jeudi, mars 28, 2024

CSS, NSA et Cyber Command : Changements structurels dans la démarche cyber Outre-Atlantique

La NSA va créer une nouvelle Direction de la cybersécurité

La National Security Agency a annoncé son intention de créer une direction de la cybersécurité courant 2019 dans le cadre d’une initiative plus vaste visant à fusionner ses opérations de lutte informatique offensive (LIO) et défensive (LID).

La NSA fait depuis plusieurs années l’objet de réorganisations dont le spectre s’est élargi sous la direction du général Paul Nakasone – actuel chef du Central Security Service (CSS) – alors que l’agence a fini par perdre l’accent mis sur la cybersécurité. Ce dernier vient donc d’annoncer la création d’une Direction de la Cybersécurité et de nommer Anne Neuberger pour en prendre la tête après près de 10 ans passée au sein de la NSA.

Anne Neuberger qui siège actuellement au conseil d’administration de la NSA, a été la première responsable en chef de la gestion des risques et a fait partie de l’équipe qui a aidé à mettre sur pied l’U.S. Cyber Command en 2009. Dernièrement, elle a supervisé les efforts de la NSA en matière de sécurité électorale avant et pendant les élections de 2018 qui auraient vu la NSA et le USCYBERCOM intensifier leurs efforts contre les interférences russes et améliorer le partage d’informations avec des agences comme le FBI et le DHS, en charge du volet judiciaire.

La nouvelle Direction de la Cybersécurité remplacera l’actuelle Direction de l’Assurance de l’Information de la NSA. Cette annonce intervient dans un contexte où de plus en plus de voix s’élèvent pour affirmer la nécessité d’une séparation de la NSA et de l’USCYBERCOM. Ces deux entités sont distinctes par leurs missions, mais surtout par leur autorité légale.

Créée en novembre 1952, la National Security Agency/Central Security Service (NSA/CSS) est en charge – pour le gouvernement américain – des sujets ayant trait à la cryptologie, englobant à la fois le renseignement électronique (SIGINT) et la cybersécurité, permettant l’exploitation des réseaux informatiques (CNO) procurant un avantage décisionnel.

Longtemps seul centre de compétence du pays, la NSA a su développer un grand nombre de savoir-faire en lien avec le cyberespace. Ce n’est qu’en 2008 que les États-Unis vont prendre la mesure des risques liés au cyberespace. Ignorance au mieux, sentiment d’invulnérabilité au pire, l’Opération Buckshot Yankee va révéler ce que plusieurs appelleront la plus grande menace sur la sécurité nationale que le pays ait connue.

Alors qu’un nouveau malware apparaît sur les radars des chercheurs en cybersécurité et des entreprises spécialisées, une version particulièrement virulente est découverte sur certaines machines du commandement militaire de l’OTAN en juin 2008. Surnommé « Agent.btz » par la société F-Secure, il va conduire à une remise en question profonde des capacités des États-Unis à assurer la sécurité de ses réseaux informatiques.

Opération Buckshot Yankee

Près de quatre mois plus tard, en octobre 2008, des analystes de la NSA découvrent le même malware dans les systèmes du très critique Secret Internet Protocol Router Network, le réseau par lequel transitent les informations les plus sensibles des départements d’État et de la Défense, ainsi qu’au sein du Joint Worldwide Intelligence Communication System, le réseau qui permet aux autorités américaines de transmettre des informations sensibles à leurs alliés.

data center nsa Analyses Défense | Communication et Réseaux Défense | Espionnage
Les « tours d’ivoire », bien qu’étant déconnectées du réseau mondial, ont montré leur vulnérabilité aux attaques évoluées

Ce qui surprend de prime abord, c’est que ces réseaux sont séparés d’Internet et ne disposent – en principe – d’aucune interface avec le World Wide Web, formant un « Air Gap » : une séparation physique, supposée hermétique. Mais le malware « Agent.btz » se trouvait déjà au sein même de ces réseaux et communiquait vers l’extérieur des informations extrêmement sensibles. Cette technique, censée protéger complètement un réseau de l’extérieur n’est pas sans faille et, comme souvent, se trouve « entre l’ordinateur et la chaise ».

Comme Stuxnet, ce malware a été introduit, consciemment ou non, sur le réseau protégé via une clé USB au préalable infectée. Une fois qu’il a pénétré le système cible, le malware se répand par capillarité en infectant tous les périphériques amovibles qui vont être connectés sur la machine.

