Par Marc-Olivier Boisset et Jean Langlois-Berthelot
Démocratisation des cyberarmes – Montée en puissance des cyber-menaces
Le 18 juillet 2021, le consortium international de journalistes « Forbidden Stories » publiait une enquête intitulée « The Pegasus Project ».
C’est un coup de tonnerre : selon l’enquête, le logiciel espion Pegasus, commercialisé par l’entreprise israélienne NSO Group, est utilisé depuis plusieurs années pour surveiller de façon systématique des journalistes, des activistes et d’autres membres de la société civile. Le 13 septembre, Apple diffusait une mise à jour de sécurité d’iOS, son système d’exploitation pour l’IPhone. Il s’agissait pour Apple d’apporter une réponse technique au scandale, ses téléphones ayant démontré leur vulnérabilité face à Pegasus…
Mais deux semaines après les premières révé- lations, déjà, différents éléments techniques re- cueillis par les autorités françaises dans le cadre de l’enquête judiciaire tendaient à confirmer le tra- vail réalisé par ce consortium de dix-sept médias2. Ainsi, par exemple, en analysant le téléphone d’un journaliste de la chaîne de télévision France 24, l’Agence nationale de sécurité des systèmes d’in- formation (ANSSI), chargée de la cybersécurité de l’État, a confirmé la présence de traces du passage de Pegasus.
Les données techniques récupérées sur le télé- phone par l’agence de cybersécurité ont confirmé que l’appareil du journaliste avait à minima subi une phase d’étude approfondie en vue d’une cybe- rattaque : des adresses de courriers électroniques de comptes Apple en lien avec une infrastructure d’attaque liée à NSO Group étaient présentes sur le mobile du correspondant de France 24. Les mêmes identifiants ont été récupérés chez d’autres cibles de NSO Group : Omar Radi, journaliste marocain actuellement en prison, Claude Mangin, épouse d’un militant du Sahara occidental également incarcéré au Maroc, mais aussi François de Rugy, un des ministres français qui auraient été visés par Pegasus.
NSO Group n’en est pas à son coup d’essai. Elle avait déjà fait l’objet de révélations cinq ans aupa- ravant, le 25 août 2016, par le laboratoire Citizen Lab et l’entreprise Lookout. Ces-derniers avaient démontré à l’époque que le téléphone portable du militant émirati des droits de l’homme Ahmed Man- soor avait été la cible du même logiciel espion. Le militant avait reçu deux SMS suspects, qui promet- taient de lui faire des révélations sur les tortures de prisonniers aux seins des prisons émiriennes. Suite aux investigations techniques, il s’avère que le lien contenu dans les SMS reçus entrainait le téléchar- gement d’un logiciel malveillant, nommé Trident. Celui-ci exploite trois vulnérabilités dites « zero day » du système d’exploitation d’Apple. Une fois le té- léphone portable de la cible infecté par ce logiciel, celui-ci diffuse vers le commanditaire l’historique des localisations GPS, les communications, les pho- tographies, la liste des contacts, le son capté par le micro et la vidéo prise par la caméra, et ce à l’insu de l’utilisateur. Ces incidents sont caractéristiques d’une véritable démocratisation de l’accès aux cyberarmes par les organisations publiques, mais aussi privées.
La démocratisation des cyberarmes
En 1998, le film « Ennemi d’État », de Tony Scott, véritable thriller technologique d’anticipation, mettait en scène l’avocat Robert Clayton Dean (Will Smith) poursuivi par la puissante National Security Agency (NSA), qui emploie toutes ses capacités techniques pour essayer de l’éliminer. Cette fiction mettait en exergue toutes les possibilités offertes par le cybe- respace pour collecter des informations voir entra- ver une cible.
Pendant longtemps, les capacités techniques utilisées nécessitaient des investissements importants : en 2013 le budget de la NSA s’élevait à 10,8 milliards de dollars5 sur un budget total consacré aux renseignements par les Américains de 66,7 milliards de dollars6. Peu d’États étaient en mesure de consentir un tel effort financier pour se doter de capacités de cyberattaque performantes. Vingt ans après « Ennemi d’État », avec l’expansion du cyberespace, force est de constater que le paradigme a changé et que les cyberarmes, en particulier les capacités de cybersurveillance, ne sont plus l’apanage des organisations publiques disposant d’une expertise technique de haut niveau. Les acteurs ne disposant pas des compétences techniques pour concevoir ce type d’outils peuvent désormais les acquérir facile- ment auprès d’organisations privées comme NSO Group. « C’est un marché en plein essor. Il y a multi- plication des acteurs et des méthodes d’espionnage proposées », selon Bastien Bobe, expert de l’entre- prise Lookout. On assiste ainsi depuis une dizaine d’années à une véritable démocratisation de l’arme cyber dont l’Affaire Pegasus ne constitue que la par- tie émergée de l’iceberg.
