"Difficile d’identifier l’auteur d’une attaque"

Des moyens techniques permettent-ils d’identifier l’auteur d’une cyberattaque ?

Nicolas Caproni : Chaque objet connecté à internet (ordinateur, smartphone, tablette... ) possède une adresse IP (Internet Protocol). Et un attaquant qui pénètre une machine ou un réseau y laisse obligatoirement une trace de son passage. Sur le papier, il est donc possible de remonter jusqu’à cet ordinateur attaquant. Mais pour des raisons pratiques, c’est généralement très complexe. D’abord, il est facile techniquement pour un attaquant de camoufler la plupart des traces de son passage. Ou de laisser volontairement des traces qui orientent les enquêteurs vers quelqu’un d’autre, une fausse piste. En analysant les traces existantes, il devient difficile de savoir si elles sont involontaires ou pas, s’il s’agit d’erreurs de l’attaquant ou au contraire d’une technique pour duper les enquêteurs. Il faut noter cependant que des attaquants ont quand même été démasqués parfois, tel le groupe d’hacktivistes LulzSec qui a vu ses membres arrêtés un par un. En outre, les attaquants passent généralement par plusieurs serveurs intermédiaires ou par des réseaux (botnets) d’ordinateurs compromis à l’insu de leurs propriétaires. Or, plus les données de l’attaque transitent successivement par un grand nombre de machines, plus les traces qui restent dans chacune sont faibles. Et donc, plus il est difficile de remonter jusqu’à l’origine. S’y ajoutent des problèmes juridiques. Lorsque les informations dérobées transitent par des pays étrangers, il est nécessaire d’obtenir, entre autres, la coopération des fournisseurs d’accès à internet dans ces États pour disposer des données concernant les connexions utilisées durant l’agression. Or, c’est loin d’être assuré, car les obligations légales imposées à ces entreprises sont fort variables d’un pays à l’autre. De plus, la coopération policière et judiciaire entre États est bien aléatoire et surtout très lente. Et s’il faut des mois, des années pour remonter une filière, toute riposte immédiate devient de facto impossible. Parler de légitime défense numérique paraît dans un tel cas très compliqué, car la concomitance de la riposte est en effet un des facteurs obligatoires qui définit le concept de légitime défense en matière juridique. J’ajoute que l’identification d’une cyberattaque sophistiquée, d’espionnage par exemple, peut demander des moyens techniques et autres qui ne sont pas à la disposition des entreprises visées, mais seulement d’États qui ont des services de renseignement notamment. Y compris pour des ripostes secrètes.

Faute de pouvoir remonter la piste jusqu’à l’origine par des moyens techniques, est-il possible d’attribuer une attaque ?

N. C. : Il est seulement possible de réunir un faisceau d’indices qui donneront une identité possible, voire probable, de l’attaquant, ou de son commanditaire. On peut analyser les techniques qu’il a utilisées, par quel endroit du système il est entré, quelles failles du logiciel il a exploitées... Cela permet éventuellement de déterminer s’il s’agit plutôt d’un simple groupe criminel, ou bien d’un État qui dispose de moyens d’une sophistication bien plus grande. Ensuite, on peut réunir des indices, non techniques ceux là, qui s’apparentent à ceux de la criminologie classique : à qui profite, commercialement, financièrement ou politiquement, l’attaque au vu de ce qui a été volé ou saboté ? En réalité, cybersécurité et renseignement plus classique vont de paire aujourd’hui. Si l’attribution (sans preuve irréfutable) est possible, elle devrait rester discrète, voire secrète pour être vraiment efficace, car sinon les attaquants développent de nouveaux modes opératoires.

Est-il suffisant d’identifier la machine à l’origine d’une attaque pour tenir le coupable ?

N. C. : Même si on remonte jusqu’à elle, une adresse IP ne sera jamais une preuve irréfutable de la culpabilité d’une personne. Car l’adresse identifiera l’ordinateur utilisé, mais pas la personne qui était derrière le clavier au moment de l’attaque. D’autant que la machine a pu être piratée ce qui peut se révéler très simple, surtout avec les réseaux sans fil (WiFi). Et les fournisseurs d’accès à Internet ne sont pas partout juridiquement obligés de garder longtemps trace des connexions. En France, ils ne doivent les conserver qu’un an. Pour savoir si une machine a été utilisée à l’insu de son propriétaire, il faudra utiliser des éléments techniques qui permettront éventuellement de montrer qu’un piratage a bien eu lieu, mais aussi d’autres indices, comme le fait de savoir si son utilisateur habituel était à l’étranger au moment des faits par exemple. En matière d’enquête, la technique informatique est bien moins fiable qu’une identification par l’ADN.