Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Page 1 / 11 « La régulation des contre-mesures contre les cyber attaques » in :

Page 1 / 11 « La régulation des contre-mesures contre les cyber attaques » in : Archives de Philosophie du Droit, Vol(57), pp. 177-195 Philippe Baumard Professeur des universités, Conservatoire national des arts et métiers 292 rue Saint Martin 75003 Paris Chercheur associé, Ecole Polytechnique Chaire Innovation & Régulation des Services Numériques PREG UMR 7176 Ecole Polytechnique Bâtiment Ensta 828, Boulevard des Maréchaux 91762 Palaiseau Cedex France RESUME : La régulation du cyberespace constitue un effort international où se croisent intérêts publics, privés et souverains. En analysant le cas particulier de la régulation des contre-mesures, et la difficulté à obtenir la ratification d’un accord international sur le sujet, nous soulevons le problème de l’inadéquation du cadre de régulation face aux ruptures technologiques actuelles et à venir dans le domaine de la cyber-défense. L’article souligne en particulier la nécessité d’ancrer la réflexion sur la régulation dans le corps des sciences cognitives et comportementales, et dans le domaine du machine-à-machine. The regulation of cyberspace has grown into an international effort where public, private and sovereign interests often collide. By analyzing the particular case of the regulation of counter-measures, this chapter investigates the difficulty of obtaining a global agreement on the regulation of cyber-warfare. A review of the motives for disagreement between parties suggests that the current regulation framework is not adapted to the current technological change in the cyber-security domain. The article suggests a paradigm shift in handling and anchoring cyber-regulation into a new realm of behavioral and cognitive sciences, and their application to machine learning and cyber-defense. En juin 2010, un code malicieux fut introduit dans le logiciel d’un composant hardware de la firme allemande Siemens destiné à intégrer le système de contrôle et d’acquisition de données (SCADA) d’un site d’enrichissement d’uranium à Natanz, en Iran. Ce code malicieux exploitait quatre vulnérabilités de Windows WinCC, dont on ignorait encore l’existence (vulnérabilité dite « zero day » ou « zéro jours »). Ce code malicieux permettait d’établir une communication externe, et de déclencher une instruction visant à paralyser, puis saboter, l’installation nucléaire dont il avait fait cible. Bien qu’une telle attaque ne constituait pas une première, elle possédait quelques caractéristiques qui ne sont pas étrangères au réveil des négociations internationales sur la régulation de la cyber-défense en général, et des contre-mesures, en particulier1. Stuxnet est ce qu’on appelle une campagne de menace avancée persistante, ou Advanced persistent threat (APT). De telles cyber-attaques sont ainsi nommées parce qu’elles reproduisent le comportement d’une attaque complexe, intelligente, avec des capacités de raisonnement et de déclenchement de commandes autonomes ou pilotées à distance. Cette famille de menaces n’est pas caractérisée par une technologie particulière, ni par une génération ou une typologie spécifique de technologies. Ses caractéristiques sont la programmation comportementale autonome (leur capacité à adapter leurs attaques), leur adaptabilité, et leur persistance (après une période de reconnaissance de leurs cibles, elles ont pour objectif de compromettre un système en y résidant de manière anonyme, ou en trompant la vigilance des systèmes de détection en augmentant leurs privilèges). Leur caractérisation s’établie plus sur la subtilité de leurs stratégies de raisonnement, que sur leur force brutale, jusqu’à éventuellement mobiliser Sherlock Holmes pour en décrire les stratégies d’attaque ! 2 Stuxnet avait pour objectif de reprogrammer, à des fins de sabotage, les contrôleurs logiques (PLCs) de la centrale nucléaire. Il était notamment capable d’autoréplication (en déclenchant sa propre installation à partir de supports externes amovibles), de s’exécuter à distance à travers un partage en réseau, de se mettre à jour par un réseau de peer-to-peer, de prendre le contrôle du centre de commandes, de cacher ses propres 1 Pour une documentation technique, cf. N. Fallière, Lima O. Murchu et Eric Chien (2011), W32.Stuxnet Dossier, Symantec. http://www.h4ckr.us/library/Documents/ICS_Events/Stuxnet%20Dossier%20(Symantec)%20v1.4.pdf 2 Pour une analyse détaillée de stratégies d’attaques utilisant des scénarios inspirés du héros fictif de Sir Conan Doyle, lire : Juels Ari and Ting- Fang Yen., “Sherlock Holmes and the case of the advanced persistent threat”. In: Proceedings of the 5th USENIX conference on Large-Scale Exploits and Emergent Threats (LEET'12), USENIX Association, Berkeley, CA, USA, 2012. Page 2 / 11 traces binaires, d’identifier les produits de sécurité résidant sur le réseau, de modifier puis de cacher les codes sabotés directement sur les contrôleurs industriels (PLCs) de Siemens3. Cette dernière caractéristique, l’autoréplication associée