« L’Affaire Pegasus constitue la partie visible de cette guerre invisible qui a lieu dans le cyberespace »
Le principal risque de cette démocratisation des cyberarmes est la banalisation de l’usage de ces ca- pacités techniques par les acteurs publics, mais sur- tout à terme privés. En effet, « on constate souvent que les armes cyber utilisés par les États se retrouvent in fine en vente sur le marché noir de la cybercrimi- nalité », rappelle Philippe Rondel de Check Point Software Technologies France8. La vie privée des individus sera ainsi davantage exposée à des actes de cybercriminalité. Cette banalisation des outils a d’ailleurs déjà augmenté le nombre d’acte de cy- bercriminalité. À ce titre, l’Internet Crime Report du FBI9 souligne que 241 342 attaques par phishing ont été signalés en 2020, contre 114 702 en 2019, soit une augmentation de 50 % de ce type d’attaque. Cet accroissement des actions de phishing risque d’en- trainer à court terme une augmentation des actions de chantage numérique10.
De plus, avec l’avènement de la technologie 5G, cette démocratisation devrait s’accélérer. En effet, le déploiement de cette nouvelle norme de télécom- munication va provoquer une forte augmentation du volume d’objets connectés: les spécialistes esti- ment à environ 30 milliards le nombre de ces objets aujourd’hui et ils s’attendent à un accroissement de plus de 20 % par an. Le risque est que ces objets soient détournés de leur usage initial pour collec- ter des informations sur un individu à son insu. À titre d’exemple, Alexis Viguié et Adrien Albisetti ont découvert que le robot connecté Monsieur Cuisine connect, commercialisé par l’enseigne Lidl, dispose d’un microphone fonctionnel qui n’apparait dans aucune fiche technique de l’appareil12. Ils ont réussi à faire fonctionner ce micro et ont pu discuter à dis- tance, via une application de messagerie vocal. Lidl a expliqué que ce micro était présent « au cas où » le produit serait amélioré avec un assistant vocal afin d’être commandé par la voix. Cet accroissement de la surface numérique des organisations et des indi- vidus, basé sur des objets connectés plus ou moins sécurisés, va de facto multiplier les opportunités de cyberattaques pour les organisations publiques et privées. Le niveau de cybersécurité des systèmes numériques, ainsi que les capacités techniques de cyberprotection, constitueront des éléments en-core plus déterminants pour l’efficacité d’une stra- tégie de cyberdéfense.
La cybersécurité, enjeu majeur pour les organisations
L’Affaire Pegasus constitue la partie visible de cette guerre invisible qui a lieu dans le cyberespace de- puis plusieurs années déjà. La diversification des acteurs en mesure d’utiliser ces capacités risque d’augmenter le brouillard de guerre, complexifiant encore davantage l’attribution des cyberattaques. L’utilisation d’acteurs privés dans cet espace permet aux États de brouiller les pistes et d’échapper plus facilement à une potentielle attribution de leurs ac- tions : l’entreprise privée devient une véritable « so- ciété écran numérique », elle constitue une garantie supplémentaire d’anonymat pour l’État à l’origine des attaques dans le cyberespace. On devrait ain- si assister à une intensification des tensions dans le cyberespace entre les différents acteurs publics, mais aussi privés : les groupes terroristes, en parti- culier devraient profiter de cet accès à de nouvelles capacités techniques et augmenter le volume de leurs actions de cyberterrorisme.
Cette multiplication des acteurs aura également un effet sur la ressource humaine : elle augmente- ra à court terme la pression sur le recrutement de talents dans le domaine de la cybersécurité, qui constitue aujourd’hui une difficulté majeure pour les États. Cette ressource demeure aujourd’hui largement insuffisante pour répondre à l’ensemble des besoins publics et privés. En France, les entreprises de cybersécurité éprouvent de grandes difficultés à recruter et à garder leur ressource humaine.
