La cyberguerre fait régulièrement la Une des journaux et sites. Au-delà de la présentation des armes cyber, il est fondamental de rappeler que des opérations de renseignement et de sabotage bien organisées sont plus efficaces que des attaques informatiques pour déstabiliser un pays. Et si les maillons faibles étaient les infrastructures ? Et si tout ce matraquage autour de la cyberguerre profitait principalement aux vendeurs d’équipements et de logiciels de sécurité ? Éric Filiol, Directeur du laboratoire de virologie et de cryptologie opérationnelles à l’ESIEA, présente en détail cette méthodologie qui a été présentée aux Etats-Unis lors de ICCWS 2016.
Propos recueillis par Philippe Richard
SecuriteOff : Monsieur Filiol, vous deviez donner une conférence intitulée « Hacking 9/11 – The next one is likely to be even bigger with an ounce of cyber » à CanSecWest 2014, organisé du 12 au 14 mars à Vancouver. Pourquoi n’interviendrez-vous pas finalement ?
Éric Filiol : Notre laboratoire est sous tutelle étatique comme beaucoup de laboratoires travaillant dans des domaines critiques (Circulaire N° 3415/SGDSN/AISTfPST du 7 novembre 2012) et en particulier le nôtre du fait de nos thématiques de recherche (techniques de cyber guerre, de cyberattaques, virologie informatique…). Il est donc naturel de rendre compte aux personnes compétentes du domaine et sous la tutelle de laquelle nous sommes (en particulier DGSI) et de s’assurer en permanence du respect de la loi et de certaines valeurs éthiques. De plus, les expériences du passé rendent les choses un peu plus délicates. C’est à ce titre que j’ai averti les services compétents de la nature de mes travaux (une fois ceux-ci achevés) et de leur présentation à CanSecWest. De plus, le constat sur le résultat final, une fois le recul pris (ce qu’il est difficile de faire quand on a la « tête dans le guidon »), il m’a semblé doublement opportun de demander le contrôle extérieur habituel, lequel est venu un peu tardivement.
Les résultats (méthodologie, cas précis des infrastructures américaines…) avaient une portée opérationnelle beaucoup plus critique que prévue pour être publiés. Mes contacts m’ont confirmé mon premier sentiment – à savoir qu’on était bien au-delà d’un disclosure sans conséquence – et m’ont averti du caractère particulier inapproprié, mais également potentiellement illégal de ce type de communication. En gros cette méthodologie permet d’identifier des faiblesses dans des infrastructures critiques au plan national et de les exploiter avec une équipe réduite, et ce sans laisser de traces ni être détectés. Pour cela, je combine des techniques d’information/OSINT hacking, de modélisation mathématique et des techniques de combat/tactique d’infanterie (un retour aux sources avec mon premier métier lorsque j’étais militaire ou j’ai réutilisé le fameux outil dit MRT ou Méthode de raisonnement tactique).
Dès lors, devant une double responsabilité, légale et morale/éthique, et fort des mises en garde (que l’on ne peut ignorer sauf en étant stupide), j’ai décidé de retirer cette présentation. J’ai averti les organisateurs en leur expliquant honnêtement et franchement mes raisons et en leur demandant d’être discrets. Je regrette vraiment ce buzz dérangeant et vraiment déplacé. Il faut savoir que le processus de soumission (quelques mois avant) vous incite à proposer un contenu avant la fin des travaux. Mon erreur est de ne pas avoir pris suffisamment de recul plus tôt.
SecuriteOff : Votre présentation aurait été considérée comme une incitation au terrorisme ? C’est un sujet très sensible depuis les attentats du 11 septembre.
E. F : Je pense que le Homeland Security Department et le FBI (et les services d’autres pays, car la situation est similaire ou transposable à pas mal de pays technologiques) auraient eu matière à des poursuites et vu la finesse des Etats-unis dans le domaine de la sécurité (pays dans lequel prononcer le mot « bombe » est un délit) je ne suis pas joueur. Ma présentation contient trop de détails très précis (souci de la preuve au sens académique du terme) lesquels auraient pu facilement être utilisés à de mauvaises fins par des terroristes ou des gens mal intentionnés (surtout dans un pays où il est facile de se procurer ce qu’il faut pour monter ce type d’attaque).
SecuriteOff : Quelles auraient été les conséquences si cette conférence avait été maintenue ?
E. F : Elles auraient été doubles. Premièrement, la fourniture de détails techniques exploitables par des gens malfaisants (effet beaucoup plus grave dépassant le bénéfice éventuel en tentant d’alerter sur certains problèmes de sécurité). Deuxièmement, les poursuites judiciaires potentielles contre mon équipe et moi-même.
SecuriteOff : Vos travaux resteront donc confidentiels et ne pourront jamais être publiés ? C’est une forme d’autocensure ?
E.F : Oui et c’est effectivement une autocensure, certes dictée par des arguments avisés et forts de l’extérieur, mais c’est bien ma décision. On ne peut invoquer la connaissance et la science sans se poser des cas de conscience. J’enseigne l’éthique aux jeunes, je me dois de montrer l’exemple. Je suis sûr que cette conférence aurait fait un tabac, mais après ? Je sais aussi que si j’avais décidé de ne pas tenir compte de ces arguments, les autorités auraient pu facilement invoquer mon irresponsabilité et faire jouer « l’effet parapluie ». J’aurais été bien seul. J’ai fait le choix de rendre ces travaux confidentiels et de ne les partager qu’avec les autorités compétentes. En espérant que cela fera avancer quand même les choses.
Une menace exagérée ?
