Comment les États-Unis ont perdu face aux hackers

Si jamais il y avait un signe que les États-Unis perdaient le contrôle de la guerre de l’information, de leurs propres guerriers, c’était le moment où l’un des siens, un jeune entrepreneur américain, voyait les courriels de la première dame Michelle Obama apparaître sur son écran.

Pendant des mois, David Evenden, un ancien analyste de la National Security Agency, s’est demandé ce qu’il faisait à Abu Dhabi. Lui, comme deux douzaines d’autres analystes et entrepreneurs de la NSA, avait été attiré aux Émirats arabes unis par un entrepreneur boutique de Beltway avec des offres de doubler, voire quadrupler, leurs salaires et des promesses d’un style de vie libre d’impôt dans le terrain de jeu de luxe du Golfe. Le travail serait le même qu’au sein de l’agence, leur a-t-on dit, juste au nom d’un proche allié. Tout cela était une extension naturelle de la guerre américaine contre le terrorisme.

M. Evenden a commencé à suivre les cellules terroristes dans le Golfe. C’était en 2014, l’Etat islamique venait de mettre le siège devant Mossoul et Tikrit et M. Evenden a suivi ses membres alors qu’ils désactivaient les téléphones à brûleur et les applications de messagerie. Les images qu’ils échangeaient pouvaient être brutales, mais c’était sa vocation, se dit M. Evenden. Diplômé en théologie, il avait décidé de devenir chapelain. Il était loin de là, mais quel meilleur moyen de prouver votre foi, pensa-t-il, que de chasser ceux qui cherchaient à assassiner de bons chrétiens. Bientôt, cependant, il fut affecté à un nouveau projet: prouver que le voisin des Emiratis, le Qatar, finançait les Frères musulmans. La seule façon de faire cela, a déclaré M. Evenden à ses patrons, serait de pirater le Qatar.

«Allez-y», lui ont-ils dit. Peu importe que le Qatar soit aussi un allié américain ou que, une fois à l’intérieur de ses réseaux, ses patrons ne manifestent aucun intérêt à en sortir. En peu de temps, son équipe de l’entrepreneur, CyberPoint, piratait des ennemis émiratis, réels et perçus, partout dans le monde: les officiels du football de la FIFA, les critiques Twitter de la monarchie et en particulier la famille royale qatari. Ils voulaient savoir où ils volaient, qui ils rencontraient, ce qu’ils disaient. Cela aussi faisait partie de la mission, a dit M. Evenden; tout avait été éclairci en hauteur. Dans la guerre contre le terrorisme et le marché des cyberarmes, vous pouvez rationaliser à peu près tout.

Toutes les rationalisations ont été supprimées le jour où les e-mails de la première dame des États-Unis sont apparus sur son écran. Fin 2015, l’équipe de Michelle Obama mettait la touche finale à un voyage au Moyen-Orient. La Sheikha Moza bint Nasser du Qatar avait invité Mme Obama à prendre la parole lors de son sommet annuel sur l’éducation à Doha, où la première dame ferait la promotion de son initiative «Let Girls Learn». Mme Obama et son équipe étaient en communication constante avec Sheika Moza. Et chaque dernier e-mail entre la première dame, son altesse royale et leur personnel – chaque réflexion personnelle, réservation, changement d’itinéraire et détail de sécurité – était renvoyé vers les ordinateurs d’anciens analystes de la NSA à Abu Dhabi. «C’est à ce moment-là que j’ai dit:« Nous ne devrions pas faire ça », m’a-t-il dit. « Nous ne devrions pas cibler ces personnes. »

M. Evenden et sa famille étaient bientôt sur un vol de retour. Lui et les quelques collègues qui l’ont rejoint ont informé le FBI (L’agence ne commente pas les enquêtes, mais des entretiens suggèrent que son examen de CyberPoint est en cours.) Pour éviter les retombées, certains employés venu propre à Reuters. Le piratage des courriels de Sheika Moza avec Mme Obama n’a jamais été signalé.

Peu de temps après que M. Evenden se soit installé aux États-Unis, il a commencé à répondre aux appels et aux messages LinkedIn de ses anciens copains de la NSA, toujours au service, qui avaient reçu une «offre d’emploi vraiment cool» d’Abou Dhabi et voulaient son conseil. En 2020, les appels étaient devenus un battement de tambour. «N’y allez pas», plaida-t-il. «Ce n’est pas le travail que vous pensez faire.»

