Vous avez tous vu passer le rapport “APT1” de Mandiant ou tout du moins lu les très nombreux articles reprenant l’information. C’est une véritable mine d’or pour tous ceux qui s’intéressent à l’analyse des cyber menace, aux forensics et à la réponse aux incidents. Et pour moi qui cherchais une définition de “cyber intelligence” en voici un exemple concret. Dans tous les cas, Mandiant a réussi son buzz. Il avait débuté il y a déjà quelques semaines avec les révélations du piratage du New York Times sur une nouvelle affaire du cyber espionnage (traité par Mandiant déjà). Ensuite, d’autres médias américains ont annoncé être victimes depuis des années de campagnes de cyber espionnage provenant de la Chine. Puis plus récemment c’est au tour de Twitter, Facebook et même Apple (parmi 40 entreprises américaines) de dévoiler que leurs systèmes d’information avaient été compromis. La Chine a rapidement été pointée du doigt mais finalement, selon un article publié quelques jours après sur le site de Bloomberg, cette fois-ci ce sont des groupes de cybercriminels de l’Europe de l’Est qui seraient à l’origine de ces cyber attaques.
Si tu n’as pas été hacké par la Chine, ton entreprise ne vaut rien
Les fameuses APT se sont donc bien installées comme la grande cyber menace du moment. Au final, rien de nouveau (on en parle depuis combien d’années maintenant ?) mais la fréquence des annonces “Je me suis fait hacké par les chinois” a augmenté sensiblement en ce début d’année 2013. Et alors qu’avant, les révélations de ce type étaient publiées quelques mois voire plusieurs années après les faits, aujourd’hui les cyber attaques sont divulguées très rapidement et en série. Et généralement, c’est la Chine qui est accusée de façon directe.
Le rapport de Mandiant est la cerise sur le gâteau et fait office d’officialisation de la cyber menace chinoise à travers d’unités militaires spécialisées. Les Etats-Unis ont donc franchi un cap. La problématique de l’attribution est pour eux dépassée. L’ennemi est clairement identifié (et au plus haut niveau de l’administration américaine) et ce sont les hackers militaires chinois. L’attention est focalisée à 100% sur eux et se faire hacké est devenu “presque” banal. L’image des entreprises victimes des chinois n’est même plus écornée.
La Chine, seule au monde ?
Mais des critiques se font entendre. Jeffrey Carr et d’autres (dont krypt3ia) n’hésitent pas à pointer du doigt les limites et l’opportunisme des analyses telles que celles publiées par Mandiant. Je suis d’accord avec certaines de ces critiques et j’en avais déjà parlé sur ce blog (sous l’angle de l’attribution notamment).
Oui, la Chine possède des personnes compétentes pour mener des campagnes de cyber espionnage contre les États-Unis (et n’importe qui).
Oui, la Chine a la volonté de piller les informations des entreprises occidentales (ou russes, japonaises, coréennes ou n’importe qui) ou d’autres États.
Oui, la Chine lance des cyber attaques et elles proviennent sûrement d’équipes spécialisées issues d’unités militaires de l’armé chinoise (PLA). Evidemment, la Chine ne le crie pas sur les toits. Très logiquement, les chinois démentent et se défendent en affirmant que la Chine est également une cible privilégiée pour des cyber attaques américaines.
Mais jouons un peu et remplaçons la Chine par la France / les États-Unis / Israël / la Grande-Bretagne / l’Australie / la Corée du Sud / l’Iran… Cela fonctionne également, tout dépend du point de vue de chaque pays. Oui, le cyberespace est le terrain de jeu favori des cyber espions en herbe. Certains diraient même une “jungle”…
La Chine se défend officiellement (via une déclaration du Ministère de la Défense chinois) en jouant sur l’incertitude de l’attribution en milieu cyber. La Chine affirme donc (comme beaucoup) qu’identifier des cyber attaquants est plus compliqué qu’analyser une simple adresse IP et que n’importe qui peut usurper une IP chinoise. Ce n’est pas faux… même si Mandiant a présenté beaucoup d’autres éléments, un faisceau de preuves, qui désignent, inévitablement, des hackers chinois affiliés au gouvernement.
