Par Abdelaziz Derdouri, Officier Supérieur à la retraite Introduction Pendant des décennies, la sécurité physique a été la priorité pour les responsables mais ces dernières années le besoin de protection a basculé du «physique» au «virtuel», c'est-à-dire depuis que le cyberespace est utilisé pour la concrétisation des objectifs géostratégiques, pour les activités politiques, pour la désinformation et pour les activités criminelles et terroristes. Il est aussi devenu le prolongement des luttes pour le pouvoir, un puissant vecteur de mobilisation politique et le nouveau champ pour la contestation politique et sociale. Les Etats se devaient donc de développer des stratégies de cybersécurité pour renforcer leur contrôle et leur puissance et c'est en fin d'année qu'une évaluation de ces stratégies est faite pour en vérifier l'efficacité ainsi qu'une prévision annuelle des cybermenaces qui auront un impact sur le cyberespace national. Faire ces prédictions annuelles est devenu une sorte de tradition pour la communauté de la cybersécurité. Quelles prédictions donc pour le cyberespace national algérien ? La menace extérieure Les conflits à nos frontières et en particulier le conflit du Sahara Occidental, ainsi que le terrorisme auront de graves effets sur la sécurité nationale. Les menaces directes émanant d'Etats-nations seront les plus graves. La France représente la cybermenace la plus éminente, arrivent ensuite Israël en deuxième position et enfin le Maroc. Après le récent et honteux marchandage de ces deux pays sur le dos des Sahraouis, il faut s'attendre à un élargissement de la coopération déjà existante dans le domaine de la cybersécurité entre Israël et le Maroc. Il n'y a pas aujourd'hui de conflits, même de petite intensité, sans l'utilisation des cyberarmes, il s'agit d'un axiome. L'Algérie est de plus en plus dépendante de la technologie de l'information et les réseaux de l'énergie, des services, des opérations bancaires et du transport seront ciblés par ces acteurs malveillants dans un objectif de provocation ou d'exacerbation de la crise pour affaiblir le pays. L'Algérie présente aujourd'hui une surface d'attaque bien plus vaste qu'auparavant et il est donc probable que nous observions des cyberattaques par ces pays très perturbatrices en 2021. Ces dernières se feront certainement sous fausse bannière pour ne pas leur attribuer la responsabilité. Le Venezuela a été victime en mars 2019 d'une cyberattaque ayant ciblé le réseau contrôlant la distribution de l'énergie électrique aux heures de pointe pour assurer un impact maximal sur la société civile. La panne généralisée d'électricité a provoqué une interruption des transports publics, de l'approvisionnement en eau, du téléphone, de l'internet, des activités des banques et des hôpitaux avec un effet important sur le moral des citoyens. Il s'agit d'affaiblir et de démoraliser un adversaire avant de lui imposer ses conditions. Tels sont les objectifs des cyberattaques émanant des Etats-nations. Le Venezuela n'est pas un cas isolé puisque d'autres pays ont connu aussi ce genre de situation dont l'Ukraine, l'Inde et l'Argentine pour ne citer que ceux-là. En 2021, le gouvernement, le secteur public, le secteur privé et les citoyens algériens doivent se mobiliser et se préparer contre les cybermenaces venant de l'extérieur et qui risquent de remettre en cause l'unité, la sécurité nationale du pays et celle des citoyens. Hacktivisme Le terme «hacktivisme», qui est le résultat de la combinaison de deux autres, «hacker» et «activisme», fait référence à l'utilisation du cyberespace et plus précisément des médias sociaux et forums pour anonymement débattre de questions politiques, promouvoir des idées ou soutenir des droits. Il est interprété comme la transposition de la protestation, de la contestation et de la désobéissance civile dans le cyberespace. C'est une tentative de changement politique en utilisant aussi des cyberarmes. L'hacktivisme permet de s'exprimer globalement sans qu'il soit nécessaire d'avoir à réunir des milliers de personnes dans le même endroit pour communiquer. Les principales cyberarmes utilisées sont le déni de service (DDoS) et la défiguration des sites web (cas du site web du parti RND et autres en Algérie). Elles sont lancées en même temps par des inconnus, hacktivistes, de différentes parties du monde et sont dirigées contre les organismes gouvernementaux, les banques et des entreprises. L'hacktivisme donne à ses auteurs un sentiment d'accomplissement, une satisfaction personnelle et la possibilité de mettre dans l'embarras les autorités. Il ne vise pas un gain financier, contrairement aux attaques organisées par les cybercriminels. Les attaques se font en général en plusieurs phases, la première consiste à utiliser les réseaux sociaux pour recruter des hacktivistes, leur communiquer les instructions et les outils d'attaque ou cyberarmes. Ces outils ne nécessitent aucune formation