Cyber-guerre, autodéfense et dilemme du défenseur

Après réflexion, recherche et quelques verres de vin, j'ai décidé de faire une analyse sur la cyberguerre…

Comme je vis actuellement au Canada, j'écrirai sur ce sujet d'un point de vue canadien. Comme la plupart des choses au Canada, nous nous inspirons des États-Unis, et notre approche de la cybersécurité n'est pas différente. Les États-Unis ont de nombreuses lois et réglementations concernant l'utilisation légale et illégale des ordinateurs dans tout le pays. J'en ai énuméré quelques-uns dans mon dernier article de blog intitulé The Age of Cyber Warfare , je ne les répéterai donc pas ici.

Je tiens cependant à réitérer que l'utilisation abusive des systèmes peut entraîner des retombées plus importantes qu'on ne pourrait l'imaginer. Lorsque je suis entré dans le domaine de la cybersécurité, j'ai été chargé d'aider mon équipe à développer et à mettre en œuvre un programme de gestion des vulnérabilités. Comme la plupart des choses en technologie de l'information, il faut apprendre rapidement et être à l'aise de ne pas savoir quelle sera votre prochaine tâche. Dans de telles situations, Google et Youtube deviennent vos meilleurs amis.

Comme j'ai rassemblé toutes les informations nécessaires pour commencer, ce n'était qu'une question de temps avant que je sois submergé par les différentes lois et réglementations entourant le programme. Par exemple, saviez-vous qu'il est illégal de sonder un système si vous n'avez pas l'autorisation du propriétaire du système pour le faire ?

Un bon ami à moi m'a envoyé la thèse de maîtrise de sa fille alors qu'il lisait mon dernier article sur la cyberguerre. La thèse intitulée Canadian Hack-Back?: A Consideration of the Canadian Legal Framework for Private-Sector Active Cyber Defense , est une bonne lecture et l'un des seuls articles universitaires que j'ai rencontrés sur ce sujet. Au cours de ses recherches, l'auteur tombe sur le terme Active Cyber Defense ("ACD") qui semble avoir autant de définitions que l'on peut en trouver. Cependant, elle définit l'ACD comme "toute réponse non gouvernementale aux cybermenaces ou intrusions utilisant des moyens techniques, lorsque cette réponse a des effets en dehors du propre réseau du défenseur". Avec cette définition, chaque action qu'un défenseur entreprendrait serait classée comme ACD, y compris enquêter sur un système d'infiltration. Notez que j'apporte sa thèse dans ce post, non pas comme une critique ou une évaluation, mais simplement pour souligner à quel point ce sujet peut devenir complexe.

Comme je ne suis pas du tout avocat, je laisserai le reste des discussions juridiques aux professionnels. Cependant, comme la cybersécurité touche désormais chaque aspect de notre vie, les professionnels de la cybersécurité doivent désormais être formés pour respecter toutes ces lois et afin de fournir un service compétent à leurs clients. Cela devient progressivement une faille vitale dans l'espace de la cybersécurité : il y a un manque de professionnels de la cybersécurité expérimentés, compétents et qualifiés. Imaginez devoir sécuriser tout et n'importe quoi qui a une puce, qui est de nature sensible, et qui implique des personnes aussi imparfaites que moi...

Comme tout professionnel de la cybersécurité le sait, la cybersécurité se divise en gros en 8 domaines :

1. Sécurité et gestion des risques

2. Sécurité des actifs

3. Architecture et ingénierie de sécurité

4. Communications et sécurité du réseau

5. Gestion des identités et des accès

6. Évaluation et tests de sécurité

7. Opérations de sécurité

8. Sécurité du développement logiciel

   
   

Chaque domaine contient des sous-sections qui couvrent les personnes, les processus et la technologie d'une organisation. Certaines de ces sections contiennent des domaines que vous ne pensez peut-être pas être associés au cyber. Par exemple, saviez-vous que l'extinction des incendies, l'atténuation des inondations et l'éclairage extérieur peuvent être classés dans la cybersécurité ? Moi non plus, jusqu'à ce que je réalise qu'un système ne peut pas être sécurisé s'il est en feu, gorgé d'eau ou volé sous le couvert de la nuit. Qu'il suffise de dire que la cybersécurité implique de nombreux domaines dont chacun doit être sécurisé par un professionnel expérimenté.

