Intrapole
VOUS  TES ICI : Accueil » Intrapole » Actualité »

Le ver Stuxnet soulève un vrai problème d’ignorance

L’engouement médiatique qu’a suscité Stuxnet au cours du mois de septembre est en train de s’éteindre. Il est désormais l’heure de prendre le temps pour analyser l’incident.

Daniel Ventre | 01net. | le 22/10/10 à 15h14

L’engouement médiatique qu’a suscité Stuxnet au cours du mois de septembre est en train de s’éteindre. Il est désormais l’heure de prendre le temps pour analyser l’incident. Le succès médiatique du ver est né d’hypothèses quant à ses auteurs, ses objectifs, ses cibles, son mode de fonctionnement. Comme il semblait viser les systèmes SCADA des centrales nucléaires iraniennes, l’idée d’une attaque ciblée contre l’Iran s’est répandue comme traînée de poudre sur la planète, en raison évidente de la dimension géopolitique que prenait alors cette affaire. Journalistes et experts en sécurité se sont mis à élaborer des scénarios inquiétants : si les auteurs de l’attaque (CIA ? Services secrets israéliens ? Militaires américains ?) visaient la déstabilisation de l’Iran, peut-être courions-nous le risque d’une réponse militaire iranienne.

Beaucoup d’affirmations ont été formulées

-  "L’attaque était ciblée" (bien qu’elle ait touché l’Inde, l’Indonésie, la Russie, les Etats-Unis et semble-t-il près de 6 millions de machines en Chine)
-  "Le ver était d’une complexité jusque là inégalée" , rendant cette attaque inédite. Ce qui est bien sûr un raccourci rapide, car il y eut d’autres attaques complexes par le passé.
-  "L’attaque était d’origine étatique" . Le développement du logiciel aurait nécessité l’investissement de 9 à 10 hommes pendant 10 mois. Certains en ont alors conclu que seul un Etat pouvait être derrière cette attaque. Mais 10 hommes pendant 10 mois, cela semble à la portée d’une entreprise, ou d’une classe d’étudiants dans le cadre d’un projet de fin d’étude. Nous savons que les attaques informatiques font partie du registre des armées des pays développés. Mais l’on sait aussi que des agressions de cette nature peuvent être menées par des acteurs non étatiques, capables de se dissimuler sous de fausses bannières. Il est donc impossible de conclure ici à l’intervention unique d’un Etat
-  "Nous assistions à la première cyberguerre de l’histoire" . Par la même occasion, les journalistes rejetaient ainsi aux oubliettes l’affaire estonienne, la dimension cybernétique du conflit russo-géorgien, les cyber-attaques américaines contre l’Irak en 2003, pour ne citer que quelques exemples.

Nos capacités de réactions remises en question

La seule certitude aujourd’hui c’est que nous ne savons pas grand-chose sur Stuxnet. L’état de nos connaissances ne permet pas de tirer de leçons en matière géopolitique ou géostratégique. Demeurent des interrogations majeures sur nos capacités :
- à identifier les auteurs des attaques. Le problème de l’attribution reste entier. Sans solution nous sommes condamnés à ne formuler que des hypothèses et à ne pas pouvoir réagir contre les agresseurs
- à identifier les cibles. Paradoxalement, rien n’est plus complexe que la détermination de la cible réelle de l’attaque. Tous les regards se sont tournés vers les centrales nucléaires iraniennes, mais rien ne permet d’affirmer qu’elles constituaient l’objectif final.
- de résilience : à partir de quand une attaque devient insupportable, inacceptable, que pouvons-nous supporter ?
- à assurer la sécurité des infrastructures critiques. Un article publié dans Wired en octobre 2009 rappelait qu’il est possible de s’introduire dans les systèmes SCADA de certaines entreprises en moins d’une heure à partir de l’Internet grand public. Et cela sans disposer d’un Stuxnet dans sa trousse à outils
- à réagir. Le fait de savoir qui a attaqué ne pose-t-il pas davantage de problèmes que l’ignorance dans laquelle nous sommes ? Doit-on opter pour des réponses militaires et une escalade de la violence ? Aurait-on seulement les moyens de répondre à une attaque que l’on jugerait inacceptable ?
Les réponses ne sont bien entendu pas uniquement techniques : elles sont aussi politiques et juridiques.

Source : 01netPro