Cyberespace : le théâtre d’opérations du renseignement du XXIe siècle
Jacques M. TENENBAUM
Pseudonyme d’un spécialiste du cyber renseignement, diplômé en sécurité informatique ainsi qu’en terrorisme et sécurité internationale, ayant travaillé dans différents environnements (militaire, académique et industriel).
L’histoire du renseignement remonte à l’Antiquité. A l’origine essentiellement militaire, cette discipline n’a eu de cesse d’évoluer au cours des siècles. Les différentes évolutions technologiques, notamment depuis le XIXe siècle, et l’invention de nouveaux moyens de communication ont eu un impact important sur les pratiques de renseignement. La première moitié du XXe siècle a vu l’émergence du renseignement électronique. Au cours de la Deuxième Guerre mondiale, les différentes nations se sont livrées à une véritable guerre dans ce domaine, symbolisés dans la culture populaire par les machines allemandes Enigma et le programme britannique de renseignement électromagnétique Ultra. Churchill, lui-même, en a reconnu l’importance et aurait déclaré au roi George VI que « ce fut grâce à Ultra que nous avons gagné la guerre ».
Ces dernières décennies ont connu de nouvelles révolutions technologiques, notamment avec l’émergence d’Internet. L’ère « cybernétique » a donc vu la naissance d’un nouveau type de renseignement, lié aux nouveaux moyens de communication et d’échange d’informations, la masse de données étant toujours plus importante et les échanges plus rapides. La démocratisation d’Internet dans les années 1990, ainsi que la naissance des réseaux sociaux au début des années 2000, marquant l’avènement du fameux « Internet 2.0 », ont permis une production massive de données numériques qui devrait atteindre un record d’ici cinq ans. Une nouvelle révolution, celle des objets dit ‘’connectés », est venue s’ajouter aux précédentes. Selon un rapport publié par la société EM – une des plus importantes sociétés au monde traitant du stockage de données – ainsi que du cabinet de recherche IDC, l’Internet des objets connecté va considérablement augmenter la taille de l’univers numérique d’ici à 2020. Ce dernier devrait atteindre 44 000 milliards de giga-octets, soit environ dix fois plus qu’en 2013.
Ces changements dans la manière de communiquer ont modifié l’approche que l’on avait jusque là du renseignement et en particulier des méthodes de collecte des informations. De nouvelles disciplines, liées aux nouvelles technologies, sont donc apparues dans le monde du renseignement civil et militaire. Parmi ces dernières se distingue le cyber-renseignement. Il s’agit d’une discipline à laquelle se sont particulièrement intéressés les Etats ainsi que le secteur privé au cours de la dernière décennie.
Le cyber-renseignement a également beaucoup intéressé les médias, notamment avec l’apparition de lanceurs d’alerte comme Julian Assange ou encore Edward Snowden. Ces derniers sont souvent perçus par l’opinion publique mondiale comme des « Robins des bois » des temps modernes cherchant à protéger nos informations personnelles. Mais malgré cette médiatisation, le cyber-renseignement est encore peu connu du grand public et parfois même des professionnels. J’ai en effet pu observer au cours de mes recherches, des conférences que j’ai pu donner, ainsi qu’au gré de mes différentes rencontres avec des professionnels du secteur, comme dans le cadre de mes activités d’expert, le manque général de connaissance sur ce qu’est le cyber-renseignement, ses différentes applications et son but.
Lorsque l’on aborde ce sujet, la plupart des personnes ont un préjugé négatif, dû à la polémique sur la politique des Etats en la matière, ainsi qu’à une vision souvent fantasmée et déformée par la culture populaire. Mais utilisé à bon escient et dans un cadre spécifique défini par le droit, le cyber-renseignement est, sans nul doute, un des outils les plus importants en matière de prévention d’actes terroristes et criminels.
Même s’il n’existe pas de définition officiellement reconnue et que l’étude académique de la discipline est encore balbutiante, nous pourrions essayer de définir ce type de renseignement de la façon suivante : le cyber-renseignement est l’utilisation d’outils informatiques, tel que les logiciels de collecte et d’analyse de données, et de trafic réseau, ainsi que l’exploitation de différents réseaux sociaux, forums, Blogs et communautés en ligne, dans le but de collecter, trier et analyser l’information sous forme de données numériques.
Cyber-renseignement : comment adapter les méthodes du renseignement au cyberespace
Comprendre la méthode de renseignement à l’œuvre dans ce qu’on peut maintenant appeler communément le « cyber » est primordial. Cette méthodologie comprend deux étapes importantes de collecte d’informations : le recueil automatique de données et le cyber-renseignement humain (en anglais Cyber Humint, terme couramment utilisé par les professionnels du renseignement).
Le recueil automatique des données est devenu, en quelques années, le meilleur moyen d’obtenir des informations grâce à une capacité toujours plus grande des systèmes et logiciels créés à cet effet. De nombreux acteurs ont investi dans ce domaine au cours des dix dernières années, notamment les Etats. Les nouvelles technologies comme le Cloud et les nouveaux réseaux (essentiellement les réseaux sociaux) ayant permis l’apparition d’outils tels que le Big Data (ensemble de données si volumineux qu’il nécessite une nouvelle gestion de l’information et a donné naissance à un véritable business) et le Datamining (exploration de ces données essentiellement grâce à des algorithmes), le recueil automatique de renseignement est devenu plus accessible et plus facile.
Ces méthodes s’appuient souvent sur différent algorithmes de traitement de l’information, comme par exemple le traitement automatique du langage naturel, les expressions régulières et ou encore les mots clés. L’utilisation de ces algorithmes permet de collecter des centaines de millions de données. Analyser et lier ces données entre elles, afin de trouver des corrélations, en permet l’exploitation. Améliorer l’analyse humaine de cette montagne de données collectées sera sans doute l’un des grands défis de notre siècle dans le domaine cybernétique. Le renseignement humain (Humint) a donc aussi une importance cruciale dans le cyber-renseignement.
Popularisé par Amit Steinhart (Université de Sofia), l’utilisation du renseignement humain dans le domaine du cyber a été un véritable tournant, notamment pour les agences de renseignement. Les compétences techniques, d’ordinaire utilisées par les hackers ont été enseignées à une nouvelle génération d’analystes, ce qui a permis au monde du renseignement d’entre dans la nouvelle ère cybernétique. Ces nouvelles compétences sont venues enrichir les savoir-faire plus traditionnels comme l’analyse des facteurs humains, la psychologie, les techniques de recrutement et l’ingénierie sociale. Cette dernière, outil traditionnel du renseignement humain consistant à acquérir des informations de manière abusive, est souvent utilisée dans le domaine du cyber.
La connaissance du monde cybernétique et des ses principaux acteurs est primordiale. Son acquisition nécessite souvent une infiltration au sein de certains réseaux, notamment via l’utilisation d’un avatar – une identité fictive permettant d’intégrer un réseau donné en utilisant les mêmes codes que les acteurs (hackers, militants) ciblés. Une grande rigueur doit être apportée à la création de cette fausse identité afin de pouvoir infiltrer au mieux le réseau ciblé et d’en extorquer le plus d’informations possible.
L’étude des différents milieux et réseaux en amont est également importante. Pour donner un exemple, il est évident qu’on ne peut infiltrer le réseau de militants d’une cause ou d’une idéologie de la même manière qu’un réseau de cybercriminels. Le processus d’infiltration doit donc être précédé d’une préparation minutieuse. Il serait facile de penser qu’au vu de l’évolution des technologies – telles que l’intelligence artificielle ou encore l’automatisation de différents domaines comme la collecte de données et l’apprentissage – le renseignement humain n’ait plus sa place. Or l’on constate qu’il est aujourd’hui encore plus impossible de s’en passer, y compris dans le domaine du cyber-renseignement.