à une élévation astucieuse de privilège, est une des causes de la formidable prolifération du Stuxnet, qui infecta près de 100.000 machines entre le jour de sa découverte (le 25 janvier 2010, si on ne prend pas en considération les versions dormantes de 2009), et le 29 septembre 2010, dont 14 sites industriels iraniens, et plus de 60.000 hôtes en Iran seulement4. Par son ampleur, la sophistication de sa construction qui peut effectivement signer l’œuvre d’un Etat, ou de la coopération entre plusieurs Etats, Stuxnet est ainsi identifiée comme l’événement débutant la première cyber-guerre globale5. Stuxnet est un révélateur de la possibilité d’une guerre, mais surtout un très efficace démonstrateur des failles « systémiques » de l’industrie et des gouvernements : les systèmes de détection fondés sur l’identification des signatures de codes malveillants (repérage de codes malicieux dans un trafic de données) étaient inopérants face aux attaques intelligentes de ce type ; et le degré d’automation de Stuxnet (qui fut repéré par une entreprise de sécurité bélarusse car les machines n’arrêtaient pas de se relancer et de se mettre à jour !) faisaient voler en éclat le sentiment de quiétude quant à une « sécurité maîtrisée ». Schouwenberg, qui fut à la tête de l’équipe de Kapersky ayant contribué à défaire Stuxnet, était sincèrement impressionné par l’élégance de sa programmation, qui combinait l’exploitation croisée de quatre vulnérabilités « zéro jours »6 avec des déclencheurs logiques particulièrement astucieux. La cyber- guerre devenait une réalité palpable, et le cyberespace un domaine physique7 avec des conséquences sociétales et stratégiques facilement mesurables. Et comme dans Le rivage des Syrtes de Julien Gracq, rien ne donne plus envie aux hommes de faire la guerre qu’un faible signal lumineux sur une rive éloignée. Ce chapitre s’intéresse à un enjeu de la régulation du cyberespace qui concerne aussi bien les Etats que les entreprises, et qui, comme nous le verrons, est amené à se retrouver au cœur de nombreux conflits (commerciaux, économiques, armés) au XXIe siècle. Il s’agit du domaine de la contre-mesure envers les cyber attaques. Les « contre-mesures » sont des réponses que l’on oppose à une action ou un événement de façon à les interdire, les prévenir ou enrayer leur prolifération à leur source. Ces trois modes de réponses impliquent une posture très différente. Les contre-mesures « d’interdiction » peuvent se contenter de mettre fin, hic et nunc, à une opération malveillante. C’est ce que font les logiciels de sécurité identifiant un code malicieux (« virus »), l’isolant, le plaçant en quarantaine, pour éventuellement le supprimer. Les contre-mesures dites de « prévention » vont enregistrer et caractériser ce comportement malicieux (par sa signature, sa reconnaissance comportementale) et s’assurer qu’il soit stoppé dès sa détection. Les réponses apportées à Stuxnet entrent dans ces deux premières catégories. Finalement, les contre-mesures dites « actives » ou « contre-offensives » vont prolonger cette interdiction temporaire par une recherche active de sa source d’émission afin de procéder à sa neutralisation. Désaccords sur la contre-mesure et sa légitimité Dans ce dernier cas, il n’existe pas de régulation internationale globalement ratifiée, en 2013, permettant d’établir quelles sont les règles d’engagement, les fondements de la légitimité de telles contre-mesures, et ne serait-ce même qu’un accord de principe entre les nations sur l’idée que la proportionnalité et la « contre-offensive » puissent être légalement justifiées8. Les contre-mesures peuvent être soit de nature logicielle, soit de nature humaine, et le plus souvent composée de ces deux types d’intervention. Une contre-mesure logicielle est un ensemble de lignes de commandes déclenché à partir d’un système de 3 Falliere et ali (2011), op. cit. p. 1. 4 Falliere et alii (2011), op. cit. p. 5. 5 James P. Farwell & Rafal Rohozinski (2011), « Stuxnet and the Future of Cyber War » », Survival: Global Politics and Strategy, 53(1), pp. 23-40, et pour un récapitulatif : Lindsay, J.R. (2013), « Stuxnet and the Limits of Cyber Warfare », Security Studies, Volume 22, Issue 3, pages 365-404. 6 Kushner, D. (2013), « The Real Story of Stuxnet », IEEE Spectrum, Vol 50, Issue 3, pp. 48-53. 7 La doctrine du cyberespace comme « domaine physique » a été initiée aux Etats-Unis par Daniel Kuehl en 1997 : “Information as an environment may be a difficult concept to grasp, but there is no arguing that there is a physical environment to which information is uniquely related: cyber- space. Cyberspace is that place where computers, communications systems, and those devices that operate via radiated energy in the electromagnetic spectrum meet and interact.” Daniel Kuehl, “Defining Information Power,” Strategic Forum, no. 115 (June 1997): 3. 8 Dieter Fleck, (2012) “Searching for International Rules Applicable to Cyber Warfare — A Critical First Assessment of the New Tallinn Manual”, International Journal of Conflict uploads/Industriel/ contre-mesures-pbaumard.pdf