Commandité par l'État ou motivé par l’argent : Y a-t-il encore une différence?

Les gouvernements ont toujours mené des cyberopérations offensives. Mais ces dernières années, les campagnes ont semblé gagner en audace et en volume. Les gros titres criant aux raids « parrainés par l'État » ou « d’États-nations » vont dans toutes les directions, des infrastructures critiques aux chaînes d'approvisionnement complexes. Mais à y regarder de plus près, la frontière entre ces campagnes et la cybercriminalité traditionnelle est de plus en plus floue.

Qu'est-ce que cela signifie pour l'avenir du paysage des menaces et l'impact croissant de la cybercriminalité sur les organisations mondiales? En l'absence d'un consensus géopolitique, il sera de plus en plus difficile d'arrêter les groupes criminels qui sont effectivement protégés par les États.

Les lignes traditionnelles

Lorsque j'ai commencé à écrire sur la cybersécurité il y a plus de 16 ans, la découverte d'attaques d'États-nations était rare. C'est ce qui a rendu la découverte de Stuxnet aussi marquante. Souvent, des attaques similaires étaient décrites comme étant « parrainées par l'État », contribuant à l’ambiguïté à l'attribution. On sait ainsi qu'un gouvernement a très probablement donné l'ordre de lancer une campagne - parce que la cible et le type d'attaque ne correspondaient pas à des motifs purement financiers - mais qu'il n'a peut-être pas lui-même appuyé sur la gâchette.

Les deux termes ont probablement été très souvent utilisés de manière incorrecte au fil des ans. Mais c'est ainsi que les gouvernements l'entendent - les techniques d'anonymisation rendent difficile une attribution à 100 %. Tout est question de déni plausible.

Qu'elles soient le fait d'un État ou parrainées par un de ceux-ci, ces campagnes comportaient autrefois plusieurs éléments clés :

• Des logiciels malveillants et des outils développés sur place ou sur mesure, potentiellement le résultat de longues recherches pour trouver et exploiter des vulnérabilités de type zero-day. C'est le type de capacité qui nous a donné EternalBlue et les outils connexes prétendument volés à la NSA.
• Des attaques sophistiquées en plusieurs étapes, souvent décrites comme des menaces persistantes avancées (APT), caractérisées par un long travail de reconnaissance et des efforts pour rester caché à l'intérieur des réseaux pendant de longues périodes.
• L'accent est mis sur le cyberespionnage, voire sur les attaques destructrices, conçues à des fins géopolitiques plutôt que simplement par appât du gain.

Bon nombre de ces points restent vrais aujourd'hui, du moins dans une certaine mesure. Mais le paysage actuel est désormais bien plus complexe.

Le point de vue actuel

Nous vivons actuellement dans un monde où le réseau mondial de cybercriminalité représente des billions de dollars par an. Il s'agit d'une économie à part entière qui génère plus que le PIB de nombreux pays et qui regorge de ressources indépendantes, de connaissances et de données volées que de nombreux États convoitent. Tout comme les entrepreneurs et fournisseurs légitimes de la défense sont recrutés par les gouvernements dans le secteur privé, les cybercriminels et leurs ressources font de plus en plus l'objet d'accords d'externalisation informels et souvent ad hoc.

Dans le même temps, on assiste à un effritement des normes géopolitiques historiques. Le cyberespace représente un nouveau théâtre de guerre sur lequel aucun pays n'a encore convenu de conditions d'engagement ou de règles de conduite. Il en résulte un vide dans lequel certaines nations jugent acceptable de parrainer directement ou indirectement l'espionnage économique. Cela va même plus loin : dans certains cas, la cybercriminalité organisée est autorisée à agir à sa guise, pour autant que ses efforts soient dirigés vers les nations rivales.

Dans le paysage actuel, il est donc de plus en plus difficile de distinguer les activités traditionnelles des États de celles relevant de la cybercriminalité plus banale, pour ainsi dire. Par exemple :

• De nombreux vendeurs sur le dark web vendent désormais des exploits et des logiciels malveillants à des acteurs étatiques.
• Les attaques soutenues par l'État peuvent utiliser non seulement des outils sur mesure, mais aussi des logiciels malveillants de base achetés en ligne.
• Certaines attaques étatiques visent activement à générer des revenus à partir de campagnes de quasi-cybercriminalité.
• Certains États ont été liés à des personnalités et des groupes prolifiques de la cybercriminalité.
• Certains gouvernements ont été accusés d'embaucher des cybercriminels indépendants pour les aider dans certaines campagnes, tout en fermant les yeux sur d'autres activités.
• Certains suggèrent même qu'à l'occasion, les employés gouvernementaux sont même autorisés à travailler au noir pour se obtenir un revenu supplémentaire.

Il est temps d'être proactif

Que nous réserve l'avenir? Il suffit de voir l'épidémie actuelle de rançongiciels, alors que des groupes cybercriminels ont été accusés d'avoir gravement perturbé les chaînes d'approvisionnement énergétique et alimentaire. Les États-Unis ont inscrit certains d'entre eux, comme Evil Corp, sur des listes de sanctions officielles. Cela signifie que les victimes et les assureurs ne peuvent pas payer la rançon sans enfreindre eux-mêmes la loi. Mais ces groupes continuent de redorrer l'image de leurs activités afin de contourner ces règles.

En fin de compte, tant qu'il y aura un marché pour leurs services, ces groupes continueront à travailler, que ce soit avec la bénédiction tacite ou le parrainage actif des États-nations.

Pour les spécialistes de la recherche sur les menaces et les responsables de la sécurité des systèmes d'information (CISO), cette situation n'est peut-être pas très rassurante. Mais il y a une lueur d'espoir. De nombreux cadres dirigeants peuvent être coupables d'adopter une attitude fataliste à l'égard des attaques d'État : ils estiment que leurs adversaires disposent de tellement de ressources et de moyens sophistiqués qu'il est inutile d'essayer de se défendre contre eux. La vérité est que les attaquants ne sont pas nécessairement des surhommes soutenus par l'appareil étatique et la richesse d'une nation entière. Ils peuvent très bien utiliser des logiciels malveillants de base ou même engager des acteurs malveillants.

Cela signifie que votre stratégie de sécurité doit être la même, quel que soit l'adversaire. Un profilage continu des risques, des défenses multicouches, des politiques étanches, ainsi qu'une détection et une réponse proactives et rapides.