Mais pour opérer Agent.btz devait communiquer avec son commanditaire à l’extérieur. Ces signaux, preuves tangibles de l’activité malveillante, ont été repérés par un analyste de l’équipe Advanced Network Operations (ANO) de la NSA en charge de la surveillance des télécommunications (SIGNIT) des ennemis des États-Unis à l’étranger (en théorie uniquement car, dans les faits, les révélations d’Edward Snowden ont largement étayé des cas de surveillance de citoyens américains sur le territoire national).

Après plusieurs jours d’investigations, les opérateurs de l’ANO en sont venus à la conclusion que la faille de sécurité était suffisamment sérieuse pour en référer au plus haut niveau de l’appareil sécuritaire américain. Le 24 octobre 2008, Richard C. Schaeffer Jr, à l’époque responsable en chef de la sécurité des réseaux informatique de la NSA et le général Keith Alexander, directeur de l’agence, participent à un briefing de sécurité au cours duquel ils vont informer le président de l’époque, Georges W. Bush – alors sur le point de quitter ses fonctions – le chef d’État-Major, l’adjoint du secrétaire d’État ainsi que les leaders du Congrès.

Pendant les semaines suivantes, l’ensemble des moyens de la National Security Agency ont été mis en œuvre pour parvenir à endiguer, si ce n’est à éliminer Agent.btz sans causer de dommages à l’infrastructure des réseaux sécurisés du pays : c’est le début de l’opération Buckshot Yankee à proprement parler.

En plus du « nettoyage » des systèmes, les opérateurs du service du renseignement sont allés jusqu’à déconnecter physiquement les machines infectées du réseau pour les remplacer intégralement ou en changer directement les disques durs.

En plus de l’ANO, la NSA à fait appel à une autre de ses composantes, qui deviendra par la suite célèbre, le Tailored Access Operations (TAO). Cette unité secrète et hautement spécialisée dans les actions offensives a développé depuis le début des années 1990, une expertise dans l’exploitation des données issues de l’espionnage informatique. Cette expertise participera largement à la découverte de variantes du malware et contribuera à l’élaboration de la nouvelle doctrine de protection « active » des réseaux : la cyberdéfense.

Selon certains officiels américains, la nature de la réponse à apporter à Agent.btz a fait l’objet d’un long débat au sein de l’exécutif et de l’appareil militaire étatsunien. Le TAO aurait proposé des actions de neutralisation de réseaux civils identifiés comme relais du commanditaire et de son système Command & Control (C2 ou C&C). La décision sera prise de qualifier le malware (comme l’ensemble de l’opération) d’acte d’espionnage « classique » et non d’attaque en bon et due forme, ce qui ne justifiait donc pas d’une réponse armée et encore moins cinétique des États-Unis.

Finalement, l’usage des clés USB et de tous les disques amovibles sera temporairement banni des systèmes critiques, mais le « patient zéro » – la source de la faille de sécurité – ne sera jamais formellement établi, même si de forts soupçons ont pesé sur la Russie.

De l’analyse du code de toutes les variantes d’Agent.btz, l’ANO et le TAO arriveront tout de même à remonter la piste jusqu’à des systèmes raccordés aux réseaux sécurisés depuis l’Afghanistan et l’Irak. Le malware restera actif jusqu’au début de l’année 2009 pour finalement être déclaré inactif et avoir été éradiqué de l’ensemble des réseaux compromis.

Une prise de conscience décisive

Buckshot Yankee aura en tout cas permis une réelle prise de conscience de la vulnérabilité des réseaux militaires critiques. Mais d’un point de vue plus large, c’est l’approche de la protection de ces derniers qui a été mise à l’épreuve et qui a prouvé son inefficacité face à une menace récurrente, précise et techniquement élaborée. La protection passive, la « muraille », autrement dit la cybersécurité, a prouvé son incapacité à faire face à toutes les menaces. L’ubiquité et la virtualité de ce nouvel espace de conflictualité font que l’effet et la surprise seront toujours du côté de l’agresseur.

L’opération menée par la NSA aura donc eu pour effet de changer radicalement son approche sécuritaire dans le cyberespace. La protection se doit désormais de ne plus être uniquement passive (cybersécurité) mais aussi active (cyberdéfense) voire pro-active.

