L’histoire de Richard Clarke a tout le suspense d’un thriller géopolitique postmoderne. L'histoire met en scène un cyber-ver fantomatique créé pour attaquer les centrifugeuses nucléaires d'un pays voyou - qui s'échappe ensuite du pays cible pour se reproduire sur des milliers d'ordinateurs à travers le monde. Il se cache peut-être dans le vôtre en ce moment. Inactif inoffensif ... ou en attente d'autres ordres.
Contenu connexe
- Risques et énigmes
Une belle histoire, non? En fait, le ver informatique appelé «Stuxnet», un «malware créé par une arme», est en train de changer. Il semble avoir été lancé au milieu de 2009, avoir causé des dommages considérables au programme nucléaire iranien en 2010, puis s’être propagé aux ordinateurs du monde entier. Stuxnet a peut-être évité une conflagration nucléaire en diminuant la perception par Israël de la nécessité d'un attentat imminent contre l'Iran. Et pourtant, il pourrait bien en commencer bientôt un, si ses réplications sont manipulées avec malveillance. Et au cœur de l’histoire se cache un mystère: qui a créé et lancé Stuxnet?
Richard Clarke me dit qu'il connaît la réponse.
Clarke, qui a servi trois présidents en tant que tsar de la lutte antiterroriste, gère maintenant un cabinet de conseil en cybersécurité appelé Good Harbour, situé dans l’une de ces tours de bureaux anonymes à Arlington, en Virginie, qui triangule le Pentagone et le Capitole à plus d’un titre. J'étais venu lui parler de ce qui avait été fait depuis l'alerte urgente qu'il avait sonnée dans son récent livre, Cyber War . L'argument central du livre est que, bien que les États-Unis aient développé la capacité de mener une cyberguerre offensive, nous n'avons pratiquement aucune défense contre les cyberattaques qui, selon lui, nous ciblent maintenant et le seront à l'avenir.
Les avertissements de Richard Clarke peuvent sembler excessivement dramatiques jusqu'à ce que vous vous souveniez qu'il était l'homme, en septembre 2001, qui avait tenté de convaincre la Maison Blanche de donner suite à ses avertissements selon lesquels Al-Qaïda préparait une attaque spectaculaire sur le sol américain.
Clarke a par la suite présenté de célèbres excuses au peuple américain dans son témoignage devant la Commission du 11 septembre: «Votre gouvernement vous a laissé tomber.»
Clarke veut maintenant nous avertir, de toute urgence, que nous échouons encore une fois, sans défense face à une cyberattaque qui pourrait détruire toute l'infrastructure électronique de notre pays, y compris le réseau électrique, les banques et les télécommunications, et même notre système de commandement militaire.
«Sommes-nous, en tant que pays, en train de nier le danger?», Demandai-je à Clarke alors que nous étions assis à une table de conférence dans son bureau.
«Je pense que nous vivons dans le monde de la non-réponse. Où vous savez qu'il y a un problème, mais vous ne faites rien à ce sujet. Si c'est un déni, alors c'est un déni.
Alors que Clarke se tenait à côté d'une fenêtre insérant des capsules de café dans une machine à café Nespresso, je me suis souvenu de l'ouverture d'un des grands films d'espionnage de tous les temps, Funeral in Berlin, dans lequel Michael Caine moudait et préparait son café du matin avec précision. . Java haute technologie semble aller avec le travail.
Mais dire que Clarke était un espion ne lui rend pas justice. Il était un méta-espion, un maître du contre-espionnage, un savant de la lutte contre le terrorisme, le nœud central où ont finalement convergé toutes les informations les plus secrètes, les plus volées et les plus cryptées recueillies par notre réseau de renseignements humain, électronique et par satellite. Clarke a probablement été au courant de renseignements sur l’espionnage de niveau supérieur au secret supérieur à celui de quiconque à Langley, NSA ou à la Maison Blanche. J'ai donc été intrigué lorsqu'il a choisi de me parler des mystères de Stuxnet.
«L'image que vous décrivez dans votre livre, ai-je dit à Clarke, est celle d'un États-Unis totalement vulnérable à la cyberattaque. Mais il n'y a pas de défense, vraiment, n'est-ce pas? »Il existe des milliards de portails, de trappes, d '« exploits », comme les appellent les responsables de la cybersécurité, prêts à être piratés.
"Il n'y a pas aujourd'hui", il convient. Pire, poursuit-il, utiliser notre cyberoffense sans avoir de cyberdéfense pourrait avoir des conséquences catastrophiques: retour de flamme, vengeance au-delà de notre imagination.
