La cyberguerre vue du côté de l’unité américaine venue en soutien à l’Ukraine
(Cyber)guerre de l'information 2.0
Le 23 juin 2023 à 14h29
10 min
Société numérique
Société
Le « bras armé » de l'U.S. Cyber Command, en charge des opérations de cybercombats défensives et offensives, aurait mené près de 50 missions dans 16 pays, et déployé 39 équipes composées de 2 000 militaires et civils rien qu'en Ukraine, de 2018 à 2022. Le tout, sur fonds d'échanges accrus de renseignement avec la NSA et le secteur privé.
Auditionné par la Commission de la défense nationale et des forces armées, Aymeric Bonnemaison, quatrième général à prendre la tête du Commandement de la cyberdéfense, avait déploré en décembre dernier la « politique américaine de "hunting forward" » consistant à permettre à leurs experts d'analyser les réseaux des pays partenaires qui feraient l'objet de cyberattaques afin de les aider à se protéger.
Il avait alors qualifié cette politique de « Hunt Forward Operations » (HFO, littéralement « opérations avancées de chasse ») du CyberCom états-uniens de « relativement agressive, car elle ouvre aux Américains les réseaux des pays qui font appel à eux ». Si « elle a beaucoup aidé l'Ukraine », cela relève d'une « forme d'entrisme sur les réseaux concernés », déplorait Bonnemaison.
Ces missions sont confiées à la Cyber National Mission Force (CNMF), qui se présente comme le « bras armé » de l'U.S. Cyber Command (USCYBERCOM), et l'une de ses trois composantes, chargée de défendre les États-Unis dans le cyberespace par des opérations offensives, défensives et d'information :
« La mission de la CNMF est de planifier, de diriger et de synchroniser des opérations à spectre complet dans le cyberespace afin de dissuader, de perturber et de vaincre les acteurs cybernétiques et malveillants de l'adversaire. »
Créée en 2014 et pleinement opérationnelle depuis 2018, la CNMF est aujourd'hui composée de 6 200 militaires et civils répartis dans 133 équipes chargées de la cyberprotection des infrastructures essentielles, d'observation des activités cyber de ses adversaires, « en se défendant contre les attaques et en manœuvrant pour les vaincre », et de missions de « combat cybernétique » par le biais de trois formes principales d'opérations :
- des opérations défensives visant à préserver l'intégrité du cyberespace afin de protéger les données, le réseau, les capacités basées sur le réseau et d'autres systèmes ;
- des opérations offensives conçues pour projeter la puissance dans et à travers le cyberespace grâce à l'emploi de cybercapacités ;
- des opérations de sécurisation, d'exploitation, de maintenance et de soutien sur les réseaux d'information du département de la défense (DODIN) « et des réseaux connexes ».
Près de cinquante HFO dans 16 pays différents
Assistées par la NSA, ses équipes ont dès lors été « directement engagées » dans des cybercombats contre des cyberacteurs malveillants responsables d'attaques contre le département de la défense (DOD) et les infrastructures critiques des États-Unis et de leurs partenaires, et amenées à partager leurs retours d'expérience (RETEX) avec ces derniers, qu'ils soient militaires, industriels ou internationaux.
La CNMF est commandée depuis 2019 par le Major General William J. Hartman (WJH), qui expliquait en avril dernier, lors de la conférence sur la cybersécurité RSA à San Francisco, avoir mené ces trois dernières années 47 opérations défensives de type « hunt forward » (dont « plus de 27 » pendant la pandémie de COVID-19) dans 20 pays à l'invitation de ces derniers, dont le Monténégro, l'Estonie et la Macédoine du Nord.
Signe de la montée en puissance des HFO, le département de la défense états-unien avait demandé 431,6 millions de dollars pour la coopération avec ses alliés et partenaires afin de mener de telles opérations pour 2023, contre 147,2 millions de dollars au cours de l’exercice 2022.
