Au cours des dernières décennies, plus de 40 États ont établi publiquement une sorte de cyber commandement militaire, avec au moins une douzaine supplémentaire pour le faire.Pourtant, malgré cette prolifération, il y a encore peu d'appréciation de la durée et des ressources que nécessite un cyber commandement efficace.
In my book No Shortcuts: Why States Struggle to Develop a Military Cyber-Force, I break down the challenges of building an effective cyber command into five categories I call the PETIO framework: people, exploits, toolset, infrastructure, and organizational structure.Qu'est-ce que cela signifie pour les cyber-pouvoirs en herbe?Premièrement, l'élément le plus important pour développer une cyber-capacité offensante est les personnes - pas seulement des linguistes, des analystes, un soutien au frontage, des stratèges, des experts juridiques et des consultants spécifiques aux opérations.Deuxièmement, une grande attention a été accordée aux États du déploiement des États nuls ou inconnus.Cependant, les exploits et outils connus peuvent également être très efficaces si l'attaquant a une connaissance supérieure de sa cible et de ses capacités.Troisièmement, les investissements aux infrastructures - comme l'établissement d'une cyber-gamme pour la formation et les tests - sont une exigence essentielle pour développer une cyber-capacité offensante et avoir un coût élevé.
Become a Member
Les techniciens ne suffisent pas
Une vision généralisée dans la gestion d'entreprise est que les compétences cognitives d'une augmentation du travail, les gens - plutôt que la technologie - deviennent plus importants.Ces «emplois de pensée», comme les appelle Daniel Pink, nécessitent de plus grandes compétences en résolution de problèmes et une pensée créative, ce qui signifie que les entreprises ne peuvent réussir que si elles cultivent une culture qui priorise l'élément humain.Pour les cyber-pouvoirs en herbe, cela est vrai pour plus que des experts techniques.
Bien sûr, une cyber-organisation militaire a besoin d'analystes de vulnérabilité ou de chasseurs d'insectes.Ces employés recherchent des vulnérabilités logicielles.Ils ont également besoin de développeurs, d'opérateurs, de testeurs et d'administrateurs système pour exécuter avec succès une opération et s'assurer que les capacités sont développées, déployées, entretenues et testées de manière fiable.
Mais la construction d'une cyber-capacité offensive nécessite également une main-d'œuvre plus complète.Premièrement, une assistance de première ligne est nécessaire pour soutenir les activités des opérateurs et des développeurs.Cela peut inclure des activités telles que l'enregistrement de comptes ou les capacités d'achat à des entreprises privées.Deuxièmement, une organisation militaire ou de renseignement avec la meilleure cyber-force au monde est obligé d'échouer sans guidage stratégique.Le succès opérationnel ou tactique n'équivaut pas à la victoire stratégique.Une opération peut être parfaitement exécutée et s'appuyer sur du code sans faille, mais cela ne conduit pas automatiquement au succès de la mission.Par exemple, u.S.La cyber commande peut réussir à effacer les données du serveur d'une société pétrolière iranienne sans obtenir de changement dans la politique étrangère iranienne.Une organisation ne peut fonctionner que s'il existe une compréhension claire de la façon dont les moyens disponibles atteindront les fins souhaitées.Une tâche importante des stratèges consiste à coordonner les activités avec d'autres unités militaires et États partenaires.Ils sont également impliqués dans la sélection des packages cibles, bien qu'une position distincte soit souvent créée pour «Targeteers.»Les cibleers nomment des cibles, évaluent les dommages collatéraux, gérent la déconfliction et aident à la planification du processus opérationnel.
Toute agence militaire ou civile effectuant des cyber-opérations dans le cadre d'un gouvernement avec un cadre juridique traitera également avec une armée d'avocats.Ces experts juridiques seront impliqués dans la formation, les conseils et le suivi.Le respect de la loi de la guerre, de la loi des conflits armés et de tout autre mandat juridique exige que les opérateurs de formation juridique, les promoteurs et les administrateurs de systèmes empêchent les violations.Les experts juridiques fournissent un soutien à la planification tel qu'ils conseillent, examinent et suivent les plans opérationnels.Par exemple, dans la planification de u.S.Opération de Cyber Command 2016 Glowing Symphony, qui a cherché à perturber et à refuser l'utilisation d'Isil Internet, ces experts ont aidé à spécifier le plan de notification, la liste de contrôle de la mission et le processus d'autorisation.