Pour faire face à l’augmentation des cyberattaques, il semble primordial pour les États de continuer à agir à minima selon trois axes. En premier lieu, il est essentiel de poursuivre la sensibilisation du grand public sur l’importance de l’hygiène informatique. En effet, la majorité des incidents ou des attaques réussissent grâce à des erreurs humaines. Réduire ces erreurs permet de limiter les chances de succès des cyberattaques. Dans ce domaine, une bonne hygiène numérique peut par exemple facilement permettre de contrecarrer une attaque par phishing
Ensuite, il est nécessaire de poursuivre le dévelop- pement de capacités de cyberdéfense. Cet effort de développement doit s’effectuer dans deux do- maines. D’une part, il est utile pour protéger son organisation de disposer de systèmes dédiés de cyberprotection, par exemple pour la détection des attaques complexes. D’autre part, il demeure néces- saire d’améliorer le niveau minimal de cybersécuri- té de tous les systèmes numériques. À ce titre, un renforcement des normes de sécurité informatique apparait comme une piste intéressante à étudier pour protéger les libertés fondamentales des indivi- dus. L’exemple du robot commercialisé par Lidl souligne à quel point il est essentiel pour les fabricants d’objets connectés d’améliorer le niveau de sécurité de leurs objets.
« La course aux capacités de cyberdéfense ne fait que commencer… et ne cessera pas »
Enfin, la mise en place de partenariats entre États semble aussi indispensable, tant cette menace de- meure diffuse et non-territorialisé. Réussir à attribuer une cyberattaque constitue un enjeu de taille pour les États, tant le cyberespace offre d’opportunités de masquer sa véritable identité, voire d’usurper celle d’un autre.
La course aux capacités de cyberdéfense ne fait que commencer et ne cessera pas, tant la numérisation de nos sociétés devrait se poursuivre à un rythme effréné. Face à cette numérisation à outrance, il conviendra de s’attacher lors du développement de nouveaux systèmes de respecter le concept de « frugalité numérique » (i.e. s’interroger sur la nécessité de numériser certaines fonctions) pour limiter les opportunités d’attaque cyber.
Sources
Capital. (2019, 06 13). Les vices cachés du Monsieur Cuisine connect de Lidl. Consulté sur Capital: https://www.capital. fr/entreprises-marches/les-vices-caches-du-monsieur-cui- sine-connect-de-lidl-1341819
FBI. (2020). Internet Crime Report 2020. FBI.
Forbidden Stories. (2021, 07 18). The Pegasus project. Récupéré sur Forbidden Stories: https://forbiddenstories. org/case/the-pegasus-project/
France 24. (2021, 07 20). Pegasus, l’arbre qui cache la forêt du marché de la cybersurveillance étatique. Récupéré
sur France 24: https://www.france24.com/fr/%C3%A- 9co-tech/20210720-pegasus-l-arbre-qui-cache-la- for%C3%AAt-du-march%C3%A9-de-la-cybersurveillance- %C3%A9tatique
Le Monde. (2013, 08 29). Espionnage : le «budget noir» américain rendu public. Récupéré sur Le Monde: https:// www.lemonde.fr/ameriques/article/2013/08/29/ espionnage-le-budget-noir-des-etats-unis-rendu-pu- blic_3468693_3222.html
Le Monde. (2021, 07 29). « Projet Pegasus » : les analyses des autorités françaises confirment l’infection des télé- phones personnels de plusieurs journalistes. Récupéré sur Le monde: https://www.lemonde.fr/projet-pegasus/ article/2021/07/29/projet-pegasus-les-analyses-des-au- torites-francaises-confirment-l-infection-de-te- lephones-de-journalistes_6089946_6088648.html
Meddah, H. (2020, janvier 15). Cybersécurité recherche experts désespérément. Récupéré sur L’usine nouvelle: https://www.usinenouvelle.com/article/cybersecurite-re- cherche-experts-desesperement.N919064
OFFICE of the DIRECTOR of NATIONAL INTELLIGENCE. (2021). U.S. Intelligence Community Budget. Récupéré sur OFFICE of the DIRECTOR of NATIONAL INTELLIGENCE: https://www.dni.gov/index.php/what-we-do/ic-budget
Press, G. (2016, Septembre 2). Internet Of Things By The Numbers: What New Surveys Found. Récupéré sur Forbes: https://www.forbes.com/sites/gilpress/2016/09/02/inter- net-of-things-by-the-numbers-what-new-surveys-foun- d/#2b50369016a0
Zone militaire. (2018, 10 31). En 2018, le budget du rensei- gnement américain s’est élevé à 81,5 milliards de dollars, en hausse de 11,6%. Récupéré sur Opex360: http://www. opex360.com/