SolarWinds : le «cyber Pearl Harbor» américain?

Par Alexis Rapin
Chroniques des nouvelles conflictualités - Chaire Raoul-Dandurand

Pour lire la version PDF

En décembre 2020, les États-Unis découvraient la plus grande brèche informatique stratégique de leur histoire. Depuis lors, les débats vont bon train quant à savoir comment qualifier cet acte de cyberconflictualité. Simple cyberespionnage ? Violation de souveraineté ? Acte de guerre ? L’incident illustre toute l’ambiguïté stratégique des cyberopérations.

Au terme d’une année 2020 déjà difficile pour les États-Unis, les derniers jours de décembre devaient réserver à Washington une déconcertante cerise sur le gâteau : l’appareil d’État américain découvrait l’existence d’une colossale cyber-intrusion étrangère ayant touché de nombreux réseaux informatiques privés et publics. Repérée mi-décembre au sein des départements du Trésor et du Commerce, la brèche allait voir la liste des victimes s’allonger de jour en jour à l’approche de Noël : département d’État, Pentagone, départements de l’Énergie, de la Sécurité du territoire, de la Justice, National Institutes of Health, en sus de grandes entreprises américaines (dont les noms sont toutefois inconnus).

L’analyse de l’incident allait rapidement révéler une opération clandestine magistrale et de longue haleine. Derrière cette catastrophe se trouve un logiciel (nommé Orion) développé par la firme américaine SolarWinds. En mars 2020, un acteur malveillant vraisemblablement étatique avait pénétré les systèmes de SolarWinds et discrètement inséré une porte dérobée (backdoor) dans une mise à jour d’Orion. Près de 18 000 clients avaient par la suite téléchargé la nouvelle version compromise du logiciel, ouvrant grand les portes de leurs réseaux informatiques sans le savoir. Diverses agences gouvernementales américaines, dont plusieurs de sécurité nationale, avaient donc potentiellement été espionnées durant près de 8 mois.

Nouveau domaine, vieux lexique

C’est la firme de cybersécurité FireEye qui repéra la brèche en premier, alertant le gouvernement américain dans la foulée. La maestria déployée par les intrus (de même que le type d’acteurs visés) suggéra rapidement qu’un gouvernement étranger avait été à l’œuvre. Pour autant, l’identité des pirates demeure disputée. Même si plusieurs hauts responsables américains montrèrent rapidement du doigt la Russie, on ne distingue pas vraiment d’attribution formelle par les États-Unis jusqu’ici.

Bien qu’occulté par la pandémie et les controverses postélectorales, l’incident fit rapidement couler beaucoup d’encre dans les médias américains, et les analogies ne tardèrent pas à fuser. Divers commentateurs qualifièrent le piratage de SolarWinds de « cyber Pearl Harbor », d’autres de « cyber 11 septembre » et d’autres encore le comparèrent même à la crise des missiles de Cuba. Plusieurs experts en cybersécurité, de leur côté, appelèrent justement à éviter des métaphores guerrières peu judicieuses pour comprendre ce qui venait de se dérouler. Au sein même de la communauté de cybersécurité, un autre débat terminologique allait aussi avoir lieu quant à savoir si l’incident devait être qualifié ou non « d’attaque », l’opération semblant relever a priori seulement d’espionnage.

En apparence anecdotique, ces discussions n’en soulignaient pas moins un problème épineux : aux prises avec un incident géopolitique certes majeur, mais virtuel, sans véritable précédent aux États-Unis, la communauté de sécurité nationale américaine cherchait désespérément un lexique sécuritaire et diplomatique adapté à cette terra incognita. Était-on face à une simple opération d’espionnage ? Assistait-on à une violation de souveraineté au sens du droit international ? Fallait-il même, comme le suggéraient certains sénateurs américains, parler d’acte de guerre ? Depuis lors, les débats vont bon train, et les praticiens et théoriciens de la cybersécurité ne parviennent pour l’heure pas vraiment à s’entendre.

Saut qualitatif et quantitatif

De toute évidence, une bonne part du désaccord tient aux nombreuses zones d’ombre qui persistent autour de l’incident SolarWinds — et qui pourraient prendre encore de longs mois à être éclaircies. À commencer par le nombre de victimes : pour l’heure, sur 18 000 utilisateurs ayant téléchargé le logiciel piégé, seules 250 entités auraient vu la brèche être bel et bien exploitée pour « visiter » leurs systèmes, sans que l’on sache toutefois si le bilan est final. La nature des cibles en question n’est pas entièrement claire non plus : un communiqué de Microsoft affirmait mi-décembre que seuls 18 % des victimes du piratage sont en fait des agences gouvernementales, contre notamment 44 % d’entreprises du secteur technologique. Or, on ne sait ni quelles agences fédérales spécifiques ont été les plus compromises, ni le nom des entreprises concernées.