Et c’est bien là le problème avec les cyber attaques. La technique ne peut pas être le seul élément utilisé pour identifier le commanditaire (je parle bien de commanditaire pas de celui qui lance l’attaque). L’attribution doit allier technique et renseignement plus classique (“cyber intelligence”, OSINT, contre-espionnage, renseignement clandestin…). Car le cyberespace permet de brouiller les carte et de désinformer de façon tellement facile qu’elle rend difficile (voire impossible ?) les analyses qui suivent la détection d’une cyber attaque.
Mandiant a identifié des IP chinoises (mais quand même parfois « cachées » derrière des machines compromises), des paramètres de clavier chinois ou encore des localisations en Chine (adresse, téléphone…). OK mais n’importe quel autre pays ou groupe de cybercriminel peut faire la même chose. Nous vivons dans un monde connecté, globalisé et dématérialisé. De n’importe où dans le monde, je peux contrôler un serveur situé en Chine ou aux États-Unis. N’importe quelle société peut créer un bureau en Chine ou ailleurs. N’importe qui (je caricature mais pas tellement) peut louer les services d’un hacker. Pourquoi la Chine passerait par ses propres infrastructures pour attaquer d’autres pays ? Vu que la Chine est désignée comme le grand méchant loup du cyberespace, il serait logique que les autres pays (ou groupes cybercriminels) ne se privent pas de se faire passer pour des hackers chinois pour camoufler leurs opérations de cyber espionnage.
Autre hypothèse (tout aussi plausible), la Chine se contrefiche qu’on détecte des cyber attaques venant d’IP chinoises. Elle le fait en toute impunité. Il ne faut pas oublier que nous n’avons pas la même culture. Combien d’experts en sécurité occidentaux parlent chinois ? Combien ont vécu en Chine ? Combien ont une vague idée de la culture, de la mentalité chinoise ? Personnellement je n’en connais pas (Mandiant semble en avoir). Mon avis est que la Chine utilise le cyber comme un nouveau vecteur de puissance. Sur ce terrain là, elle n’a rien à envier aux Etats-Unis, le retard se rattrape très rapidement.
Bien sûr officiellement, la Chine va démentir mener ce genre de cyber attaques. Qui ne le ferait pas ? Elle peut même en jouer pour passer comme la victime d’un dénigrement constant de la part des américains. Dans les deux cas, la Chine est gagnante.
Tout le monde espionne tout le monde
Où est la vérité dans tout ça ? Elle est partout. Les deux hypothèses que j’évoque dans le paragraphe précédent sont sûrement le reflet d’une certaine réalité.
La Chine nous attaque et nous attaquons la Chine. Tout le monde s’attaque ou plutôt s’espionne (on a vite oublié Echelon et on préfère avoir peur du Patriot Act). Car la menace numéro 1 c’est bien l’espionnage, comme le répète Patrick Pailloux, directeur général de l’ANSSI. Comme depuis très, très longtemps. Le cyber est seulement un nouveau vecteur d’espionnage. Encore une fois, rien de neuf mais c’est devenu plus simple, discret (ou pas) et moins risqué pour celui qui attaque. Nos analyses sur les cyber menaces sont surtout biaisées par notre point de vue d’occidentaux. Pour nous, la menace vient toujours du Sud ou de l’Est, c’est normal. Pour les chinois, la menace n°1 ce sont les États-Unis, c’est sûrement vrai et c’est tout à fait normal aussi.
Nous sommes autant une menace pour la Chine que l’est la Chine pour nous. La France est également une menace pour les Etats-Unis. On l’a une nouvelle fois lu dans un rapport américain (on est en quatrième position derrière la Chine, la Russie et Israël). Et les Etats-Unis pour la France selon l’Express qui a désigné les américains comme les instigateurs du piratage des réseaux informatiques de l’Elysée en mai 2012.
