Comment le cyberespionnage est entré dans une nouvelle ère 4 août 2021 René d

1. Comment le cyberespionnage est entré dans une nouvelle ère
2. 4 août 2021 René de Marseille
3. Les récentes révélations sur le logiciel Pegasus, qui a infiltré jusqu’au portable d’Emmanuel Macron, lèvent le voile sur la guerre de la cybersurveillance. Mais ce scandale ne représente qu’une petite partie d’un business colossal : chaque faille de nos téléphones est traquée et exploitée.
4.  
5. « Franchement, je n’ai aucun souvenir de ce que je faisais précisément ce jour-là », admet Joseph Breham, avocat spécialiste des droits de l’homme. Ce vendredi 20 septembre 2019, il fait chaud à Paris, et, dans l’actualité, il est question des « gilets jaunes » et de la marche des jeunes pour le climat. A 10h27, le téléphone de l’avocat vibre : un certain « Bergers O. » vient de lui adresser un iMessage, missive entre utilisateurs d’iPhone. Deux minutes plus tard, un autre, d’une « Naomi Werff ». Me Breham ne les connaît pas, mais ne s’alarme pas : chaque jour, il reçoit plus d’une centaine de SMS, dont certains d’inconnus, qu’il se contente d’ignorer s’ils n’ont pas de lien avec son travail. Sauf que ces deux messages, fondus dans le flux, vont permettre à des espions de le pirater.
6.  
7. Jusqu’à la fin décembre, l’avocat sera surveillé par le logiciel Pegasus, un mouchard créé par l’entreprise israélienne NSO, principalement utilisé par des services de renseignement pour arrêter « des criminels et terroristes », selon la société. Ce n’est pourtant pas le cas de Joseph Breham. Au moins 656 Mo de données ont été extraites de son iPhone, sans que l’on connaisse précisément la teneur de ce qui a été dérobé.Le logiciel peut lire SMS et messages cryptés (iMessage, WhatsApp, Telegram…), scruter les e-mails, visionner photos et vidéos, retracer la géolocalisation, voire activer le micro pour écouter aux alentours.
8.  
9. L’avocat n’a
10.  
11. « jamais rien suspecté » et ne l’apprend qu’avec les révélations du consortium de médias Forbidden Stories, diffusées notamment par « le Monde » et Radio France, et de l’ONG Amnesty International. Son numéro figure dans un annuaire de Pegasus, utilisé par de nombreux Etats, dont le Maroc, l’Arabie saoudite, le Bahrein, l’Inde, le Mexique, la Hongrie, l’Azerbaïdjan, le Togo et le Rwanda. Joseph Breham n’est qu’une des 50 000 personnalités ciblées.
12.  
13. Parmi elles, des journalistes, des opposants politiques, et même des chefs d’Etat et de gouvernement : les numéros du président Emmanuel Macron, de l’ancien Premier ministre Edouard Philippe et de quatorze ministres français figurent dans la liste. « Ne faites pas comme si vous découvriez que les services de renseignement surveillent », tempère une source au sein des « grandes oreilles »françaises. Côté exécutif, le directeur de l’Agence nationale de la Sécurité des Systèmes d’Information (Anssi) joue les blasés : « Malheureusement, il y a bien plus grave que les bourricots ailés [comprendre Pegasus] et leurs avatars. »
14.  
15. Les hackers de « zero-day »
16. Sans être dupe, l’affaire Pegasus prouve combien le cyberespionnage est devenu prédominant dans le renseignement grâce à un arsenal de plus en plus perfectionné… au point de pouvoir écouter un président à partir d’un simple message envoyé. Nicolas Arpagian, enseignant à l’Ecole de Guerre économique (EGE) et auteur de « la Cybersécurité » (éd. PUF), résume :
17.  
18. « Les agences de renseignement ont toujours été chercher l’information là où elle est. Durant la guerre froide, l’objectif était de dérober les valises diplomatiques par lesquelles transitaient les secrets ; aujourd’hui, c’est de s’introduire dans les portables. »
19.  