Cyber-renseignement d’Etat : espionnage et surveillance ou la tentation de Big Brother
L’utilisation des nouvelles technologies et des compétences informatiques a durablement changé le monde du renseignement. Cela a bien évidemment eu un impact non négligeable sur la politique des Etats en la matière. Les services de renseignement civils et militaires ont donc rapidement créé et développé des départements et des programmes consacrés au renseignement cybernétique, dans l’optique d’améliorer leurs capacités d’espionnage et de surveillance. Celles-ci ont donc fortement augmenté au cours de la dernière décennie.
Les grandes puissances comme les Etats-Unis d’Amérique, la Chine, la Russie, le Royaume-Uni ou encore la France se sont bien évidemment lancées dans la course. Mais elles ne sont pas les seules à exceller dans ce domaine. Des puissances militaires régionales comme Israël ou l’Iran ont su développer une capacité non négligeable dans le domaine du cyber-renseignement, qui leur a permis de mener d’audacieuses opérations. Le recours à des opérations cyber par les Etats permet à ces derniers d’atteindre un objectif précis, parfois à moindre coût que via le renseignement plus traditionnel.
L’exploitation des vulnérabilités au sein de l’architecture informatique des systèmes visés permet la collecte de données. Pour cela, il s’agit de déterminer le meilleur angle d’attaque. Dans les faits, cela se traduit par une stratégie visant à pénétrer un réseau, une base de données, un système de gestion de ressources – le plus souvent sensible – d’un pays visé. L’une des meilleures armes à disposition des Etats, leur permettant de feinter les systèmes de protections informatiques traditionnels, est la vulnérabilité Zero Day. Il s’agit d’une vulnérabilité inconnue sans correctif adéquat. Une faille. La durée entre l’utilisation de la vulnérabilité et la découverte puis la correction de la faille (par les concepteurs d’anti-virus par exemple) doit donc être mise à profit afin d’atteindre l’objectif fixé.
Le cyber-renseignement ne se borne pas à l’extraction de données mais comprend aussi des attaques contre des infrastructures cibles, souvent sensibles, au sein du pays visé. Identifier les systèmes de défenses d’un pays-cible s’avère donc être une étape essentielle. Le but est de créer la cyberarme la plus efficace contre cette infrastructure. Il est possible de classer les cyberarmes en trois catégories selon les effets qu’elles engendrent :
- Risque faible : arme pouvant perturber l’accès à un système donné mais ne le pénétrant pas et ne créant pas de dommages. Une surcharge de trafic par exemple est l’un des moyens les plus couramment utilisé pour créer des dommages temporaires.
- Risque moyen : arme pouvant pénétrer le système cible afin de collecter des données, de les manipuler ou encore de les détruire. Les logiciels espions (Spywares), les vers (Worms) et autres outils d’infiltration ayant la capacité de se propager rapidement au sein d’un système ou d’un réseau font partie de cette catégorie.
- Risque élevé : arme qui, via l’infiltration du réseau ou du système, peut causer des dommages physiques et humains importants. Les programmes comme les logiciels malveillants (Malwares), représentant une menace persistante avancée, souvent introduits dans un système afin d’y nuire le plus longtemps et le plus efficacement possible, font partie de cette catégorie.
Autre élément important du cyber-renseignement, la surveillance de masse. Des programmes visant à collecter le plus de données numériques ont été mis en place par plusieurs Etats. Ces derniers n’hésitant pas à surveiller leurs propres citoyens. Les États-Unis d’Amérique dispose des programmes de surveillance les plus avancés à ce jour. Leurs systèmes de collecte de données sont les plus efficaces et la coopération avec le gouvernement – dans le cadre du droit, – des géants de l’informatique et d’internet que sont Google, Yahoo, Microsoft, Facebook ou Cisco, permet aux États Unis d’avoir accès à de multiples bases de données. Les programmes de collecte de données les plus connus mis en place sont : Xkeyscore, Prism, Echelon, Carnivore Dishfire, Stoneghost ou encore Tempora.