La CNMF précise sur son site avoir mené, de 2018 à 2022, « plus de deux douzaines de HFO » dans seize nations différentes, dont l'Ukraine, l'Estonie et la Lituanie, ayant conduit à la publication de plus de 90 échantillons de logiciels malveillants à des fins d'analyse par la communauté de la cybersécurité, et permis d'obtenir des informations sur les tactiques, les techniques, les procédures (TTPs) et les intentions de l'adversaire.
La CNMF explique que ces missions de « hunt forward » amènent ses équipes à travailler côte à côte avec leurs partenaires à la recherche de vulnérabilités, de logiciels malveillants et à la présence d'adversaires sur les réseaux du pays hôte :
« L'USCYBERCOM partage les résultats de l'opération avec le pays hôte, d'autres agences gouvernementales telles que le Federal Bureau of Investigation (FBI) et le Department of Homeland Security (DHS), ainsi qu'avec l'industrie privée. Ces opérations génèrent un retour sur investissement pour le public car elles renforcent la défense du territoire et des réseaux tout en exposant les tactiques, techniques et procédures de l'adversaire avant qu'elles ne puissent être utilisées contre les États-Unis. »
39 équipes composées de 2 000 militaires et civils
WJH explique à The Record que « c'est dans notre intérêt, car nous avons constaté que, souvent, les États-nations qui nous menacent menacent également leurs voisins », mais également parce qu' « ils le font parfois de manière un peu plus agressive que ce que nous voyons aux États-Unis » :
« Nous avons donc six groupes de travail qui se concentrent sur les principaux États-nations adversaires : L'Iran, la Chine, la Russie, la Corée du Nord. Nous avons une task force qui se penche sur les menaces émergentes, principalement les menaces de ransomware pour la sécurité nationale. Enfin, nous avons un groupe de travail qui se concentre sur l'accès, les armes et les tactiques cybernétiques. »
La CNMF aurait mené quatre missions de « hunt forward » en Ukraine, avant que l'armée russe n'envahisse le pays, y déployant 39 équipes composées de 2 000 militaires et civils. Mais elle aurait également bénéficié de l'aide du secteur privé, après que plusieurs entreprises privées américaines ont, elles aussi, voulu aider l'Ukraine suite à l'invasion russe, précise WJH :
« Ce que nous avons pu faire, c'est essentiellement trier les données fournies par l'industrie privée américaine et faciliter le passage aux Ukrainiens – parce qu'ils étaient tout simplement surchargés de travail pour communiquer avec les différents partenaires qui voulaient les aider, qu'il s'agisse de la Cyber National Mission Force, d'autres agences du gouvernement américain ou de nos partenaires de l'OTAN ou de l'Union européenne – en usant de notre capacité à prendre ces informations, à les trier, à les analyser et à dire : "Voici les vulnérabilités dont vous devez vous préoccuper en priorité". »
Plus de 6 000 indicateurs de compromission
WJH explique que « la première chose à faire est d'acquérir une bonne compréhension du réseau », puis d'identifier les activités anormales, connexions entrantes, les logiciels et adresses IP potentiellement malveillants, les vulnérabilités, afin de pouvoir les colmater, ou s'en prémunir :
« Il peut s'agir d'un port ouvert qui ne devrait pas l'être. Il peut s'agir d'un mot de passe administrateur qui n'a jamais été modifié. Il peut s'agir d'un utilisateur du réseau qui fonctionne d'une manière qu'il ne devrait pas permettre à un utilisateur du réseau de fonctionner. Je veux dire qu'il y a une foule de choses qui peuvent être erronées. »
WJH précise travailler en étroite collaboration avec la Direction de la cybersécurité de la NSA, ce qui permet à la CNMF d'accéder aux informations et renseignements qu'elle possède au sujet des adversaires des États-Unis et de ses alliés :
« Entre nous et nos partenaires ukrainiens, je pense que nous avons partagé plus de 6 000 indicateurs de compromission (IOCs). Il s'agit d'informations que nous avons pu voir grâce à des partenariats industriels. Ce sont des choses qu'ils ont pu voir grâce aux activités sur le terrain. Et cette relation se poursuit encore aujourd'hui. »
🚨🤝We are publicly disclosing these IOCs from our Ukrainian partners @servicessu to highlight potential compromises & enable collective security. We continue to have a strong partnership in cybersecurity between our two nations. 🇺🇦🇺🇸 https://t.co/VSpg22NlrT
— USCYBERCOM Cybersecurity Alert (@CNMF_CyberAlert) July 20, 2022
Des échanges d'informations et TTPs avec 22 partenaires privés
La CNMF travaille également avec le Cybersecurity Collaboration Center, la branche de la NSA qui travaille avec des centaines de partenaires industriels, afin d'échanger des informations, et a créé son propre programme de partage bidirectionnel d'informations et de TTPs, « Under Advisement » :
« Si vous avez des informations sur une menace pour votre réseau, c'est une menace pour le réseau de tout le monde... Si nous partageons des informations les uns avec les autres, nous pouvons réduire les vulnérabilités et nous pouvons arrêter de nombreuses attaques avant qu'elles ne se produisent. »
L'an passé, « Under Advisement » aurait permis de partager 149 indicateurs uniques de cyberactivités malveillantes auprès de 22 partenaires du secteur privé, explique Holly Baroody, directrice exécutive de l'USCybercom, lors d'une présentation à la conférence HammerCon, organisée par la Military Cyber Professionals Association (MCPA). Le programme aurait également permis à Microsoft d'identifier des milliers de victimes potentielles grâce au partage d'adresses IP suspectes.
Il y a toujours des équipes déployées sur le théâtre européen
Suite à l'attaque SolarWinds, la CNFM s'est procuré une copie du serveur compromis d'une agence gouvernementale américaine, l'a reproduit dans son « environnement d'entraînement permanent » afin d'entraîner ses équipes et répéter la recherche du logiciel malveillant.
Peu de temps après, et en réponse à une demande d'envoi d'une équipe en Europe pour traquer une compromission présumée du SVR (Service de renseignement extérieur russe), « nous savions exactement ce qu'il fallait chercher », explique WJH :
« Nous avons censuré le réseau en question et avons pu :
Premièrement, trouver l'activité malveillante russe.
Deuxièmement, conseiller le partenaire de la mission sur la manière d'expulser l'adversaire du réseau.
Troisièmement, observer l'adversaire tenter en vain de réinfecter ce réseau.
Et nous avons pu le faire sans que l'adversaire ait la moindre idée de notre présence. »
Cherchant à tirer les leçons de la (cyber)guerre en Ukraine, WJH estime que « la Russie aura exécuté plus de cyberattaques en Ukraine qu'aucun État-nation n'en a jamais exécuté au cours d'une période comparable dans l'histoire du monde ».
Il n'en relève pas moins que les Ukrainiens se sont montrés très résilients, et résistants, non seulement parce qu'ils s'y étaient préparés depuis le début du conflit en 2014, puis avec l'aide de la CNFM depuis 2018, mais également du fait des soutiens reçus de la part des autres pays de l'OTAN, parce que « certaines entreprises américaines ont fait un travail fantastique », et que les échanges d'informations, de TTPs et de données ont été « très, très importants » :
« La leçon à tirer est que le travail que nous faisons pour nous assurer que nos réseaux sont prêts à fonctionner dans cet environnement très menaçant est vraiment important. Et si le défenseur fait ce qu'il faut, nous pouvons construire des réseaux résilients même face à des centaines de cyberattaques russes. »
S'il se refuse à évoquer les opérations de « hunt forward » en cours, et que celles qui sont rendues publiques ne le sont qu'avec l'accord des pays hôtes et partenaires, et seulement une fois les missions terminées, WJH reconnaît cela dit qu' « à tout moment, nous pouvons avoir entre six et dix équipes déployées dans le cadre d'opérations », mais également qu' « il y a toujours des équipes déployées sur le théâtre de commandement européen ».
