Exercice d’attaque virtuelle de grande ampleur aux Etats-Unis

Par Rédaction, secuobs.com
Le 10/11/2006

---

Résumé : Plus de cent organismes différents ont été mis à pied d'oeuvre pour tester la fiabilité des systèmes de défense américains en cas d'attaques numériques massives. Ce test, premier du genre, a montré notamment les limites de traitements du nombre d'alertes ainsi que leur actualisation qui s'est avérée trop lente pour être efficace en l'état . - Lire l'article



Un exercice d’attaque numérique grandeur nature (NCE - National Cyber Exercise) appelé “Cyber Storm” s’est déroulé du 6 au 10 février 2006 aux Etats-Unis. Le DHS (Department of Homeland Security) était en charge de cet exercice constituant une première (publique) pour un essai de cette envergure...

Plus de cent agences (publiques et privées), associations et entreprises ont participé à l’événement depuis 60 lieux géographiques différents répartis dans pas moins de 5 pays (Australie, Canada, Etats-Unis, Nouvelle Zélande et Royaume-Uni). Le budget alloué s'élevait à plus de 3 millions de dollars ; les secteurs représentés étaient ceux de l’énergie, des technologies de l’information, des transports et des télécommunications.

Parmi les organisations américaines ayant participé, citons entre autres, le département du commerce, le Département de la Défense (DoD), la NSA (National Security Agency), le FBI (Federal Bureau of Investigation), ou bien encore la CIA (Central Intelligence Agency).

Les résultats ont mis en évidence les problèmes liés à la corrélation des événements, avec un traitement unitaire efficace des alertes mais aussi une incapacité à regrouper les alertes afin d’isoler les sources d’attaques. Le CERT-US [ lien ] a joué un rôle très important dans cet exercice. Il a d’ailleurs été inondé de mails et d’appels pendant toute la période du test.

Les aspects liés à la communication ont été suivis de près, avec un rôle des médias qui peut s'avérer des plus importants en périodes de crises. Le but de l’opération consistait principalement à évaluer la coordination de ces différents services et acteurs de la sécurité des systèmes d’information américains. Une importante partie plus techniques, et assez peu documenté malheureusement, a également pu être réalisée à cette occasion.

Les attaquants virtuels faisaient partie d’un groupe d’hacktivistes relativement bien organisé, dont la motivation était l’anti-mondialisation, avec une idéologie anarchiste. Ces hacktivistes voulaient faire passer un message en attaquant des services stratégiques de l’état grâce au contrôle de plusieurs serveurs dits sensibles. Au passage, vous pouvez noter le profil « diabolique » de l’attaquant ; le rapport insiste cependant sur le fait que ce scénario ne représente pas une menace actuelle identifiée.

Les scénarios ont été imaginés par des experts issus d’entreprises industrielles et ont été joués dans des environnements fermés et sécurisés ; environnements voulus les plus représentatifs possibles. L’identification des interlocuteurs et organisations aurait posé d’importants problèmes de coordination ; “Cyber Storm” a mis en évidence l’importance d’évaluer rapidement les alertes afin de les trier.

La majeure partie des protagonistes ont rapporté des difficultés dans l’identification précise des informations, qui n’étaient pas toujours les plus à jour apparement. Une conférence de presse [ lien ] s’est tenue le dernier jour de la mission au siège du DHS.

Celle-ci a permis de tester en grandeur réelle le rôle des médias dans une mission de ce type ; les organisateurs ont par ailleurs été agréablement surpris par l’intérêt grandissant du public pour la sécurité des systèmes d’information. La conférence de presse aurait été relayée dans une douzaine de pays différents.

Certains représentants sélectionnés ont pu suivre la mise en place et l’avancement de l’exercice au siège des services secrets américains (USSS - United States Secret Service) à Washington. Le rapport public est disponible au format PDF à l’adresse suivante [ lien ]