jeudi 19 janvier 2017

L'impossible vérité sur le piratage du Parti Démocrate et les hackers russes

Quelques semaines après l'élection de Donald Trump, les agences américaines de renseignement ont publié une synthèse sur le piratage du Parti Démocrate par des hackers russes et la transmission à Wikileaks des emails dérobés en vue de nuire à la campagne électorale de Hillary Clinton. Malheureusement, la crédibilité de ce rapport fut vite cannibalisée par la culture du secret et par les pesanteurs stratégiques et industrielles de la cybersécurité et du renseignement électronique. 


Publié en décembre 2016 par plusieurs services américains de sécurité (FBI, CIA, DNI, DHS, US-CERT), le rapport Grizzly Steppe était d'abord et surtout un produit dérivé des conclusions de CrowdStrike et de Fire Eye, firmes spécialisées dans la cybersécurité et l'expertise informatique. 

Ce document évoque « 
une activité cyber malicieuse russe », décrit quelques fondamentaux de la guerre d'information made in Russia, et compile des signatures de malwares génériques, des botnets, des fuseaux horaires, des adresses IP et des services Web (Tor, Google, Dropbox, Yahoo!) couramment utilisés par des hackers et des spammers du monde entier... et connus depuis belle lurette par les experts en sécurité informatique qui avaient hâte d'analyser de véritables « indicateurs de compromission » (indicators of compromise) caractérisant précisément la cyberattaque l'intrusion et attribuant incontestablement celle-ci à des hackers russes.

En d'autres termes, le renseignement américain révèle les marques et modèles d'armes utilisées et modifiées pour le crime mais ne peut fournir des preuves balistiques incriminant les tireurs. 

Ainsi, le malware X-Agent utilisé dans plusieurs opérations de piratage (Parti DémocrateBundestagTV5) est présenté dans le rapport Grizzly Steppe comme une récente fabrication des hackers russes FancyBear (alias APT28 : partenaire potentiel du GRU, service russe de renseignement militaire) et donc comme un élément de preuve à leur encontre.

Or, un malware « lâché dans la jungle numérique » par son développeur est très souvent partagé, dérivé, personnalisé et réutilisé à volonté par d'autres champions du code. Depuis 2015, X-Agent est disponible en versions iOS/Android/Windows et constitue une matière première pour les industries de la cybersécurité : expertise informatique, édition d'antivirus, lutte informatique, etc.

En-deça des affirmations du renseignement américain, les hackers russes - agissant sous la houlette supposée du renseignement russe (FSB, SVR, GRU) – ont eu recours à des malwares génériques et à des tactiques classiques de hameçonnage pour pénétrer les serveurs d'un Parti Démocrate très peu regardant sur sa sécurité informatique, et de facto exposé en première ligne au hacker débutant ou au cybercriminel en quête de données sensibles... et revendables au plus offrant.

Un mode opératoire trop exclusif et une signature trop particulière nuiraient à un anonymat « à ciel ouvert ». Il vaut mieux emprunter et reconfigurer une Kalachnikov et un Glock bon marché plutôt que des armes rares ou spécialisées, ceci afin de donner du fil à retordre aux enquêteurs et de faire jaser experts, journalistes, blogueurs, juristes et commissions parlementaires.  

Pourtant, les agences de renseignement américaines - notamment la NSA - disposent de capacités extraordinaires offrant une visibilité large, profonde et dynamique sur les réseaux informatiques (la preuve par l'affaire Snowden ou le projet Plan X), en particulier sur ceux russes et chinois. Leurs outils peuvent reconstituer les trajets des données dérobées sur les serveurs du Parti Démocrate jusqu'à Wikileaks (aucunément mentionné dans le rapport Grizzly Steppe !) via les hackers russes. Toutefois, ces agences – et leurs homologues de par le monde - tiennent par-dessus tout au secret de leurs procédés, de leurs modes opératoires, de leurs relais techniques ou humains et de leurs connaissances. 

Une élection houleuse et quelques hackers russes n'en valent pas la chandelle. 

En effet, le rapport Grizzly Steppe ne livre aucune information technique afin « 
de ne pas révéler des sources ou méthodes qui pourraient mettre en péril notre capacité à collecter des renseignements essentiels dans le futur » (sic).

Pourquoi le FBI, autorité de police judiciaire dotée des moyens du renseignement et pourvue d'une Cyber Division et de Computer Forensic Labs dignes de ce nom, externalise-t-il l'expertise informatique aux firmes privées Crowdstrike et Fire Eye (déjà sous contrat avec le Parti Démocrate) ? N'est-ce pas étrange que le FBI n'ait eu aucun accès physique aux serveurs piratés du Parti Démocrate afin de mener à bien son expertise informatique ? La cybersécurité d'une élection et des partis politiques n'est-elle pas un enjeu critique de sécurité publique et nationale exigeant de surcroît une enquête marquée du sceau de l'Etat ?

Les partenaires privés du gouvernement fédéral, parfois trop soucieux d'améliorer leur notoriété, peuvent également être victimes et vecteurs de désinformation. 

Afin de consolider la thèse d'une implication du GRU dans le piratage du Parti Démocrate, CrowdStrike 
a invoqué l'usage par Fancy Bear du malware X-Agent dans la dérivation d'une app Android, ensuite dédiée à la géolocalisation d'artilleurs de  l'armée ukrainienne par des rebelles du Donbass et leurs alliés officieux de l'armée russe.

D'où ce système d'équations à zéro inconnue, conformément aux conclusions de CrowdStrike :

Fancy Bear + X-Agent + Parti Démocrate = GRU
Fancy Bear + X-Agent + Donbass = GRU
Fancy Bear = GRU

Quelques semaines plus tard, l'expert en cybersécurité Jeffrey Carr révélait toute la désinformation militaire entourant la narration de Crowdstrike au sujet de Fancy Bear et son X-Agent en Ukraine. En gros, un partenaire privé du renseignement américain a concocté un séduisant storytelling autour d'une intox en zone de guerre : l'application mobile de géolocalisation "X-Agent inside" n'a jamais existé, les artilleurs ukrainiens piégés et tués non plus.

En réalité, des firmes de cybersécurité et d'expertise informatique telles que CrowdStrike et Fire Eye réservent les juteux détails techniques à leurs meilleurs clients qui sont le gouvernement fédéral et les grandes ou moyennes entreprises abonnées à leurs solutions intégrales (audit, veille & alerte sécurité, investigation, etc), et ce, afin de protéger leurs secrets industriels et de préserver leur compétitivité. Les commissions parlementaires et le grand public sont consolés avec des faisceaux d'indices, des white papers, des brochures conviviales, et des noms de codes à la sauce cyberpunk : Grizzly Steppe, APT28, APT29, FancyBear, CozyBear...

Ces divers handicaps informationnels et stratégiques n'ont certainement pas échappé à l'oeil de Moscou. L'Amérique aura beau aboyer et menacer, la Russie ne fera que nier ou se taire, faute de preuves solides et irréfutables. 

Néanmoins, gardons à l'esprit que le hacking (et/ou le renseignement électronique) est un sport international pratiqué par tous contre tous à des fins de documentation, d'espionnage, de surveillance, de planification stratégique/tactique, avec des coûts et risques relativement faibles. Il revient à chaque puissance de passer pour un acteur neutre, bienveillant et/ou protecteur, de garder autant que possible le silence sur ses innovations, ses vulnérabilités, ses mésaventures et ses exploits... et d'endosser avec brio le rôle de la victime.

Au final, la synthèse du renseignement américain sur le piratage du Parti Démocrate a été dépouillée de sa substance à cause de contraintes stratégiques et d'inerties industrielles imprégnant les enjeux de cybersécurité, et a suscité encore plus de mystères, d'incertitudes et de spéculations. Il a également pâti de la médiocre et tonitruante communication de l'administration sortante Obama, de divergences mineures entre agences de renseignement ("minor disagreements among intelligence officials about the agency's assessement"), des antécédents de la CIA (ingérences électorales à l'étranger, armes de destruction disparition massive en Irak, rapport sur la torture), et ne pouvait revivre qu'à travers un imbroglio d'agendas politiques.

L'élection de Donald Trump et la crise post-électorale aux Etats-Unis doivent-elles pour autant à la main invisible de Vladimir Poutine ? Les succès électoraux de mouvements populistes ou ultra-conservateurs en Europe - peu ou prou eurosceptiques et favorables à un rapprochement avec la Russie – relèvent-ils forcément d'une longue et basse œuvre de Moscou ? Qu'en est-il des évolutions politiques, socioéconomiques et technologiques au coeur de l'Amérique et de l'Europe ? Les observateurs occidentaux prêteraient-ils des super-pouvoirs au maître du Kremlin, aux médias et aux hackers venus du froid ?

Entre culture du secret, course à l'information-spectacle, batailles d'égos, guerres d'influence et confrontation géostratégique, la vérité est ailleurs.

« Tout ce que nous voyons est un secret d'Etat. Si c'est une illusion, c'est un secret d'Etat. Et même si ça ne marche pas, et que ça ne marchera jamais, c'est un secret d'Etat. Et si c'est un mensonge du début à la fin, alors c'est le plus grand des secrets d'Etat. » | John le Carré, La Maison Russie


Aucun commentaire: