Tous hackés ? Le point sur l'ampleur du cyber espionnage

Atlantico : Le Washington Post vient de révéler que des espions chinois ont dérobé, via une attaque de cyber-espionnage, des plans du système d'armement américain. Il ne s'agit pas de la première attaque de ce type en provenance de Chine. Quelles proportions cette pratique a-t-elle prise dans le monde ? Quels sont les pays qui y ont le plus recours et dans quels domaines ?

Antton Achiary : Le cyberespionnage se développe assez massivement. Pour autant, il ne s’agit pas un phénomène nouveau : l’entreprise d’équipements de télécommunication Nortel a par exemple été victime d’un espionnage généralisé à partir du début des années 2000, pendant près de dix ans, et qui a très probablement provoqué sa faillite.

Il est très difficile, voire impossible d’établir une mesure de ce phénomène. L’absence d’information quantitative fiable dans le domaine de la cybersécurité est l’un des constats importants de la note d’analyse du Commissariat général à la stratégie et à la prospective (ex Centre d'analyse stratégique)  sur le sujet. Les attaques informatiques destinées à s’approprier des informations sensibles sont particulièrement conçues pour rester invisibles le plus longtemps possible et sont donc difficiles à détecter. Et quand elles le sont, les organisations qui en sont victimes peuvent être réticentes à le communiquer pour des questions d’image notamment.

De même, il est difficile, par manque d’informations, d’identifier des pays y ayant plus recours que d’autres. Statistiquement, en raison de sa population, la Chine fait partie des pays qui émettent le plus grand nombre de cyberattaques. Et les pouvoirs publics américains font régulièrement part de leurs soupçons, sans doute à juste titre, contre l’activité chinoise dans ce domaine. Cependant, on peut penser que la plupart des pays développés mènent des opérations de cyberespionnage, y compris contre leur propre alliés.

Les attaquants sont à la recherche de toutes les données « stratégiques » pouvant être exploitées ou revendues. Les plans de systèmes d’armement sont un bon exemple. En France, le ministère français de l’Économie et des Finances a subi une attaque qui avait pour but de recueillir des informations relatives à la présidence française du G8 et du G20. À noter que le cyberespionnage ne concerne pas uniquement les États : les entreprises en sont également victimes.

Comment ont évolué les différentes formes de cyber-espionnage ? Espionne-t-on "comme avant" et pour les mêmes raisons ? 

On ne peut pas réellement faire de classification du cyberespionnage qui est une utilisation des moyens informatiques pour surveiller et soutirer des informations. On espionne pour de nombreuses raisons, qui n’ont sans doute que peu changé dans l’histoire (copier, imiter, conquérir, se protéger, etc.). Mais ce qui change avec Internet, c’est la possibilité d’espionner depuis son ordinateur, avec de faibles chances d’être identifié et pour un coût relativement faible (mais qui dépend néanmoins du niveau des cibles visées). Ceci explique sans doute le développement préoccupant du cyberespionnage.

Quels intérêts et secteurs le cyber-espionnage cible-t-il en priorité ?

Toutes les organisations (publiques ou privées) et tous les individus détenant des informations ayant de la valeur sont susceptibles d’être espionnées. En espionnant les entreprises, les attaquants cherchent par exemple :

• Des informations liées à la recherche et au développement ;

• Des informations échangées par les dirigeants ;

• Des données financières et commerciales (contrats, négociations en cours, etc.).

Quels sont les dangers qu'il peut faire courir ? 

Les particuliers seront plus touchés par la cybercriminalité (vol de données à caractère personnel, fraudes en tout genre) que par ce qu’on appelle le « cyberespionnage », même si la distinction entre les deux termes n’est pas si claire. Le principal danger du cyberespionnage est économique. Le vol du patrimoine informationnel des entreprises et des administrations peut avoir des effets sur la compétitivité nationale et la croissance. Si, par exemple, une start-up extrêmement innovante, au potentiel de croissance fort, se fait voler sa technologie clé, elle perd de grandes chances de pouvoir se développer, ou du moins de conserver son avantage concurrentiel. Mais le risque diplomatique existe également. Des pays hostiles peuvent s’emparer de plans de systèmes d’armes pour les développer à leur tour et les utiliser ou au moins y gagner en poids diplomatique. 

Comment peut-on expliquer l'impuissance des Etats face à cette pratique ? Comment est-il possible de lutter efficacement contre ?

La note d’analyse que nous avons rédigé, qui répond à la plupart de vos questions, fait le constat que les organisations sont insuffisamment protégées contre les cyberattaques, en raison notamment d’une trop faible sensibilisation au risque et de la sous-estimation du coût économique de l’insécurité numérique. Les risques liés aux défaillances humaines sont également à prendre en considération. Les techniques d’ingénierie sociale sont utilisées pour exploiter ces faiblesses et constituent souvent pour un "attaquant" la première porte d’entrée dans un système d’information.

En France, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) a pour mission d’élever le niveau de sécurité des systèmes d’information des administrations et des opérateurs d’importance vitale, et de sensibiliser les entreprises aux risques encourus.

Les organisations doivent adopter une démarche rationnelle et objective de gestion des risques, qui a pour objectif d’identifier, d’analyser et de hiérarchiser les menaces, les vulnérabilités et le patrimoine informationnel à protéger afin de mettre en œuvre une réponse adaptée, sur les plans technique et organisationnel. En fonction du degré de sensibilité des informations détenues, il est donc possible d’élever le niveau de sécurité et de rendre plus difficile la réalisation d’attaques d’espionnage, même si le risque zéro n’existe pas.