Incorporer des experts juridiques aux différentes étapes d'une opération de cyber est difficile.En effet, cela nécessite probablement de nombreuses conversations critiques avec les équipes de leadership et opérationnelles pour s'assurer qu'elles comprennent suffisamment ce qui est proposé avant de pouvoir donner l'approbation.De plus, la façon dont certaines opérations sont exécutées rend le vérification légale plus difficile.Par exemple, dans le cas de logiciels malveillants autopropagants comme Stuxnet, une fois que vous vous engagez, il est difficile de revenir en arrière.
Un groupe diversifié d'analystes techniques est ensuite nécessaire pour traiter les informations pendant et après les opérations.Les analystes non techniques sont également essentiels, en particulier pour comprendre comment les personnes du réseau cible réagiront à une opération de cyber.Cela nécessite des analystes ayant des connaissances spécifiques sur le pays, la culture ou l'organisation cible.Il y a aussi le besoin de personnel à distance.Comme le dit le chercheur en sécurité et ancien employé de la NSA, Charlie Miller, «Cyberwar est toujours aidé par les humains situés dans le monde entier et effectuant des actions secrètes.«Dans le cas des attaques Stuxnet, par exemple, une taupe néerlandaise, se faisant passer pour un mécanicien, a aidé les États-Unis et Israël à collecter des renseignements sur les centrifugeuses nucléaires iraniennes qui ont été utilisées pour mettre à jour et installer le virus.
Enfin, un cyber commandement a besoin d'administrateurs de ressources humaines, de liaison avec d'autres institutions nationales et internationales pertinentes et de parler aux médias.Comme l'observe Jamie Collier, «[g] est le temps où les agences d'espionnage n'existaient pas officiellement» et gardaient «leur personnel et leurs activités gardées subrepticement loin de la vue du public.«La communication peut aider à surmonter le scepticisme public.Cela s'applique non seulement aux agences de renseignement, mais aussi dans une certaine mesure aux cyber commandements militaires, en particulier lorsque leur ensemble de mission se développe et les préoccupations concernant l'escalade, la détérioration des normes ou la friction alliée augmente.De plus, être plus confronté au public peut aider à des fins de recrutement sur un marché du travail hautement compétitif.
C'est plus que des jours zéro
L'élément le plus parlé du développement d'une cyber-capacité offensive sont les exploits.Ceux-ci se diminuent en trois catégories de différence: exploits zéro-jour, exploits à jour non corrigées et exploits nuls corrigés.Un exploit zero-day est celui qui expose une vulnérabilité non connue au fournisseur.Un exploit de n-days non corrigé est celui qui expose une vulnérabilité dans les logiciels ou le matériel connu au fournisseur mais n'a pas de patch en place pour corriger la faille.Un exploit de n-days corrigé est celui qui expose une vulnérabilité dans les logiciels ou le matériel connu au fournisseur et a un patch en place pour corriger la faille.Souvent, les attaquants doivent combiner plusieurs vulnérabilités en une chaîne d'attaques, connue sous le nom de chaîne d'exploitation, pour attaquer une cible donnée.
Une grande partie de l'attention politique est consacrée à la thésaurisation des États-Unis.Jason Healey, chercheur principal à la Columbia University’s School for International and Public Affairs, a mené une étude en 2016 pour comprendre combien de vulnérabilités de jour zéro.S.Le gouvernement conserve.Healey déclare une grande confiance qu'en 2015/2016 le U.S.Le gouvernement a conservé «[n] des centaines ou des milliers par an mais probablement des dizaines."Cela correspond en grande partie aux autres rapports.Les organisations militaires et de renseignement plus matures bénéficient de procédures soigneusement conçues pour utiliser leurs exploits aussi efficacement que possible.