20. Bonne nouvelle pour les services de renseignement, deux tiers de la population mondiale possèdent au moins un téléphone, et la prééminence du smartphone a à la fois homogénéisé les appareils et démultiplié les options d’écoute. De la poche d’Emmanuel Macron à celle de l’opposant politique, on retrouve les mêmes iPhone et Android, dotés de multiples capteurs et logiciels, constamment mis à jour. Or ces technologies sont mues par des milliards de lignes de code, dont la moindre erreur peut devenir une brèche dans laquelle s’infiltrent d’ingénieux hackers.
21.  
22. Dans le jargon, on les appelle les failles « zero-day » pour signifier qu’elles sont inconnues de l’auteur du programme. Les identifier est un travail minutieux : il faut compter en moyenne deux cent sept jours pour les découvrir. Cette quête des coquilles numériques est devenue une industrie. « Les zero-day sont au cœur d’un gigantesque business entre des groupes de hackers peu scrupuleux, des sociétés ayant pignon sur rue et des agences gouvernementales », note Philippe Rondel, architecte sécurité pour la société Check Point.
23.  
24. En cinq ans, le nombre de défaillancesde sécurité identifiées a ainsi augmenté de 67 %. Le hacker solitaire qui craquait un système depuis sa chambre n’est plus ce qu’il était : il pointe désormais à l’usine ! Des rangées d’informaticiens tentent chaque jour de découvrir des vulnérabilités dans la moindre de nos applis, et des rangées d’espions les exploitent pour le compte d’Etats. Rien qu’en France le renseignement a vu ses moyens humains augmenter de 20 % entre 2014 et 2017, avec des recrutements majoritaires de spécialistes du numérique.
25.  
26. « Les grands alliés, on ne les espionnait pas »
27. La bascule vers le cyberespionnage, entamée après le 11-Septembre, est très opaque et ne s’illustre que par quelques histoires connues. Le premier conflit à tourner au cyberaffrontement date de 2007. Des hackers russes paralysent alors l’Estonie. Motif : la jeune République de l’ancien bloc soviétique devenue hyperconnectée vient de retirer un monument à la gloire de l’URSS. Voilà qui mérite un châtiment. L’attaque, brutale et élémentaire, consiste à saturer les serveurs internet des services publics, des banques et de tous les systèmes connectés avec des millions de requêtes issues de réseaux de PC piratés et contrôlés à distance. Rustique mais efficace.
28.  
29. Une autre attaque, bien plus sophistiquée, frappe trois ans plus tard : grâce à Stuxnet, un logiciel malveillant, les services américains et israéliens parviennent à ralentir le programme d’enrichissement d’uranium iranien. Pour atteindre les centrales nucléaires de la République islamique, le « ver » se transmet d’ordinateur en ordinateur en empruntant quatre failles, gardées secrètes jusqu’alors, du système Windows. Au passage, le virus infecte des millions de PC à travers le monde pour parvenir jusqu’aux centrifugeuses iraniennes.
30.  
31.  
32. Le numéro de téléphone d’Emmanuel Macron faisait partie d’une liste de 50 000 personnalités ciblées par Pegasus. (NADIA DIZ GRANA POUR « L’OBS » D’APRÈS DES PHOTOS DE SZILARD KOSZTICSAK/EPA/MAXPPP ET D’IDRISS BIGOU-GILLES/HANS LUCAS)
33. Encore plus ciblée, la première attaque connue contre la France remonte à 2010, lorsque Bercy se voit piégé par de faux e-mails – élaborés, selon toute vraisemblance, par la Chine. Une fois introduits dans les systèmes du Trésor, les cyberespions extraient des dossiers concernant l’organisation du G20. Deux ans plus tard, c’est au tour de l’Elysée d’être « visité » : un conseiller de Nicolas Sarkozy se fait duper par un de ses amis Facebook qui l’incite à cliquer sur une reproduction factice du site interne de la présidence. Ses codes d’accès au système élyséen sont récupérés par la NSA, l’agence de renseignement américaine, qui soustrait des notes secrètes après l’élection de François Hollande.
34.  
35. « On était sûrs que c’étaient les Américains, a raconté, lors d’une conférence, Bernard Barbier, ancien directeur technique de la DGSE, le service de renseignement extérieur français. A la fin d’une réunion avec Keith Alexander [ex-directeur de la NSA], ce dernier me dit qu’il est déçu car il pensait que jamais on ne les détecterait. Les grands alliés, on ne les espionnait pas. Le fait que les Américains cassent cette règle, ç’a été un choc. »
36.  