"Le gouvernement américain est impliqué dans l'espionnage contre d'autres gouvernements", dit-il catégoriquement. «Il existe toutefois une grande différence entre le type de cyberespionnage pratiqué par le gouvernement américain et la Chine. Le gouvernement américain ne se fraye pas un chemin dans Airbus et ne divulgue pas les secrets de Boeing à Airbus [beaucoup pensent que les pirates informatiques chinois ont donné des secrets à Boeing]. Nous ne pénétrons pas dans une société informatique chinoise telle que Huawei et ne transmettons pas les secrets de la technologie Huawei à leur concurrent américain Cisco. [Il pense que Microsoft a également été victime d'un cyber-jeu chinois.] Nous ne le faisons pas. "
"On fait quoi alors?"
«Nous nous frayons un chemin vers des gouvernements étrangers et collectons les informations auprès de leurs réseaux. Le même type d'informations qu'un agent de la CIA dans le passé tentait d'acheter auprès d'un espion. "
"Donc, vous parlez de choses diplomatiques?"
"Des affaires diplomatiques, militaires, mais pas commerciales."
Pendant qu'il continuait, Clarke a révélé sa conviction que nous utilisions une nouvelle façon très différente et très spectaculaire d'utiliser notre capacité de cyberoffense - l'histoire du légendaire cyber-ver, Stuxnet.
Stuxnet est un fantôme numérique, un nombre incalculable de lignes de code conçues avec un tel génie qu'il a pu se frayer un chemin jusqu'à l'installation d'enrichissement de combustible nucléaire iranienne à Natanz, en Iran, où les centrifugeuses à gaz tournent comme des derviches tourneurs, séparant les isotopes d'uranium 235 de qualité bombe le plus abondant U-238. Stuxnet a saisi les commandes de la machine qui fait fonctionner les centrifugeuses et, lors d'une opération invisible et délicate, a désynchronisé les vitesses de rotation des centrifugeuses, provoquant la saisie, le crash et l'autodestruction de près d'un millier d'entre elles. Les installations de Natanz ont été temporairement fermées et la tentative de l’Iran d’obtenir suffisamment d’U-235 pour construire une arme nucléaire a été retardée de ce que les experts estiment être des mois, voire des années.
La question de savoir qui a créé Stuxnet et qui l'a ciblé sur Natanz est encore un mystère controversé dans la communauté des technologies de l'information et de l'espionnage. Mais depuis le début, le principal suspect est Israël, qui est connu pour être prêt à utiliser des tactiques non conventionnelles pour se défendre contre ce qu’il considère comme une menace existentielle. Le New York Time a publié un article faisant état de la coopération américano-israélienne sur Stuxnet, mais soulignant le rôle joué par Israël par l'affirmation selon laquelle un dossier enfoui dans le ver Stuxnet contenait une référence indirecte à «Esther», l'héroïne biblique dans la lutte contre les Persans génocidaires.
Les Israéliens auraient-ils eu la bêtise de laisser une signature aussi flagrante de leur auteur? Les armes électroniques sont généralement débarrassées de toute marque d'identification - l'équivalent virtuel de la «bombe sans adresse de retour» du terroriste - de sorte qu'il n'existe aucun endroit sûr pour infliger des représailles. Pourquoi Israël apposerait-il sa signature sur un cybervirus?
D'autre part, la signature était-elle une tentative de calomnier les Israéliens? D'un autre côté, était-il possible que les Israéliens l'aient effectivement plantée dans l'espoir que cela conduirait à la conclusion que quelqu'un d'autre l'avait construit et essayait de le leur imposer?
En matière d’espionnage virtuel, il n’ya vraiment aucun moyen de savoir avec certitude qui a fait quoi.
À moins que vous ne soyez Richard Clarke.
"Je pense qu'il est assez clair que le gouvernement des États-Unis a lancé l'attaque Stuxnet", a-t-il dit calmement.
C'est une déclaration assez étonnante de la part de quelqu'un dans sa position.
«Seul ou avec Israël?» Ai-je demandé.
«Je pense qu’il y avait un rôle mineur israélien dans cela. Israël aurait pu fournir un banc d’essai, par exemple. Mais je pense que le gouvernement américain a lancé l'attaque et que l'attaque a prouvé ce que je disais dans le livre [qui a été publié avant que l'attaque ne soit connue], à savoir qu'il est possible de créer de vrais périphériques - du vrai matériel dans le monde, dans un espace réel, pas dans le cyberespace - pour faire sauter. "
Clarke ne dit-il pas que nous avons commis un acte de guerre non déclaré?
«Si nous entrons avec un drone et que nous détruisons un millier de centrifugeuses, c'est un acte de guerre», ai-je dit. "Mais si nous allons avec Stuxnet et détruisons mille centrifugeuses, qu'est-ce que c'est?"
"Eh bien, " répondit Clarke, "c'est une action secrète. Et depuis la fin de la Seconde Guerre mondiale, le gouvernement américain s'est engagé dans des actions secrètes. Si le gouvernement des États-Unis a utilisé Stuxnet, il s’agissait d’une action secrète émanant du président, qui lui conférait les pouvoirs qui lui sont conférés par la loi sur le renseignement. Maintenant, quand un acte de guerre est-il un acte de guerre et quand est-ce une action secrète?
«C'est un problème juridique. En droit américain, c'est une action secrète lorsque le président dit que c'est une action secrète. Je pense que si vous êtes le destinataire de l'action secrète, c'est un acte de guerre. "
Lorsque j'ai envoyé un commentaire à la Maison-Blanche par courrier électronique, j'ai reçu cette réponse: «Vous savez probablement que nous ne faisons pas de commentaire sur des questions de renseignement classifiées.» Ce n'est pas un déni. Mais certainement pas une confirmation. Alors, sur quoi Clarke base-t-il sa conclusion?
Une des raisons de croire que l'attaque Stuxnet a été commise aux États-Unis, a déclaré Clarke, "était qu'elle avait vraiment l'impression d'avoir été écrite ou régie par une équipe d'avocats de Washington."
«Qu'est-ce qui vous fait dire ça?» Ai-je demandé.
«Eh bien, tout d’abord, j’ai assisté à de nombreuses réunions avec des avocats de Washington [de type gouvernement / Pentagone / CIA / NSA] qui ont examiné des propositions d’action secrète. Et je sais ce que font les avocats.
«Les avocats veulent s'assurer qu'ils limitent beaucoup les effets de l'action. Pour qu'il n'y ait pas de dommages collatéraux. »Il fait référence à des préoccupations juridiques concernant le droit des conflits armés, un code international conçu pour minimiser les pertes civiles que les avocats du gouvernement américain cherchent à suivre dans la plupart des cas.
Clarke illustre en me guidant de la même manière que Stuxnet a détruit les centrifugeuses iraniennes.
«Qu'est-ce que cette incroyable affaire Stuxnet fait? Dès qu'il entre dans le réseau et qu'il se réveille, il vérifie qu'il est dans le bon réseau en disant: "Suis-je dans un réseau qui exécute un système de contrôle logiciel SCADA [contrôle de surveillance et acquisition de données]?" 'Oui.' Deuxième question: "Est-ce que c'est Siemens [le fabricant allemand des contrôles de l'usine iranienne]?" 'Oui.' Troisième question: "Siemens 7 est-il un genre de progiciel de contrôle logiciel?" 'Oui.' Quatrième question: "Ce logiciel contacte-t-il un moteur électrique fabriqué par l'une des deux sociétés?" Il fait une pause.
«Eh bien, si la réponse était« oui », il n’y avait qu’un seul endroit possible. Natanz. "
«Il y a des informations selon lesquelles il s'est détaché, cependant», ai-je dit, signalant que des vers Stuxnet apparaissent partout dans le cyber-monde. A quoi Clarke a une réponse fascinante:
«Ça s'est mal parce qu'il y a eu une erreur», dit-il. «Il est clair pour moi que des avocats l'ont examiné et lui ont donné ce qu'on appelle un TTL dans le secteur informatique.»
"Qu'est-ce que c'est?"
«Si vous avez vu Blade Runner [dans lequel les androïdes de l'intelligence artificielle avaient une durée de vie limitée - un« temps pour mourir »], c'est un« temps pour vivre ». Faites le travail, suicidez-vous et disparaissez. Pas plus de dommages, collatéraux ou autres.
«Il y avait donc un TTL intégré dans Stuxnet», explique-t-il [afin d'éviter de violer le droit international contre les dommages collatéraux, dit le réseau électrique iranien]. Et de toute façon cela n'a pas fonctionné.
"Pourquoi cela n'aurait-il pas fonctionné?"
«TTL fonctionne en dehors d'une date sur votre ordinateur. Eh bien, si vous êtes en Chine ou en Iran ou dans un endroit où vous utilisez un logiciel bootleg que vous n'avez pas payé, votre date sur votre ordinateur pourrait être 1998 ou autre, car sinon, le logiciel d'essai TTL bootleg de 30 jours arriverait à expiration.
