L’attribution d’une cyberattaque a déjà été évoquée dans un précédent billet, suite à des propos du ComCyber qui déclarait qu’il allait tenter d’attribuer les cyberattaques.

Afin de l’aider dans ses tentatives, les Suisses ont rédigé un document fort intéressant (mais je doute que c’était une commande du ComCyber gaulois) disponible ici.

Le présent billet s’inspire de ses propos.

La réflexion sur le processus d’attribution d’une cyberattaque est indispensable pour au moins deux raisons.

Source

La première est que le cyberespace permet de se cacher parfois de manière efficace, mais aussi parce qu’il permet de brouiller les pistes. Ce n’est pas parce qu’un ordinateur localisé en Russie a servi à mener une cyberattaque que les Russes en sont forcément à l’origine. Notons à ce sujet que très peu de cyberattaques sont attribuées à des Américains. Ces derniers sont-ils tellement vertueux qu’ils n’hébergeraient aucun pirate sur leur sol, sont-ils plus efficaces que les autres, ou un voile pudique couvre-t-il leurs méfaits ?

La seconde est qu’il n’existe pas d’alliés dans le cyberespace, si ce n’est de circonstance. Ainsi, les Américains (encore eux), bien qu’alliés officiels de l’Allemagne n’en ont-ils pas moins écouté le téléphone de Mme Merkel. Enfin, si l’on en croit certaines versions, ce serait la NSA sans l’accord de B. Obama…

Ces deux raisons constituent d’indéniables atouts pour les attaquants qui peuvent se cacher et nier autant qu’ils veulent toute implication dans un cyber méfait, mais semblent limiter la possibilité des États de « délivrer des messages » forcément clairs et dissuasifs comme le fut l’opération Hamilton contre la Syrie.

Ceci étant posé, il faut distinguer deux cas de figure :

– la cybercriminalité qui implique un jugement reposant sur une expertise forensique et des probabilités (cf. billet) voire une intime conviction, et pour laquelle l’attribution doit être publique ;

– les attaques interétatiques dont l’attribution peut ne pas être publique, selon l’opportunité estimée par le pays frappé.

Dans ces deux cas de figure cependant, et même si la dimension politique de l’attaque est un des critères de différenciation, le processus décisionnel est le même.

I Pourquoi attribuer ?

Nécessité de l’attribution

La première justification de l’attribution qui vient à l’esprit est qu’il ne faut pas laisser une faute impunie. Le cyberespace ne doit pas être le lieu de commission du crime parfait, insoluble par nature.

Elle est aussi indispensable depuis que le cyberespace a été politisé par tous les États qui l’utilisent. Souveraineté numérique, cyberguerre, etc. Le cyberespace s’est vu politisé au fur et à mesure de son développement, tant et si bien que certains le verraient bien comme une zone militaire sensible (oups… zone de défense), dans laquelle tout ce qui n’est pas explicitement autorisé serait interdit¹.

Ainsi, attribuer, c’est poser des limites, faire savoir à l’agresseur qu’il a été identifié, que son mode opératoire est connu et qu’il risque de ne plus fonctionner à l’avenir.

Qui attribue ?

De ce fait, l’attribution revêt pour les États un caractère indispensable à l’affirmation de leur savoir-faire, de leur puissance, de leur souveraineté. Ne pas avoir les moyens d’attribuer, c’est se placer sous la coupe d’un État dont la cyberpuissance serait supérieure à la sienne.

Pour les compagnies de cybersécurité, pouvoir attribuer une attaque est une démonstration de leur savoir-faire, donc de leur expertise, ce qui constitue un argument de vente non négligeable. Aucun vendeur de « solutions de sécurité » (cf. article) ne serait pris au sérieux s’il n’était en mesure d’affirmer quelles sont les origines d’un maliciel quelconque et d’où il provient.

Bénéfices escomptés de l’attribution

Attribuer une cyberattaque ne se fait que si l’attributeur en espère un gain quelconque. Lorsqu’il s’agit d’une affaire judiciaire, le gain est évident : la victime veut obtenir réparation.

Mais dans le cadre d’une affaire interétatique, aucun tribunal international n’est saisi de l’affaire. L’État attributeur peut alors espérer que sa décision serve à provoquer une réaction du pays désigné, dissuade de la réitération de tels actes, prévienne l’autre de l’arrivée d’une réponse adaptée à l’attaque, provoque un dialogue entre chefs d’États ou l’établissement d’arrangements voire de normes (ainsi de la rencontre entre Obama et Xi), voire mobilise son camp (cas de l’Estonie en 2007) ou ses alliés (cf. les débats sur l’engagement automatique de l’OTAN en cas de cyberattaque au sommet de Glasgow).

Pertes engendrées par l’attribution

Attribuer publiquement une cyberattaque n’a pas que des avantages, surtout lorsqu’il s’agit d’un allié dans le monde réel (car, rappelons le, le cyberespace ne connaît que des alliances de circonstance). Outre le fait de se fâcher avec un allié, l’attribution montre à l’attaquant qu’il a été décelé, donc ce que la défense sait faire, voire ne sait pas faire, car lui seul sait exactement quels moyens il a mis en œuvre.