Nous ne devons cependant pas exagérer l'importance des zéro jours."[Les gens pensent, les États-nations, ils courent sur ce moteur de zéro jours, vous sortez avec votre clé de squelette maître et déverrouillez la porte et vous êtes.Ce n'est pas cela », a déclaré Rob Joyce, alors la tête du bureau des opérations d'accès sur mesure de la NSA, lors d'une présentation à la conférence Enigma.Il a poursuivi: «Prenez ces grands réseaux d'entreprise, ces grands réseaux, n'importe quel grand réseau - je vous dirai que la persévérance et la concentration vous feront entreront, obtiendra cette exploitation sans les jours zéro.Il y a tellement plus de vecteurs qui sont plus faciles, moins risqués et assez souvent plus productifs que de suivre cette voie."
En effet, pour les cyber-organisations militaires en particulier, la race pour les jours est souvent aussi importante.Dans le déploiement des exploits des jours, les attaques peuvent profiter du temps nécessaire pour développer un patch et le temps nécessaire pour adopter un patch.Le retard moyen dans le correctif d'un exploit diffère en fonction de la taille du fournisseur, de la gravité de la vulnérabilité et de la source de la divulgation. While it takes an average of just over a month for in-production web applications to patch “medium severe vulnerabilities," it takes vendors on average 150 days to patch vulnerabilities in supervisory control and data acquisition systems.L'adoption du patch peut également prendre beaucoup de temps - en particulier dans des environnements qui manquent de normalisation, comme les systèmes de contrôle industriel.En partie en raison du long délai de réalisation des correctifs du système de contrôle industriel, nous avons assisté à plusieurs attaques importantes contre ces appareils et protocoles.Par exemple, en décembre 2016, un groupe de pirates soutenu par le Kremlin connu sous le nom de Sandworm a utilisé des logiciels malveillants surnommés Crashoverride ou Industryer pour transformer de grandes parties d'Ukraine Dark.Pour ce faire, les attaquants ont contourné les systèmes protégés automatisés dans une sous-station de transmission électrique ukrainienne en utilisant une vulnérabilité connue dans ses relais Siemens Siprotec.
Les tests et les infrastructures
Il y a une croyance généralisée que le lancement de cyberattaques est bon marché tandis que la défense contre eux coûte cher.Mais comme l'a observé Matthew Monte, sur la base de son expérience dans le U.S.Communauté du renseignement, «Les attaquants ne tombent pas pour avoir raison une fois."Ils ont consacré du temps et des efforts pour construire une infrastructure, puis travailler sur les prétendus« 000 façons de Thomas Edison qui ne fonctionneront pas.’" This requires infrastructure, an absolutely crucial element of cyber capability that is not talked about enough.L'infrastructure peut être largement définie comme les processus, les structures et les installations nécessaires pour réaliser une cyber-opération offensive.
L'infrastructure se transforme en deux catégories: les infrastructures de contrôle et l'infrastructure préparatoire.L'infrastructure de contrôle fait référence aux processus directement utilisés pour exécuter une opération.Ceux-ci sont généralement brûlés après une opération ratée.Ce type d'infrastructure peut inclure les noms de domaine des sites de phishing, des adresses e-mail divulguées ou d'autres technologies abusées.Il comprend également une infrastructure de commande et de contrôle utilisée dans des opérations conduites à distance qui maintiennent des communications avec des systèmes compromis dans un réseau cible.Cette infrastructure peut être utilisée, par exemple, pour suivre les systèmes compromis, mettre à jour les logiciels malveillants ou les données exfiltrates.Selon l'objectif et les ressources d'une opération, l'infrastructure de commande et de contrôle peut être aussi basique qu'un seul serveur opérant sur le réseau externe.
Cependant, des acteurs plus matures ont tendance à utiliser des infrastructures et des techniques plus complexes pour rester furtives et résilientes contre les retraits.Par exemple, l'ours fantaisie basé en Russie a dépensé plus de 95 000 $ pour l'infrastructure qu'ils ont utilisé pour cibler les personnes impliquées dans le U 2016.S.élection présidentielle.Et il s'agit souvent de bien plus que de la simple location d'infrastructure: une organisation peut gérer un ensemble d'opérations juste pour compromettre les serveurs légitimes pour les utiliser pour exécuter de futures opérations.
