Dans son rapport sur les menaces qui planent sur le cyberespace dans les années à venir, la firme FireEye insiste sur la notion d’attribution des attaques. Un processus essentiel pour avancer vers des solutions judiciaires ou politiques et débuter une aire de dissuasion des acteurs malveillants. Pourtant, ce sujet de l’attribution de la cybercriminalité ne va pas sans difficulté : certaines institutions et entreprises privées évitent encore les dénonciations fermes, parfois par choix politique, plus souvent parce qu’il est impossible d’obtenir une certitude totale sur les origines d’une attaque.
« L’attribution est déjà difficile. Il est peu probable qu’elle devienne plus simple »
En février dernier, Paul Rascagneres, employé de la filiale sécurité de Cisco, Talos concluait un billet à propos d’un malware attribué à la Corée du Nord : « Alors que les acteurs progressent en compétences et en moyens, il est probable que nous observerons ces derniers adopter des ruses pour compliquer et brouiller l’attribution. L’attribution est déjà difficile. Il est peu probable qu’elle devienne plus simple. » En effet, à travers son analyse technique, sans aide des renseignements, le chercheur ne parvenait pas à réunir suffisamment d’indices pour rejoindre ses collègues quant à l’attribution de ce malware au Royaume ermite.
le processus d’attribution n’est jamais « 100 % fiable »
Souvent guidés par le contexte géopolitique, les chercheurs du secteur mêlent des signaux techniques, politiques dans une proportion qui leur est propre pour attribuer des attaques. Or, selon cet expert français, cette recette de l’attribution se confrontera à la possibilité des acteurs de tromper les enquêteurs : « potentiellement, écrit-il, nous allons voir des acteurs placer de nombreux faux indices ». Au risque de rendre encore plus fragile la certitude des enquêteurs.
David Grout, CTO de la branche européenne de FireEye, tempère auprès de Cyberguerre : « pour le moment, la possibilité de voir des acteurs masquer ou tromper l’enquêteur est encore faible ». Et s’il concède que le processus d’attribution n’est jamais « 100 % fiable », il constate que celui-ci peut encore, dans un petit nombre de cas, se conclure sur des quasi-certitudes : « nous suivons au quotidien 18 000 groupes malveillants et nous attribuons un peu moins de 10 % des attaques observées : c’est le résultat d’un processus qui attend de recueillir suffisamment d’éléments techniques et politiques avant de se prononcer. »
« nous attribuons un peu moins de 10 % des attaques observées » David Grout, FireEye
Le doute est pourtant cultivé par les acteurs malveillants les plus compétents comme le prouve, en 2017, l’étude Marcher dans l’ombre de votre ennemi réalisée par Costin Raiu et Juan Andres Guerrero-Saade pour Kaspersky. Cette dernière mettait en avant les jeux d’ombres mis en place par le groupe EnergeticBear pour attribuer ses attaques à la Chine, alors que le groupe est russe. Dans ce rapport, les chercheurs n’allaient toutefois pas jusqu’à parler d’une impossible attribution comme certains de leurs collègues, toutefois, pour eux, une des clefs de l’attribution passera par la complémentarité que peut apporter au monde de la cybersécurité le renseignement.
Vers des poursuites
Les enjeux de l’attribution sont fondamentaux pour l’avenir du cyberespace : comme le rappel David Grout, il est le pilier d’une dissuasion des acteurs. Incriminer un groupe et parfois un État explique-t-il va permettre d’«envisager des poursuites qu’elles soient judiciaires ou politiques ». Pour lui, la preuve de l’importance de l’attribution fut donnée par la signature du président Obama d’un accord avec la Chine qui aurait, en 2013, contribué à réduire de 80 % les attaques détectées en provenance de l’Empire du Milieu.
Mais alors que les solutions de paix négociée sont remplacées par des représailles, comme dans le cas des récentes tensions entre Moscou et Washington, l’enjeu des attributions devient un jeu dangereux.
Les puissances ont-elles néanmoins le choix quant à l’attribution permet non-seulement de poursuivre les attaquants, de dissuader les éventuels prochains, mais aussi de consolider la défense ? Le débat restera vif en 2019 même si, on peut déjà observer que les États-Unis ont choisi une position affirmée : le Département de la Justice et celui de la Sécurité Intérieure multiplient les poursuites. Quant à la France, elle compte de plus en plus d’outils à sa disposition dans le renseignement et dans la justice avec, notamment, la constitution au Parquet de Paris d’une cellule d’enquête sur la cybercriminalité qui fait ses preuves depuis 2014.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !