En 2019, l'attribution des cyberattaques à des groupes parfois étatiques pourrait être la clef d'une plus grande sécurité du cyberespace. Toutefois, l'exercice d'incrimination des responsables est toujours plus difficile.

Dans son rapport sur les menaces qui planent sur le cyberespace dans les années à venir, la firme FireEye insiste sur la notion d’attribution des attaques. Un processus essentiel pour avancer vers des solutions judiciaires ou politiques et débuter une aire de dissuasion des acteurs malveillants. Pourtant, ce sujet de l’attribution de la cybercriminalité ne va pas sans difficulté : certaines institutions et entreprises privées évitent encore les dénonciations fermes, parfois par choix politique, plus souvent parce qu’il est impossible d’obtenir une certitude totale sur les origines d’une attaque.

« L’attribution est déjà difficile. Il est peu probable qu’elle devienne plus simple »

En février dernier, Paul Rascagneres, employé de la filiale sécurité de Cisco, Talos concluait un billet à propos d’un malware attribué à la Corée du Nord : « Alors que les acteurs progressent en compétences et en moyens, il est probable que nous observerons ces derniers adopter des ruses pour compliquer et brouiller l’attribution. L’attribution est déjà difficile. Il est peu probable qu’elle devienne plus simple. » En effet, à travers son analyse technique, sans aide des renseignements, le chercheur ne parvenait pas à réunir suffisamment d’indices pour rejoindre ses collègues quant à l’attribution de ce malware au Royaume ermite.

le processus d’attribution n’est jamais « 100 % fiable »

Souvent guidés par le contexte géopolitique, les chercheurs du secteur mêlent des signaux techniques, politiques dans une proportion qui leur est propre pour attribuer des attaques. Or, selon cet expert français, cette recette de l’attribution se confrontera à la possibilité des acteurs de tromper les enquêteurs : « potentiellement, écrit-il, nous allons voir des acteurs placer de nombreux faux indices  ». Au risque de rendre encore plus fragile la certitude des enquêteurs.

Les Jeux olympiques de Pyeongchang ciblés par des attaques dont l’attribution fut épineuse / Andy Miah

David Grout, CTO de la branche européenne de FireEye, tempère auprès de Cyberguerre : « pour le moment, la possibilité de voir des acteurs masquer ou tromper l’enquêteur est encore faible  ». Et s’il concède que le processus d’attribution n’est jamais « 100 % fiable  », il constate que celui-ci peut encore, dans un petit nombre de cas, se conclure sur des quasi-certitudes : « nous suivons au quotidien 18 000 groupes malveillants et nous attribuons un peu moins de 10 % des attaques observées : c’est le résultat d’un processus qui attend de recueillir suffisamment d’éléments techniques et politiques avant de se prononcer.  »

« nous attribuons un peu moins de 10 % des attaques observées » David Grout, FireEye

Le doute est pourtant cultivé par les acteurs malveillants les plus compétents comme le prouve, en 2017, l’étude Marcher dans l’ombre de votre ennemi réalisée par Costin Raiu et Juan Andres Guerrero-Saade pour Kaspersky. Cette dernière mettait en avant les jeux d’ombres mis en place par le groupe EnergeticBear pour attribuer ses attaques à la Chine, alors que le groupe est russe. Dans ce rapport, les chercheurs n’allaient toutefois pas jusqu’à parler d’une impossible attribution comme certains de leurs collègues, toutefois, pour eux, une des clefs de l’attribution passera par la complémentarité que peut apporter au monde de la cybersécurité le renseignement.

Vers des poursuites

Les enjeux de l’attribution sont fondamentaux pour l’avenir du cyberespace : comme le rappel David Grout, il est le pilier d’une dissuasion des acteurs. Incriminer un groupe et parfois un État explique-t-il va permettre d’« envisager des poursuites qu’elles soient judiciaires ou politiques  ». Pour lui, la preuve de l’importance de l’attribution fut donnée par la signature du président Obama d’un accord avec la Chine qui aurait, en 2013, contribué à réduire de 80 % les attaques détectées en provenance de l’Empire du Milieu.

Xi Jinping et Barack Obama, 2015 / Michael Buchanan

Mais alors que les solutions de paix négociée sont remplacées par des représailles, comme dans le cas des récentes tensions entre Moscou et Washington, l’enjeu des attributions devient un jeu dangereux.

Les puissances ont-elles néanmoins le choix quant à l’attribution permet non-seulement de poursuivre les attaquants, de dissuader les éventuels prochains, mais aussi de consolider la défense ? Le débat restera vif en 2019 même si, on peut déjà observer que les États-Unis ont choisi une position affirmée : le Département de la Justice et celui de la Sécurité Intérieure multiplient les poursuites. Quant à la France, elle compte de plus en plus d’outils à sa disposition dans le renseignement et dans la justice avec, notamment, la constitution au Parquet de Paris d’une cellule d’enquête sur la cybercriminalité qui fait ses preuves depuis 2014.

Crédit photo de la une : Incidencematrix

À propos de Bitdefender

Bitdefender est un éditeur européen de solutions de cybersécurité, dont les technologies protègent aujourd’hui plus de 500 millions d’utilisateurs dans le monde. Il est l'annonceur exclusif de Cyberguerre. Ses technologies de machine learning et d’intelligence artificielle permettent d’anticiper et de bloquer un plus grand nombre de menaces, afin de protéger instantanément tous ses utilisateurs. Grâce à ses investissements en R&D, sa capacité à innover en permanence pour garder une longueur d’avance sur les menaces, et de nombreux partenariats technologiques, Bitdefender a réhaussé les standards de sécurité les plus élevés de l’industrie.

Plus d’informations sur www.bitdefender.fr

Partager sur les réseaux sociaux