Par Abdelaziz Derdouri, officier supérieur en retraite Introduction Chaque année, en cette période, les nombreux rapports bilans sur la cybersécurité apportent de précieux enseignements, permettant de réaliser des études prospectives et une approche pour préparer les stratégies à court, moyen et long termes, en cohérence avec les enjeux majeurs qui associent les technologies de l'information et de communication (TIC). Nous vivons une ère de croissance rapide de l'utilisation de ces dernières qui sont accompagnées de menaces sophistiquées. Aujourd'hui, les progrès technologiques présentent cette dualité : de grandes opportunités accompagnées de grands risques dont les cyberattaques émanant de cybercriminels, de hacktivistes et de plus en plus celles parrainées par des Etats. Beaucoup a été dit sur la créativité des cybercriminels ; néanmoins, les bilans de l'année 2015 ont montré, en ce qui concerne certains pays, dont l'Algérie, que les cybercriminels n'auront pas à utiliser les techniques les plus avancées ou des méthodes sophistiquées pour réussir leur intrusion dans les réseaux. Il suffit simplement de comprendre la psychologie derrière la politique de sécurité de ces pays à l'égard des TIC pour ne pas avoir à recourir à des outils sophistiqués. Pourtant, l'absence de sécurité est le plus gros problème dans le secteur des TIC à cause de l'adoption, pour des raisons pratiques et économiques, du cloud, de la mobilité et de l'internet des Objets. Pour compliquer les choses, des études récentes montrent que le niveau de la cybermenace dans les pays arabes a un lien aussi avec la situation politico-socioéconomique de ces derniers. L'année 2015 a été largement dénommée par les experts comme «l'année de la violation de données». Comment définir ce à quoi l'Algérie doit s'attendre en 2016 ? Le hacktivisme Le hacktivisme qui se réfère à l'utilisation des techniques des hackers (défiguration de sites web, attaques de déni de service, vol de données, sabotages et vandalisme virtuels, etc.) n'a pas pour objectif le gain financier, mais l'utilisation de la technologie, des outils et techniques des hackers pour exprimer un désaccord ou un mécontentement. C'est la projection de la protestation et de la désobéissance civile sur l'internet. Lors du mouvement contestataire de janvier 2011 en Algérie, des institutions dont le ministère de l'Intérieur ont été victimes de cyberattaques (#OpAlgeria) émanant de hacktivistes. Un groupe de hacktivistes a ciblé en ce début janvier 2016 un certain nombre de sites officiels du gouvernement nigérian, dont ceux des ministères de l'Intérieur, des Finances et des Affaires étrangères, et procédé à un vol de données qu'il menace de rendre publiques dans le cas où il n'est pas mis un terme au comportement de certaines personnalités politiques caractérisé par la corruption et le vol de fonds publics qui génèrent dans le pays chômage et pauvreté. Les hacktivistes utilisent le vol de données pour nuire et détruire la crédibilité des institutions ou personnalités ciblées. Au Moyen-Orient et en Afrique du Nord, 45% de toutes les cyberattaques sont effectuées par les hacktivistes. Les outils utilisés ne sont pas aussi développés que ceux des cybercriminels, pourtant les gouvernements et les organisations craignent plus les hacktivistes à cause du vol et de la divulgation d'informations embarrassantes. Ce type d'incidents, dont le nombre continuera à augmenter en 2016, est à l'origine de préjudices qui sont difficiles sinon impossibles à réparer. En 2016, les hacktivistes, encouragés par la facilité d'actions, l'impunité et la garantie de succès, passeront du simple sabotage virtuel à des attaques plus méthodiques pour faire entendre leurs revendications et leurs messages politiques ou religieux. Les victimes découvriront à leurs dépens qu'elles ont plus d'ennemis qu'elles ne pensaient et qu'elles peuvent être atteintes dans ce qu'elles ont de plus sensible. Le paysage du hacktivisme politiquement motivé prend de plus en plus d'ampleur dans les pays arabes. Il est instable et ses activités semblent être proportionnelles à l'agitation politique et sociale. Une augmentation du niveau de l'activité des hacktivistes d'Afrique du Nord est attendue en 2016. Ils peuvent utiliser des outils malveillants développés par eux et qui sont ouvertement disponibles tels que njRAT ou Fallaga RAT (Remote Access Tool). La prolifération de ces nouveaux outils arabes signifie que des individus ou groupes de la région tentent d'obtenir des capacités d'intrusions ciblées. La motivation pour de telles attaques peut varier du mécontentement à la réaction contre l'intervention des services de l'ordre ou un projet de loi impopulaire. Lien entre la situation politico-socioéconomique et la cybermenace La vulnérabilité informatique d'un pays ou d'une région n'est pas liée à un seul facteur mais aussi à une variété de facteurs politiques et socioéconomiques. En effet des études d'experts montrent que l'évolution de la cybermenace dans le monde arabe est liée aussi à ces facteurs. Les protestations et troubles politiques dans un pays conduisent à un taux de cyberattaques et d'infections en malwares plus élevé. Le niveau de la cybermenace est beaucoup plus important dans les régions où il y a des conflits internes et externes. L'instabilité gouvernementale, le niveau de corruption dans un pays, l'absence de l'Etat de droit, de la bonne gouvernance et le niveau de développement économique ont un impact sérieux sur le niveau de la cybermenace. L'analyse de la diffusion des logiciels malveillants dans le Moyen-Orient met en évidence que les pays de cette région où il y a des conflits ont un taux d'infection par les malwares double de la moyenne mondiale. La situation en Algérie devrait inquiéter car le taux d'infection est plus élevé comparativement à ces pays. Le cyberespionnage Le cyberespionnage, qui est le nouveau visage de l'espionnage classique, utilise comme vecteurs des logiciels malicieux (malwares) ou Trojan Horse (Chevaux de Troie), ainsi que les backdoors (Portes dérobées). Il est «facile, pas cher, de plus en plus sophistiqué et efficace». Il offre l'anonymat et on peut rarement prouver l'identité du responsable. Le renseignement peut maintenant être récupéré très rapidement à la source, dans n'importe quelle partie du monde sans avoir à se déplacer. Il est même devenu le moyen privilégié pour le recueil de renseignement en plus d'être le produit d'une stratégie de domination politique et économique sur l'internet de plusieurs pays. Son impact sur le moyen et le long termes sont dévastateurs. Contrairement aux autres types de crimes, les dommages du cyberespionnage ne peuvent être quantifiés car ils touchent à la sécurité nationale. En 2014 et 2015, l'Algérie a été ciblée par plusieurs opérations de cyberespionnage émanant principalement de la France. Elle est à l'origine d'opérations consistant à implanter, depuis 2009, plusieurs logiciels espions, dont «Babar», dans les systèmes informatiques d'institutions gouvernementales et économiques de plusieurs pays dont l'Algérie. En 2015, l'«Equation Group», utilisant un virus de cyberespionnage, a été découvert. Les victimes ciblées sont le gouvernement, la défense, les secteurs de l'énergie et de la finance. Le recueil du renseignement économique sensible et de défense en Algérie par des parties étrangères dont la France continuera en 2016 et sera facilité par l'absence d'une stratégie nationale de cybersécurité, d'une loi sur la cybersécurité et d'une structure pour la protection des infrastructures sensibles comme celle britannique : Centre for the Protection of National Infrastructure (CPNI), qui dépend du MI5, le Service de la sécurité intérieure. Cyberterrorisme L'utilisation par les groupes terroristes de cyberarmes contre les réseaux ne peut être exclue. Ils ne semblent pas avoir tous pour le moment la maîtrise et le savoir-faire technique pour organiser des cyberattaques. Mais ceci ne saurait tarder car des indices qui montrent les efforts pour une meilleure maîtrise des technologies de l'information et de communication par les groupes terroristes existent. La tendance en 2015 a été l'utilisation de l'internet à des fins de communication, d'endoctrinement, de recrutement, de formation, de collecte de fonds et aussi pour organiser et coordonner les opérations plus efficacement. Après les fuites de Snowden, les groupes terroristes Tashfeer Al-Jawwal, Asrar al-Ghuraba et Amn Al-Mujahid (Sécurité du Moudjahid) ont développé leurs propres logiciels de cryptage pour les opérations de chiffrement sur l'internet. En novembre 2015, un groupe de djihadistes a mis en place sur l'internet un bureau d'assistance H/24 et différentes plateformes pour former sur la sécurité informatique et aider les terroristes et leurs sympathisants dans les opérations de cryptage des communications relatives aux activités de recrutement, de propagande et de planification des opérations, échappant ainsi à la surveillances des services de sécurité. Des sympathisants d'un groupe terroriste ont lancé en décembre 2015 sur