jeudi 23 juin 2011

Operation Buckshot Yankee : le retour ?

La vitesse d'évolution des technologies de l'information induit une accélération du temps ayant trait au cyber-espace. Lorsqu'on entend parler de l'Agent.btz, on pourrait presque se prendre pour un archéologue numérique puisque ce code malveillant, de la famille des vers évolués, avait causé des sueurs froides au Pentagone à partir de l'automne 2008. 

La caractéristique première d'un ver est de se dupliquer sans cesse afin d'infecter un système d'information sur l'échelle de "surface" la plus large possible. L'Agent.btz était de plus chargé de trouver des points de connexion Internet afin d'exfiltrer les données collectées. Sachant que la cible première était le protocole SIPRNet, utilisé par le ministère de la Défense américain afin de faire circuler les informations confidentielles jusqu'au niveau Secret. On imagine aisément la valeur de telles informations pour toute entité dotée d'intentions possiblement inamicales envers les USA !

Plus de 14 mois (!) avaient alors été nécessaires pour éradiquer la menace et remettre d'aplomb les milliers de postes et serveurs infectés ainsi que les dizaines de réseaux militaires qui avaient été "fermés" dans l'urgence. L'opération portait le nom de "Buckshot Yankee" (buckshot signifiant chevrotine ou plomb) et est toujours qualifiée de "plus grande brèche dans l'histoire des réseaux informatiques militaires U.S.". D'ailleurs, la création de l'U.S. Cyber Command fut la conséquence la plus visible et la plus immédiate de cette opération. L'histoire détaillée peut être lue sur Wired (en anglais) avec une variante un peu plus technique ici (et toujours en anglais).

Ce "retour vers le futur" est revenu au devant de l'actualité (cybersécurité en tout cas) ces derniers jours : il semble que des variantes de l'Agent.btz, plus élaborées, ont fait leur apparition sur les réseaux américains. Gouvernementaux et/ou militaires, on n'en sait pas plus pour le moment mais l'accent est mis sur les présomptions, déjà à l'époque, des services officiels : l'origine russe de l'attaque semble toujours de mise. Et même si des indications trouvées dans un échantillon du code désigneraient...la Chine !

A l'heure où les grandes manœuvres commencent à peine dans le cyber-espace, le brouillard est loin de se dissiper. On peut même présager une augmentation de l'épaisseur de ce dernier !

Aucun commentaire: