Destruction d'armes nucléaires : cette cyberguerre invisible entre l'Iran et Israël

La cyberguerre consiste en l’utilisation d’ordinateurs et d’internet pour mener une guerre dans le cyberespace6. Face à une abondance de défis sécuritaires, Tsahal investit de plus en plus d’efforts dans la cybernétique, considérée aujourd’hui comme partie intégrante de sa doctrine militaire.

 Ces dernières années, les renseignements militaires israéliens (Aman) ont développé une impressionnante expertise dans ce domaine. En coopération avec l’unité "Keshet" du Mossad, ils se sont spécialisés dans les écoutes et la surveillance par satellite. Leur département d’espionnage électronique a même créé une nouvelle cellule spécifiquement en charge de la guerre informatique. Elle se compose d’appelés qui sont pour la plupart des experts en "hacking", un domaine qu’affectionnent particulièrement les jeunes israéliens et qui vaut à l’État hébreu d’être désigné comme Start-up Nation. Pour les responsables israéliens, se défendre contre une attaque informatique ou endommager des réseaux adverses s’apparentent à deux aspects d’une même stratégie impliquant à la fois des entreprises de high-tech, des spécialistes en sécurité informatique et d’anciens militaires. Un an avant son départ d’Aman, profitant de l’une de ses rares apparitions publiques, le général Amos Yadlin a surpris plus d’un observateur en révélant certains aspects du programme cybernétique israélien que beaucoup croyaient jusqu’ici classé secret défense. Il a confirmé qu’Israël disposait de moyens pour lancer des attaques virtuelles contre des cibles ennemies et assurer en même temps la défense de ses réseaux informatiques. Au même moment, l’armée israélienne annonçait la création de l’unité "8200 cyberspace", nouvelle branche des fameux renseignements militaires de l’État hébreu. A l’instar de ses équivalents britannique (Government Communications Headquarters, GCHQ) et américain (National Security Agency, NSA), l’unité israélienne 8200 est l’une des plus importantes unités au monde de collecte de renseignements électromagnétiques, d’infiltration et de décryptage de données. Ces installations radars, notamment dans le désert du Néguev et le Plateau du Golan, épient 24 heures sur 24 les moindres mouvements ou signaux émis au Liban, en Syrie et même en Iran.

Sans surprise, Israël a donc été rapidement soupçonné d’être à l’origine de l’introduction d’un virus informatique dans les systèmes de la centrale de Bushehr, en Iran. Le "ver informatique" baptisé Stuxnet, particulièrement sophistiqué, a infecté les ordinateurs personnels de plusieurs employés et se serait ensuite propagé bien plus profondément dans les serveurs gérant le programme nucléaire iranien, détruisant près de 1 000 centrifugeuses en diminuant brutalement leur système de rotation. Si l’État hébreu n’a bien entendu fait aucun commentaire, une telle attaque prouve que l’arme informatique constitue une alternative efficace aux interventions aériennes. Bien qu’Israël ait été l’un des pionniers dans le domaine, en créant une infrastructure pour la cyberguerre au début des années 1990, c’est seulement au cours des deux dernières années que les Forces de Défense israéliennes ont commencé à comprendre pleinement le potentiel de la cyberguerre. En partie du fait que les voisins d’Israël sont en retard dans l’installation de réseaux informatiques. Israël a joué un rôle clé dans la dénonciation de certaines installations de l’Iran, comme l’usine d’enrichissement de Qom Fordou, et a travaillé avec la CIA pour saboter l’équipement iranien déployé à des fins nucléaires. En 2008, Ali Ashtari, un homme d’affaires iranien, a été condamné et exécuté pour avoir fourni à Israël des informations confidentielles sur le matériel iranien. La plupart des cyber-opérations réalisées par Israël se font dans le plus grand secret pour contrer le Hezbollah et le Hamas qui développent eux aussi leur usage des technologies de l’information.

La cyberguerre présente un avantage considérable et permet de faire la guerre sans risquer la vie des militaires ou de la population civile. C’est une guerre furtive où l’ennemi est indétectable. En utilisant les connaissances acquises à l’armée, les jeunes Israéliens ont transformé leur pays en un leader mondial de l’informatique. Les vétérans de l’unité 8200 ont appris à développer des technologies de pointe et des algorithmes pendant leur service. En 2002, l’Agence israélienne de sécurité (ISA, ou Shin-Bet) a été chargée de contrer les attaques numériques. Une unité spéciale a été créée dans le cadre de la branche de la sécurité ISA afin de sécuriser tous les systèmes gouvernementaux d’Israël et les infrastructures. Mais la menace a évolué, des attaques pirates coordonnées sur les sites Internet israéliens à des tentatives plus sophistiquées pour accéder aux informations classifiées. Alors que les cyber-ennemis étaient principalement des Palestiniens au début de la décennie, ces dernières années la plupart des hackers viennent d’Iran. L’espace informatique regorge d’une quantité énorme d’informations via les dossiers en ligne, les photos et autres documents privés. Contrairement à d’autres instituts nationaux, IDF est responsable de la protection de ses propres réseaux et ne reçoit que des conseils professionnels de l’ISA. L’unité de télégestion et informatique (Lotem) de la Direction C4I développe et maintient des codes pour Tsahal et ses systèmes de protection.

