LA GUERRE INVISIBLE
Entreprises peu scrupuleuses, gouvernements, mercenaires numériques et pirates informatiques se livrent une guerre électronique sans merci. Et nos tablettes et autres portables pourraient devenir leurs instruments !
Au cours des huit dernières années, les États-Unis ont étendu leurs capacités numériques offensives et défensives, sous la férule d’un homme aussi discret qu’un Edgar Hoover (le mythique premier directeur du FBI), mais autrement plus puissant : le général Keith Alexander.
L’homme de 61 ans — surnommé « Alexander the Geek » — dirige la fameuse National Security Agency (NSA), chargée d’espionner les ennemis des États-Unis. Mais comme le soulignait le magazine Wired en juin dernier, il est aussi commandant du US Cyber Command, chargé d’attaquer — dans le cyberespace — ces mêmes ennemis.
Edward Snowden, dont les révélations sur la National Security Agency, dirigée par le général Keith Alexander (à droite), ont ébranlé le monde. En bas : Le siège social de la NSA et, à droite, Vitaly Kamluk, de la société de sécurité informatique russe Kaspersky.
Et le haut gradé ne manque pas de moyens. Alors même que l’armée américaine et la Central Intelligence Agency (CIA) sont aux prises avec des compressions budgétaires d’envergure, Keith Alexander reçoit des milliards pour construire de nouvelles bases, embaucher des milliers de cyberpirates et d’ingénieurs, et inventer de nouvelles armes numériques.
Les autres puissances mondiales ne restent pas en retrait. Dans une frénésie qui n’est pas sans rappeler la course à l’armement nucléaire du XXe siècle, chacune tente de s’armer pour la guerre. Elles amassent les renseignements les plus précis, les armes les plus puissantes, capables de se déployer rapidement dans les nouveaux champs de bataille.
N’allez pas croire qu’en cas de guerre virtuelle les dommages se limiteraient à des disques durs grillés et des données perdues. Une cyberattaque contre un réseau de transport, une centrale nucléaire ou une usine de traitement des eaux, par exemple, pourrait coûter des vies humaines.
N’espérez pas non plus qu’un conflit numérique se joue seulement dans le lointain cyberespace. « Si votre ordinateur est connecté à Internet, il peut être infiltré à distance pour lancer un “cybermissile”, comme Stuxnet, et couvrir les traces de l’attaquant », dit l’expert Vitaly Kamluk.
Stuxnet, un ver informatique particulièrement menaçant, a été repéré par une société de sécurité informatique de Biélorussie en juillet 2010. Il a fait varier la vitesse de rotation de centrifugeuses dans une usine d’enrichissement d’uranium en Iran. Les systèmes conçus pour alerter les opérateurs ne se déclenchaient pas et, en quelques mois, près de 1 000 appareils ont été endommagés, ce qui a ralenti les ambitions nucléaires du pays. Selon plusieurs médias américains, Stuxnet aurait été mis au point conjointement par Israël et les ÉtatsUnis.
Ce n’est là qu’un des virus parmi la demidouzaine repérée depuis trois ans dans une toute nouvelle génération de programmes malveillants, si complexes qu’ils sont vraisemblablement créés par des États. Et les experts de Kaspersky sont des as dans ce domaine : ils en ont découvert quatre, dont Gauss, un espion d’opérations bancaires, et Flame, qui enregistre à peu près tout ce que fait un usager sur son ordinateur. Comme Stuxnet, tous deux infectaient essentiellement des ordinateurs au MoyenOrient.
Les attaques que permettent ces virus sont si sournoises qu’un « pays, une entreprise ou un particulier peut subir des conséquences sans comprendre ce qui les cause, dit Vitaly Kamluk. C’est la principale caractéristique de la guerre numérique : elle est invisible. »
Les grandes baies vitrées des bureaux de Kaspersky offrent une vue de 360 degrés sur les environs. À l’ouest, des bateaux de plaisance mouillent l’ancre dans le réservoir Khimkinskoye. Au nord et à l’est se dressent des immeubles de logements sans charme et des tours de bureaux. À une quinzaine de kilomètres au sud se trouve le centreville de Moscou. Quelque part, peutêtre tout près, peutêtre très loin, se cache Edward Snowden, l’informaticien américain dont
les révélations sur l’espionnage par la NSA ébranlent le monde depuis juin dernier.
En 11 semaines, le quotidien britannique The Guardian, auquel Edward Snowden a fourni maints documents classifiés, a publié plus de 300 articles sur les façons dont la NSA obtient ses informations — lesquelles sont, c’est connu, le nerf de la guerre.
