Impossible d'y échapper
: depuis le 11 septembre, la menace supposée d'une
attaque "cyber-terroriste" a pris d'assaut tous
les journaux. Beaucoup de bruit pour rien ? Difficile
à dire, tant le mur de fumée érigé
par les compagnies de sécurité empêche
d'y voir clair : les organes de presse ont été
noyés sous les messages alarmistes et la crainte
est montée dans l'opinion publique. L'administration
Bush a dû suivre le mouvement, à moitié
contrainte et à moitié séduite par
cette nouvelle occasion de mettre en avant son volontarisme.
Résultat : les budgets et les projets ont
proliféré. Mais était-ce bien nécessaire
?
Electricité,
eau, transports ...
Dans
une longue série d'articles, News.com s'est donné
l'ambition de répondre à cette question
complexe en évaluant le risque pour chaque secteur -
grâce à l'aide de plusieurs experts en
sécurité. Le résultat est édifiant
: une attaque "cyber-terroriste" pourrait
difficilement se solder par la mort de citoyens américains.
Pour étayer son propos, le magazine a pris en
compte un grand nombre d'hypothèses. En tentant
d'attaquer une centrale d'électricité
par exemple, les terroristes ne parviendraient qu'à
des dégâts limités dans le temps.
Ils n'empêcheraient pas les infrastructures sensibles
d'être alimentées : les hopitaux -
entre autres - sont équipés de générateurs
autonomes.
De plus, une coupure d'électricité
globale est difficilement envisageable : une partie
des centrales est certes reliée à Internet,
mais la plupart des systèmes de commande ne le
sont pas. Dans le cas ou un pirate parviendrait tout
de même jusqu'au système de commande, il
faudrait encore qu'il soit suffisamment compétent
pour prendre le contrôle de ce système,
ce qui est peu probable. Le chemin le plus court vers
la coupure de courant reste donc la destruction pure
et simple de lignes haute tension.
L'attaque
"physique" serait plus efficace
Dès lors, quel objectif peut se fixer un terroriste
informatique ? Prendre le contrôle d'un centre
d'épuration et ordonner aux systèmes d'injecter
des quantités de chlore mortelles ? Quasiment
impossible : l'eau est testée cinq fois
avant d'être acheminée vers les foyers
américains, et la prise de contrôle du
système de commande d'un tel centre est ici encore
réservé aux spécialistes. Une fois
de plus, une attaque physique traditonnelle serait plus
rentable. D'où la réaction de Diane Van
de Hei, présidente de l'association des agences
urbaines de l'eau aux USA dans les colonnes de News.com :
"Si nous avions tant de dollars à dépenser,
ils iraient pour l'essentiel dans la sécurité
physique".
Et la sécurité
des transports ? Un pirate pourrait-il prendre
le contrôle d'un système d'aiguillage ?
Probablement pas : leur niveau de résistance
aux attaques est particulièrement élevé.
Plutôt que d'en recourir à un pirate brillant,
une organisation terroriste aura tout intérêt
à dépêcher un homme de main pour
désceller deux rails et entraîner une catastrophe
ferroviaire. La souris d'un pirate pourra donc difficilement
accoucher d'une montagne de victimes.
Conséquences
dramatiques
Mais cette même souris pourrait mettre les Etats-Unis
dans une situation délicate. Deux types d'attaques
"cyber-terroristes" semblent particulièrement
crédibles. La première viserait à
paralyser les systèmes de communication, qui
sont utilisés notamment par la protection civile
et les services publics. Internet pourrait être
désactivé par une équipe d'ingénieurs
particulièrement doués, comme le prouve
le black-out du Net en 1997 : un technicien avait
alors fait tomber la plupart des routeurs du réseau
en changeant malencontreusement deux lignes de code
sur celui dont il avait la charge. Ce qui explique le
commentaire de Greg Akers, président de l'IT-ISAC :
"Dire que l'on ne voit pas le danger d'une coupure
due à une cyber-attaque, c'est s'aveugler et
empêcher la nation de se protéger".
Plus grave encore :
l'hypothèse de l'attaque ciblée sur un
réseau téléphonique. Une telle
opération menée conjointement par plusieurs
pirates pourrait paralyser l'infrastructure téléphonique
d'une région et mettre hors service les communications
de la sécurité civile. Rien de très
dommageable en soi, mais de quoi désorganiser
complètement les secours en cas d'attaque physique.
Paralysie
financière ?
Autre problème pris très au sérieux :
la paralysie de l'économie américaine.
Une série de virus particulièrement bien
pensés combinée à une attaque en
règle des systèmes financiers pourrait
avoir de graves conséquences économiques.
Stack Jarocki, directeur du service financier de l'ISAC
conclut : "Tout est tellement corrélé -
les systèmes de paiement, la compensation interbancaire
et les transactions financières - qu'un
effet sur l'un a un effet sur tous les autres".
Les dangers sont donc bien
réels, même si aucune vie humaine ne semble
à première vue menacée. Quid d'une
attaque massive visant tous les points sensibles évoqués
plus haut ? Elle est tout à fait improbable :
la programmation d'un excellent virus est un travail
d'expert, tout autant que l'intrusion dans un système
protégé et le pilotage d'un système
de commande à distance. Ces attaques nécessitent
des compétences rares.
Des
moyens colossaux
Pour les terroristes, chaque attaque réussie
serait un véritable exploit en soi. Or, pour
parvenir à déstabiliser réellement
les Etats-Unis, il faudrait combiner plusieurs
centaines d'exploits en quelques jours. D'autant plus
que le pays peut aligner plusieurs ingénieurs
en sécurité en face de chaque terroriste
informatique pour réparer les dommages. Finalement,
seule une attaque ponctuelle et ciblée semble
vraiment crédible.
Pour preuve : la simulation
colossale orchestrée par le Gartner et qui porte
le nom de 'Digital Pearl Harbor'. Selon ce cabinet d'études,
une attaque de grande envergure permettrait d'infliger
des dégâts sérieux à l'infrastructure
informatique américaine, mais pas de faire des
pertes humaines. Qui plus est, une pareille attaque nécessiterait
des ressources colossales : 200 millions de dollars
au bas mot, cinq ans de préparation et un niveau
de compétences que seul un pays entier est capable
de mobiliser. Richard Hunter - le directeur de la
recherche au Gartner - conclut que "le scénario
dans lequel cinq hackers flottant sur un luxueux paquebot
en méditerrannée mettent au tapis toute
l'infrastructure des USA est très improbable".
|