Les signalements de cyberattaques malveillantes et ciblées sont de plus en plus courants dans le monde. Début février, par exemple, Les agences de sécurité australiennes ont révélé qu'elles enquêtaient sur une tentative de piratage du parlement du pays, et n'avait pas exclu qu'un autre pays soit derrière.

À mesure que des attaques plus complexes et potentiellement dommageables contre les systèmes d'infrastructure nationaux critiques sont découvertes, les appels se multiplient pour que des règles internationales régissent ce nouveau front de bataille.

Les efforts de contrôle des cyber-armes se sont principalement concentrés sur un modèle où les « armes » se rapportent à du code armé – des outils de piratage spécifiques ou les vulnérabilités logicielles qui les rendent possibles. Des tentatives ont été faites pour limiter la prolifération et la propagation de ce que l'on appelle les « exploits zero-day » – les failles dans le code d'un programme qui permettent à des attaquants malveillants d'interférer avec les systèmes qui les exécutent.

Un récent article de Reuters sur les opérations d'une aile clandestine de la National Electronic Security Authority (NESA) des Émirats arabes unis (EAU) a révélé une autre composante des cyberattaques offensives :l'expertise. Cette question a suscité une attention internationale supplémentaire lorsque le FBI a annoncé des accusations à la mi-février contre Monica Witt, un ancien analyste de l'US Air Force, accusé d'espionnage et de défection en Iran.

Cyber ​​mercenaires

L'enquête de Reuters a détaillé comment certains anciens employés de la National Security Agency (NSA) américaine, des agents maîtrisant les techniques de pénétration digitale, collecte de renseignements en ligne et cyber-opérations offensives, ont été engagés par l'intermédiaire d'une entreprise basée dans le Maryland pour travailler pour les Émirats arabes unis.

L'enquête mentionne spécifiquement l'un des outils - Karma - que ces sous-traitants ont utilisé au nom des Émirats arabes unis contre des cibles spécifiques. Cet outil de piratage a permis à ses opérateurs d'obtenir un accès non invité et à distance au téléphone Apple d'une cible grâce à une faille non spécifiée qui aurait maintenant été corrigée par Apple. Reuters a rapporté que les cibles de ces attaques étaient des militants des droits humains, aux journalistes américains.

L'article soulevait des questions quant à savoir si ces sous-traitants auraient pu fournir à leurs employés de NESA des cyber-capacités avancées développées par leur ancien employeur, la NSA. Mais le sous-texte de l'enquête de Reuters est que l'expertise de ces anciens agents du renseignement est tout aussi attrayante pour leurs nouveaux employeurs que tous les outils qu'ils pourraient apporter avec eux.

Dans un article séparé, examinant spécifiquement Karma, Reuters allègue qu'il a été acheté par le gouvernement émirati à un vendeur à l'extérieur du pays. En effet, les Émirats arabes unis avaient embauché une équipe d'ingénieurs spécialisés sans emploi qui ne pouvaient pas emporter avec eux les outils qu'ils avaient utilisés aux États-Unis, il leur a donc acheté les outils dont ils avaient besoin pour faire le travail. Cela suggère qu'il y a deux éléments nécessaires pour équiper tout État ou groupe d'une cyber-capacité avancée :les outils et l'expertise.

Outils et savoir-faire

Des efforts mondiaux sont en cours pour régir les outils utilisés dans les cyberattaques, comme la Commission mondiale sur la stabilité du cyberespace, qui a introduit une série de normes internationales sur l'utilisation du cyberespace pour promouvoir la stabilité d'Internet et les bonnes pratiques de toutes les personnes impliquées. D'autres efforts ont été déployés au niveau législatif, tels que des ajouts spécifiques à l'Arrangement de Wassenaar, un accord de contrôle des exportations qui vise à freiner la diffusion des technologies civiles pouvant être utilisées à des fins militarisées. Mais l'expertise des cyberopérateurs n'a jusqu'à présent fait l'objet que d'une attention limitée.

Dans le scénario décrit par Reuters, NESA et son projet Raven n'auraient pu fonctionner sans les outils ni l'expertise. L'outil lui-même - Karma - et l'expertise et l'expérience nécessaires pour l'utiliser et former les autres à le faire, les deux nécessitent des investissements importants.

Les dangers de l'investissement de l'État dans la collecte de failles logicielles et la création d'outils puissants qui exploitent ensuite ces faiblesses jusqu'alors inconnues ont été douloureusement démontrés à travers la fuite de la vulnérabilité stockée par la NSA, Bleu éternel. C'était l'épine dorsale de l'attaque WannaCry qui a fait la une des journaux internationaux en 2018 en raison de son impact sur le NHS britannique et d'autres services commerciaux et gouvernementaux internationaux.

Mais les inquiétudes devraient grandir quant à la capacité des États à investir dans les compétences des personnes qui découvrent puis militarisent les failles des logiciels qui alimentent nos vies de plus en plus interconnectées et dépendantes d'Internet. Les gouvernements du monde entier se préparent pour ce qu'ils considèrent comme le prochain domaine de guerre en essayant de recruter des talents existants pour des projets gouvernementaux ou en formant la prochaine génération d'experts en cybersécurité qui, espèrent-ils, leur donneront un avantage.

Il y a un risque que dans les efforts mondiaux qui se concentrent sur l'utilisation par les États des cyber-outils et l'exploitation des vulnérabilités dans le code de programmation, il y a un écart législatif et de gouvernance qui se développe. Cela pourrait voir les États investir dans la formation des cyber-espions, les saboteurs ou les soldats du futur ne découvrent que ces compétences essentielles et la capacité qu'elles offrent sont récupérées par le plus offrant.

Cet article est republié à partir de The Conversation sous une licence Creative Commons. Lire l'article original.