en informatique pour les utiliser. La deuxième est centrée sur la reconnaissance et le dévoilement des vulnérabilités du site web et enfin la dernière consiste en l'attaque DDoS et le vol de données. Le groupe d'hacktivistes LulzSec a organisé plusieurs attaques contre des pays africains (#OpAfrica) pour «protester contre la corruption croissante dans le secteur gouvernemental». Des données ont été volées et divulguées dont les noms d'utilisateurs, numéros de téléphone, e-mails et mots de passe. Une approche qui consiste à voler et à divulguer des informations politiquement préjudiciables pour influencer l'opinion publique. Un autre exemple est celui de l'attaque d'hacktivistes en juin 2018 contre le réseau de l'aéroport international de Téhéran, la prise de contrôle des écrans de l'aéroport et l'affichage sur ces derniers d'accusations contre le gouvernement de «gaspillage de vies et de ressources iraniennes au Liban, en Syrie et à Gaza». Il s'agit ici d'une manipulation de l'hacktivisme à des fins géopolitiques par un pays hostile à l'Iran (Israël ou un des pays du Golfe). Les responsables de la sécurité des services informatiques en Algérie devraient prendre des mesures préventives en 2021 pour protéger les réseaux contre ce genre d'activités. Parmi les mesures à prendre, la remédiation aux vulnérabilités existantes dans les sites web et opter pour une approche proactive en faisant le suivi des débats et activités des hacktivistes sur les réseaux sociaux et blogs spécialisés en temps de crises ou évènements importants dans le pays. Cyberespionnage Il est à considérer comme la menace la plus importante en 2021. Le cyberespionnage est une activité offensive de la cybersécurité conçue pour collecter secrètement des informations des réseaux pour satisfaire aux exigences en matière de recueil d'informations de défense et de sécurité, économiques, de politique étrangère, pour obtenir un avantage sur un pays, le dominer ou les utiliser en temps de crise pour faire pression. Les pays développent des capacités de cyberespionnage pour les utiliser sur les scènes internationale et nationale aussi car ce type d'activité offre des rendements élevés avec un coût et un risque relativement faibles sinon nuls. Parmi les méthodes utilisées pour l'intrusion dans les réseaux la «brut force», l'hameçonnage, des logiciels espions et surtout l'installation des backdoors (portes dérobées) dans des équipements qui seront vendus aux pays ciblés et qui permettront l'accès aux réseaux sans avoir à s'identifier au préalable (utilisation d'un mot de passe). Les services de renseignement français ont développé en 2009 un logiciel espion «Babar» destiné à cibler les anciennes colonies et plus précisément l'Algérie et la Côte d'Ivoire. «Babar» a été découvert seulement en 2015, soit six années plus tard par un institut de sécurité étranger. Le groupe de hackers nommé «The Equation Group», proche de la National Security Agency (NSA) américaine, aurait piraté des serveurs informatiques de la compagnie nationale Sonatrach entre 2002 et 2010 au minimum. Selon Edward Snowden, ancien employé de la NSA, ayant fait défection, cette dernière aurait passé un accord avec certaines entreprises américaines du secteur des technologies de l'information et de la communication (TIC) pour que les équipements vendus à des pays étrangers «d'intérêt» lui soient préalablement remis temporairement pour qu'elle y installe des backdoors. Toujours selon la même source, la compagnie suisse Crypto AG qui fournit des d'équipements à plusieurs ministères en Algérie aurait passé le même accord avec la NSA. Des compagnies étrangères présentes en Algérie ont été dénoncées pour avoir des backdoors dans leurs pare-feu qui étaient supposés défendre les réseaux contre les intrusions. Il s'agit des compagnies Juniper et Fortinet. Ces dernières, qui ont reconnu la présence de «codes non autorisés» dans les pare-feu, ont déclaré ignorer l'origine et y avoir remédié. En cette période de pandémie où l'utilisation de la visioconférence a augmenté sensiblement, des sources ont signalé la présence de backdoor dans ces systèmes. Légalisation du cyberespionnage Beaucoup de pays ont rendu publique la décision de légaliser le cyberespionnage. En février 2016, le tribunal de sécurité britannique a décidé que le piratage par le GCHQ est légal. Pour ce tribunal, «le piratage d'ordinateurs, d'appareils mobiles, d'appareils intelligents et de réseaux informatiques par l'agence de renseignement britannique GCHQ est légal, peu importe où cela se produit dans le monde». La Cour suprême des Etats-Unis a approuvé les amendements permettant aussi au FBI de pirater «n'importe quel ordinateur ou réseau n'importe où dans le monde». Les services de renseignement chinois et russes n'ont aucun problème à lancer des attaques clandestines sur internet pour poursuivre ce qu'ils considèrent comme des objectifs légitimes de sécurité nationale et