Vous pourriez penser que vous êtes un patriote maintenant, il voulait les avertir, mais un jour bientôt vous pourriez vous aussi vous réveiller et découvrir que vous n’êtes qu’un mercenaire de plus dans une course aux armements informatiques qui a terriblement mal tourné.

Il y a trois décennies, les États-Unis ont engendré, puis acculé, le marché des pirates informatiques, de leur artisanat et de leurs outils. Mais au cours de la dernière décennie, son avance a glissé, et ces mêmes hacks nous sont revenus en plein essor.

Pourtant, personne au gouvernement ne s’est sérieusement arrêté pour recalibrer la stratégie. Pas avec les e-mails de Michelle Obama pris dans le filet d’un entrepreneur américain en 2015. Et pas aujourd’hui, avec des hackers russes dans nos réseaux gouvernementaux. Nous sommes passés d’appels de réveil occasionnels à une alarme continue et retentissante – et nous sommes devenus de mieux en mieux en ignorant tout.

Des mois après le retour de M. Evenden chez lui, en 2016, les propres outils de piratage de la NSA ont été piratés par un agresseur encore inconnu. Ces outils ont d’abord été récupérés par la Corée du Nord, puis la Russie, lors de la cyberattaque la plus destructrice de l’histoire.

Au cours des trois années suivantes, l’Iran est sorti d’un marigot numérique pour devenir l’une des cyber-armées les plus prolifiques au monde. La Chine, après une brève pause, est de retour au pillage de la propriété intellectuelle américaine. Et nous sommes en train de dénouer une attaque russe contre notre chaîne d’approvisionnement de logiciels qui a compromis le Département d’État, le Département de la justice, le Trésor, les Centers for Disease Control, le Département de l’énergie et ses laboratoires nucléaires et le Département de la sécurité intérieure, le très agence chargée de protéger les Américains.

Nous le savons non pas à cause d’un piratage héroïque de la NSA ou d’un exploit de renseignement, mais parce que le gouvernement a été averti par une société de sécurité, FireEye, après avoir découvert les mêmes hackers russes dans ses propres systèmes.

L’orgueil de l’exceptionnalisme américain – un mythe de la supériorité mondiale mis à nu dans le nombre de morts pandémiques en Amérique – est ce qui nous a amenés ici. Nous pensions pouvoir déjouer nos ennemis. Plus de piratage, plus d’attaque, pas une meilleure défense, était notre réponse à un ordre mondial de plus en plus virtuel, alors même que nous nous rendions plus vulnérables, en connectant des installations de traitement de l’eau, des chemins de fer, des thermostats et des pompes à insuline au Web, à un taux de 127 nouveaux appareils par seconde.

À la NSA, dont la double mission est de recueillir des renseignements dans le monde entier et de défendre les secrets américains, l’attaque a éclipsé la défense il y a longtemps. Pour chaque centaine de cyber-guerriers travaillant à l’attaque – recherchant et stockant des trous dans la technologie à exploiter pour l’espionnage ou la préparation du champ de bataille – il n’y avait souvent qu’un seul analyste solitaire jouant la défense pour les fermer.

L’Amérique reste la cyber-superpuissance la plus avancée au monde, mais la dure vérité, celle que les responsables du renseignement ne veulent pas discuter, est qu’elle est aussi la plus ciblée et la plus vulnérable. Peu de choses dans l’industrie de la cybersécurité ont une pire réputation que l’alarmisme. Il y a même un acronyme pour cela: «FUD», abréviation de «peur, incertitude et doute».

Lorsque Leon Panetta, alors secrétaire à la Défense, a mis en garde contre un «Cyber ​​Pearl Harbor» à venir en 2012, il a été licencié comme alimentant FUD. L’analogie de Cyber ​​Pearl Harbor est, en effet, imparfaite: le gouvernement américain n’a pas vu venir les bombardiers japonais, alors qu’il a vu l’équivalent numérique arriver pendant des décennies.

Et le potentiel d’une attaque calamiteuse – une explosion mortelle dans une usine chimique mise en mouvement par un logiciel vulnérable, par exemple – est une distraction par rapport à la situation dans laquelle nous nous trouvons déjà. Tout ce qui vaut la peine d’être pris a déjà été intercepté: nos données personnelles, notre propriété intellectuelle , listes électorales, dossiers médicaux, même nos propres cyberarmes.