L'infrastructure préparatoire concerne un ensemble de processus qui sont utilisés pour se mettre dans un état de préparation pour mener des cyber-opérations.Un attaquant rejetera rare cette infrastructure après une opération (échouée).
L'une des choses les plus difficiles à faire lors de la fabrication de bons outils d'attaque est de les tester avant le déploiement.Comme Dan Geer, un éminent expert en sécurité informatique, le souligne: «Savoir ce que votre outil trouvera et comment faire face à cela, est sûrement plus difficile que de trouver un défaut exploitable en soi." Much of the preparatory infrastructure for an attack usually consists of databases used in target mapping.Un attaquant devra faire beaucoup de travail pour trouver ses cibles.Les exercices de cartographie du réseau peuvent aider une organisation à comprendre la gamme des cibles possibles, parfois également appelées «acquisition cible." Hence, the most mature actors in this space have invested enormous resources in network-mapping tools to identify and visualize devices on certain networks.
Il existe également d'autres bases de données ciblées. For example, GCHQ maintains a special database that stores details of computers used by engineers and system administrators who work in “network operation centers" across the world.La raison pour laquelle les ingénieurs et les administrateurs système sont des objectifs particulièrement intéressants est qu'ils gèrent les réseaux et ont accès à de gros trousses de données.
Un cas illustratif et de haut niveau est le piratage de Belgacom, un téléphone belge et un fournisseur d'Internet belge partiellement appartenant à la Commission européenne, le Parlement européen et le Conseil européen dans le cadre de leur clientèle.La British Spy Agency GCHQ, peut-être aidée par d'autres membres à cinq yeux, a utilisé des logiciels malveillants qu'il avait développés pour accéder aux routeurs GRX de Belgacom. From there, it could undertake “Man in the Middle attacks," which made it possible to secretly intercept communications of targets roaming using smartphones.Comme les journalistes l'ont découvert, le piratage de Belgacom, nommé socialiste nommé par code, «s'est produit par étapes entre 2010 et 2011, à chaque fois plus profondément dans les systèmes de Belgacom, compromettant finalement le cœur même des réseaux de l'entreprise."
La préparation des cyberattaques nécessite également de créer une cyber-gamme.Il s'agit d'une plate-forme pour le développement et l'utilisation d'environnements de simulation interactifs qui peuvent être utilisés pour la formation et le développement des capacités.Au cours des dernières années, les entreprises ont de plus en plus investi dans les cyber-gammes, basés sur la technologie cloud.Ces gammes sont développées sur des fournisseurs de cloud publics - tels que les services Web Amazon, Microsoft Azure ou Google - ou des réseaux cloud privés déployés dans des locaux.Les cyber-gammes de cloud offrent généralement des environnements d'apprentissage pratique flexibles avec des scénarios de clic et de jeu pratiques pour la formation.Pour les cyber-organisations militaires, cependant, les gammes conventionnelles non basées sur les nuages sont généralement encore préférables, étant donné le besoin d'environnements de simulation hautement sur mesure et de tests opérationnels sur mesure et de formation sur mesure.
En essayant de suivre le rythme rapide des développements dans les cyber-conflits, de nombreux commentaires d'experts se sont concentrés sur la question de savoir si les opérations du cyber-effet peuvent produire des avantages stratégiques ou être influencés par les normes.Pourtant, nous devons d'abord aborder une question plus fondamentale: quand les États sont-ils en mesure de mener des opérations en premier lieu?Alors que la prolifération des cyber commandements militaires suggère que un changement majeur est en cours dans la cyber-guerre, faire fonctionner ces organisations reste beaucoup plus difficile et plus cher qu'il n'y paraît.
Become a Member
This essay is based on No Shortcuts: Why States Struggle to Develop a Military Cyber-Force, published with Oxford University Press and Hurst Publishers in May 2022.
Max Smeets est chercheur principal au Center for Security Studies d'Eth Zurich et directeur de l'Initiative européenne de recherche sur les cyber-conflits,
Image: Joseph Eddins, Airman Magazine
Commentary