Cyber Sécurité Défense

Alors que nous commençons à saisir l'étendue réelle de la cybersécurité, nous pouvons commencer à comprendre à quel point il est important d'éviter les attaques sur nos systèmes en premier lieu. Cependant, il semble que nous soyons confrontés à une bataille difficile et chaque pas en avant se heurte à une résistance.

Il y a quelques éléments qui affaiblissent notre posture de cybersécurité dès le départ. D'une part, le nouvel ordinateur que vous achetez dans un magasin réputé n'est pas aussi sûr que vous le pensez. Par exemple, avez-vous déjà remarqué des programmes installés sur votre ordinateur dont vous ne voulez pas, comme une version d'essai d'un programme antivirus ou d'une suite de jeux ? Cela s'appelle bloatware et ouvre votre ordinateur aux attaques. Qu'en est-il des "services de localisation" et de l'assistant vocal AI "Cortana" sous Windows ? Ces services peuvent exposer votre emplacement physique et permettre à Microsoft d'identifier votre modèle vocal. Désactivez ces services pour réduire votre surface d'attaque.

Un autre problème est que la majorité des appareils intelligents tels que les montres intelligentes et les téléviseurs intelligents sont vulnérables aux cyberattaques de base. Ces appareils ne sont généralement pas aussi sécurisés que les ordinateurs portables ou les ordinateurs de bureau, car la sécurité n'est pas la première considération dans la fabrication de ces appareils. Un exemple extrême mais bon de cela est la cyberattaque qui s'est produite via le capteur d'aquarium d'un casino .

Un autre point à considérer est que les utilisateurs d'ordinateurs ne sont généralement pas conscients du cyberespace. Par exemple, saviez-vous que vous pouvez subir des milliers de cyberattaques sans même vous en rendre compte ? Cela peut se faire par le biais d'e-mails de phishing , d'attaques par déni de service et de violations de données (par exemple, la violation de données d'Equifax en 2017 ). Sans oublier que la plupart des gens réutilisent des mots de passe faibles pour la plupart de leurs comptes. Vous êtes coupable, et moi aussi il y a quelques années. S'il vous plaît, faites-moi, ainsi qu'au reste de la société, une faveur et arrêtez d'utiliser ' 123456' comme seul et unique mot de passe.

Je pense qu'il est prudent de dire que les chances sont contre nous. Cependant, il y a eu des progrès vers un monde cyber-sécurisé au cours des dernières années en raison du coût croissant des cyberattaques. Il y a de l'espoir, mais il reste encore beaucoup de travail à faire à cet égard. Donc, si vous souhaitez basculer dans le monde de la cybersécurité, c'est le bon moment.

Délit de cybersécurité

Alors que nous entrons dans le sujet des tactiques offensives, il est important de noter que toute attaque invite une réponse de la victime. Une agression physique sur quelqu'un invite à des représailles sous forme d'autodéfense qui peuvent aller d'un simple coup à une frappe qui peut tuer.

Dans cet esprit, il y a deux questions dont je veux discuter :

1. Si une cyberattaque se produit sur nos systèmes, avons-nous le droit de réagir en état de légitime défense ?

2. Si nous avons le droit de répondre en état de légitime défense, dans quelle mesure pouvons-nous répondre ?

   
   

Dans le monde physique, si nous sommes provoqués ou blessés par une autre personne, nous, en tant que société, avons décidé d'une réponse acceptable par l'autodéfense. Si une personne tente de me faire du mal, j'ai le droit de me défendre. Et même si j'ai le droit de me défendre, c'est à moi à ce moment-là de décider si j'agis en vertu de ce droit. En tant que personne qui apprend actuellement un art martial, tout ce que j'ai à dire, c'est que je répondrai à une attaque d'une certaine manière. Tu étais prévenu.

Dans le monde numérique, cependant, la question de la légitime défense devient très complexe. Pour commencer, vous ne pouvez jamais être sûr à 100 % de qui vous a fait du mal (ou qui a commis une cyberattaque sur votre système). La plupart des cyberattaques ont lieu à partir d'un système compromis d'un tiers innocent et non de la machine de l'attaquant réel. C'est par conception car il devient difficile, voire impossible, de déterminer qui, quoi, quand, où, pourquoi et comment de l'attaque. Et donc, même si vous aviez la capacité de lancer une cyber-attaque à grande échelle contre le système responsable, vous pourriez attaquer un spectateur innocent, l'amenant à agir contre vos systèmes... une prophétie auto-réalisatrice.

