Une ONG pour débusquer cybercriminels et hackers d'Etat ?
Pour déminer les accusations entre Etats après les cyberattaques, Microsoft propose la création d'une ONG spécialisée dans l'attribution, autrement dit dans la désignation des responsables. Une organisation financée en partie par l'industrie IT.
Les récentes attaques informatiques ont montré l'importance centrale de la communauté des chercheurs en sécurité dans la lutte contre les menaces. L'épisode Wannacry, avec le rôle joué par le chercheur britannique connu sous le pseudo MalwareTech dans la mise hors service des premières souches du ransomware, n'ayant fait que confirmer cet état de fait. Microsoft et quelques experts indépendants tentent aujourd'hui de structurer cette communauté en proposant la mise sur pied d'une ONG dont le rôle serait de traquer les hackers criminels. Dans un rapport, le Think Tank Rand Corporation propose que cette organisation s'appelle Global Cyber Attribution Consortium. Son objectif serait de rendre publics, quand c'est possible, les auteurs des attaques, qu'on parle ici de cybercriminels isolés, de réseaux de hackers ou d'Etats. « Nous ne disposons pas aujourd'hui d'une organisation reconnue au niveau international pour effectuer les attributions après les cyberattaques », a expliqué Paul Nicholas, le directeur de la stratégie de sécurité de Microsoft lors d'une conférence de l'OTAN sur le sujet, qui se tenait la semaine dernière à Tallinn (Estonie)
Rappelons que la question de l'attribution, autrement dit la désignation des coupables d'une cyberattaque, reste extrêmement épineuse, du fait même de la nature des outils de hacking (qui peuvent être réemployés, voire retournés contre leurs créateurs) et de la capacité des assaillants à masquer leurs traces. Si les Etats-Unis n'hésitent pas à pointer du doigt des responsables (la Corée du Nord dans l'attaque contre Sony Picture, Moscou dans le hacking de la campagne démocrate lors de la présidentielle américaine), la France se montre bien plus prudente en la matière. Malgré certains indices pointant vers le Kremlin, Paris s'est gardé d'incriminer officiellement la Russie de Poutine, tant dans l'attaque destructrice contre TV5 Monde que dans le piratage d'En Marche, qui s'est conclu par les Macron Leaks.
Un risque pour la paix
Pour Rand Corporation, le climat de défiance entre Etats qui s'instaure après chaque cyberattaques majeur est porteur de nuages noirs. « En l'absence de mécanismes institutionnels crédibles pour contenir les dangers dans le cyberespace, il y a des risques qu'un incident puisse menacer la paix internationale et l'économie mondiale », écrit le think tank dans son rapport. Et de préconiser que l'ONG exclut les représentants des Etats afin d'éviter tout interférence politique. Les experts de Rand suggèrent que le financement du consortium provienne d'organisations philanthropiques internationales, d'institutions comme les Nations Unies, ou d'importants sociétés d'informatique ou de télécommunications.
Il n'en demeure pas moins que, même à l'abri des arrières-pensées politiques des Etats, l'attribution demeure un sport très risqué. Tant les hackers d'Etats que les cybercriminels ont bien compris l'intérêt de masquer leurs traces ou d'envoyer les chercheurs en sécurité sur de fausses pistes. « Il existe de multiples façons de récupérer une attaque de sorte que 98 % des traces numériques pointent vers quelqu'un d'autre, a expliqué Sandro Gaycken, fondateur et directeur du Digital Society Institute de l'ESMT (European School of Management and Technology) de Berlin à l'AFP. Les criminels ont tout intérêt à ressembler à des États-nations, et les États-nations tout intérêt à ressembler à des criminels. »
A lire aussi :
Lire aussi : Sécurisation des identifiants et protection contre les attaques par déplacement latéral
Pour la NSA, la Russie a bien tenté de hacker l'élection américaine
10 questions pour tout comprendre des MacronLeaks
En Marche est la cible d'attaques de phishing des services russes
crédit photo © igor.stevanovic / shutterstock
Sur le même thème
Voir tous les articles Cybersécurité