Agent.btz, dont le succès reste à démontrer pour son instigateur, aura été une excellente « catalyse » pour l’évolution des mentalités de l’appareil sécuritaire U.S. La nécessité de la protection active des réseaux critique, ainsi que des infrastructures stratégiques outre-Atlantique, fera désormais l’objet d’une attention toute particulière.

Salle Cyber Analyses Défense | Communication et Réseaux Défense | Espionnage
L’US CYBERCOM a la charge de protéger l’intégrité et la pérennité des réseaux et des informations de l’ensemble des forces armées américaines

Avec un budget de 155 millions de dollars et 750 personnels, est créée le 31 octobre 2010 une nouvelle organisation : l’U.S. Cyber Command ou USCYBERCOM. Celui-ci a « la charge de la planification, de la coordination, de l’intégration, de la synchronisation et de la conduite des activités pour diriger les opérations et la défense des réseaux d’information du Département de la Défense, se préparer à mener des opérations militaires du cyberespace à spectre complet afin de permettre des actions dans tous les domaines, assurer la liberté d’action des Etats-Unis et de ses alliés dans le cyberespace et refuser celle-ci à leurs adversaires ».

La création du Cyber Command n’a cependant pas apporté toutes les réponses.

Plusieurs questions de fond vont in fine conduire au remaniement structurel auquel nous assistons aujourd’hui. La gouvernance des opérations américaine dans le cyberespace fait depuis plusieurs années l’objet d’un débat entre les autorités civiles et militaires.  Quelle est l’autorité en charge des opérations offensives ? La conduite d’une opération de neutralisation du réseau d’un attaquant fait-elle partie de la cyberdéfense ou de la lutte informatique offensive ?

Dans les faits, la NSA et l’USCYBERCOM ont été regroupés au sein du CSS (Central Security Service) et dirigé par un militaire. Au départ, cette « double casquette » faisait sens du fait d’une similitude fondamentale entre les aspects techniques des opérations militaires dans le cyberespace (domaine du Cyber Command) et les opérations de réseau informatique liées au renseignement (domaine de la NSA). Le général Michael Hayden, premier directeur du CSS, faisait d’ailleurs remarquer que les opérations offensives dans le cyberespace et le renseignement électromagnétique sont techniquement impossibles à distinguer l’une de l’autre.

C’est de ce constat que naîtra l’idée d’unifier le commandement des deux organisations responsables de chacun de ces domaines. L’impérieuse nécessité de mettre en place une solide capacité d’opérations militaires dans le cyberespace a fini de motiver la décision de rattacher les deux entités et de développer les technologies et techniques en étroite collaboration.

« The NSA has the capacity to conduct such actions, USCYBERCOM has the authority » général Michael Hayden.

Opération Gladiator Phoenix

À partir de l’été 2009, le Pentagone commence à élaborer un ensemble de règles d’engagement, et plus largement une doctrine d’emploi de l’outil cyber.

De cette réflexion naîtra un « executive order » en vertu duquel seuls l’USSTRATCOM et l’USCYBERCOM pouvaient diriger les opérations et la défense des réseaux militaires partout dans le monde. Initialement, celle-ci s’appliquait aux systèmes informatiques privés essentiels aux États-Unis.

La directive pose un certain nombre de conditions complémentaires devant être remplies pour enclencher une réponse militarisée :

  • Il doit s’agir d’une action hostile dirigée vers les États-Unis, ses infrastructures critiques et/ou ses citoyens ;
  • Elle doit impliquer la probable imminence de décès, de blessures graves ou de dommages qui menaceraient la sécurité nationale ou économique des États-Unis ;
  • L’intervention devra être coordonnée avec les organismes gouvernementaux et les unités combattantes concernés ;
  • L’action devra être limitée aux nécessaire spectre visant à interrompre l’attaque, tout en minimisant les impacts collatéraux sur des cibles civils.

Mais l’effort poursuivit de parvenir à un consensus sur les règles d’engagements et sur l’autorité en charge de conduire ces opérations de cyberdéfense et de Lutte informatique Offensive (LIO) a échoué. Pressée par de nombreuses agences de renseignements – CIA en tête – , les départements de la Sécurité Intérieur et de la Justice, la tentative de compromis a été sacrifiée sur l’autel des querelles inter-agences.

Le débat s’est enlisé sur le rôle de l’USCYBERCOM et jusqu’où celui-ci devrait pouvoir être capable d’aller dans la poursuite de sa mission. La question est d’autant plus critique lorsqu’il s’agit de serveurs localisés sur le territoire national.