Nous oublions donc très rapidement que nous avons les capacités nous aussi de lancer des attaques informatiques et que nous le faisons depuis quelques temps déjà. Pour parler de la France, nous pouvons prendre l’exemple du sénateur Bockel qui affirmait très clairement l’année dernière que dans le domaine offensif “nous ne sommes pas des manchots”. Nos forces armées et nos services de renseignement (comme la DGSE) possèdent du personnel compétent dans ce domaine (et continuent de recruter). Au niveau intérieur, la DCRI ne se limite plus depuis longtemps aux micro espions et aux filatures. L’intrusion dans les réseaux informatiques est une technique efficace pour surveiller et faire du renseignement et évidemment qu’ils l’utilisent (voir les livres “L’Espion du Président” et “Les nouveaux barbouzes” ).
Aux Etats-Unis, c’est la même chose mais à une autre échelle. Le fameux programme Olympic Games, dévoilé dans le livre de David E. Sanger, reporter au New York Times, serait un programme officiel américain qui aurait conduit les États-Unis à mener des cyber opérations offensives utilisant Stuxnet, Duqu voire Flame (?). Stuxnet reste le malware emblématique de ces fameuses attaques ciblées (sic) avancées (ou APT). Et oups ce serait un projet officiel américain visant l’Iran (entre autres)… Nous avons bien la mémoire courte. Difficile de rejeter la faute uniquement sur les hackers chinois ou russes qui alimenteraient de la cyber insécurité…
Autre exemple, plus récent, Leon Panetta, le secrétaire à la Défense américain, a approuvé la création d’une médaille récompensant les mérites des opérateurs qui agissent hors des théâtres d’opération “réels”. Les pilotes de drone sont notamment concernés mais aussi les opérateurs spécialisés en cybersécurité, défensive ou offensive : « Mr. Panetta said the new medal would be reserved for those who greatly assisted the war effort … by an assignment to devise computer defenses or create poisonous digital code to attack an adversary´s network.«
Ou encore cet extrait de l’article du New York Times sur le rapport Mandiant : “The United States government also has cyberwarriors. Working with Israel, the United States has used malicious software called Stuxnet to disrupt Iran’s uranium enrichment program. But government officials insist they operate under strict, if classified, rules that bar using offensive weapons for nonmilitary purposes or stealing corporate data.”
Tout est dit.
Utopique cybersécurité…
Pour conclure ce (trop) long billet, nous attaquons autant que les autres, ne soyons pas hypocrites et n’occultons pas les autres menaces. Cet état de cyber insécurité, nous l’alimentons autant que les chinois, les russes ou les iraniens. Pourquoi ? Car elle nous sert à exploiter les faiblesses des autres. Ce n’est pas pour rien si toutes les entreprises du secteur sécurité-défense se lance dans le marché de la cybersécurité (défensive uniquement ? je ne pense pas) car les budgets militaires traditionnels sont en baisse et que les Cyber Command se développement à vitesse grand V. Et je ne parle pas non plus des entreprises comme Vupen qui ont fait de la vente d’exploits et de 0-day un business très rentable.
Le rapport de Mandiant est intéressant car il est très riche en informations. Je vous conseille le billet de Cédric Pernet qui en a fait une bonne synthèse et donne une très bonne conclusion : l’étude officialise d’une certaine manière l’implication officielle du gouvernement chinois (malgré les doutes qui peuvent subsister sur des preuves qui ne seront jamais irréfutables) et d’un autre côté dévoiler les dessous de ces attaques ciblées va faire bouger et évoluer les attaquants qui vont développer de nouvelles méthodes pour exfiltrer nos données. Le rapport de Mandiant est également un très bon produit “marketing”. Leur campagne de communication, depuis le hack du New York Times, a été très bien orchestrée et elle va dans sens de la cyber diplomatie offensive américaine à l’encontre de la Chine. A ne pas en douter, dans les prochains mois, nous allons être inondés de rapports du même type de la part des concurrents directs de Mandiant. La course à la découverte des APT ne fait que commencer.
