Il y a quelques jours, Anaïs Meunier, notre VP du M82_project, postait sur LinkedIn une réflexion sur le cycle du renseignement adapté à l’analyse de la menace en cybersécurité (CTI). En deux illustrations elle pose la question de l’utilisation des concepts de “cycles” là où il faudrait voir des rétroactions permanentes. Le débat est lancé !

Interactions entre les cycles du renseignement ?

Au commencement était John Boyd et la boucle OODA ?

Le concept de boucle OODA (Observer, Orienter, Décider, Agir) fait son apparition dans Pattern of conflict, une présentation de John Boyd (1980), pilote de chasse dans l’US Air Force. L’idée centrale de cette théorie repose sur le fait qu’il est nécessaire de « penser et agir plus vite que l’adversaire ». En s’appuyant sur l’évolution du combat aérien en particulier mais également en observant les conflits entre 1940 et 1980, il conclut que l’issue du combat appartient à celui dont le système de prise de décision tourne le plus vite. Un acteur au combat doit donc raccourcir les délais entre l’observation et l’action, la boucle OODA doit être la plus courte possible.

Pour le lecteur préssé

• Multidomaines: L’Armée de terre américaine a publié le 27 novembre dernier son tout premier document de doctrine sur “l’information”. Sans grande surprise, l’ADP 3–13, met l’accent sur l’importance de l’information dans les opérations multidomaines (MDO).

• Renseigner, commander, influer : L’information est présentée comme fondamentale pour le renseignement, le commandement et le contrôle, influençant à la fois la stratégie et la réalisation des objectifs militaires. Si on avait pu croiser la notion d’avantage informationnel (comme on parle d’avantage terrestre ou maritime) il me semble que c’est la première fois que cette notion est définie. Il s’agit pour une force de saisir et conserver l’initiative dans la compréhension, la prise de décision et l’influence sur le comportement des acteurs en conflit.

La multiplication des campagnes de désinformation et leur impact potentiel sur la société ont conduit de nombreuses organisations (universités, think tank, ONG, administrations, plateformes) à étudier et analyser cette menace. Cet intérêt a résulté dans l’élaboration de schémas descriptifs permettant de mettre en lumière le comportement de ces acteurs et les objectifs de leurs campagnes. Cette démarche a ainsi pu se nourrir de la riche littérature et de l’expérience accumulée dans un autre champ d’analyse de la menace : la Cyber Threat Intelligence (CTI).

En octobre 2022, l’entreprise de cybersécurité américaine Mandiant a publié un article décrivant plusieurs campagnes d’influences semble-t-il d’origine chinoise, visant les États-Unis. Les éléments relevés décrivaient trois narratifs différents portés par le même acteur.

Cet acteur, Dragonbridge, a été observé dès 2019 par Mandiant qui a constaté de nombreuses campagnes d’influence portées par ce réseau de milliers de comptes présents sur de nombreux réseaux sociaux et canaux de communication. Si, au départ, ce groupe a surtout mené des campagnes d’influences en faveur de la Chine, il s’attaque désormais, depuis quelques mois, à l’image des États-Unis. Il a également utilisé ses comptes de réseaux sociaux pour lancer des campagnes de dénigrement envers des entreprises d’exploitation de terres rares, canadiennes, australiennes et américaines.

Le 24 mai 2023, plusieurs agences étatiques américaines (dont la NSA, la CISA, le FBI), britanniques (NCSC), canadiennes (GCSB) et australiennes (ACSC, ASD) publiaient une Joint Cybersecurity Advisory au sujet d’un mode opératoire des attaquants (MOA) baptiséVolt Typhoon Cette publication est elle-même accompagnée d’un billet de blog de l’éditeur Microsoft détaillant les tactiques, techniques et procédures (TTPs) de ce MOA Actif depuis mi-2021, Volt Typhoon serait associé aux autorités chinoises et se livrerait à des campagnes d’espionnage. La victimologie de ce mode opératoire apparait particulièrement large et en parfaite adéquation avec les centres d’intérêt de Pékin. Elle couvrirait le secteur des télécommunications, des services, des transports, les technologies de l’information, l’éducation, le maritime ainsi que les institutions gouvernementales. Dans son rapport, Microsoft met néanmoins l’emphase sur une campagne de Volt Typhoon qui ciblerait des infrastructures critiques à Guam et ailleurs aux États-Unis. Derrière une formulation prudente, l’éditeur américain suggère que ce MOA pourrait chercher à se prépositionner à des fins de sabotage « Microsoft assesses with moderate confidence that this Volt Typhoon campaign is pursuing development of capabilities that could disrupt critical communications infrastructure between the United States and Asia region during future crises. »

Nombreux sont ceux qui ont été trompés par ces articles et les ont relayés. D’ailleurs, certains se sont rendus compte de la supercherie et ont supprimés leurs tweets. D’autres ont reconnu leur erreur : « J’ai relayé un moment à tort cet article et je le regrette, et ce, même si je conteste le narratif otanien. » peut-on lire sur LinkedIn. Mais pour la plupart, le mal est fait.

