La Guerre en Ukraine peut-elle dégénérer dans le cyberespace ?
Divulgâchage : Comme vous le savez, il y a quelques tensions internationales ces temps-ci et certains experts influenceurs brandissent la menace de cyber attaques. Comme on va le voir, oui il y a des risques sur le cyberespace, depuis qu’il existe en fait. Mais non, pas de cyber apocalypse en vue. Respirez calmement, ça vous fera du bien.
Pour résumer rapidement, la Russie est en guerre contre l’Ukraine qu’elle tente d’envahir. Pour arrêter l’invasion, tout en évitant de déclencher une troisième guerre mondiale, l’UE et l’OTAN prennent des sanctions contre la Russie qui, fâchée, en prend d’autre et met sa force de dissuasion nucléaire en alerte. Le reste du monde tente de rester à distance mais on sent une forte odeur de guerre froide.
Si vous vouliez un exemple de situation favorisant l’anxiété (« attente désagréable et plus ou moins consciente d’un danger à venir »), on est bien parti. Et parce que la peur, contrairement à l’anxiété, a besoin de se cristalliser sur une menace concrète, votre cerveau cherche des raisons d’avoir peur… La troisième guerre mondiale ? trop apocalyptique et risqué pour les deux camps ! Alors quoi d’autre ?
Et pourquoi pas le cyberespace ? Ce monde virtuel qui existe à travers les réseaux informatiques et dans lequel nous allons quotidiennement… Après tout, c’est tellement technologique que c’est devenu magique. Et quand c’est magique, on peut y fantasmer nos peurs ! Plus besoin de comprendre comment elles se concrétiseraient, les méchants hackers trouveront forcément un moyen…
Surtout qu’on peut compter sur les white hats (litt. chapeaux blancs) pour nous expliquer tous ces risques - très nombreux - qui pèsent sur nous et monter en épingle n’importe quel événement pour suggérer que la cyber-apocalypse est imminente. Toute ces communications anxiogènes, ça fait de la peur. Et la peur, ça rend viral. Et surtout, ça ferait vendre.
Alors les arsouyes ont pris un peu de temps pour vous rassurer à propos sur les risques de cyber-guerre. Car tout ça n’est pas magique, c’est juste très complexe.
Le Hacking, c’est pas si facile
Pour commencer, toutes ces attaques formidables dans le cyberespace passent nécessairement par une infiltration dans le réseau adverse. Avec un peu d’imagination, tout comme les scénaristes de films et de séries, on trouve plein d’idées. Voici un exemple :
- On peut trouver une machine ou un service accessible depuis internet,
- Avec de la chance, le nom d’utilisateur et son mot de passes sont facile,
- Sinon, il y a sûrement une vulnérabilité publiée qui nous permet d’entrer,
- Au pire, on la trouvera nous même et on l’exploitera (parce qu’on est trop fort),
- On peut alors rebondir de services en services et de machines en machines,
- Et obtenir finalement un accès administrateur de domaine qui peut tout faire !
On va pas se mentir, ce genre de scénario est joué presque chaque jour.
Pas parce que c’est facile (c’est bougrement compliqué), ni parce que les hackers sont des magiciens trop balèzes (la plupart agitent leurs baguettes sans savoir comment elles fonctionnent). Tout simplement parce que vu le nombre de machines, de services et de réseaux, on trouve toujours quelque chose de vulnérable lorsqu’on cherche assez longtemps.
Pour tout vous dire, ce genre d’attaque est tellement rare que dans la quasi-totalité des cas, les hackers ont contourné la difficulté en envoyant plein de courriels piégés (avec un lien ou un fichier). De la même façon, les gens ne sont pas idiots au point de cliquer sur n’importe quoi. Mais avec le nombre, il y a toujours quelqu’un, quelque part, qui se fera avoir ; exécutera le cheval de Troie qui donnera un accès au hacker.
Après coup, on (se) racontera que les hackers avait ciblé telle organisation, élaboré puis exécuté une stratégie de ouf’ pour percer les défense… mais en réalité, c’est l’inverse qui s’est produit : le hacker a lancé ses filets et attendu qu’un poisson morde. N’importe lequel, le premier qui passe, ou le suivant. Cas classique du biais d’intentionalité où on donne une intention aux événements après qu’ils se soient produits.
Par exemple, si les hôpitaux ont été si nombreux à être victimes de ransomwares en 2020, ce n’est pas parce qu’un État hostile (au hasard : la Russie) voulait faire empirer la crise sanitaire due au COVID-19. Ils se sont fait pirater parce que nos hôpitaux courent moins vite (ils manquent de moyens et n’en avaient pas consacré assez à leur informatique). Et on en a vu beaucoup parce qu’ils ne peuvent pas cacher que leur informatique est hors service (contrairement à beaucoup d’entreprises).
Car un hacker, aussi balèze qu’il soit, ne peut pas faire grand chose face à un réseau correctement cloisonné, surveillé et opéré. Et si ce réseau est redondé, sauvegardé et que ses équipes font leurs exercices, le peu qu’un hacker pourra faire n’aura pas de grandes conséquences sur l’organisation.