"Donc, c'est une théorie", poursuit Clarke. «Mais de toute façon, tu as raison, ça a été sorti. Et cela a fait le tour du monde et a infecté beaucoup de choses, mais n’a causé aucun dommage, car chaque fois qu’il se réveillait sur un ordinateur, il se posait ces quatre questions. À moins que vous utilisiez des centrifugeuses nucléaires à l'uranium, cela ne vous ferait pas de mal. "
"Donc, ce n'est plus une menace?"
"Mais vous l'avez maintenant, et si vous êtes un as de l'informatique, vous pouvez le démonter et vous pouvez dire:" Oh, changeons cela ici, changeons-le là-bas ". Maintenant, j'ai une arme très sophistiquée. Des milliers de personnes dans le monde l'ont et jouent avec. Et si je ne me trompe pas, la meilleure cyber-arme que les États-Unis aient jamais mise au point a ensuite été offerte gratuitement au monde. ”
La vision de Clarke est celle d’un cauchemar technologique moderne, faisant des États-Unis le Dr Frankenstein, dont le génie scientifique a créé des millions de monstres potentiels dans le monde entier. Mais Clarke est encore plus préoccupé par les pirates «officiels» tels que ceux soupçonnés d’être employés par la Chine.
"Je suis sur le point de dire quelque chose que les gens considèrent comme une exagération, mais je pense que les preuves sont assez solides", m'a-t-il dit. "Toutes les grandes entreprises américaines ont déjà été pénétrées par la Chine."
"Quoi?"
«Le gouvernement britannique a en fait dit quelque chose de similaire à propos de son propre pays. ”
Clarke affirme, par exemple, que le fabricant du F-35, notre bombardier de combat de nouvelle génération, a été pénétré et que les détails du F-35 ont été volés. Et ne le lancez pas dans notre chaîne d'approvisionnement en puces, routeurs et matériels que nous importons de fournisseurs chinois et étrangers, et de ce qui pourrait y être implanté: des «bombes logiques», des trappes et des «chevaux de Troie», prêts à être activés. sur commande afin que nous ne sachions pas ce qui nous a frappé. Ou ce qui nous frappe déjà.
«Ma plus grande crainte, dit Clarke, est que, plutôt que d’avoir un événement cyber-Pearl Harbor, nous aurons plutôt la mort de mille compressions. Nous perdons notre compétitivité en nous faisant voler toutes nos activités de recherche et développement par les Chinois. Et nous ne voyons jamais vraiment le seul événement qui nous pousse à faire quelque chose. Que c'est toujours juste en dessous de notre seuil de douleur. Aux États-Unis, les sociétés suivantes dépensent des millions, des centaines de millions, voire des milliards de dollars en recherche et développement, et cette information est transmise gratuitement à la Chine ... Après un certain temps, vous ne pouvez plus rivaliser avec la concurrence. "
Mais les préoccupations de Clarke vont au-delà du coût de la perte de propriété intellectuelle. Il prévoit la perte du pouvoir militaire. Disons qu'il y a eu une autre confrontation, comme celle de 1996, lorsque le président Clinton a précipité deux flottes de porte-avions dans le détroit de Taiwan pour mettre en garde la Chine contre une invasion de Taiwan. Clarke, qui a déclaré qu'il y avait eu des jeux de guerre sur une telle confrontation, a maintenant estimé que nous pourrions être contraints de renoncer à jouer un tel rôle, de peur que les défenses de notre groupe de transporteurs ne soient aveuglées et paralysées par la cyberintervention chinoise. (Il cite un récent jeu de guerre publié dans un journal de stratégie militaire influent appelé Orbis intitulé «Comment les États-Unis ont perdu la guerre navale de 2015».)
Parler à Clarke donne un aperçu du tout nouveau jeu de géopolitique, un nouveau paradigme dangereux et effrayant. Avec l'avènement des «logiciels malveillants basés sur des armes» tels que Stuxnet, toutes les stratégies militaires et diplomatiques antérieures doivent être complètement repensées - et le temps presse.
J'ai quitté le bureau de Clarke avec le sentiment que nous ressemblons beaucoup à l'été 2001, lorsque Clarke a lancé son dernier avertissement. «Quelques personnes m'ont qualifié de Cassandra», dit Clarke. «Et je suis retourné dans ma mythologie à propos de Cassandra. Et à la lecture de la mythologie, il est clair que Cassandra avait raison.
Note de la rédaction, 23 mars 2012: Cette histoire a été modifiée pour préciser que l'installation de Natanz n'a été que temporairement fermée et que le nom «Esther» n'a été référencé qu'indirectement dans le ver Stuxnet.