En février 2011, l’executive order est signé. Celui-ci, largement remanié depuis sa première version, limite l’armée à la défense de ses propres réseaux et ne peut déroger à cette règle que sur accord exprès du président.

Inefficacité du système de « double casquette »

Conséquence directe de la relation entre la NSA et Cyber Command, dont les commandements sont confiés à un seul individu (le directeur du CSS), la motivation initiale de cette organisation – supposée être temporaire – devait être de permettre au Cyber Command naissant de bénéficier de l’expertise, des capacités et de l’expérience de la NSA pour atteindre sa pleine capacité opérationnelle.

Dans la pratique, la relation permet à une seule personne de peser les intérêts souvent concurrents des deux organisations dont les responsabilités dans le domaine du cyberespace se chevauchent, voire se cannibalisent fréquemment. Ce commandement mutualisé a été continuellement réexaminé par les administrations présidentielles depuis sa création et les experts ont avancé des arguments contradictoires en faveur de la dissolution et de la poursuite de l’arrangement.

Bien que la plupart des arguments en faveur de la fin de ce système portent sur le succès de la mise en place de l’USCYBERCOM, ou sur le risque pour les opérations et les capacités de la NSA, relativement peu d’attention a été accordée à la façon dont le chevauchement organisationnel avec la NSA affecte la poursuite de la conduite des opérations militaires dans le cyberespace.

Selon un officiel du Cyber Command, « l’interdépendance entre les deux organisations a permis à celui-ci de s’habituer à un soutien opérationnel et logistique pratiquement ininterrompu des bureaux de la NSA. Cette dépendance organisationnelle profondément enracinée à l’égard des techniques et des processus de la NSA a fondamentalement façonné la façon dont le commandement aborde les opérations du cyberespace. Plus précisément, en s’inspirant des procédures et de la culture de la NSA, l’USCYBERCOM est devenu de moins en moins enclin à prendre des risques […] les processus d’examen et d’approbation doivent changer de paradigme».

Si le Central Security Service regroupant aujourd’hui la NSA et l’USCYBERCOM a su développer des capacités et une technicité unique au monde, c’est en grande partie grâce à la collaboration étroite entre des techniciens de très haut niveau. La NSA compte environ 30 000 personnels militaires et civils et compte plus de 800 doctorants dans les domaines des mathématiques, des sciences physiques et de l’ingénierie. Regroupés sur le site de Fort Meade dans le Maryland, la NSA et l’USCYBERCOM ont évolué de manière symbiotique pendant une décennie et c’est bien cette organisation qui a fait depuis le succès des États-Unis dans la conduite de ses opérations militaires et de renseignement (Olympic Games, Flame, DuQu et Gauss notamment).

Celle-ci pèse désormais sur la continuité de ce développement, voire sur la place de leader des États-Unis dans le cyberespace. Le travail débuté avec l’opération Gladiator Phoenix devra reprendre afin d’établir des règles de gouvernance claires entre la NSA et l’USCYBERCOM, l’arbitrage restant dévolu en ultime recours à l’exécutif.

De ce débat devrait découler outre-Atlantique une nouvelle doctrine en matière de conduite des opérations dans le cyberespace. Si la France a fait le choix de séparer les activités de cyberdéfense (ComCyber), cybersécurité (ANSSI) et de renseignement (DRM, DGSI et DGSE) ; la lutte informatique offensive (LIO) reste du ressort du Premier ministre s’appuyant sur les capacités militaires et sur la direction technique de la DGSE (DT-DGSE). Le manque d’informations ne permet pas de tirer de conclusions quant à l’efficacité de cette collaboration. Il reste que l’imbrication entre les différentes dimensions des opérations dans le cyberespace représente un véritable défi en termes de coopération entre les différentes parties prenantes. En adoptant un modèle proche de celui des États-Unis, la France a jusqu’ici su s’en épargner les affres, notamment en se reposant sur l’Homme. Rappelons que le premier directeur de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) est depuis le 1er mars 2014, directeur technique de la DGSE.

Ne reste plus qu’a espérer que « Titi » ait appris à se montrer discret.


Jean Lebougre
Spécialiste Cyberwarfare

- Publicité -

Pour Aller plus loin

RESEAUX SOCIAUX

Derniers Articles