Parmi les fuites les plus explosives figure la collecte des métadonnées — numéro composé, heure et durée de la conversation — de tous les appels faits depuis ou vers le territoire américain. On a appris aussi l’existence de PRISM, programme qui amasse courriels, clavardages, appels vidéo, documents et autres directement auprès de géants du Web, dont Google, Yahoo! Microsoft, Facebook, Skype et Apple.
Edward Snowden a également dévoilé l’existence de XKeyscore, qui surveille sur demande — et sans mandat — « presque tout ce qu’un utilisateur typique fait sur Internet », peut-on lire sur une diapositive de la NSA publiée par
The Guardian.
La manière dont PRISM et XKeyscore accèdent aux données demeure floue. Certains documents laissent croire que la NSA dispose d’une connexion directe aux serveurs des entreprises. Des signaux seraient également interceptés à même les câbles de fibre optique et autres infrastructures de télécommunication grâce à un programme baptisé Upstream.
En théorie, les communications cryptées demeurent impénétrables, même pour la NSA. Or, l’agence contourne ce pro- blème en exigeant les codes nécessaires directement auprès des fournisseurs de services, en infiltrant les ordinateurs des utilisateurs d’outils d’anonymat en ligne, tel Tor, et même en effectuant du lobbyisme pour l’adoption de normes internationales de cryptage faibles.
Aussi intéressants soient-ils, de nombreux documents secrets divulgués par Edward Snowden ne sont que des présentations PowerPoint destinées à la formation des nouveaux analystes. Nul besoin d’être partisan de la théorie du complot pour se douter que la réalité va encore plus loin. Chose certaine : quiconque utilise Internet peut être surveillé à son insu, sans mandat, par la NSA.
Robert Masse, consultant montréalais en sécurité informa- tique, a beau savoir que la vie privée n’existe pas sur le Web, il a été impressionné par les capacités techniques de la NSA divulguées par Edward Snowden. « Les films où un espion infiltre un système informatique en quelques secondes m’ont toujours fait rigoler. Aujourd’hui, je me rends compte qu’Hollywood est plus près de la réalité que je ne le croyais. »
Pas moins de 1,4 million de personnes — analystes, contractuels, militaires, étrangers, etc. — possédaient en 2012 la cote de sécurité américaine top secret. De ce nombre, impossible de savoir combien avaient accès aux programmes d’espionnage de la NSA. Un élément particulièrement inquiétant lorsqu’on sait qu’il n’est pas nécessaire, une fois branché à XKeyscore, d’avoir l’autorisation d’un supérieur pour surveiller une cible. « Il faut davantage de contrôle et de discipline », insiste Andrew Apostolou, expert américain en sécurité informatique à Washington. « Si des gens se font offrir de l’argent... »
Le marché de la cybersécurité vaut en effet de l’or. Des entreprises comme la française Vupen et les américaines Endgame et Netragard sont constamment à la recherche de failles dans les programmes des Google, Microsoft et autres Apple. Toute brèche — une « vulnérabilité » — inconnue de l’auteur du logiciel est une porte ouverte pour une attaque informatique impossible à parer.
Les Vupen, Endgame et Netragard de ce monde pourraient se contenter de révéler ces vulné- rabilités aux propriétaires des logiciels en échange de quelques milliers de dollars. Mais d’autres clients offrent beaucoup plus. Les agences de renseignement seraient prêtes à payer de 100 000 à 250 000 dollars pour une faille inconnue dans iOS, le système d’exploitation mobile d’Apple.
Que feraient ces entreprises si une organisation criminelle leur offrait davantage ? Vupen a déjà affirmé ne traiter qu’avec des pays membres ou partenaires de l’OTAN, tandis que Netragard écrit sur son site Web ne vendre qu’à des clients américains qui ont un « besoin légitime ». Et vu la présence d’anciens dirigeants de la NSA et de la CIA — qui ont le sens du patriotisme — dans son équipe, Endgame s’impose probablement des règles similaires. Mais toutes les entreprises n’auront peut-être pas cette « éthique ».
Alors, toujours aussi convaincu que Vitaly Kamluk, l’expert en informatique à la houppette, n’est qu’un adepte de la théorie du complot ?
Ce reportage a été réalisé grâce à une Bourse Nord-Sud attribuée par la Fédération professionnelle des journalistes du Québec (FPJQ) et financée par l’Agence canadienne de développement international (ACDI).