Les Infrastructure Vitales sont identifiées
Si vous êtes anxieux, vous vous dites que si un réseau important n’est pas sécurisé correctement, un hacker pourrait s’y introduire. Vous avez raison. Et vous avez sûrement déjà pensé à plein de conséquences catastrophiques si un hacker s’en prenait aux systèmes informatiques dont dépendent tant nos sociétés modernes…
- L’explosion d’une centrale nucléaire ?
- L’eau potable contaminée ?
- Une rupture d’approvisionnement de tartiflette ?
Rassurez-vous, 📣 vous n’êtes pas seul ; des gens très bien placés y ont pensé aussi. En France, ils ont défini la notion d’Opérateur d’Importance Vitale, qui, comme le nom l’indique, regroupe des organisation dont l’activité a une importance vitale pour nos sociétés. Ces notions sont définies dans le Code de la Défense (on rigole pas avec ces choses là). Vous pouvez raisonnablement penser que EDF, Veolia et les producteurs de reblochon en font partie même si, pour des raisons de sécurité nationale, c’est tout à fait officieux.
Une fois intégré dans ce carré VIP, il n’est plus possible de faire l’impasse sur la sécurité informatique. Le cahier des charge est plutôt sérieux ; pré-défini pour le socle commun (e.g. les systèmes critiques ne sont pas connectés sur Internet) mais impose en plus des analyses de risques spécifiques pour chaque opérateur. Et tout sera vérifié par des experts du domaine, avec l’ANSSI (l’agence française de sécurité informatique) qui chapeaute le tout et interviendra en cas de besoin.
Pour les hackers, s’attaquer à ces opérateurs-là est un vrai défi, bien plus compliqué que leurs cibles habituelles. Sauf coup de bol cosmique, impossible que ces opérateurs se fasse attraper dans les filets habituels. Pour les attaquer avec une chance de réussite crédible, il faut la puissance d’un Etat. Et pas juste en piratant via le cyberespace : il faut tout l’arsenal habituel nécessaire à des opérations de sabotage classiques, avec plein d’opérations dans le monde réel (e.g. une intrusion physique sur place). C’est compliqué et ça laisse plein de traces.
Du coup, on ne parle plus de hacker anonyme dans le cyberespace mais d’un acte de guerre… contre un membre de l’OTAN… Je ne dis pas que ça ne peut pas arriver, mais il faut accepter d’avoir l’OTAN contre vous si vous tentez ce genre d’action.
Internet est robuste
L’Internet tel qu’on le connait aujourd’hui est bâti sur des technologies mises au point par des universitaires dans les années 1980 avec des budgets de la DARPA, une agence militaire américaine pour les nouvelles technologies. La légende officielle du mythe veut donc que ce réseau ait été conçu dans un cadre militaire.
Internet à été conçu par les militaires pour fonctionner en cas d’attaque nucléaire.
La Génèse d’Internet, verset 13.37
Cette légende est fausse (dommage car elle est top) mais il peut effectivement survivre à une panne de n’importe lequel de ses composants car tout y est décentralisé et redondé. Par exemple, il y a 13 adresses IP pour joindre les serveurs DNS racine, et chacune correspond à plusieurs machines physiques réparties sur toute la planète. Plusieurs attaques très massives ont été tentées en 2002, 2007 et 2015 sans jamais provoquer de perturbation notable pour les usagers (ils ne s’en sont même pas rendu comptes).
Alors bien sûr, si une connexion réseau (ou un service) n’est pas redondée, c’est gênant de le perdre. Que ce soit après une attaque nucléaire, un coup de pelleteuse (e.g. 30 avril 2021 en Loire atlantique, 21 mai 2021 en Hérault ou 14 juin 2021 en Maine-et-Loire) ou même des chutes de neige (i.e. novembre 2019 en Drôme-Ardèche mais cette fois, c’est le réseau électrique).
Le cas du satellite KA-SAT : il ne répond plus depuis l’attaque des Russes sur l’Ukraine et prive de connexion beaucoup d’abonnés satellites en Europe (dont des abonnés chez Nordnet).
Au 11 mars 2022, la piste privilégiée serait un accès par un pirate à une console d’administration. Celui-ci lui aurait permis de désactiver à distance une partie des modems.
Pour le cyberespace, en tant que tel, ces pannes ou attaques ne sont rien de plus que des défaillances temporaires et localisées. C’est dommage pour les entreprises dont les services sont inaccessibles ou les abonnés qui se retrouvent exclus du cyberespace mais si cette connexion est si importante pour eux, il suffit de la redonder.
Les attaques du pauvre
Ne restent donc que les trucs accessibles au hackers anonymes. Des patriotes indépendants dans leur chambre de geek ou des groupes mafieux plus ou moins supportés par les états qui veulent rester dans l’ombre.
- Les ransomwares : envoyer plein de pourriels à tout va, un employé ou un particulier peut rigoureux ou distrait pourrait exécuter le cheval de Troie. Si son réseau n’est pas bien carré le hacker peut se balader, copier les fichiers (pour menacer de les diffuser) et détruire la version locale (pour les revendre à la victime). Ça fait plus de dix ans que ça existe et la crise actuelle ne va pas changer grand chose sur ce sujet.