internet un magazine, Kybernetik, pour former les futurs djihadistes sur la façon de prendre part à une «cyberguerre». Ses éditeurs ont encouragé la traduction des articles en d'autres langues et de les partager sur les réseaux sociaux. «Il est très important pour nous que nos frères et sœurs apprennent la manipulation correcte des logiciels et hardwares» et tirent «avantage de la technologie», selon e-Moudjahid. Contrairement à beaucoup de gouvernements, les groupes terroristes s'adaptent à l'évolution des technologies et montrent un intérêt croissant à ces dernières comme celle des mobiles en raison de la grande disponibilité, accessibilité et efficacité dans les lieux de leurs activités. En 2014 et 2015, deux applications de cryptage pour smartphones utilisant le système d'exploitation Android ont été développées par le groupe terroriste Al Fajr. Selon une compagnie de sécurité russe, les groupes terroristes Cyber Califat, Team System DZ et Fallaga ont attaqué 600 ressources internet russes dont celles des banques, des entreprises de construction, des organisations gouvernementales, des centres de recherche et écoles. Les activités dans le cyberespace des groupes terroristes ont été à ce jour limitées à la guerre psychologique, à la génération de la peur en diffusant sur internet des clips vidéo montrant des décapitations et exécutions de masse ou des défilés pour donner une illusion de la force. L'utilisation d'internet à des fins terroristes est un phénomène qui connaît une croissance rapide. En 2016, internet sera davantage utilisé pour amplifier et généraliser l'impact des opérations terroristes sur les victimes en ayant recours aux cyberarmes, comme ce fut déjà dans le cas sus-évoqué des cyberattaques contre des infrastructures sensibles russes. Elle sera définie comme l'année de la militarisation de l'internet par les terroristes. La cybercriminalité Le rapport de l'Europol décrit l'Afrique comme connaissant un rapide développement dans les TIC mais très peu de ses pays peuvent faire face à la cybercriminalité nationale et internationale. Ses infrastructures sont malveillamment exploitées pour héberger des malwares et des sites de Phishing (Hameçonnage) et cette situation «est particulièrement vraie pour des pays nord-africains comme l'Algérie ou le Maroc», selon le même rapport. Pour un directeur de McAfee qui est une société américaine de sécurité informatique basée à Silicone Valley, «l'Afrique est devenue très connectée», «beaucoup de systèmes d'exploitation en usage sont cependant piratés, ce qui signifie qu'ils ne reçoivent pas de correctifs ou de mises à jour». La conséquence est que «l'Afrique est une immense cible pour les pirates» ; «elle est attaquée et utilisée comme une plaque tournante pour cibler d'autres pays» et «les gouvernements et les utilisateurs africains ne sont ni protégés ni conscients». En Algérie, qui est concernée par les évaluations de l'Europol et McAfee, la cybercriminalité nationale est aussi impliquée, selon les rapports des autorités, dans la violation de la vie privée des internautes, dans le cybervandalisme d'institutions et structures publiques et privées, dans les menaces, les escroqueries et les comportements contraires à la morale. Les mobiles On utilise aujourd'hui dans le monde plus les smartphones et les tablettes que les ordinateurs pour se connecter à l'internet. Avant la fin de 2016, il pourrait y avoir 10 milliards de smartphones dans le monde. En Algérie, plus de 90% des smartphones utilisent le système d'exploitation Android. Le développement et la diffusion de logiciels malveillants pour les smartphones, notamment ceux utilisant Android, qui est le système d'exploitation le plus populaire sur le marché, continuera de croître à un rythme exponentiel tout comme en 2015. 440 000 malwares pour Android ont été recensés rien que durant un trimestre de 2015. Le chiffre de 20 millions de malwares développés en 2016 pourrait être atteint. La proportion de malwares du type Trojan Horse (Cheval de Troie) est de 50%. Les Trojan Horse sont des logiciels espions servant à recueillir des informations. Les chevaux de Troie conçus pour envoyer des programmes malveillants sur des SMS sont les plus répandus en Algérie. «Bien que les attaques contre Android étaient monnaie courante au cours des dernières années, la particularité pour 2016 est la manière dont les smartphones seront infectés. Nous allons voir plus de menaces qui vont s'enraciner dans le dispositif, ce qui rendra leur élimination par un antivirus presque