En ce moment même, nous sommes piratés de tellement de côtés qu’il est devenu pratiquement impossible de garder une trace, et encore moins d’informer le lecteur américain moyen qui tente de saisir une menace largement invisible qui vit dans le code, écrit dans un langage que la plupart des nous ne comprendrons jamais pleinement.

Cette menace semble souvent trop lointaine pour être combattue, mais les solutions existent depuis des décennies: les individus viennent de décider que l’accès et la commodité, et dans le cas des gouvernements, les opportunités d’espionnage, valaient la peine de laisser les fenêtres ouvertes, alors que nous aurions tous été mieux. de les claquer.

«Le défaut fatal de la NSA est qu’elle en est venue à croire qu’elle était plus intelligente que tout le monde», m’a dit Peter Neumann, informaticien et sage de la cybersécurité. «Dans la course pour exploiter tout et tout ce que nous pouvions, nous nous sommes peints dans une impasse sans issue.»

Il y a une raison pour laquelle nous croyions que cette infraction pouvait nous protéger: l’infraction était un chef-d’œuvre sanglant.

À partir de 2007, les États-Unis, avec Israël, ont lancé une attaque contre l’installation nucléaire iranienne de Natanz, qui a détruit environ un cinquième des centrifugeuses iraniennes. Cette attaque, connue sous le nom de Stuxnet, s’est propagée à l’aide de sept trous, appelés «jours zéro», dans les logiciels industriels de Microsoft et de Siemens. (Un seul avait déjà été divulgué, mais jamais corrigé). À court terme, Stuxnet a été un succès retentissant. Cela a fait reculer les ambitions nucléaires de l’Iran des années et a empêché les Israéliens de bombarder Natanz et de déclencher la troisième guerre mondiale. À long terme, cela a montré aux alliés et aux adversaires ce qui leur manquait et a changé l’ordre mondial numérique.

Dans la décennie qui a suivi, une course aux armements est née.

Les analystes de la NSA ont quitté l’agence pour démarrer des usines de cyberarmes, comme Vulnerability Research Labs, en Virginie, qui vendait des outils de clic et de tir aux agences américaines et à nos plus proches alliés anglophones de Five Eyes. Un entrepreneur, Immunity Inc., fondé par un ancien analyste de la NSA, s’est engagé sur une pente plus glissante. Tout d’abord, disent les employés, Immunity a formé des consultants comme Booz Allen, puis l’entrepreneur de défense Raytheon, puis les gouvernements néerlandais et norvégien. Mais bientôt l’armée turque est venue frapper.

Des entreprises comme CyberPoint sont allées plus loin, en se postant à l’étranger, en partageant les outils et le savoir-faire que les EAU allaient éventuellement retourner contre leur propre peuple. En Europe, les fournisseurs de logiciels espions du Pentagone, comme Hacking Team, ont commencé à échanger ces mêmes outils avec la Russie, puis le Soudan, qui les a utilisés avec un effet impitoyable.

Alors que le marché se développait en dehors du contrôle direct de la NSA, la concentration de l’agence restait sur l’offensive. La NSA savait que les mêmes vulnérabilités qu’elle découvrait et exploitaient ailleurs allaient, un jour, se retourner contre les Américains. Sa réponse à ce dilemme était de ramener l’exceptionnalisme américain à un acronyme – NOBUS – qui signifie «Nobody But Us». Si l’agence découvrait une vulnérabilité qu’elle croyait être la seule à pouvoir exploiter, elle la conservait.

Cette stratégie faisait partie de ce que le général Paul Nakasone, l’actuel directeur de la NSA – et George Washington et le stratège chinois Sun Tzu avant lui – appellent «défense active».

Dans la guerre moderne, la «défense active» revient à pirater les réseaux ennemis. C’est une destruction mutuellement assurée pour l’ère numérique: nous avons piraté les réseaux de trolls de la Russie et son réseau en guise de démonstration de force; Les installations nucléaires de l’Iran, pour retirer ses centrifugeuses; et le code source de Huawei, pour pénétrer ses clients en Iran, en Syrie et en Corée du Nord, pour l’espionnage et pour mettre en place un système d’alerte précoce pour que la NSA, en théorie, évite les attaques avant qu’elles ne frappent.