Les cyberarmes sont généralement définies comme des agents malveillants utilisés à des fins militaires , paramilitaires ou de renseignement dans le cadre d'une cyberattaque . Cela inclut les virus informatiques , les chevaux de Troie , les logiciels espions et les vers qui peuvent introduire du code malveillant dans un logiciel existant, obligeant un ordinateur à effectuer des actions ou des processus non prévus par son opérateur.
Caractéristiques
Une cyberarme est généralement commanditée ou employée par un État ou un acteur non étatique , répond à un objectif qui nécessiterait autrement l'espionnage ou l' usage de la force , et est employée contre des cibles spécifiques. Une cyberarme accomplit une action qui nécessiterait normalement un soldat ou un espion , et qui serait considérée comme illégale ou un acte de guerre si elle était effectuée directement par un agent humain du commanditaire en temps de paix. Les questions juridiques incluent la violation de la vie privée de la cible et de la souveraineté de son pays hôte. Des exemples de telles actions sont la surveillance , le vol de données et la destruction électronique ou physique. Bien qu'une cyberarme entraîne presque certainement des dommages financiers directs ou indirects pour le groupe ciblé, les gains financiers directs pour le commanditaire ne sont pas un objectif principal de cette classe d'agents. Souvent, les cyberarmes sont associées à la cause de dommages physiques ou fonctionnels au système qu'elles attaquent, bien qu'il s'agisse de logiciels. Cependant, il n'y a pas de consensus sur ce qui constitue officiellement une cyberarme.
Contrairement aux programmes malveillants utilisés par les script kiddies pour organiser des botnets , où la propriété, l'emplacement physique et le rôle normal des machines attaquées sont largement sans importance, les cyberarmes font preuve d'une grande sélectivité dans leur emploi et leur fonctionnement. Avant l'attaque, les cyberarmes identifient généralement la cible à l'aide de méthodes différentes. De même, les programmes malveillants utilisés par les fraudeurs pour le vol d'informations personnelles ou financières font preuve d'une sélectivité moindre et d'une diffusion plus large.
Les cyberarmes sont dangereuses pour de multiples raisons. Elles sont généralement difficiles à repérer ou à combattre en raison de leur absence de composants physiques. Leur anonymat leur permet de se cacher dans les systèmes sans être détectées jusqu'à ce que leur attaque soit déclenchée. Bon nombre de ces attaques exploitent les « zero days » (vulnérabilités dans les logiciels que les entreprises n'ont aucun jour pour corriger). Elles sont également nettement moins chères à produire que les cyberdéfenses pour s'en protéger. Souvent, les cyberarmes d'une force sont obtenues par une force adverse et sont ensuite réutilisées pour être utilisées contre la force d'origine, comme on peut le voir avec les cyberarmes WannaCry et NotPetya .
Bien que le terme d'arme cybernétique soit fréquemment utilisé par la presse, certains articles l'évitent, utilisant à la place des termes tels que « arme Internet », « piratage » ou « virus ». Les chercheurs traditionnels débattent des exigences du terme tout en se référant toujours à l'emploi de l'agent comme une « arme », et la communauté du développement de logiciels en particulier utilise plus rarement le terme.
Exemples
Les agents malveillants suivants répondent généralement aux critères ci-dessus, ont été formellement désignés de cette manière par des experts en sécurité du secteur ou ont été décrits de cette manière dans des déclarations gouvernementales ou militaires :
- Duqu
- Flamme (logiciel malveillant)
- Grand canon
- Mirai (logiciel malveillant)
- Stuxnet
- Wiper (logiciel malveillant)
- Pégase (logiciel espion)
Histoire
Stuxnet a été l'une des premières et des plus influentes cyberarmes. En 2010, il a été lancé par les États-Unis et Israël pour attaquer les installations nucléaires iraniennes. Stuxnet est considéré comme la première cyberarme majeure. Stuxnet a également été la première fois qu'une nation a utilisé une cyberarme pour attaquer une autre nation. Après les attaques Stuxnet, l'Iran a utilisé des cyberarmes pour cibler les principales institutions financières américaines, notamment la Bourse de New York .
