquants peuvent laisser entendre que des hacktivistes « civils » ont pu atteindre des actifs sensibles gouvernementaux.
Par ailleurs, parmi les « principes stratégiques » décrits en annexe, et issus d’un ouvrage précédent publié en 2011 avec Stéphane Dossé [12], on trouve :
- l’asymétrie – un groupe de « quelques » hacktivistes tente de se montrer capable de se constituer comme menace significative pour un ministère régalien d’un État souverain de premier plan ;
- la coalescence – l’acte relève visiblement de la « réunion d’acteurs disséminés et de nature parfois différente en vue d’une action conjuguée ».
Plus intéressant encore pour comprendre les implications de notre exemple, une vision conceptuelle du cyberespace développée au début de l’ouvrage le fait reposer sur trois couches : la couche matérielle, la couche logicielle, et la couche sémantique (ou informationnelle).
Concrètement, notre exemple ne touche pas du tout à la première, seulement très peu à la deuxième, et s’inscrit donc essentiellement dans la troisième. Encore une fois, il est intéressant de noter que les attaquants semblent vouloir faire croire qu’ils maitrisent parfaitement les « lois » de la deuxième couche, alors que les techniques mises en œuvre dans la couche logicielle dans le cadre de cette attaque sont presque triviales.
Cela achève de nous convaincre qu’il s’agit bien là d’une bataille de la communication. Le but ici n’est pas réellement d’attaquer un SI gouvernemental et d’en exfiltrer de l’information sensible, mais bien de provoquer l’adversaire, d’inquiéter sa population, de gargariser ses troupes et sans doute de recruter de nouveaux supporters.
– Quatre lessons learnt et un bonus
De cet exemple, nous voulons retenir cinq points en particulier :
#1. Être conscient de la potentielle différence entre ce qui semble s’être passé… et ce qui a réellement eu lieu, et ne pas tomber dans le piège de l’intox et de la désinformation.
#2. Rester néanmoins très vigilant à ce que l’intox et le « cybervandalisme » ne serve pas d’écran de fumée à des opérations plus sérieuses.
#3. Résister à la tentation de faire justice soi-même et de monter des « milices anti-vandales »[13], et ne pas donner trop d’importance à ce qui n’en mérite pas.
#4. Prendre conscience de la question de la cybersécurité… et se protéger ! Même les Anonymous français le disent !
#5. https://www.youtube.com/watch?v=uJNl1Q2Nf8kArthur V. Guri pour EchoRadar
[1] Un indice : « filetype:xls » par exemple 😉 [2] https://en.wikipedia.org/wiki/Google_hacking [3] Elle est publique, ici : http://www.cejc.eu/Membres%20actifs.htm[4] Pour chaque membre, on peut y lire : son nom, son prénom, son adresse e-mail, la cour d’appel dont il dépend, son adresse professionnelle, un numéro de téléphone (a priori professionnel), un numéro de télécopie (a priori professionnel), et son attachement ou non à la cour de cassation.
[5] https://fr.wikipedia.org/wiki/Advanced_Persistent_Threat [6] Ou encore plus mnémotechnique en anglais : « CIA » (Confidentiality, Integrity, Availability). [7] http://www.bca13.terre.defense.gouv.fr/portail-defense/enjeux2/politique-de-defense/le-livre-blanc-sur-la-defense-et-la-securite-nationale-2013/livre-blanc-2013 [8] Un premier « accouchement » d’idées à ce sujet sur EGEA ici en mars 2013 : http://www.egeablog.net/index.php?post/2013/03/18/CYber-et-guerre-de-l-information-%253A-retour [9] De la lecture très intéressante à ce sujet ici (François-Bernard Huyghe, janvier 2014) : http://www.huyghe.fr/actu_1198.htm [10] LBDSN 2013, page 47. [11] http://livre.fnac.com/a7898368/Olivier-Kempf-Introduction-a-la-cyberstrategie [12] http://livre.fnac.com/a3630593/Olivier-Kempf-Strategies-dans-le-cyberespace [13] Zataz a des idées intéressantes sur le sujet, ici : http://www.zataz.com/cher-anonymous-tu-es-charlie-alors-reflechis/Les vues et les opinions exprimées dans cet article sont celles de leur auteur et ne reflètent pas nécessairement les vues ou les opinions d’EchoRadar
]]>