L’augmentation des cyberattaques étatiques à des fins d’espionnage et de vol de données a transformé le cyberespace en zone de guerre. Les groupes APT sont devenus les bras armés de cette lutte dont les objectifs sont subordonnés à des visées géostratégiques et politiques.
Parmi les acteurs de la menace cyber, les groupes étatiques, baptisés APT pour Advancedpersistentthreat ou menace persistante avancée, sont des cybercriminels à part. Leurs motivations et leurs objectifs sont fixés par des États et ne visent pas toujours à extorquer de l’argent à leurs victimes. Ils tirent leur appellation de la menace persistante et avancée qu’ils font peser sur leurs cibles. Leurs cyberattaques se caractérisent par un haut degré de sophistication, s’appuyant sur des compétences et des ressources importantes, et des campagnes à long terme, furtives et comportant plusieurs étapes. Leurs objectifs sont généralement le vol de données et la perturbation de certains services sur des cibles considérées comme intéressantes par leurs gouvernements.
Des exemples récents témoignent de l’intensité et de la fréquence des attaques, tels que le piratage de la chaîne d’approvisionnement logicielle de SolarWinds, ou le vol de données par des pirates chinois dans des organismes espagnols travaillant sur les vaccins Covid-19, ou l’inculpation par le ministère américain de la Justice de cinq ressortissants chinois et deux malaisiens, qui ont ciblé plus de 100 entreprises, organisations et individus dans 14 pays. L’intensité de la cyberguerre qui se déroule dans les coulisses n’est pas une nouveauté. Plus loin dans le temps, les groupes APT ont été à l’origine d’attaques retentissantes, comme le ciblage de la campagne présidentielle américaine et européenne, le piratage des réseaux du parlement allemand et celui de TV5 Monde en 2015.
La partie émergée de l’iceberg
C’est une cyberguerre généralisée menée aussi bien par la Chine et la Russie que par les États-Unis, les nations du moyen orient, l’Iran et Israël, les ex-pays de l’Est, la Corée du Nord, Taiwan, l’Inde… L’Europe n’ayant pas de doctrine militaire et de renseignement commune part en ordre dispersé, collaborant de-ci de-là, mais sans réponse globale et coordonnée. Pour plus d’informations, un rapport complet a été établi par FireEye sur les activités de différents pays.
La cyberguerre, comme toutes les guerres, est aussi une guerre de l’information, dont le grand public ne voit que la partie émergée, sous forme de comptes rendus d’attaques dans la presse. Comme le soulignait FireEye dans le rapport cité plus haut, « Les eaux entourant la cyberguerre sont intrinsèquement troubles. Au niveau stratégique, les gouvernements souhaitent se ménager un certain degré de démenti plausible. Au niveau tactique, les organisations militaires et de renseignement enveloppent ces opérations dans des couches de classification et de secret. ».
L’impénétrable brouillard de la cyberguerre
Il est donc difficile d’y voir clair et l’épais brouillard de la cyberguerre est d’autant plus impénétrable qu’il est difficile, voire impossible, de tracer les attaques jusqu’à leurs points d’origine. Comme le soulignait un expert à FireEye, « Les missiles balistiques sont livrés avec des adresses de retour. Mais les virus informatiques, les vers et les attaques par déni de service émanent souvent de derrière un voile d’anonymat ».
La tendance à la généralisation des cyberattaques étatiques est une préoccupation qui se répand, quel que soit le pays ou la région, car ces attaques visent aussi le grand public. Les mises en garde récentes des gouvernements américain, britannique et européen démontrent une inquiétude grandissante des autorités. Personne ne sait à quoi ressemblera la prochaine cyberattaque. Mais si l’on considère les tendances récentes, on peut supposer qu’elle aura pour finalité l’un des objectifs suivants, selon un article de SonicWall.