de politique étrangère. Quant à la France, les textes précisent que «la surveillance des communications qui sont émises ou reçues de l'étranger est autorisée» «que les services de renseignement français peuvent assurer la surveillance des communications internationales». C'est une légalisation de l'espionnage massif des communications à l'étranger. De par ces exemples, il n'est pas difficile de conclure que le cyberespionnage sera en 2021 la plus grande menace émergente pour l'Algérie car, très souvent, il est impossible de savoir qui le fait, ce qu'il cible et il est très difficile de se protéger contre lui. Les très récentes cyberattaques massives contre les systèmes gouvernementaux et privés américains le confirment. Logiciels espions ciblant l'Algérie Circles Technologies est une compagnie de surveillance, fondée par un ancien officier israélien, qui exploite les faiblesses du système mondial de téléphonie pour espionner les téléphones portables. Elle a été acquise en 2014 par NSO, une autre compagnie israélienne connue. Contrairement aux logiciels espions de NSO, dont Pegasus, qui doivent être installés sur un téléphone mobile pour prendre le contrôle à distance de sa caméra, de son microphone et recueillir en quelques secondes toutes les données disponibles sur celui-ci, le logiciel espion de Circles est basé sur la compromission des systèmes de l'opérateur de téléphonie. Il permet à l'attaquant de se connecter indirectement au téléphone ciblé grâce à l'infrastructure compromise de l'opérateur de téléphonie local ou de s'interconnecter à travers n'importe quel opérateur de téléphonie dans le monde s'il acquiert un autre logiciel espion distinct appelé «Circles Cloud». En d'autres mots, Circles peut espionner un téléphone mobile au niveau national ou au niveau mondial (Roaming) en se connectant à l'infrastructure de l'opérateur et non directement au téléphone ciblé. Circles exploite des faiblesses existant dans un ensemble de protocoles qui sont utilisés dans la majorité des réseaux téléphoniques mondiaux, y compris ceux algériens d'Algérie Télécom et Mobilis, et qui servent à l'établissement des appels téléphoniques appelés Signaling System 7 (SS7). Dans le rapport d'évaluation sécuritaire «Signaling Security in Telecom SS7» de l'Agence de l'Union européenne pour la sécurité des réseaux et de l'information (Enisa), il est précisé que les réseaux mobiles des générations 2G/3G s'appuient sur les protocoles SS7 et ne bénéficient pas d'une protection suffisante. Des efforts supplémentaires doivent être faits pour atteindre un niveau de protection optimal. Parmi les clients de Circles et NSO, le Maroc et les Emirats arabes unis. Un autre logiciel espion, Regin, avec une furtivité rarement vue, permet la surveillance des télécommunications (GSM) pendant plusieurs années. Des empreintes de Regin ont été trouvées en Algérie. Tout comme Circles, l'aspect intéressant de Regin est qu'il cible les protocoles de communication des opérateurs de téléphonie mobile et à travers eux des institutions et des citoyens. Selon des forums d'experts en cybersécurité, Regin a été développé par la NSA (Etats-Unis) et le Government Communications HeadQuarters, GCHQ (Royaume-Uni). La compagnie italienne Hacking Team a fourni aussi des logiciels espions au Maroc et à plusieurs pays arabes. Les téléphones portables sont aujourd'hui assez puissants pour exécuter les mêmes tâches qu'avec un ordinateur de bureau ou un ordinateur portable. Leur utilisation pour des raisons professionnelles ou personnelles a connu une nette progression en Algérie, en particulier en cette période de pandémie. Leur protection est plus difficile et seront, sans aucun doute, en 2021 une cible privilégiée pour les logiciels espions. La menace interne Les équipements infectés facilitent les intrusions dans les réseaux et le vol de données. On utilise aujourd'hui en Algérie plus les smartphones et les tablettes que les ordinateurs pour se connecter à l'internet. Parallèlement, le développement des applications contenant des logiciels malveillants pour mobiles continue de croître à un rythme exponentiel. Le rapport annuel de l'année 2020 du laboratoire russe Kaspersky attribue la deuxième place à l'Algérie en ce qui concerne les équipements infectés par des logiciels malveillants. Cette situation est confirmée dans le rapport annuel de Securelist, une autre compagnie spécialisée dans la sécurité. Un cyberespace national trop infecté présente trois gros risques, premièrement la facilitation des attaques contre les réseaux nationaux, deuxièmement l'utilisation de cette architecture par les pirates pour organiser des attaques contre des réseaux non nationaux et en faire attribuer la responsabilité à l'Algérie et troisièmement la possibilité de compromission des projets nationaux de digitalisation sans lesquels un développement est difficilement concevable. La généralisation en Algérie de moyens d'achat et de paiement non traditionnels comme le e-commerce et le e-paiement avec un cyberespace aussi infecté et sans une stratégie de sécurité équivaut à un «tsunami de vols de données», comme celles des cartes de paiement (nom, prénom, numéro de la carte, mot de passe, etc.). L'année 2021 sera celle de l'utilisation par les cybercriminels nationaux et étrangers d'un nouveau vecteur d'attaque, les banques et les points de paiement en ligne (Point of Sell, PoS). Les entreprises concernées et les institutions financières devraient organiser en 2021 des campagnes de sensibilisation avec le concours de compagnies privées spécialisées au profit des utilisateurs sur les risques en ligne et leurs causes car elles peuvent les réduire de moitié. Télétravail Avec le nombre croissant de télétravailleurs en cette période de pandémie qui va se prolonger jusqu'à la campagne de vaccination Covid-19, les réseaux personnels deviennent le maillon faible de la sécurité et constitueront le point d'entrée pour les réseaux professionnels sécurisés. Les foyers peuvent avoir entre 5 et 15 objets se connectant à leurs réseaux Wi-Fi et les mesures prises par les organismes consistant pour assouplir les politiques de sécurité pour permettre aux personnels d'utiliser les réseaux professionnels à partir du domicile, comme l'ouverture des ports, vont constituer en 2021 des facteurs supplémentaires de risques pour les entreprises. Les attaques DDoS ou déni de service Les organisations et administrations algériennes sont tributaires de l'internet comme moyen de travail et de fourniture de services. Les responsables de la sécurité informatique doivent non seulement défendre les infrastructures mais également gérer les risques causés par l'augmentation des attaques de déni de services (DDoS) considérées aujourd'hui comme l'une des menaces les plus graves pour la disponibilité de l'internet. Les entreprises qui ont été le plus ciblées en 2020 sont celles de communications sans fil. Elles ont enregistré une augmentation de 64% de la fréquence des attaques DDoS. Bien qu'illégaux, les outils pour organiser ce genre d'attaques existent sur l'internet pour la vente ou location (DDoS-for-location) à des prix modiques. Il importe en 2021 pour les organisations et administrations algériennes de choisir une solution d'atténuation DDoS, d'avoir un plan de réaction prêt pour une attaque DDoS avant qu'elle ne se produise. Ransomware ou rançongiciel Les ransomware, une attaque qui consiste à empêcher l'accès aux fichiers ou de démarrer un ordinateur puis de forcer les victimes prises en otage à payer une rançon contre le retour à une situation normale. L'attaque peut prendre deux formes, le ransomware Locker qui empêche les utilisateurs d'accéder aux fonctionnalités de base de leurs ordinateurs ou le ransomware Crypto qui représente 75% des attaques et qui crypte les données. Les attaques ransomwares ont connu cette année une augmentation de 200% par rapport à 2019. L'Algérie sera probablement concernée par des attaques du type ransomware ciblées et non généralisées comme dans le reste du monde. Des mesures simples peuvent être prises pour sécuriser et améliorer la résilience des réseaux en utilisant des stratégies simples et appropriées comme la sensibilisation, la sauvegarde des données et la mise en place d'un plan de reprise des activités après sinistre. Il existe aussi plusieurs signes avant-coureurs ou précurseurs avant qu'une attaque ransomware ne soit exécutée et qui devraient être exploités pour protéger les réseaux. Il s'agit, par exemple, de la détection de pièces jointes d'origine douteuse, des liens de phishing ou les tentatives d'accès à distance externes comme le protocole Remote Desktop Protocol (RDP) de Microsoft. Conclusion Un décret présidentiel a été signé en janvier 2020 portant la mise en place d'un «dispositif national de la sécurité des systèmes d'information, l'élaboration de la stratégie nationale de la sécurité des systèmes d'information et la coordination de sa mise en œuvre». Il prévoit la création d'un conseil et d'une agence ayant respectivement pour mission l'élaboration et la mise en œuvre de cette stratégie nationale. Elle permettra d'imposer des contrôles et normes de protection. La mise en œuvre de cette stratégie, qui revêt un caractère urgent étant donné les enjeux de la cybersécurité, devrait permettre, malgré le retard accumulé, de prendre une longueur d'avance sur les cyberrisques grâce à l'excellent niveau en cybersécurité des jeunes spécialistes algériens. D'ailleurs, il est temps de s'inquiéter du départ à l'étranger de ces jeunes qui demandent une vie meilleure et qui sont aspirés par la course mondiale aux talents de la cybersécurité. Enfin, la cybersécurité qui doit être un état d'esprit par défaut et une culture évolue très rapidement et est un défi croissant que l'Algérie n'a d'autre choix que de relever pour défendre ses intérêts stratégiques nationaux. A. D.