- Les dénis de services : submerger un service réseau sous un nombre tellement important de requête qu’il ne sait plus où donner de la tête. Genre le site web du CNED. Il suffit d’être très nombreux. Mais ça ne sera que temporaire (car les administrateurs réseaux peuvent réagir) et ne marchera que sur des services pas assez critiques pour être redondés (lire : vous pouvez vous en passer le temps que ça revienne).
- Défacer un site : en cherchant longtemps, on tombe parfois sur des systèmes où les identifiants ne sont pas sérieux. Il y a des caméras de surveillance, des stations FM dans des entreprises, des sites web de communication institutionnels, mais un hacker ne sait jamais sur quoi il va tomber (juste que ces trucs sont jugés de peu d’importance et accessoires pour ses opérateurs). Il pourra se la jouer « trop balèze » sur la scène le temps que les administrateurs corrigent et ferment les accès.
Et contre ces attaques là, rien n’a vraiment changé. Les mêmes méthodes de protections font toujours leurs preuves : vérifiez vos accès, sauvegardez et protégez les fichiers auxquels vous tenez, redondez les services dont vous avez vraiment besoin et restez prudent sur internet (si vous avez envie de cliquer, attendez le lendemain et faite appel à un ami).
C’est le sens de l’annonce de l’ANSSI :
Les tensions internationales actuelles, notamment entre la Russie et l’Ukraine, peuvent parfois s’accompagner d’effets dans le cyberespace qui doivent être anticipés. Si aucune cybermenace visant les organisations françaises en lien avec les récents événements n’a pour l’instant été détectée, l’ANSSI suit néanmoins la situation de près. Dans ce contexte, la mise en œuvre des mesures de cybersécurité et le renforcement du niveau de vigilance sont essentielles pour garantir la protection au bon niveau des organisations.
L’ANSSI
En gros : on est pas à l’abri d’un gus patriote ou d’un agent gouvernemental désœuvré qui lancent des filets, ce serait dommage de s’y laisser prendre bêtement. Restons vigilants, tout simplement.
Et après ?
Le véritable danger, dans cette crise et le cyberespace, ne vient donc pas des mythiques Hacker Russes qui feraient exploser nos centrales nucléaires, contaminer nos eaux et rayer la tartiflette de la surface de la Terre. Mais vous trouverez toujours quelques experts cyber pour tel cabinet de conseil renommé qui montera le moindre événement informatique en signe d’une cyber apocalypse imminente. Ils jouent avec nos peurs et nos fantasmes pour obtenir de l’attention. Respirez, prenez du recul et vous verrez le ballon se dégonfler.
Si vous voulez vraiment voir un danger dans le cyberespace, tournez-vous vers les réseaux sociaux qui servent de caisse de raisonnance à la (dés)information liée au conflit : Nous sommes les gentils, ce sont eux les méchants ; ils ne font pas le poids car on est trop baleizh ; L’apocalypse est pour bientôt, il n’y a plus de reblochon au frigo.
Parce qu’il n’y a pas besoin d’être super doué en informatique, ou de disposer de moyens informatiques de dingue pour vouloir manipuler l’opinion publique. Tout ça n’est que du marketing. Appliqué à la guerre et la manipulation de l’opinion publique des pays adverse, ça reste du design tout ce qu’il y a de classique.
Notre objectif, en tant que designer, c’est de pousser à agir. Pas de communiquer.
Stefan Mumaw, Formation Linkedin Learning :
Susciter l’émotion : utiliser le design pour toucher les gens.
Le problème avec les réseaux sociaux, c’est que derrière leur façade d’hébergeurs de contenus et de vecteurs de lien social entre les peuples, ce sont des entreprises dont le chiffre d’affaire dépend directement de leurs revenus publicitaires. Revenus proportionnels à leur capacité à nous capturer et à nous montrer les contenu qui nous font réagir. Donc de formidables outils de travail pour les publicitaires, designers et autres manipulateurs d’opinion.
- En manipulant nos émotions, ils génèrent et exploitent notre anxiété pour nous faire réagir et amplifier l’expo,
- En manipulant nos perceptions, ils influent sur nos prises de décision pour nous faire agir dans le sens de leur commanditaire.
À qui profite le crime ? Chaque fois qu’on confronte un individu à des communications angoissantes, il pousse ses opinions vers les extrêmes. On appelle ce phénomène la saillance de la mortalité. À l’échelle d’un pays, c’est tout le débat publique qui se radicalise, biaise les prises de décision et fragilise nos démocraties (en anglais).
Bonne nouvelle, on peut très facilement contrer tous ces effets et reprendre le contrôle de nos émotions et nos perceptions. Lorsque vous aurez peur de rater quelque chose et voulez vous informer, privilégiez les médias au temps longs qui emploient des journalistes professionnels. Lorsque que vous sentez une envie monter en vous (d’aller sur un réseau, de cliquer sur un lien,…), prenez une bonne respirations profondes (trois si l’envie est irrésistible), elle vous reconnectera à votre corps et au monde réel, brisant l’influence des designers et autres manipulateurs.