Pour dénoncer à la face du monde les auteurs des cyberattaques majeures, dont des exemples récents ont montré les conséquences potentiellement dramatiques, des experts et la société Microsoft préconisent la création d’une ONG internationale privée.
Ce « Consortium global de cyber-attribution », selon le terme utilisé par le centre de réflexion Rand Corp. dans un rapport qu’il vient de publier, serait chargé d’enquêter sur les grandes cyberattaques et de publier, quand ce sera possible, les identités de leurs auteurs, qu’ils soient malfaiteurs, groupes de pirates internationaux ou États.
« Aujourd’hui l’attribution des cyberattaques est complètement éclatée », a expliqué la semaine dernière, lors de la neuvième Conference on Cyber Conflict (CyCon) organisée à Tallinn, Paul Nicholas, directeur de la Stratégie globale de sécurité de Microsoft. « Les sociétés privées et les gouvernements disposent de compétences et de technologies disséminées dans le monde entier ».
« C’est très compliqué en cas de cyberoffensives internationales complexes: les principaux acteurs se regardent l’un l’autre, savent à peu près d’où elles peuvent provenir, mais personne ne veut être affirmatif », a-t-il ajouté. « Voilà ce dont nous ne disposons pas aujourd’hui: une organisation fiable chargée de la cyber-attribution des attaques ».
Cette préconisation avait déjà été abordée par Microsoft dans un rapport publié en juin 2016, appelant à l’adoption de normes internationales en matière de cybersécurité, qui est un enjeu crucial pour le bon fonctionnement de l’internet.
En janvier, l’entreprise créée par Bill Gates a commandé à la Rand, l’un des think tanks américains les plus réputés, une étude sur la question.
Ce rapport, intitulé « Stateless Attribution – Vers une responsabilité internationale dans le cyberespace », rappelle les exemples récents de cyberattaques majeures, comme celle contre le système électrique en Ukraine, le virus Stuxnet introduit dans les usines iraniennes d’enrichissement d’uranium, les vols de dizaines de millions de dossiers confidentiels dans l’Office of personnel management (OPM) américain ou le virus WannaCry, destiné à collecter des rançons dans le monde entier.
« En l’absence de mécanismes institutionnels pour limiter les dangers dans le cyberespace, le risque existe qu’un incident menace la paix et l’économie mondiales », estiment les auteurs du rapport.
Ils préconisent la création d’une ONG rassemblant des experts et informaticiens privés, indépendants, d’où seraient exclus les acteurs étatiques, soupçonnés de pouvoir être motivés par des considérations politiques ou de ne pouvoir agir pour ne pas révéler leurs méthodes et leurs sources.
Pour le financement de ce consortium, les experts de la Rand suggèrent de faire appel à des organisations philanthropiques internationales, des institutions comme les Nations Unies ou aux grandes sociétés informatiques ou de télécommunications.
Lors de la conférence CyCon, plusieurs spécialistes ont souligné à quel point il peut être difficile d’attribuer une attaque à son ou ses auteurs.
« Il est tout à fait possible de monter une attaque pour que 98% des traces digitales qu’elle va laisser désignent quelqu’un d’autre », a ainsi assuré Sandro Gaycken, directeur du Digital society institute de l’école de commerce ESMT de Berlin.
« Des criminels ont tout intérêt à se faire passer pour des États, des États ont tout intérêt à se faire passer pour des criminels », a-t-il ajouté. « Il est assez facile de faire croire que votre attaque vient de Corée du Nord ».
Dans les couloirs de la conférence, des spécialistes ont expliqué à l’AFP quelques trucs de pirates, simples à mettre en place, difficiles à déjouer: il suffit d’enfouir trois lignes de code en caractères cyrilliques dans un virus pour faire accuser des Russes; d’opérer pendant les heures ouvrables en Chine, même si on se trouve ailleurs sur la planète, pour que les regards se tournent vers Pékin; de copier-coller des morceaux de virus ou de chevaux de Troie connus, et répertoriés, pour détourner l’attention vers leurs auteurs originels et dissimuler l’identité des vrais pirates.
Afp