This is how they tell me the world ends

La journaliste américaine Nicole Perlroth a publié en février 2021 un (épais) livre intitulé « This is how they tell me the world ends » qui parle des 0-day, de l’évolution des attaques cyber étatiques au cours des 25 dernières années, et de la tournure inquiétante que prend cette course mondiale au cyber-armement.

Nous décrivons dans la suite de cet article cette évolution, telle que la décrit Nicole Perlroth (attention Spoil !). De façon globale, tout ce que l’auteur décrit correspond effectivement à des faits que nous avons vus (au moins au travers de l’actualité) au cours de ces 20 dernières années. D’ailleurs la fin du livre (les 60 dernières pages) liste scrupuleusement des références bibliographiques pour les principaux faits. Nous sommes un peu plus réservés sur certains liens de cause à effet que l’auteur fait parfois. La lecture du livre donne souvent l’impression d’un engrenage de faits qui s’enchainent les uns les autres (surtout dans la dernière partie avec les attaques Russes), alors que de notre point de vue, il s’agit parfois de faits indépendants. Cet enchaînement amène naturellement au sentiment que cette escalade finira mal un jour. L’auteur explique cependant que cela fait des années qu’elle demande aux experts qu’elle rencontre quand, d’après eux, les choses vont mal tourner et qu’elle a à chaque fois une réponse du type : hum,… probablement dans quelque chose comme 18 mois. Et c’est d’ailleurs de cette anecdote que vient le « They tell me » dans le titre du livre. La seconde réserve que l’on peut faire sur le livre est qu’il affirme que les USA sont sans aucun doute le pays le plus avancé dans le domaine cyber, et qu’ils sont largement devant le reste du monde. Difficile de dire si cela est vrai, ou si l’auteur est influencé par sa culture américaine. Enfin, à la lecture du livre, nous avons aussi souvent retrouvé ce sentiment que l’on a parfois quand on échange avec des personnes proches du domaine militaire ou du renseignement (quel que soit le pays) et qui expliquent (sans révéler bien sûr de secret) que les choses sont vraiment inquiétantes dans le domaine des attaques cyber.

Voici donc les principales étapes de l’évolution des cyber-attaques étatiques, telles que décrites dans le livre.

Depuis les années 80, les services secrets américains sont convaincus de la puissance des attaques logicielles et travaillent activement à développer une lutte offensive et défensive dans ce domaine. Et ils ont (probablement) piégé toutes les choses qu'ils pouvaient.

Dans les années 95, le gouvernement américain décide de faire appel à des sociétés externes pour trouver des 0-days et développer des programmes offensifs, plutôt que de continuer de le faire en interne.

Le nombre de sociétés impliquées va progressivement grandir avec d’abord des sociétés travaillant exclusivement pour le gouvernement américain (par exemple VRL : Vulnerability Research Lab) puis des sociétés travaillant aussi pour des pays amis (les pays de l’alliance Five Eyes). C’est l’époque de sociétés comme Azimuth, Linchpin Labs, Endgame, Netragard, Exodus Intelligence …

Parallèlement à ces marchés secrets où le gouvernement américain paye les 0-days à prix d’or, apparait en 2002 le marché public des 0-day avec la société iDefense (première société à annoncer publiquement qu’elle achète des 0-day). Au départ, les prix sur ce marché étaient ridiculement bas par rapport au marché secret. Mais cela va attirer les chercheurs du monde entier et provoquer une explosion du nombre d’acteurs. La société française Vupen (devenu ensuite Zerodium) était en 2013 un des acteurs les plus connus sur ce marché de la recherche de 0-day. Apparaissent aussi les Brokers de 0-day (comme Zerodium) dont la spécialité est d’acheter (aux chercheurs) et de vendre (aux états) des 0-days.

Progressivement, le marché n’est plus exclusivement américain, il est devenu international. Certaines sociétés américaines ne se limitent pas au marché national et aux pays amis : Immunity propose ses formations offensives au monde entier, CyberPoint aide les Emirats Arabes Unis à développer ses capacités offensives (en embauchant d’anciens employés de la NSA) et à fonder la société DarkMatter en 2015 (qui travaille pour le gouvernement des Emirats Arabes Unis), … D’autres sociétés apparaissent dans le monde entier. Enfin, le marché de la cyber-surveillance se développe. Dans les années 2015 il y avait 3 acteurs dominants sur ce marché : Hacking Team en Italie, NSO Group et son programme Pegasus en Israël et GammaGroup (Royaume-Uni) et son programme FinFisher. Il s’agit d’un marché « sale » parce qu’une partie de ce marché s’adresse à des pays totalitaires qui peuvent grâce à ces outils, pourchasser leurs opposants, les minorités, les associations de défense des droits, …. En fait, entre 2010 et 2015, on est passé d’un marché de 0-days, à un marché d’outils offensifs qui utilisent ces 0-day. Et il se pose maintenant le problème de réglementation de ce marché : certains outils offensifs cyber doivent-ils être classés comme armes de guerres ?

L’augmentation du nombre d’offreurs sur le marché offensif répond à une augmentation de la demande. En 2010, Google révèle que la Chine attaque massivement les entreprises américaines et le terme d’APT apparait pour le grand public. Avec l’attaque Stuxnet en 2010, puis les révélations Snowden en 2013, le monde découvre la sophistication des attaques cyber étatiques américaines. Bien sûr, une poignée d’autres états disposent aussi déjà d’une capacité offensive. Mais il est maintenant clair pour tous les autres états, qu’il faut développer cette capacité.

Mais si tout le monde cherche à s’armer, pour Nicole Perlroth il y a un acteur plus dangereux que les autres et qui joue un rôle moteur dans l’escalade des attaques : la Russie. D’une part la Russie a indéniablement une puissance cyber et l’a montré avec ses attaques du système d’alimentation électrique (la power-grid) en Ukraine en 2015 (attaques Black Energy / SandWorm) ou l’attaque visant les élections américaines de 2016 (attaque visant le Parti Démocrate). D’autre part, la Russie joue habilement la déstabilisation. Le vol des outils de la NSA par le groupe ShadowBroker en 2016 (peut-être une action Russe), puis la diffusion d’un des outils volés (EternalBlue) a donné à tous les groupes d’attaquants du monde, une capacité d’attaque que la NSA utilisait jusque-là en secret depuis au moins 5 ans. EternalBlue sera utilisé en 2017 dans les attaques WannaCry (par la Corée du Nord) et NotPetya (par la Russie, contre l’Ukraine).

Pour Nicole Perlroth, si les Etats-Unis sont les leaders mondiaux dans le domaine des cyber-attaques, ils ne sont pas seuls et leurs adversaires ont beaucoup progressé ces dernières années (en partie en volant le savoir-faire des Etats-Unis). Les outils d’attaques développés par les Etats-Unis pourraient donc bien se retourner contre eux, une fois que les adversaires auront appris de ces outils et développé leurs propres capacités.