[FIL] La position de la France en matière d’attribution publique des cyber-attaques est en train d’évoluer
⬇️Quelques éléments en complément des fils de @jeangene_vilmer & @elise_vincent
1/ Alors que les États-Unis ont attribué publiquement une trentaine d’incidents à la Chine, la Russie, la Corée du Nord et l’Iran depuis 2014 (cf. ⬇️), jusqu’à date récente la France s’est toujours abstenue de le faire.
2/ Beaucoup de ses alliés n’ont pas fait ce choix et se sont associés aux dénonciations américaines à plusieurs reprises depuis 2017, notamment en réponse aux attaques #WannaCry #NotPetya #CloudHopper et contre l’OIAC.
3/ Dans le cas des attaques contre l’OIAC par exemple, la France a exprimé « sa pleine solidarité avec ses Alliés et avec les OI visées » sans faire sienne l’attribution des attaques à la Russie diplomatie.gouv.fr/fr/dossiers-pa…
4/ @EmmanuelMacron revendiquait alors le fait que « la France, jusqu’à présent, a suivi une ligne et une stratégie différente de nos alliés, en particulier britannique et américain » (cf la fin du documentaire @ehuver boutique.arte.tv/detail/les_nou…)
5/ Mais le « jusqu’à présent » a son importance, la Revue stratégique de cyberdéfense ouvrant la voie (p159) à cette éventualité dès 2018 sgdsn.gouv.fr/uploads/2018/0…
6/ Dans la pratique, un premier changement intervient en juillet 2020, quand l’UE impose des sanctions contre des entités chinoises, russes et nord-coréennes en réponse aux attaques #WannaCry #NotPetya #CloudHopper et contre l’OIAC. consilium.europa.eu/fr/press/press…
7/ En octobre 2020, de nouvelles sanctions sont adoptées contre deux officiers et une unité du GRU (renseignement militaire russe) pour des attaques contre le Bundestag eur-lex.europa.eu/legal-content/…
8/ Adoptées à l’unanimité, rappelons que ces sanctions reposent sur une décision cadre (PESC 2019/797) dont la France a activement soutenu l’adoption en mai 2019 eur-lex.europa.eu/legal-content/…
9/ Si les États en question ne sont pas nommés dans les communiqués de presse, étant donné que les entités visées sont étatiques, la France a (au moins indirectement) procédé à des attributions publiques à travers ces sanctions européennes.
10/ Dans un entretien avec @SyLcyber , le directeur de l'ANSSI Guillaume Poupard a d'ailleurs confirmé que ces sanctions pouvaient être considérées comme un cas « d’attribution collective » (cf. ⬇️)
11/ Pourtant, à la même période, la France s’est abstenue de se joindre aux États-Unis pour attribuer les #MacronLeaks à la Russie
12/ Des cas plus équivoques sont apparus depuis. En février 2021, le CERT-FR a publié un rapport intitulé « Campagne d’attaque du mode opératoire Sandworm ciblant des serveurs Centreon » cert.ssi.gouv.fr/uploads/CERTFR…
13/ Ce rapport a parfois été assimilé à une attribution publique visant la Russie, car le mode opératoire Sandworm présente des similarités avec celui des attaques BlackEnergy et NotPetya attribuées par beaucoup à la Russie cyberscoop.com/sandworm-russi…
14/ À tel point que l’expression « Sandworm Team » est parfois utilisée pour désigner une unité du GRU justice.gov/opa/press-rele…
15/ Mais le rapport du CERT-FR souligne (p23) qu’il désigne par Sandworm un mode opératoire et non un groupe d’attaquants. Cette campagne d’attaque n’est donc pas formellement attribuée à la Russie dans ce document.
16/ De même, Guillaume Poupard a récemment indiqué qu’une « vaste campagne de compromission touchant de nombreuses entités françaises [...] conduite par le mode opératoire APT31 » est en cours sans désigner nommément la Chine, souvent associée à ce terme linkedin.com/feed/update/ur…
17/ Cette réserve s’explique par le fait que « ce n’est pas le rôle de l’ANSSI de faire de l’attribution » comme l’a expliqué Guillaume Poupard lui-même dans son entretien avec @SyLcyber (cf. ⬇️)
18/ Toujours est-il que ce choix de terminologie n’est sans doute pas innocent, ce qui laisse à penser que ces déclarations se situent « un cran au-dessus des habitudes » comme le dit @elise_vincent lemonde.fr/international/…
19/ Rappelons aussi que, quelques jours avant son départ, le CEMA François Lecointre a annoncé que la France allait « se montrer plus offensive sur ce sujet-là à l’avenir » lemonde.fr/international/…
20/ Pour l'heure, la position française en matière d'attribution publique semble toujours se distinguer de celle de ses alliés et ce de deux manières :
➡️ La France ne procèderait à des attributions publiques que si elle est en mesure de joindre le geste à la parole, par exemple avec des sanctions. Mon hypothèse est que de faire une attribution publique sans y associer de csq visibles serait jugé inutile, voire contre-productif.
➡️La France privilégierait exclusivement le cadre européen pour attribuer publiquement des cyber-attaques, ce qui serait en phase avec le concept d’ « autonomie stratégique » dont elle fait une promotion active.
21/ Reste à savoir si cette singularité française en matière d'attribution publique va se pérenniser ou s'il ne s'agit qu'une étape transitoire... [FIN]

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Mark Corcoral

Mark Corcoral Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

Did Thread Reader help you today?

Support us! We are indie developers!


This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Too expensive? Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal Become our Patreon

Thank you for your support!

Follow Us on Twitter!

:(