Ce rapport focalisé sur la menace chinoise ne doit tout de même pas nous faire occulter les autres menaces tout aussi réelle. Ce rapport illustre parfaitement une vision américaine des cyber attaques. Elles n’auront sûrement pas les mêmes signatures mais elles viseront les mêmes objectifs. Le rapport Mandiant est « fun »‘car ses résultats exploitent parfaitement les techniques d’OSINT et va jusqu’à démasquer (même si rien n’est irréfutable) les hommes ou les pseudos qui se cachent derrière la nébuleuse des « hackers chinois ». Mandiant précise bien que ce n’est qu’un groupe parmi des dizaines d’autres.
Ce qui est le plus inquiétant dans le rapport ce n’est pas les attaques en tant que telles. C’est leur succès et leur persistance (le P de APT). Selon Mandiant, une entreprise victime d’APT1 aurait vu des téra octets de données lui appartenant exfiltrés vers la Chine sur une période de 10 mois. Et les malwares utilisés restent en moyenne 356 jours à se balader librement dans nos SI. Comment se justifier de ne pas avoir détecté ça ? La défense est-elle si en retard par rapport à l’attaque ?Nous connaissons tous l’état de la menace et les différentes formes qu’elle peut prendre (quelque soit le pays ou l’acteur impliqué). Apprenons maintenant à nous défendre en amont contre elles en mettant l’accent sur la détection et la réponse aux incidents. Développons de nouveaux modèles de défense, remettons en cause nos habitudes e, faisons évoluer nos mentalités pour lutter contre ces menaces.
Mais sans oublier de continuer à développer nos capacités offensives (au niveau étatique) car les autres pays, eux, ne s’en priveront pas pour piller nos données.
Et vous, qu’en pensez-vous ?
Bonus :
Merci David 🙂
Salut Nicolas,
Merci pour l’article, très intéressant.
Il faut effectivement replacer le rapport de Mandiant dans son contexte. Ce qui est intéressant, c’est que l’affaire a fait la une du site NY Times 3 fois cette semaine (!!!), que le grand public découvre la cybersécurité avec ce rapport, et ainsi de suite… Du coup on lit des commentaires complètement délirants de gens qui pensent qu’il s’agit d’une agression chinoise soudaine, que c’est une catastrophe immédiate, bref que le rapport Mandiant appelle à une réponse immédiate et hors du domaine cyber. Les articles de grands journaux isolent un peu cette histoire APT1 du reste, et c’est évidemment dommageable.
Que diriez-vous de ces «pirates» dans votre maison déjà?
Bonne synthèse et petite remarque sur l’illustration : l’image details_APT_attacks_by_Chinese_Army_hackers.jpg ne serait pas aussi effrayante qu’il n’y parait, même si les salles de hack chinoises existent certainement. on la retrouve parfois sur le web avec cette légende :
“The gents in the pic happen to be Strategic Rocket Force missile techs and ground security forces using the Morale, Welfare and Recreation facilities’ cyber cafe at the Second Artillery Engineering University of People’s Liberation Army in Xi’an”
Vous dites « Leur campagne de communication, depuis le hack du New York Times, a été très bien orchestrée et elle va dans sens de la cyber diplomatie offensive américaine à l’encontre de la Chine. »
Ce n’est pas forcement à l’encontre de la chine qui est l’ennemi numéro 1 mais bien à tous ceux qui voudrait mener ce type d’action.
Il y a aussi un soucis d’obtenir le moins de coupe budgétaire possible dans les jours ou semaines qui viennent.
En tout cas belle article, même si il y est un peu long 🙂 pour celui qui l’a rédigé, mais pas pour celui qui le lit.
Merci pour ce billet Nicolas,
pour ajouter des informations à une vision que tu évoque déjà, je te conseil (mais c’est certainement déjà fait) et à tes lecteurs également de lire ce billet très intéressant:
http://cybergeopolitik.blogspot.fr/2013/02/le-rapport-mandiant-beaucoup-de-bruit.html