SecuriteOff : L’annulation de cette conférence et la confidentialité de vos travaux posent le problème du full disclosure ? Or, la publication de travaux fait partie de l’activité d’un chercheur qui, pour être évalué par ses pairs, doit fournir des données claires et reproductibles (problème de la preuve).
E.F : Oui c’est un problème et je ne vois pas de solutions. Dans le cas de ces travaux, je voulais démontrer que cette mode du cyber était quelque part une escroquerie. On ne peut porter atteinte gravement et globalement à un état avec de seules attaques informatiques. Die Hard 4 c’est Hollywood, rien d’autre. Au moment de la manœuvre, l’ordinateur cible sera-t-il allumé ? Sera-t-il patché (si on comptait sur un 0-day) ? La variété des systèmes et des configurations rend incertaine, tactiquement, leur utilisation généralisée. Le directeur d’une opération ne peut faire reposer sa manœuvre générale sur autant d’incertitude. Au mieux, une frappe chirurgicale, mais je ne crois pas à ce marketing de la peur qui justifie autant de crédits et l’existence de ceux qui en vivent. Certes il y a bien une menace, mais je crains qu’elle ne soit exagérée et légitime surtout des carences inouïes dans nos infrastructures.
Il y a d’ailleurs une différence essentielle entre la France et les Etats-Unis. Pour ces derniers, la sphère privée a une prééminence folle sur l’État. Les industriels proposent des systèmes avec pour seul guide une marge commerciale importante et le business. Les services fédéraux eux gèrent la crise quand elle est là. En France, l’État a un poids un peu plus fort (ou moins faible) dans la définition des infrastructures et leurs spécifications.
Ne pas oublier les vieilles méthodes
Je voulais donc montrer qu’il ne fallait pas oublier les vieilles méthodes, beaucoup plus sures et fiables et que la menace n’est pas là où on le croit. Nos pays sont beaucoup plus faibles que nous voulons bien le reconnaitre face à un type très particulier d’attaques. Mais cela il faut le prouver et donc donner des détails crédibles et convaincants, ce qui amène au problème de la reproductivité des résultats (apporter la preuve). À ce jour, je suis embêté, car j’aimerais faire profiter la société de nos travaux et être utile, mais d’un autre côté je ne veux pas me mettre en danger ni mettre en danger quiconque. Je suis donc convaincu que la moins mauvaise solution reste la confidentialité. D’où ma décision.
SecuriteOff : D’autres travaux ont-ils été interdits de publication ?
E.F : Oui par nature quand il s’agit d’études classifiées ou confidentielles dès le départ. Là, la règlementation (IGI 1300) s’applique naturellement. Je dirais que c’est le cas le plus simple à gérer, car le problème de publication ne se pose jamais. Ensuite, il y a des travaux pour lesquels on sait dès le début qu’il sera impossible de publier (aspects légaux, problèmes éthiques). C’est un choix difficile à faire, car il en coute (un chercheur n’existe que s’il publie, il est évalué comme cela et cela permet d’obtenir des financements). Cela m’arrive quelquefois.
Et il y a ensuite la zone grise des sujets difficiles à évaluer au début. C’est le cas aujourd’hui notamment. Ici je dirais que j’ai eu de la chance, car la décision a été prise au bon moment, grâce à cet avis extérieur qui a un peu tardé. Dans le cas de mes travaux sur TOR, surtout face aux réactions quelquefois irrationnelles, voire violentes, et la charge émotionnelle de ce type de sujet, on m’a fortement conseillé de ne plus publier et de ne communiquer la suite de mes travaux qu’en comités restreints, ce qui a été fait depuis la conférence 28C3 (décembre 2011).
La plupart des universitaires et des hackers ne comprennent ni ces contraintes ni ces choix, car pour les uns la publication est l’essence même du métier, pour les autres le full disclosure (la transparence absolue) est la norme (même si après ils vous critiquent parce que vous révélez une liste de nœuds TOR cachés comme la fondation TOR me l’a reproché assez violemment en décembre 2011).
Des industriels ont créé des faiblesses
SecuriteOff : Cela pose le problème de la révélation des failles par les éditeurs et les entreprises. Mais la situation ne semble pas évoluer favorablement depuis 2010 et la loi Détraigne-Escoffier. Pourtant, la CNIL, le Clusif ou encore certains professionnels commencent à évoquer cette loi qui a pour but d’obliger les sociétés à informer leurs clients en cas de fuite informatique ou de perte de données. Et ainsi mettre fin à l’hypocrisie régnant entre hackers et entreprises ?
E.F : Oui et on en revient à cette escroquerie partielle liée au cyber qui a donné naissance à une chaine non vertueuse : éditeur, hacker, entreprises et états. Je pense que si demain on pénalise financièrement et lourdement les éditeurs en cas de bugs ou de failles, les concepteurs d’infrastructures critiques mal conçues… beaucoup de problèmes disparaitront et les hackers pourront se concentrer à nouveau sur la création et non la destruction ou l’attaque. Ce que nos travaux présents ont montré c’est que beaucoup d’attaques ne sont possibles que par une incurie initiale des industriels qui ont créé des faiblesses, souvent plus par volonté de profit maximal que du fait d’un complot quelconque. Les États le savent, ils laissent faire parce que cela les arrange. Capitaliser sur les faiblesses humaines sera toujours plus efficace que de prévoir un complot hasardeux dont il est presque impossible de préserver le secret bien longtemps (sauf dans quelques cas très précis). Le problème est que l’analyse claire de la situation révèlerait un jeu beaucoup plus trouble que nous pourrions le suspecter.
Les intertitres n’engagent que la rédaction.