Elle indique aussi potentiellement à l’agresseur la nécessité de modifier son mode opératoire pour ne pas être pris. Notons que ce point ne fonctionne que si les agresseurs sont d’un niveau suffisant pour trouver par eux-mêmes de nouveaux modes opératoires.

Dans la mesure où, comme pour tout phénomène, l’attribution a des avantages et des inconvénients, elle résultera d’une mise en perspective de ces deux éléments.

Cependant, avant d’être effectuée, elle devra satisfaire un certain nombre d’obligations.

II Impératifs de l’attribution

Si un État décide de rendre publique une attribution, elle doit, pour être effectivement crue par l’attaquant et les praticiens du cyberespace, répondre à plusieurs caractéristiques.

Un fait initial cyber

Le premier point indispensable est l’existence d’un fait cyber irréfutable. Nulle attribution n’est possible s’il n’existe pas de fait cyber originel, mais encore faut-il distinguer ce fait d’une simple panne ou d’une négligence. Or, lorsqu’un système informatique ne fonctionne pas, on pense d’abord à la panne, voire au bug (et on applique alors le théorème de Microsoft : dans le doute, reboot). Cela implique que la victime dispose d’un savoir-faire pour distinguer la panne de la négligence et de l’attaque. En effet, attribuer à un attaquant ce qui ne serait qu’une panne, montrerait à l’attaquant désigné le faible niveau d’expertise de la victime et pourrait donc l’inciter à passer à l’action.

La preuve technique

Une fois le fait initial avéré, il est indispensable de prouver l’attaque et de la relier à l’attaquant présumé.

La victime doit alors savoir résoudre la complexité et l’interconnexion croissantes des réseaux pour démontrer que des indices sérieux mènent à l’auteur désigné par l’attribution. Cette démonstration exige d’avoir à sa disposition des spécialistes aptes à investiguer le système informatique touché, et à remonter le fil de l’attaque jusqu’à un agresseur présumé. Mais encore faut-il que l’auteur présumé ait les capacités suffisantes (personnes² et matériel) pour avoir mené cette attaque.

N’oublions pas que, pour que la preuve en soit vraiment une, la démonstration doit pouvoir être de nouveau exécutée dans les mêmes conditions de départ.

L’adhésion de la communauté du renseignement.

Les cyberconflits sont des conflits cachés dans lesquels les auteurs nieront fermement leur implication. Les désigner publiquement comme auteurs de l’agression n’est valable que si la communauté du renseignement est en mesure d’affirmer non seulement qu’ils ont les capacités techniques de mener ce type d’agression, mais aussi qu’ils ont un intérêt à l’avoir menée.

Dans le cas contraire, l’attribution sera hasardeuse.

La communauté du renseignement joue alors le rôle, non du juge, mais plutôt de l’expert qui évaluera la probabilité que l’auteur envisagé corresponde à celui qui a effectivement frappé.

S’exprimer en probabilités n’est pas toujours parlant, de plus, dans le cas de figure du renseignement, les probabilités semblent souvent estimées « à la louche », c’est-à-dire en dehors de toute échelle fiable d’appréciation³, ce qui les rend encore plus floues que des probabilités calculées mathématiquement.

L’opportunité politique

Autre élément préalable à toute attribution, l’opportunité politique. Si on pense à elle prioritairement lorsqu’on veut viser un allié du monde réel (le désigner ne va-t-il pas nous le mettre à dos ?), il ne faut pas non plus l’oublier dans le cas où l’auteur visé est un non allié, voire un ennemi. Car les représailles consécutives à une désignation publique peuvent avoir lieu dans le monde réel, avec des difficultés subites rencontrées lors de l’exportation de produits nationaux.

Le politique, qui sera donc le décideur, doit peser les avantages et inconvénients de cette déclaration publique.

La transparence

Terme à la mode, la transparence est néanmoins indispensable lorsqu’il s’agit d’attribuer une cyberattaque.

En effet, déclarer que tel pays a mené une cyberattaque doit s’accompagner de preuves admissibles également par la partie adverse. Sinon, c’est une accusation en l’air, donc peu crédible.

Cette transparence a cependant un inconvénient : celui de montrer à l’ensemble des acteurs du cyberespace le savoir-faire du pays visé. Or, comme il n’y a pas d’allié pérenne dans le cyberespace, cela revient à s’exposer potentiellement à d’autres cyberattaques.

Notons que la transparence dépend fortement de l’existence d’une preuve technique. En l’absence de celle-ci, la transparence ne peut avoir lieu.

Conclusion

L’attribution est donc un processus complexe qui, s’il obéit à des motifs politiques, ne peut suivre le tempo politique actuel qui est de plus en plus le tempo médiatique.

Le processus décisionnel peut alors être résumé dans le schéma suivant :

Si ce schéma représente l’état de l’art, n’oublions pas cependant que des voix de plus en plus nombreuses s’élèvent pour évoquer le moment où les intelligences artificielles s’occuperont de cyberattaques. Lorsque ce temps sera venu, la question de l’attribution revêtira une couche supplémentaire de complexité, dans la mesure où une IA vraiment intelligente pourra mener des attaques « à la manière de » et donc brouiller les pistes.