Stuxnet et Flame, un tournant géopolitique

Décrit à l’époque comme "l’arme cybernétique la plus sophistiquée jamais déployée" ou comme une "cyber arme de destruction massive", le virus Stuxnet a été élaboré dans l’objectif de s’attaquer à un logiciel informatique bien spécifique, un SCADA (Supervisory, control and data acquisition), c’est-à-dire un système de contrôle et de supervision de processus industriels, utilisé dans des domaines tels que la distribution d’énergie ou la régulation des transports. Si de tels systèmes ne sont pas systématiquement reliés à Internet, une clé USB infectée suffit à inoculer le virus. Présent dans le système, le ver "reniflerait" d’abord le système d’exploitation et ne s’attaquerait à celui-ci que si celui-ci correspond aux critères de cible, rendant de ce fait sa détection difficile. Une fois sa cible repérée, Stuxnet reprogramme le SCADA afin de saboter l’installation industrielle.

Dans le cas iranien, ce programme malveillant a ciblé les centrifugeuses du site d’enrichissement d’uranium de Natanz, en modifiant leur vitesse de rotation jusqu’à ce qu’elles soient hors d’usage. Il aurait ainsi détruit environ un millier de centrifugeuses sur cinq mille. Ces dégâts ont été observés par l’Agence internationale de l’énergie atomique (AIEA) au moment où le site était en activité. Parallèlement, il a perturbé les systèmes numériques d’alerte, d’affichage et d’arrêt, qui contrôlent les centrifugeuses, rendant de ce fait ces systèmes aveugles à ce qui se passait.

A la suite d’une erreur de manipulation, Stuxnet se serait répandu sur Internet, infectant plus de 100 000 ordinateurs dans le monde, dont plus de la moitié situés en Iran, permettant ainsi de l’identifier. Si de forts soupçons pesaient déjà sur les États-Unis et Israël, ces intuitions ont été confirmées par les révélations du journaliste américain David E. Sanger dans un article du New York Times du 1er juin et dans un ouvrage publié le 5 juin 2012, intitulé Confront and Conceal : Obama’s Secret Wars. David E. Sanger décrit en détail comment Stuxnet aurait été conçu puis utilisé par l’agence américaine de sécurité nationale (NSA), avec la collaboration de l’armée israélienne (dont l’unité 8200 de Tsahal), dans le cadre d’une opération baptisée "Olympic Games" ("Jeux Olympiques"). Initiée par le Président George W. Bush en 2006 et intensifiée ensuite par le Président Barack Obama, cette opération a été dirigée contre le programme nucléaire militaire de l’Iran.

Même si les autorités américaines n’ont pas confirmé ces révélations, la première réaction de l’administration présidentielle a été d’ouvrir une enquête criminelle pour identifier les auteurs de la fuite, ce que certains journalistes ont interprété comme un aveu implicite.

Lorsque le virus Flame est découvert le 28 mai 2012, Eugène Kapersky, Président et cofondateur de Kapersky Lab déclare : "Le risque d’une cyberguerre représente l’une des menaces les plus sérieuses dans le domaine de la sécurité informatique depuis plusieurs années déjà. Stuxnet et Duqu faisaient partie d’une même série d’attaques, qui a fait naître les craintes d’un cyberconflit mondial. Le malware Flame paraît correspondre à une autre phase de cette guerre et il faut avoir conscience que de telles cyberarmes peuvent être facilement dirigées contre n’importe quel pays. A la différence des dispositifs d’armements conventionnels, ce sont les nations les plus développées qui sont en fait les plus vulnérables." La première trace de Flame remonte à août 2010, mais Kaspersky estime qu’il était opérationnel depuis plus longtemps. Le virus avait déjà sévi dans plusieurs pays du Moyen-Orient (Arabie saoudite, Égypte, Iran, Israël, Liban, Soudan et la Syrie), dans la région de la Cisjordanie mais également en Russie, en Autriche, à Hong Kong et aux Émirats arabes unis selon les informations de l’éditeur Symantec.

Extrait de "Iran-Israël : une guerre technologique - Les coulisses d'un conflit invisible", de Sarah Perez, publié chez François Bourin Editeur, 2015. Pour acheter ce livre, cliquez ici.