Le sabotage
Le virtuel peut s’infiltrer dans le physique lorsque des nations utilisent des moyens informatiques pour endommager des systèmes informatiques ou des systèmes physiques d’autres nations. Les attaques contre les infrastructures critiques ont fortement augmenté ces deux dernières années. Parmi elles, une attaque iranienne sur l’infrastructure hydraulique israélienne a entraîné des représailles israéliennes contre le port de Shahid Rajaee, ce qui rappelle, si l’on a oublié Stuxnet(une attaque israélienne sur les centrifugeuses iraniennes d’enrichissement de l’uranium[NDLR]),que les nations ne sont pas opposées au lancement de cyberattaques avec une force destructrice sur ceux qu’elles perçoivent comme des ennemis.
L’espionnage classique
Le bon vieil espionnage est une activité beaucoup plus courante que le sabotage. Les nations s’espionnent les unes les autres depuis toujours, mais aujourd’hui, une grande partie des anciennes activités d’espionnage sont menées dans le cyberespace. Le vol de données est plus facile, moins coûteux et relativement sans risque, lorsque vous êtes derrière un clavier piratant un serveur situé dans un autre pays et protégé par les lois et les services de sécurité de votre propre gouvernement.
L’influence politique mondiale
Les nations ont longtemps utilisé les opérations psychologiques pour prendre l’avantage sur d’autres pays, mais le cyberespace leur a donné les moyens de le faire à une échelle jamais atteinte auparavant. Les nations peuvent interférer dans les processus politiques d’autres pays avec peu de considération et de bons résultats. Par exemple, les acteurs des États-nations qui se sont ingérés dans le référendum sur l’indépendance de l’Écosse, le référendum sur le Brexit au Royaume-Uni et les élections américaines de 2016 et 2020 sont bien documentés.
La politique régionale
Les nations veulent également exercer leur force dans le cyberespace pour résoudre (ou intensifier) les conflits régionaux. Les cyberattaques chinoises contre des entités indiennes ont fait suite à une escarmouche entre les deux nations dans la région frontalière et montagneuse du Ladakh et qui a fait des dizaines de victimes. Les services de sécurité ukrainiens ont rapporté en 2019 que l’APT Gamaredon, soutenu par la Russie, avait à plusieurs reprises pris pour cible des militaires, des forces de l’ordre et des individus ukrainiens. Gamaredon aurait lancé au moins 482 cyberattaques contre des infrastructures critiques ukrainiennes, dans le cadre d’une campagne soutenue par la Russie visant à mener une guerre par procuration dans le cyberespace sans subir les retombées politiques d’une véritable campagne militaire sur le terrain.
L’espionnage industriel
Contrairement à l’espionnage classique, cette activité vise spécifiquement à combler le fossé économique entre les nations en volant la propriété intellectuelle, puis en l’utilisant soit pour copier et reproduire la technologie, soit pour obtenir d’autres avantages commerciaux déloyaux. La Chine a été largement accusée d’espionner les entreprises, les agences gouvernementales et les sociétés technologiques occidentales dans ce seul but. Par exemple, désirant construire son propre avion furtif, la superpuissance asiatique aurait volé la conception éprouvée du F-35 américain afin de raccourcir le développement et le délai de commercialisation. On estime que le vol de secrets commerciaux américains par la Chine coûte chaque année aux États-Unis entre 300 et 600 milliards de dollars.
La criminalité
Certaines nations sont soumises à un fardeau financier extrême, aggravé par les sanctions internationales, et ont donc recours à la cybercriminalité pour remplir leurs coffres. La Corée du Nord est connue pour utiliser la cybercriminalité à de telles fins, et a récemment lancé une nouvelle campagne visant à voler l’argent des banques et des distributeurs automatiques américains. D’autres campagnes de l’APT Lazarus ont porté sur le vol de cryptomonnaies et l’usurpation d’identité pour les échanges de cryptomonnaies. Contrairement à de nombreux autres APT, Lazarus écrit des logiciels malveillants qui ciblent également les utilisateurs de MacOS, car la plateforme d’Apple est de plus en plus utilisée par les cadres de la C-suite et d’autres personnes qui se méfient de la pléthore de logiciels malveillants sous Windows.