Les Etats-Unis, étant également signataires du traité UKUSA de 1946 avec le Royaume-Uni, peuvent disposer des ressources en matière de renseignement électronique et cyber des autres signataires ayant rejoint ce traité : le Canada, l’Australie et la Nouvelle-Zélande. Le programme Echelon, ainsi que le partenariat privilégié entre la NSA américaine et le GCHQ britannique, sont l’illustration du bon fonctionnement de cette alliance anglo-saxonne.
A une plus petite échelle, d’autres nations ont su développer des programmes de surveillance et des capacités en cyber-renseignement. Pour ce qui est de la France, il convient de signale le programme Babar, créé dans un but d’infiltration de systèmes étrangers. Les cibles connues de ce programme ont été les centres de recherche du programme nucléaire de l’Iran, des médias canadiens ou encore des infrastructures algériennes et ivoiriennes.
A noter également, la propension de certains gouvernements à intégrer des portes dérobées (Backdoors) au sein de logiciels vendus par leurs firmes nationales, lesquelles permettent un accès secret au logiciel sans que l’utilisateur ne soit au courant. La Chine est connue pour utiliser à outrance ce procédé, au même titre que la Russie et les États Unis, dans une moindre mesure.
La pratique du cyber-renseignement par les Etats, aussi bien à des fins d’espionnage que de surveillance, est utile en ce début de siècle tumultueux. Mais la question de la protection des données personnelles et de la vie privée des citoyens se pose encore, faisant craindre aux Cassandre l’avènement d’une société rappelant le roman 1984 de George Orwell et son célèbre Big Brother.
Cybercriminalité : la technologie au service des trafics
Les révolutions technologiques amènent toujours des révolutions économiques. De nouveaux moyens de communiquer et d’échanger ouvrant de nouveaux horizons et de nouvelles opportunités. Le crime organisé s’est bien entendu adapté au monde moderne et la cybercriminalité est un des problèmes majeurs accompagnant l’évolution d’Internet. Aujourd’hui le cybercriminel n’a plus besoin de posséder de grandes compétences techniques, ce qui démocratise grandement le recours aux nouvelles technologies à des fins de trafics en tout genre. La jeunesse des pays en développement, notamment africains, a vu se créer en son sein une véritable culture de la fraude informatique lucrative et de l’escroquerie. L’un des cybercrimes les plus connus est la fraude bancaire. Il s’agit de pirater des sites de ventes en ligne, de récupérer les données de clients, dont les numéros de cartes bancaires. Ces données peuvent être revendues ou utilisées. De nombreuses autres arnaques ont également été mises sur pied toujours dans le but de soutirer de l’argent aux personnes ciblées.
L’utilisation des réseaux souterrains constituant le Darknet comme TOR ont permis l’émergence de marchés noirs, de forums au sein desquels sont revendus des numéros de cartes bancaires, de sécurité sociale, des identifiants ainsi que des pièces d’identité. Ces nouveaux réseaux souterrains facilitent grandement les trafics de drogue, d’armes, d’images et de vidéos alimentant les réseaux pédophiles. Une économie parallèle s’est développée. La création du bitcoin (monnaie virtuelle) a accentué ce phénomène. Le bitcoin a été créé à la fois comme devise monétaire et système de paiement. Facilitant depuis quelques années les transactions sur internet, ce système a parfois été détourné à des fins criminelles. En effet, malgré le cadre juridique en train de se mettre en place et les moyens technologiques permettant de retracer les transactions effectuées, les cybercriminels utilisent principalement le bitcoin pour vendre et acquérir des produits illicites en restant en dehors du circuit financier traditionnel ou encore dans le but de blanchir des fonds.
