La cyberguerre s'invite à la conférence Black Hat

• Imprimer

La capacité du ver Stuxnet à provoquer des dommages sur le programme nucléaire iranien a démontré, de façon visible, les capacités des cyber-armes. Ce fait n'a pas échappé non plus aux organisateurs de la conférence Black Hat, ni à Jeff Moss, son fondateur.

Le consultant en sécurité, Jeff Moss, qui siège depuis 2009 au Conseil Consultatif du Département de la Sécurité Intérieure (Department of Homeland Security - DHS), n'est pas d'accord pour dire, comme certains experts, que Stuxnet représente « la première attaque ciblée effectuée avec une cyber-arme. » De son point de vue, « ce n'est pas la première du genre, mais c'est la première qui soit vraiment visible de tous, » a t-il commenté. « Je pense aussi que c'est la première attaque dont nous pouvons tous parler publiquement, » a t-il ajouté.

Les débats sur les techniques utilisées pour monter des attaques offensives sont également de plus en plus publiques. C'est le cas des thèmes abordés à la conférence Black Hat qui se tient cette semaine à Washington, dans un hôtel situé à deux stations de métro du Pentagone. Certains sujets parlent ainsi spécifiquement de pistes, jusque là qualifiées de « tactiques irrégulières » et « d'escarmouches sur le web, » pour mener des cyber-guerres offensives. Comme l'indique Jeff Moss, la dernière conférence a ajouté ces sujets de discussions « à l'attention des personnes qui exerce légalement ce type d'actions. » Des sessions consacrées aux cyber-attaques font depuis longtemps parti des thèmes abordés à la conférence, mais jusqu'à présent, les sujets étaient essentiellement axés sur des tactiques permettant de tester les moyens de défenses. « Aujourd'hui, les techniques d'attaques sont traitées à part entière, » a t-il déclaré.

Une riposte cyber graduée ?

Entre temps, le ver Stuxnet a enrichi la bibliothèque des cyber-attaques, lesquelles sont par ailleurs de plus en plus portées à la connaissance du grand public. Comme cette intrusion l'an dernier dans les systèmes informatiques de Google, une action probablement menée par la Chine contre le géant de l'Internet. Le fondateur de Black Hat pense que la divulgation publique de ces attaques donne aussi plus de poids aux responsables de la sécurité informatique, qui peuvent désormais faire valoir auprès des dirigeants la réalité de certains incidents pour expliquer les risques encourus. Mais beaucoup reste à faire. Lorsque Stuxnet a mis hors de contrôle certaines centrifugeuses destinées à l'enrichissement d'uranium au sein de l'installation nucléaire iranienne, l'attaque a largement montré la vulnérabilité des systèmes de contrôle, y compris ceux utilisés dans diverses installations électriques à travers le monde.

Pour Franklin Kramer, ancien secrétaire d'Etat adjoint à la Défense dans l'administration Clinton, une cyber-guerre ne se limitera pas à un secteur en particulier et le gouvernement aura besoin de disposer de solutions diverses pour parer à ce type de menace. « Le premier niveau de réponse pourrait être diplomatique et le second économique, » a déclaré Franklin Kramer. Mais, un troisième niveau de réponse pourra être d'ordre cybernétique, ou «cinétique» comme disent les militaires quand ils évoquent une éventuelle action de ce type. L'ancien secrétaire d'Etat a également indiqué qu'une action militaire en réponse à une cyber-attaque ne pouvait pas être exclue des scénarios possibles. A ce propos, il a rappelé l'intervention menée en 1989 par les États-Unis au Panama, conduisant à l'arrestation de son dirigeant Manuel Noriega, condamné et emprisonné pour trafic de drogue, racket et autres charges. Franklin Kramer a également appelé à une plus grande collaboration sur les questions soulevées par les cyber-menaces. Celui-ci estime aussi que les responsables politiques devront examiner de près la question de savoir si la Security and Exchange Commission (SEC), le gendarme américain de la bourse, doit obliger ou non les entreprises à rendre publique leurs problèmes liés à la sécurité et à communiquer sur les solutions possibles pour se défendre de ces cyber-attaques, de manière à sensibiliser davantage encore à telle ou telle menace. « Je pense qu'il y a beaucoup à dire à ce sujet, » a conclu Franklin Kramer.