Un autre problème est qu'une cyberattaque peut causer des dommages importants à un système, entraînant des conséquences imprévues car le système attaqué peut être connecté à des centaines, voire des milliers d'autres systèmes, à la fois dans le domaine technologique et dans le monde géopolitique. Par exemple, si une cyberattaque a réussi à fermer un oléoduc, une nation peut se retrouver sans pétrole jusqu'à ce que les systèmes concernés puissent être remis en ligne en toute sécurité. L' incident du Colonial Pipeline Ransomware en est un exemple, car le sud-est des États-Unis a connu une pénurie de pétrole en raison de l'attaque.

Le troisième problème des représailles est celui de la responsabilité et de la possibilité d'escalade. Qui est responsable des dommages causés par les représailles ? Même si la cyber-attaque a endommagé les systèmes de l'attaquant, qui peut dire qu'il ne répondra pas de la sorte ? Si les représailles ne sont pas effectuées par un professionnel, la possibilité qu'un attaquant découvre qui vous êtes et quels systèmes attaquer est presque garantie. Êtes-vous prêt à gérer une cyberattaque à grande échelle non seulement contre vos systèmes, mais aussi contre votre identité, votre famille et vos amis ? Qui sait jusqu'où ira l'attaque ?

Je pense qu'il est prudent de dire que la plupart des gens ne sont pas préparés à une telle quantité de retombées.

Pour les besoins de la discussion, disons que la réponse à notre première question posée est oui. La question suivante est de savoir dans quelle mesure pouvons-nous répondre à une cyberattaque ? Nous pouvons faire la réponse la plus élémentaire sous la forme de sonder un système pour voir s'il est allumé ou éteint. Nous pouvons également commettre un déni de service à grande échelle, un ransomware ou une attaque par force brute sur les systèmes de l'auteur. Où trace-t-on la ligne ? Ou la meilleure question est quelle est la réponse appropriée pour chaque attaque que nous subissons ?

Si nous détectons un attaquant scannant nos systèmes à la recherche de vulnérabilités, serait-il approprié de faire de même ? Qu'en est-il si un attaquant envoie un e-mail de phishing à nos adresses e-mail, pouvons-nous alors essayer de les arnaquer d'une manière ou d'une autre ? Pouvons-nous mener une attaque de phishing si nous sommes touchés par une attaque de ransomware ? Je pense que vous pouvez voir où je veux en venir, il n'y a pas de bonne réponse à cette question. La vérité est que nous n'aurons jamais toutes les informations nécessaires pour mener « en toute sécurité » une cyberattaque sur un système perpétrant. Les questions sont sans fin et nous n'avons même pas parlé de la moralité et de l'éthique de tout cela. Je laisserai ce sujet pour un autre jour.

Réflexions finales

Je dois admettre que j'aime le concept de cyber-autodéfense, mais à mon avis, ce n'est tout simplement pas faisable. Il y a tout simplement trop peu de professionnels, trop d'appareils non sécurisés et trop de risques si des particuliers ou des entreprises se mettent à "pirater". C'est avec cela que le dilemme du défenseur existera toujours : les attaquants auront toujours une longueur d'avance sur les défenseurs. Le seul cas où je pourrais voir le "piratage en arrière" comme une option est si la population mondiale était en danger à cause d'un événement semblable à la guerre mondiale. Dans ce cas, la vie normale de tout le monde serait perturbée et peu importe que des cyberattaques se produisent car il y aurait des problèmes plus urgents à régler tels que les retombées nucléaires, la famine, le meurtre et la maladie. Prions pour qu'il n'en vienne pas là...

Quoi qu'il en soit, j'espère que cela sera utile à ceux d'entre vous qui liront mon blog. Je dis toujours que je n'ai pas choisi cette carrière, c'est elle qui m'a choisi. Je continuerai à écrire sur les sujets qui comptent pour moi et qui, selon moi, apportent de la valeur à la société.

Comme toujours, je suis disponible si vous avez des questions, des commentaires ou des préoccupations concernant ce que j'écris.

Paix, amour et tout ce bonheur!

Également publié ici.