La cyberguerre vue du côté de l’unité américaine venue en soutien à l’Ukraine
-
Près de cinquante HFO dans 16 pays différents
-
39 équipes composées de 2 000 militaires et civils
-
Plus de 6 000 indicateurs de compromission
-
Des échanges d'informations et TTPs avec 22 partenaires privés
-
Il y a toujours des équipes déployées sur le théâtre européen
Commentaires (7)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 23/06/2023 à 21h44
Excellente démonstration que les USA (et l’OTAN) sont en guerre effective contre la Russie en Ukraine, avec cette seule restriction - provisoire ? - qu’aucun soldat US ou OTAN en uniforme ne combat actuellement sur le terrain. Mais, bon, une petite provocation bien menée au niveau de la centrale nucléaire d’Energodar et un prétexte existera pour une intervention directe. Le stock d’Ukrainiens commence à s’épuiser et il va falloir trouver des remplaçants. Polonais ?
Le 24/06/2023 à 13h02
certes, mais QUEL serait ‘l’autre choix’ ?
(qui n’en fera qu’une bouchée, et après………………………..)
je ne pense pas qu’elle puisse réitérer sa résistance de ‘Fév. 2022’ ?
Le 25/06/2023 à 08h27
Il eût fallu ne pas rendre la guerre inévitable pour les Russes. C’était parfaitement possible. Maintenant, les armes décideront.
Le 26/06/2023 à 09h50
Faut relire les discours de Poutine, Poutine voit l’Ukraine comme une province de l’Empire de Russie, Ukraine qui a voulu s’émanciper de l’emprise de son voisin de l’Est. Poutine est en guerre contre les valeurs de l’Euromaiden du peuple Ukrainien et les orientations politiques tendances occidentales de son gouvernement qu’il ne tolère pas. Mais l’OTAN qui menaçait (d’envahir) la Russie et les neonazis dangereux à ses portes, c’est de la pure propagande pour justifier sa guerre.
Le 26/06/2023 à 13h34
« Faut relire les discours de Poutine », écris-tu…
L’idée est excellente, d’ailleurs je les ai lus. Et, à mon avis, tu ne les as pas lu toi-même ! Et ton “résumé”, c’est juste la vulgate NATOnesque qu’on trouve partout.
Le 24/06/2023 à 13h03
Ton commentaire est limite comique quand on pense a la quantité d’attaques cyber menées par les russes sur des infrastructures critiques sur le sol même des US. Sans parler des attaques contre le système électoral en 2016 et 2020.
En comparaison, l’article décrit des efforts pour aider l’Ukraine à résister à une agression armée ET cyber massive, notamment les très nombreuses attaques russes les infrastructures civiles, énergétiques et gouvernementales.
Mais pour toi c’est la preuve que les US “sont en guerre contre la Russie” ?
Ça prendrait un exemple d’attaque sur le territoire Russe.
La référence aux polonais est absurde quand on sait que les Russes en sont à leur troisième vague de mobilisation et qu’ils sont en train de s’entre tuer.
Un exemple d’attaque sur la Russie c’est ce que fait le chef de Wagner en ce moment par ex.
Le 25/06/2023 à 08h22
Les activités décrites dans l’article sont celles - je cite - du « bras armé » de l’U.S. Cyber Command. Donc l’armée US est active en guerre contre la Russie en Ukraine. Ça officialise ce qu’on savait déjà, mais c’est intéressant. À mettre en relation avec l’activité des avions de guerre électronique US aux abords de l’Ukraine.
Sinon, je ne nie pas les diverses activités cyber des Russes aux USA, pas que des Russes d’ailleurs, mais elles ne constituent pas des actes de guerre et elles sont généralement très difficiles à attribuer.
Pour les Polonais, je constate juste qu’ils ont déjà un gros contingent de mercenaires en Ukraine et qu’une intervention directe est envisagée.