Stuxnet a été suivi par Duqu en 2011 et Flame en 2012. La complexité de Flame était inégalée à l'époque. Il a utilisé des vulnérabilités de Microsoft Windows pour se propager. Il ciblait spécifiquement les terminaux pétroliers iraniens.
En 2017, des fuites de données ont montré que des outils de piratage supposément sécurisés utilisés par des agences gouvernementales peuvent être obtenus – et parfois exposés – par des tiers. En outre, il a été signalé qu’après avoir perdu le contrôle de ces outils, le gouvernement semble laisser « les exploits ouverts à la réutilisation par des escrocs, des criminels ou toute autre personne – à n’importe quelle fin ». Claudio Guarnieri, un technologue d’ Amnesty International , déclare : « Ce que nous apprenons des révélations et des fuites de ces derniers mois, c’est que des vulnérabilités inconnues sont maintenues secrètes même après avoir été clairement perdues, ce qui est tout simplement irresponsable et inacceptable ».
Cette même année, WikiLeaks a publié la série de documents Vault 7 qui contiennent des détails sur les exploits et les outils de la CIA, Julian Assange déclarant qu'ils travaillaient à les « désarmer » avant publication. Le désarmement des cyberarmes peut prendre la forme de contacts avec les fournisseurs de logiciels respectifs avec des informations sur les vulnérabilités de leurs produits ainsi qu'une aide potentielle ou le développement autonome (pour les logiciels open source ) de correctifs . L'exploitation des outils de piratage par des tiers a particulièrement affecté l'Agence de sécurité nationale des États-Unis (NSA). En 2016, des informations sur les outils de piratage de la NSA ont été récupérées par un groupe de hackers chinois, ATP3, qui leur a permis de rétroconcevoir leur propre version de l'outil. Il a ensuite été utilisé contre des nations européennes et asiatiques, bien que les États-Unis n'aient pas été ciblés. Plus tard cette année-là, un groupe anonyme appelé les « Shadow Brokers » a divulgué en ligne ce que l'on croit généralement être des outils de la NSA. Ces deux groupes ne sont pas connus pour être affiliés, et ATP3 avait accès aux outils au moins un an avant la fuite de Shadow Brokers. Les outils divulgués ont été développés par l' Equation Group , un groupe de cyberguerre soupçonné de liens avec la NSA.
Parmi les outils divulgués par les Shadow Brokers figurait EternalBlue , que la NSA avait utilisé pour exploiter des bugs dans Microsoft Windows. Cela a incité Microsoft à publier des mises à jour pour se protéger contre cet outil. Lorsque les Shadow Brokers ont rendu public EternalBlue, il a rapidement été utilisé par des pirates nord-coréens et russes, qui l'ont transformé en ransomware WannaCry et NotPetya respectivement. NotPetya, qui a été initialement lancé en Ukraine mais s'est ensuite répandu dans le monde entier , chiffrait les disques durs et forçait les utilisateurs à payer une rançon pour leurs données, bien qu'ils ne les aient jamais réellement rendues.
En septembre 2018, le ministère de la Défense des États-Unis a officiellement confirmé que les États-Unis utilisent des cyberarmes pour promouvoir leurs intérêts nationaux.
Réglementations potentielles
Bien qu’il n’existe pas de réglementation complète des cyberarmes, des systèmes possibles de réglementation ont été proposés. Un système soumettrait les cyberarmes, lorsqu’elles ne sont pas utilisées par un État, au droit pénal du pays et, lorsqu’elles sont utilisées par un État, aux lois internationales sur la guerre. La plupart des systèmes proposés s’appuient sur le droit international et son application pour mettre fin à l’utilisation inappropriée des cyberarmes. Compte tenu de la nouveauté de ces armes, des discussions ont également eu lieu sur la manière dont les lois existantes, qui n’étaient pas conçues pour les cyberarmes, s’appliquent à elles.