37. Edward Snowden, ancien agent de la CIA et sous-traitant de la NSA, a dévoilé depuis le vaste système de cybersurveillance mis en place par les Américains pour collecter de façon massive le plus de données numériques possible – et, au passage, écouter l’Elysée ou la chancellerie allemande. Déjà de l’histoire ancienne. « Tout a changé depuis », assure Snowden dans son autobiographie « Mémoires vives » (Seuil). Le lanceur d’alerte souligne un changement majeur : le chiffrement des communications, pour rendre les échanges illisibles à des tiers, s’est généralisé, y compris chez les particuliers, qui privilégient désormais des applis cryptées comme Telegram, Signal ou WhatsApp.
38.  
39. « 2016 a été la première année où il y a eu davantage de trafic internet chiffré que non chiffré. Le web est clairement plus sécurisé aujourd’hui. »
40.  
41. Conséquence : les écoutes « classiques » diminuent. Se brancher sur la ligne téléphonique ou se promener avec une valise captant les échanges environnants n’a plus d’intérêt puisque la plupart des données sont chiffrées. « D’où la motivation de s’introduire directement sur les terminaux », décrypte Philippe Rondel, de Check Point. Les objectifs du « hacking » ont aussi évolué, comme l’explique Michel Van Den Berghe, président du Campus Cyber qui cherche à fédérer la communauté française de la cybersécurité :
42.  
43. « Il y a désormais deux typologies d’attaques : les grands coups de filets mafieux, non ciblés, qui visent à générer un maximum d’argent ; et les attaques très spécifiques et de longue haleine afin de saisir des données sensibles. »
44.  
45. « On est en plein dans la course au cyberarmement »
46. Il y a donc, d’une part, un marché noir du piratage de particuliers et d’entreprises estimé à 6 000 milliards de dollars en 2021. Et, de l’autre, un marché « gris » (en partie légal), où les « zero-day » se négocient à des prix élevés pour alimenter des opérations de renseignement. Selon cette répartition, le cyberespionnage ne représente que 10 % des vols de données, mais celles-ci sont stratégiques.
47.  
48. Certaines sociétés se spécialisent dans la recherche et le négoce de vulnérabilités inédites. Zerodium, entreprise américaine créée par le Français Chaouki Bekrar, est l’un de ces « courtiers » les plus célèbres. Il assure débourser jusqu’à 1,5 million de dollars pour acquérir une faille permettant de pirater un smartphone via WhatsApp ou iMessage sans la moindre action de son propriétaire. « Ces sociétés fabriquent des armes informatiques, comme d’autres fabriquent des chars, analyse Eric Filiol, expert en cryptologie et ancien de la DGSE. On est en plein dans la course au cyberarmement, parce que celui qui contrôle la technologie dominera la guerre de demain. »
49.  
50. Chez Zerodium, on en convient : « Nos clients sont des organisations gouvernementales, principalement d’Europe et d’Amérique du Nord. » La fuite d’e-mails de la société italienne Hacking Team (fermée depuis) a montré que les clients les plus gourmands sont les régimes autoritaires, comme l’Egypte, l’Ethiopie, le Maroc, le Soudan, l’Azerbaïdjan, le Kazakhstan, la Malaisie ou l’Arabie saoudite. L’Arrangement international de Wassenaar (1996), qui entend encadrer le commerce des technologies à double usage (civile et militaire), ne peut rien y faire. Ces Etats n’en sont pas signataires et peuvent s’offrir sans entrave ces « logiciels d’intrusion ».
51.  
52. « La difficulté est qu’il s’agit de technologies ambivalentes, pouvant être utilisées autant pour se protéger que pour attaquer, note Guillaume Tissier, associé du cabinet d’intelligence économique Avisa Partners et coorganisateur du Forum international de la Cybersécurité. Le problème, c’est le dévoiement des techniques pour en faire des cyberarmes. On note d’ailleurs qu’Israël n’est pas non plus signataire de l’Arrangement de Wassenaar. » Pas étonnant, dans ces conditions, qu’une société comme NSO ait pu développer son logiciel d’espionnage Pegasus, dont chaque vente est approuvée par la Défense israélienne. L’affaire est juteuse : l’Arabie saoudite aurait déboursé 55 millions de dollars pour l’utiliser, le Mexique, plus de 80 millions.
