Article issu du magazine print Managers de septembre 2022.
________
La cybersécurité du quotidien des citoyens est une chose, la cyberguerre en est une autre. Nicole Perlroth, correspondante en cybersécurité et cyberespionnage pour le New York Times, rassemble dans son ouvrage les informations confidentielles de ce monde invisible et secret, qui pourtant régit toute l’activité numérique.
Entre journal de bord, récit littéraire et article de recherche, l’ouvrage de Nicole Perlroth montre la face cachée du marché des cyberarmes. Le titre, shortlisté pour le prix Financial Times and McKinsey Business Book of the Year (2021), révèle le commerce informel des failles de sécurité. Dans This is how they tell me the world ends (C’est ainsi qu’ils me disent comment le monde va finir), les acheteurs sont non seulement des investisseurs privés mais aussi des investisseurs publics comme des gouvernements.
QU’EST-CE QUE LE ZERO-DAY?
Grâce aux failles de sécurité, le hacker peut aller de l’activation indétectable du micro d’un smartphone jusqu’à faire bouger une voiture à distance et même éteindre une centrale électrique. Le sujet central choisi par l’auteure est celui des zero-days. Ce mot se rapporte aux défauts, problèmes de fonctionnement de code dans un logiciel qui n’ont pas été corrigés ou mis à jour. D’après le blog de l’antivirus Kaspersky: ““Zero-day” est un terme général qui décrit les failles de sécurité récemment découvertes que les pirates peuvent utiliser pour attaquer les systèmes. Le terme “zero-day” fait référence au fait que le vendeur ou le développeur vient tout juste d’apprendre l’existence de la faille – ce qui signifie qu’ils ont “zéro jour” pour la corriger. Une attaque de type “zero-day” a lieu lorsque les pirates exploitent la faille avant que les développeurs n’aient la possibilité de la corriger”.
MONNAYER LES FAILLES DE SECURITE POUR LES EXPLOITER
Ces dysfonctionnements quasi indétectables se monnaient à prix d’or. Il suffit d’imaginer le potentiel d’exploitation d’un accès total au smartphone ou à l’ordinateur d’une cible, sans être détectable ni détecté. Les exploits “zero-day” ont un énorme potentiel d’espionnage. Pour cette raison, les gouvernements du monde entier paient des hackers (pirates) pour ces exploits. Ces activités étant hautement confidentielles, si ces failles sont rendues publiques, elles ne pourront plus être utilisées. Donc, les hackers et les acheteurs n’en parlent pas à Apple ou Microsoft. Si un fabricant l’apprenait, il corrigerait le défaut, appliquerait un patch (correctif), enverrait une mise à jour et la faille n’existera plus. Dans un webinaire avec Powell’s books, une librairie indépendante américaine de référence, Nicole Perlroth détaille les montants des transactions pour acheter un zero-day: “Pour pirater un iPhone, il faut compter environ 2,5 millions de US$ aux Etats-Unis. D’autres pays font des offres plus généreuses. L’Arabie saoudite et les Emirats arabes unis offrent jusqu’à 3 millions de US$ ou plus”.
L’EXEMPLE DE ZERO-DAY CHARLIE
Charlie Miller, surnommé Zero-Day Charlie, est l’un des pionniers des zero-days. Doctorant en mathématiques, il travaille trois ans pour la National Security Agency (Agence de sécurité nationale américaine, NSA). C’est durant ces trois ans qu’il se passionne pour la cybersécurité. Après la fin de son contrat d’apprentissage, il s’oriente vers le hacking plutôt que de poursuivre une carrière dans une structure publique ou dans la recherche. Il réalise une importante découverte qui le rendra célèbre dans le monde entier. Lors de son congé paternité en 2006, il découvre un bug exploitable dans le système d’exploitation Linux. Ce bug a tellement d’impact qu’il pourrait lui ouvrir les portes de n’importe quel appareil. Comme le dit Perlroth, cela va “d’un ordinateur de la Nasa à un compte de trading d’un oligarche russe“. La vente de sa découverte, sa publication dans un article et la suite de sa carrière lèveront le voile sur le marché encore naissant des zero-days. Les années qui suivront étendront le phénomène, tant à l’échelle géographique qu’à l’échelle du volume de données.
UNE MENTION DE LA TUNISIE CONCERNANT PEGASUS
Quelques années plus tard, plus précisément à l’automne 2016, l’affaire Pegasus du groupe israélien NSO a comporté une mention de la Tunisie. En effet, le logiciel d’espionnage, ou spyware, Pegasus a été développé et utilisé pour la surveillance à distance des smartphones en zéro clic. Cela signifie que la surveillance est indétectable par l’utilisateur. Nicole Perlroth se confie au sujet de son interview de NSO, qui a accepté de lui parler après ses nombreux articles sur le sujet dans le Times. L’affaire Pegasus a été telle que des cibles présentes dans 47 pays ont été visées, dont la Tunisie. Apple a même développé un patch urgent spécialement pour protéger des failles zero-day sur lesquelles reposait le logiciel espion de NSO. Les dégâts occasionnés sont conséquents. “À ce moment-là, les chercheurs avaient pu remonter la piste de Pegasus jusqu’à quelque soixante-sept serveurs différents et ont constaté qu’il avait incité plus de 400 personnes à charger un logiciel espion sur leurs téléphones. Sans surprise, la grande majorité des cibles était située aux Émirats arabes unis et au Mexique, mais M. Marczak [NDLR: Bill Marczak, Senior ResearchFellow au Citizen Lab, un laboratoire de recherche basé à Toronto ayant publié plusieurs rapports sur Pegasus] a pu remonter jusqu’à des opérateurs situés dans quarante-cinq autres pays, dont plusieurs contrevenants aux droits de l’homme”. Cette histoire et bien d’autres sont les pépites que l’on peut trouver dans l’ouvrage de Perlroth. Son travail de recherche, d’investigation et de rédaction rend le livre à la fois approfondi et accessible pour se familiariser avec les cyberarmes.
Nicole Perlroth
est née en 1982 à San Francisco. Elle est diplômée de l’Université de Princeton en politique et elle a un master en communication de l’université de Stanford. Elle est spécialiste en cybersécurité et cyberespionnage pour le New York times. Elle est conférencière invitée à la Stanford GraduateSchool of Business avec une maîtrise en arts.