Vient ensuite la question de l’évaluation des dégâts. À titre d’exemple, le département de la Justice — qui compte près de 100 000 employés — indique qu’environ 3 % de ses boîtes courriel ont potentiellement été espionnées. Toutefois, pour des raisons évidentes, les autorités américaines ont livré très peu d’autres détails sur l’étendue des informations exposées, et sur leur nature (classifiée ou non). Le cas SolarWinds est indubitablement une catastrophe, mais s’il devait s’agir d’un Pearl Harbor, on ne saurait donc toujours pas combien de navires ont été coulés…

Une chose est certaine toutefois, si le cyberespionnage interétatique est évidemment chose courante (et que les États-Unis n’en sont pas à leur premier naufrage en la matière), le cas SolarWinds marque un saut qualitatif et quantitatif important. Le précédent le plus comparable est sans doute l’incident de 2008 baptisé Buckshot Yankee  : les systèmes du Pentagone avaient alors été gravement compromis, après que des clés USB piégées aient été abandonnées sur le stationnement d’une base américaine, et malencontreusement récupérées puis utilisées par des soldats peu précautionneux. S’il s’agissait là aussi d’une supply chain attack (attaque par la chaîne d’approvisionnement), elle avait alors une échelle beaucoup plus modeste et l’adversaire — selon toute vraisemblance la Russie — s’était montré moins sophistiqué dans sa stratégie d’intrusion[1].

Incompréhension dangereuse

Ainsi, pour certains « cyber-faucons », l’incident SolarWinds relève d’une grave agression, à laquelle il importerait de riposter de manière musclée. D’autres experts rappellent toutefois que les États-Unis viennent en somme de subir ce qu’ils font subir à d’autres depuis de nombreuses années. En 2009 par exemple, dans le cadre de l’opération Shotgiant, la NSA tenta d’implanter secrètement des portes dérobées dans des produits de Huawei, afin d’espionner les pays clients de la firme chinoise. « Nous bénéficions du manque de normes dans ce domaine, et sommes peu susceptibles de répliquer trop fort, parce que nous ne voulons pas limiter nos propres actions offensives », estimait ainsi le célèbre cryptologue américain Bruce Schneier dans un récent billet pour CNN.

Ces commentateurs moins belliqueux appellent ainsi Washington au réalisme : les États-Unis doivent assumer les contrecoups de la cyberconflictualité qu’ils contribuent à nourrir, et chercher à améliorer leurs défenses plutôt qu’à déclencher une spirale de représailles. Faute de quoi, rappelle le journaliste spécialisé Fred Kaplan, ils pousseront implicitement des pays adverses à s’en prendre à l’Amérique lorsque la NSA se sera à son tour montrée trop curieuse. Il appartiendrait par ailleurs de saisir l’occasion pour commencer enfin à établir et énoncer quelles sont les actions cyber mutuellement acceptables ou non sur la scène internationale.

Car c’est là une bonne part du problème entourant l’incident SolarWinds : l’incident, et plus encore les réactions qu’il a générées aux États-Unis, démontrent l’ambiguïté stratégique croissante qui entoure les cyberopérations, qui deviennent de plus en plus difficiles à interpréter et discuter à mesure qu’elles se font plus inventives et intrusives. Faute de normes claires et reconnues en matière de cyberconflictualité, les États se font toujours plus agressifs, sans pouvoir toutefois échanger de signaux intelligibles pour communiquer leurs positions et leurs intentions. L’incident SolarWinds n’est manifestement pas un Pearl Harbor, dont chaque camp connaîtrait clairement et mutuellement les funestes implications, mais il n’en renforce pas moins un climat dangereux : sans grammaire commune pour appréhender leurs actions respectives dans le cyberespace, les États seront à l’avenir condamnés à frôler toujours plus la confrontation.

[1] Comme l’explique l’experte en cybersécurité Maria Korolov, une attaque par les chaînes d’approvisionnement (supply chain attack) se produit « lorsque quelqu’un s’infiltre dans votre système par l’intermédiaire d’un partenaire ou d’un fournisseur extérieur ayant accès à vos systèmes et à vos données ». N.B. :  traduction libre.

 

 

Pour lire la version PDF


26 janvier 2021
En savoir plus