La cybercriminalité est une menace difficile à juguler pour les gouvernements et les sociétés privées. Les criminels adaptent leur méthode aux moyens des unités spécialisées des forces de l’ordre. Les diverses solutions anti-fraude, les contrôles des contenus ne suffisent pas. Une solution plus efficace est le cyber renseignement et plus précisément le cyber-renseignement humain. Une meilleure connaissance des modes opératoires et des outils utilisés par les cybercriminels, ainsi que la création de contacts afin de pouvoir infiltrer les réseaux permettent d’anticiper les menaces. Ces méthodes sont déjà à l’œuvre dans de nombreux pays mais restent à ce jour peu employées en France. Peu de sociétés privées proposent ce type de services. Peu de systèmes de collecte de renseignement en Open Source sont proposés. Pourtant, l’utilisation de ces méthodes permettrait d’éviter des pertes financières importantes. Selon un rapport du Center for Strategic and International Studies (CSIS), la cybercriminalité conjugué à l’espionnage économique coûterait aux Etats 445 milliards de dollar par an dont 200 pour les seuls États-Unis, Chine et Allemagne. Ainsi, la pratique du cyber renseignement est devenue un élément fondamental du processus de cybersécurité pour beaucoup d’acteurs du domaine.
Le cyberespace, théâtre d’opérations d’une guerre nouvelle contre le terrorisme
Depuis une quinzaine d’années et le début de la guerre contre le terrorisme – notamment islamique – déclaré par l’administration Bush après le 11 septembre 2001, la lutte contre le terrorisme est devenue prioritaire dans de nombreux pays. De nouvelles manières d’appréhender la menace ont vu le jour afin de combattre efficacement, sur tous les théâtres. Internet et le monde cybernétique en sont devenus un. Des unités spécialisées en cyberterrorisme et hacktivisme ont été créées au sein des services de police (polices nationales, Europol, Interpol) et de renseignement civils ou militaires. L’étude et l’analyse des activités de différents suspects sur les réseaux sociaux et les forums – devenus en quelques années les lieux de prédilection des recruteurs djihadistes – est une des méthodes les plus fréquemment employées. L’infiltration des ces réseaux peut permettre d’anticiper des attaques d’envergure comme celles qui ont malheureusement touchées la France en 2015.
L’utilisation d’Internet dans la lutte antiterroriste n’est d’ailleurs pas le seul fait des gouvernements. Certains groupes d’hacktivistes, farouchement opposé à l’idéologie djihadiste, comme Anonymous ou Ghostsec, se sont lancés dans la lutte contre les relais des organisations islamistes sur Internet, notamment ceux du groupe État islamique, publiant ainsi certaines données collectée sur leurs membres ou mettant « hors ligne » leurs sites de propagandes.
L’avènement de l’internet des réseaux sociaux dit 2.0 au début des années 2000 a permis à certains extrémistes, religieux ou politiques, d’adapter leur communication, leurs méthodes de recrutement et leurs attaques au siècle naissant. Ce phénomène a commencé avec la création d’Anonymous, groupe d’hacktivistes anticapitaliste et anti-impérialiste s’attaquant à des Etats ou des organisations jugés néfastes. Anonymous a par la suite inspiré d’autres groupes.
Mais l’utilisation des réseaux à des fins politiques a connu un véritable engouement lors du « printemps arabe » de 2011, la « Révolution verte » inachevée de 2009 en Iran en avait été les prémices. L’utilisation des réseaux sociaux allait avoir un impact important sur les événements politiques qui suivirent, permettant aux révolutionnaires d’échanger, de communiquer, de se regrouper, de s’informer et d’informer le monde de l’évolution des « révolutions » en cours. Les réseaux sociaux sont ainsi devenus une arme symbolisant une nouvelle forme de liberté guidant le peuple. Mais le « printemps arabe » a, dans la plupart des pays touchés par ce séisme politique, laissé place aux guerres civiles et à l’islamisme. Les mouvements terroristes se revendiquant de cette idéologie, comme Al-Qaïda et plus récemment l’État islamique, ont su saisir l’opportunité qu’offrait Internet et ont eux aussi su pleinement se servir de ces outils.
Le piratage de sites catalogués comme ennemis et la propagande à des fins de recrutement sont les principaux faits d’armes de ces groupes. Pour ce faire, de nombreuses cellules d’hacktivistes appartenant à la mouvance islamiste ont été activées dans de nombreux pays, créant ainsi une génération de cyberdjihadistes. Se sachant surveillés par les différents services de renseignement, l’État islamique a récemment publié un guide de formation destiné à ses sympathisants, afin d’éviter d’attirer l’attention, notamment en désactivant les systèmes de géolocalisation et en apprenant à supprimer les métadonnées de leurs publications en ligne. La publication de ce guide confirme que l’État islamique a pris conscience de la capacité des agences occidentales à collecter des données via les publications de ses membres sur les réseaux, notamment via Twitter.
Afin d’échanger et de communiquer de manière plus discrète, certains cyberdjihadistes ont utilisé des services de messagerie sécurisés comme Telegram. L’utilisation de systèmes de chiffrement n’est pas une nouveauté pour certains groupes. Dès 2007, Al-Qaïda a développé un logiciel de chiffrement de messages électroniques. En 2013, le groupe État islamique a fait de même. L’utilisation, à des fins d’anonymat, du réseau Darknet Tor par ce même groupe est également de plus en plus courante.
Malgré tout, certains doutes subsistent quant aux capacités réelles des groupes terroristes en matière de cyberattaques. En ce qui concerne l’État islamique, certains experts affirment que le groupe a déjà fait ses preuves en lançant des opérations réussies, notamment celle visant la chaine de télévision française TV5 en 2015. Mais un groupe de hackers russe serait également suspecté, laissant planer le doute sur la responsabilité réelle de l’organisation islamiste.
Il semblerait que, pour l’instant, ces cyberdjihadistes ne disposent pas des capacités techniques suffisantes permettant de porter réellement atteinte à l’infrastructure critique d’un pays cible. Néanmoins, sous-estimer leurs intentions et leur volonté d’améliorer leurs capacités serait une erreur. Cibler des objectifs occidentaux est clairement un de leurs buts et l’utilisation du cyberespace pour ce faire est un moyen qui pourrait s’avérer efficace. Une politique visant à recruter de meilleurs techniciens et à s’approvisionner en cyberarmes pourrait être envisagé par les instances dirigeantes de ces groupes ou par des sympathisants se réclamant de leur idéologie. L’utilisation de bitcoins, pour faciliter les trafics (antiquités, pétrole) qui font de l’État islamique l’organisation terroriste la plus riche de l’histoire, montre l’intérêt que porte ce groupe aux technologies d’Internet. Sachant cela, les services de renseignement des pays en lutte contre l’État islamique – et contre le terrorisme en général – n’auront de cesse d’avoir recours au cyber-renseignement afin de lutter efficacement dans le cyberespace qui est devenu, aujourd’hui, un théâtre d’opérations à part entière.
*
De fulgurantes évolutions technologiques, notamment dans les domaines de la communication et de l’information, ont profondément marqué le début du XXIe siècle. Il semble aujourd’hui évident que ces technologies, qui font partie intégrante de notre quotidien, vont continuer à évoluer et ainsi nous emmener vers un monde ou le cyberespace va prendre encore plus d’importance. L’internet 2.0 se voit déjà dépassé par l’apparition de l’Internet des objets connectés, considéré comme l’évolution 3.0. La robotique, en plein essor, se prépare à envahir nos foyers après s’être déjà rendue indispensable dans nos usines. Les données numériques échangées ou partagées vont devenir plus nombreuses et plus personnelles. De nombreux paramètres de notre vie quotidienne seront pris en charge par des systèmes numériques nous facilitant l’existence, mais ils pourraient présenter un réel danger au vu du type d’informations partagées. Dans ce monde futur, qui semble déjà être un peu le nôtre, le cyber-renseignement est un élément clé de la cybersécurité, et donc de notre sécurité. Peut-être serait-il temps de s’en rendre compte dès maintenant?