Cette technique, qui utilise les visuels et les codes d’un site légitime est connue sous le nom de typosquatting elle est identifiée dans la matrice DISARM en tant que tactique T0099 « Prepare assets Impersonating Legitmate entities » et se situe dans la phase « préparatoire » d’une campagne de manipulation de l’information.

Cet article qui reprend la version originale de Seb

Le logiciel 3CX a subi une attaque par supply chain depuis au moins le 22 mars 2023. Ce logiciel est utilisé par de nombreuses entreprises (600 000 entreprises dont American Express, Coca-Cola, McDonald’s, BMW, Honda, Air France, Toyota, Mercedes-Benz, IKEA ) pour leur téléphonie (VoIP). Il s’installe sur les postes de travail Windows, MacOs et Android. Utilisé par plusieurs milliers de clients, ce logiciel est donc très intéressant pour ce type d’attaque et assure à l’acteur malveillant à l’origine de l’opération de nombreuses possibilités d’action. En la matière, on se souvient en particulier de Solar Wind qui avait ouvert la porte à ce type d’attaque par des acteurs généralement étatiques au regard des capacités déployées.

À l’invitation de l’IHEDN, Eviatar Matania a pu présenter son dernier livre, édité en français, Cyberpower (Israël, la révolution cyber et le monde de demain) aux éditions Les Arènes.

Eviatar est un précurseur des questions de la cyber sécurité et a successivement occupé les fonctions de responsable du bureau national cyber (2011) puis fondateur et directeur de l’Agence nationale de sécurité de l’État d’Israël (2015).

Si l’on a tendance a souvent associer les termes d’affrontement ou de guerre au domaine cyber, Eviatar a choisi d’explorer ce qui fait d’une nation une puissance cyber. Inspiré de sa propre expérience et de la dynamique qu’il a imprimé à l’état d’Israël, il évoque des principes tels que le rôle primordial de la cyberdéfense (la meilleure défense… c’est bien la défense) et le rôle prépondérant des agences de renseignement techniques pour la maîtrise et l’emploi de l’arme cyber.

De la crainte d’une concurrence privée à la souveraineté monétaire, à une souveraineté économique retrouvée grâce à une cryptomonnaie nationale, l’expérience chinoise.

De fin 2019 à mai 2022, les chinois ont effectué 83 milliards de yuans en transactions marchandes (12 milliards d’euros) dans la monnaie nationale digitale appelée e-CNY. C’est une sorte de cryptomonnaie d’État, gérée par la People’s Bank of China (PBOC), dont la valeur est associée à la devise nationale et garantie par l’État. Ce e-CNY n’est aujourd’hui encore qu’au stade de pilote, dans 23 villes et 15 provinces, et nécessitera des investissements importants pour adapter le fonctionnement et l’équipement des institutions financières, ainsi qu’une réforme importante des textes et régulations de la banque centrale. Le modèle économique de cette devise n’est pas encore défini, sa gestion et conversion sont gratuites pour tous les acteurs aujourd’hui, ce qui ne sera pas soutenable dans un modèle courant. Si elle est développée à usage de marché interne et du secteur de la vente aux particuliers dans un premier temps, il est possible d’envisager un usage plus international et stratégique d’une devise digitale dans un monde en fragmentation.

Cette recension a été publiée dans le numéro de printemps 2022 de Politique étrangère (n° 1/2022). Elle propose une analyse de l’ouvrage de John Arquilla, Bitskrieg: The New Challenge of Cyberwarfare (Polity Press, 2021, 240 pages).
Plus de trente ans après son article cyberwar is coming écrit avec David Ronfeldt, John Arquilla prolonge son étude de la conflictualité à l’ère numérique en appelant à un véritable changement d’approche. Soulignant les limites de la conception d’une défense statique de type ligne Maginot, il poursuit la métaphore historique en posant le concept de bitskrieg. John Arquilla est un auteur reconnu sur les questions de cyberdéfense et sa proximité avec les sphères du pouvoir aux États-Unis depuis plus de trente ans en fait un témoin précieux pour appréhender les approches stratégiques développées outre-Atlantique.