53.  
54. Des espions derrière chaque « backdoor »
55. Mais la quête des vulnérabilités informatiques ne se cantonne pas aux seuls smartphones. Tous les logiciels, même les plus insignifiants, peuvent servir à espionner. Les Etats-Unis l’ont appris à leurs dépens. L’an dernier, un groupe de hackers, vraisemblablement russes, s’est infiltré chez SolarWinds, un éditeur américain de programmes d’infrastructures informatiques, pour y glisser une « backdoor » (une porte dérobée) dans une mise à jour. Résultat : entre septembre 2019 et juin 2020, 18 000 institutions et entreprises ont été piratées, dont les départements américains de la Défense, de l’Intérieur, du Trésor, du Commerce et de la Santé.
56.  
57. « Rien n’est plus important aujourd’hui que la souveraineté des technologies et données sensibles ! insiste Michel Van Den Berghe, du Campus Cyber. Nous sommes dans un univers numérique où tout le monde espionne tout le monde, et où il ne faut se fier ni aux amis ni aux alliés. » Rien n’empêche en effet un sous-traitant de se transformer en agent double, et d’espionner un client pour le compte d’un autre client. En mai dernier, l’Australie a par exemple annulé un contrat avec la firme israélienne Elbit, qui devait fournir le nouveau système informatique de l’armée, après la découverte d’une backdoor dans les lignes de code. Aujourd’hui, 40 % des intrusions proviennent de ces attaques indirectes.
58.  
59. « L’industrie de la cybersurveillance est devenue hors de contrôle, a déploré l’ancien rapporteur des Nations unies pour la liberté d’expression David Kaye. Il est temps que les gouvernements et les entreprises reconnaissent leurs responsabilités. » Depuis 2013, les initiatives de « chasse au bug » ont permis d’encourager « un côté vertueux du hacking, se réjouit Michel Van Den Berghe. Mais il faut aller plus loin. Pour la sécurité routière, il y a une double régulation : d’un côté, des obligations pour les utilisateurs, comme la ceinture ; de l’autre, des contraintes pour les constructeurs afin de produire des voitures plus sûres ».
60.  
61. Un appel tempéré par une source proche du renseignement français : « Si on arrête [le cyberespionnage], les autres ne se priveront pas de continuer… Et il faut rappeler que nos actions sont utiles à la population ! » On pense à l’immense coup de filet réalisé l’an dernier en Europe, lorsque la gendarmerie française, épaulée par les autorités néerlandaises, a infiltré les téléphones ultrasécurisés d’EncroChat, utilisés par les réseaux de commerce de drogue. Par « des moyens techniques » – comprendre du piratage –, les forces de l’ordre ont pu consulter les échanges des utilisateurs et démanteler un trafic à l’échelle du continent. Le crime aussi a ses failles.
62.  
63. Comment détecter Pegasus
64.  
65. « La difficulté est que Pegasus infecte désormais sans laisser aucune trace perceptible, en exploitant plusieurs vulnérabilités des smartphones », note Bastien Bobe, directeur technique pour l’Europe chez Lookout, société de cybersécurité, première à avoir identifié le mouchard de NSO. Les récents piratages de téléphones sont passés par des appels WhatsApp ou des iMessages, par définition prévus pour être ouverts à l’extérieur. S’il est difficile de bloquer Pegasus, il est en revanche possible de le détecter. Et ça, l’application MTD (Mobile Threat Defense) de la start-up française Tehtris sait faire. « C’est par hasard que nous avons été capables de le repérer, admet Ingrid Söllner, directrice marketing de Tehtris. Notre outil surveille les signaux faibles qui ne correspondent pas à des comportements normaux d’utilisateurs – par exemple, l’insertion de codes informatiques dans des couches basses du système ou une application volontairement cachée –, et ça marche avec Pegasus. » Pour les personnes espionnées, il est recommandé de changer à la fois de smartphone, de numéro et de mots de passe.