impossible». L'introduction en Algérie de moyens de paiement non traditionnels en utilisant les smartphones et sans une stratégie de sécurité équivaut à un «tsunami de vols de données». L'année 2016 en Algérie sera l'année où la sécurité d'un dispositif mobile (smartphone ou tablette) doit être prise au sérieux par son utilisateur. Cyberconflits Tous les conflits de basse intensité entre nations qui ont eu lieu en 2015 contenaient un élément de cybersécurité : Russie-Ukraine, Corée du Sud-Corée du Nord, Iran-Arabie Saoudite, Israël-Palestine, Inde-Pakistan, Syrie-Turquie-Etats-Unis, etc. Les conflits de basse intensité continueront à migrer vers le cyberespace en 2016 pour interrompre massivement différents services comme la distribution d'électricité, de l'eau, les transports, les opérations financières et administratives, etc. Les cyberarmes étant des Armes d'Interruption Massive (Weapon of Mass Disruption). Le 23 décembre 2015, une panne d'électricité massive a eu lieu dans l'ouest de l'Ukraine et laissé environ 700 000 foyers dans l'obscurité. Le gouvernement ukrainien a découvert que c'était des logiciels malveillants installés à son insu à l'intérieur des systèmes de contrôle des générateurs électriques qui ont été à l'origine de la «panne». Le réseau électrique a donc été intentionnellement ciblé, en hiver de surcroît, pour augmenter les impacts de cette opération malveillante sur la population. L'objectif recherché est la démoralisation, l'affaiblissement et la déstabilisation du pays ciblé. Les consommateurs et utilisateurs civils ainsi que les entreprises seront les dommages collatéraux dans les cyberconflits de basse intensité futurs entre nations, comme cela a été le cas de la cyberattaque contre le réseau électrique ukrainien qui a privé d'électricité des foyers, des hôpitaux, des entreprises, etc., ou encore de la cyberattaque, fin décembre 2015, contre un barrage à New-York. En 2016, l'Algérie sera vulnérable aux cyberattaques contre ses infrastructures sensibles, et l'interruption de services comme la distribution d'électricité, de l'eau ou des transports au profit des citoyens est à prévoir. Les attaques chirurgicales pratiquées dans les autres champs de bataille (terre, air et mer) pour éviter les dommages collatéraux ne sont pas possibles dans le cyberespace. La menace interne La menace interne continue à être l'une des principales causes des intrusions dans les réseaux. Elle prendra aussi plus d'ampleur en 2016 à cause de l'absence presque totale de campagnes de sensibilisation au profit des personnels exploitant les outils informatiques. Des pays ont rendu ces campagnes obligatoires grâce à des textes de loi. Conclusion Les cybercriminels et les gouvernements qui ont recours aux cyberattaques seront encore victorieux en 2016. Les organisations, les entreprises et les utilisateurs auront intérêt à adopter plus de mesures de protection contre les dangers de l'internet au cours de cette année. Parmi ces mesures celles de sensibilisation, dont le coût est insignifiant, pour éliminer ou amoindrir la menace interne qui représente 40% de la menace globale. Enfin, je ne saurai terminer sans évoquer l'article 39 de l'avant-projet de révision de la Constitution qui prévoit de garantir la protection des données privées sur le net. Il s'agit d'un pas dans la bonne direction, en ce qui concerne la cybersécurité en Algérie, mais cette garantie ne peut être effective que s'il y a une protection des données en général contre les violations qui ont une origine aussi bien nationale qu'étrangère. Pour arriver à cet objectif il faut une stratégie nationale de cybersécurité que l'Algérie n'a malheureusement pas encore et qui ne doit pas obligatoirement faire l'objet d'un article dans la Constitution. Une loi suffirait et aurait l'avantage de défendre la vie privée sur le Net, les données et les réseaux des infrastructures sensibles nationales contre les cyberattaques émanant de gouvernements étrangers et dont dépend la sécurité nationale. Ce serait bien si aucune des prédictions de cybersécurité sus-citées ne venait à se réaliser. Mais les tendances et éléments précurseurs prédisent une situation différente de celle à laquelle l'Algérie et les internautes doivent se préparer en 2016. La tâche sera ardue car dans le cybermonde, il est largement considéré qu'il est plus facile d'être l'agresseur que le défenseur : ce dernier doit se protéger contre toutes les vulnérabilités et elles sont très nombreuses, tandis que l'agresseur doit identifier une seule vulnérabilité et l'exploiter.
