Compte-rendu, débat du 28 avril 2011

Cercle Européen de la sécurité et des systèmes d’information 

« Légitime Défense numérique » 
par AL’X Communication

 

Une nouvelle fois le Cercle Européen de la Sécurité et des Systèmes d’Information se positionne
sur un sujet d’anticipation. Le débat animé par Yann Le Bel, portait sur la question de la légitime défense numérique. Avec la participation de Guillaume Tissier, Directeur du pôle management des risques de la Compagnie Européenne d’Intelligence Stratégique (CEIS), et Philippe Langlois, chercheur en sécurité informatique et fondateur de P1 Security.

 

Le développement des technologies de l’information et de la communication a profondément modifié les structures culturelles, économiques et sociales à travers le monde, à tel point que le cyberespace est aujourd’hui un concept reconnu et partagé, dont l’une des principales composantes est le réseau Internet. Or ce nouvel espace n’a pas de territoires précis et ne dispose ni de traités partagés, ni de droit unifié.

 

Ainsi, le droit des conflits armés et le principe de légitime défense peuvent-ils encore s’appliquer, quand une entreprise négocie d’égal a égal avec un État, comme ce fut le cas en 2006 entre Google et le gouvernement chinois ? L’apparition de nouveaux acteurs économiques majeurs sur la scène géopolitique mondiale, en lieu et place des structures étatiques, permettra-t-elle l’émergence de nouveaux concepts comme celui de la « Légitime Défense Numérique » ?

 

Les récents exemples de cyber-attaques comme celle de Stuxnet, réveillent nombre d’interrogations pour contrer le large éventail de menaces. Les intervenants ont rappelé le contexte du cyberespace et précisé les conditions législatives de la légitime défense ; avant de démontrer sa difficile application au monde virtuel. Philippe Langlois a apporté un éclairage technique via des exemples concrets, et a également mis en garde contre la spirale infernale et le risque d’escalade en matière de contre attaque.

 

Si pendant dix ans l’Internet était avant tout un espace culturel et marchand, de multiples aspects du cyberespace ont profondément muté ces dernières années avec les réseaux sociaux, la mobilité… La taille du réseau a fait basculer le centre de gravité du Web avec un nombre d’internautes chinois qui dépasse désormais celui des USA. On constate aujourd’hui une forte dissymétrie entre les pouvoirs et les connaissances de l’attaquant et ceux de la victime. Les exactions ne nécessitent pas forcément un matériel sophistiqué, ainsi certaines opérations peuvent être exécutées avec des ressources limitées.

 

Les attaques DDos, le spamming, phishing et l’ensemble des menaces ne saurait être traité avec le même niveau d’urgence, en revanche il renforce de fait le discours sécuritaire et la nécessaire mise en place de stratégies puissantes en matière de cybersécurité et d’un cadre de défense compatible avec le droit international.

 

Selon Guillaume Tissier il est urgent d’envisager un modèle de défense actif et de faire évoluer la doctrine.

 

Peut-on appliquer les principes de dissuasion et de légitime défense au cyberespace ?

 

Le cyberespace facilite l’anonymat et rend les actions de dissuasion difficilement réalisables. Le principe de légitime défense tel que précisé dans les articles 122-5 et 122-6 du Code Pénal français est soumis aux impératifs, pour l’agression, d’actualité, d’illégalité, de réalité et pour la défense aux impératifs de nécessité, de concomitance et de proportionnalité par rapport à l’attaque.

In fine utopique et impossible à transposer dans le cyberespace, d’où la nécessité de disposer d’une stratégie globale puissante.

 

Les intervenants ont proposé quelques pistes de réflexion quant au développement de modèles de sécurité actifs. Partant du principe que la défense dans le cyberespace peut s’exprimer autrement que par une réponse IT (elle peut-être politique, diplomatique, économique…), la mise en œuvre d’une stratégie de cyberpowerdoit comprendre différents paliers, à la fois au niveau des entreprises privées, des Etats et des institutions gouvernementales :

  • amélioration de la résilience des réseaux

  • les services réactifs de réponse sur incidents

  • mise en place de démarches SIEM (Security Information and Event Management)

  • amélioration de la gestion de la traçabilité

  • veille du Black Market

  • mise en place de honey pot (fausses infrastructures informatiques, souvent constituées de machines virtuelles pour piéger les crackers)

  • frappes juridiques avec des attaques préventives sur des systèmes illégaux connus

  • lutte contre le développement des paradis numériques

  • développement de capacités informatiques offensives

 

Philippe Langlois s’appuie sur l’exemple concret d’un botnetvisant une multinationale, via un emailingau contenu infecté, pour dérouler les différents actes de ce cyber-assaut. Il expliquera également quels moyens permettent de retrouver le mobile de l’intrusion, quelles machines sont infectées, quelles données ont été collectées et de remonter jusqu’au centre de commandement du botnet et à son botmaster.

 

La loi Godfrain du 5 janvier 1988, qui définit pénalement les infractions concernant la tentative d’accès, le maintient, l’entrave, la destruction dans le domaine de l’informatique, est alors applicable pour l’entreprise victime.

 

Philippe Langlois met en garde contre une utilisation abusive de la contre-intrusion et de la notion de légitime défense numérique, particulièrement dans la sphère de l’entreprise où les conséquences peuvent être lourdes et immédiates. En effet, il existe une multitude de possibilités techniques en termes d’attaques et la marge de manœuvre des acteurs pour la légitime défense numérique reste liée à leurs propres connaissances, souvent dépassées par le développement ultra-rapide de nouveaux moyens d’attaques.

 

On peut citer en exemple la récente affaire PayPal/Wikileaks qui a généré des attaques du groupe Anonymous sur les sites de Paypal, Visa et Mastercard, en représailles de la censure à WikiLeaks fin 2010. HBGary, société mandatée pour remonter les attaques jusqu’à la source et espionner les échanges des Anonymous, a alors subit les attaques de son système d’information, son site Internet, sa messagerie et le compte twitter de son dirigeant.

 

Cet exemple montre qu’une légitimation banalisée de la contre-attaque peut potentiellement entraîner la légitimation de groupuscules activistes accueillis par le grand public en cyber-héros luttant pour nos libertés. Cette démarche s’inscrit dans un système d’escalade et une course à l’attaque dont l’issue victorieuse pour l’entreprise initialement victime semble bien hypothétique.

 

Selon Guillaume Tissier, l’une des premières actions à initier serait de cibler les acteurs déjà connus du Black market numérique. Jour après jour l’économie parallèle tisse ses fils sur la Toile et se structure. Les shopset forums où s’échangent des produits, principalement des packs de carding, incluant des tests de validité et même un service après-vente au cas où des coordonnées bancaires ne seraient plus valides. Ou encore les sociétés de monnaies virtuelles qui ne se positionnent pas clairement sur leurs activités, commeLibertyReserve au Costa Rica. Ces Al Capone 2.0 sont des maillons connus des institutions gouvernementales et devraient être les premières cibles à contrer.

 

Mais pour ce faire, il est nécessaire de doter l’entreprise d’un plan de procédures à exécuter et la défense numérique d’un cadre juridique global et précis, basé sur une coopération internationale entre Etats.