[FIL] La position de la France en matière d’attribution publique des cyber-attaques est en train d’évoluer
⬇️Quelques éléments en complément des fils de @jeangene_vilmer & @elise_vincent
⬇️Quelques éléments en complément des fils de @jeangene_vilmer & @elise_vincent
1/ Alors que les États-Unis ont attribué publiquement une trentaine d’incidents à la Chine, la Russie, la Corée du Nord et l’Iran depuis 2014 (cf. ⬇️), jusqu’à date récente la France s’est toujours abstenue de le faire. 
2/ Beaucoup de ses alliés n’ont pas fait ce choix et se sont associés aux dénonciations américaines à plusieurs reprises depuis 2017, notamment en réponse aux attaques #WannaCry #NotPetya #CloudHopper et contre l’OIAC.
3/ Dans le cas des attaques contre l’OIAC par exemple, la France a exprimé « sa pleine solidarité avec ses Alliés et avec les OI visées » sans faire sienne l’attribution des attaques à la Russie diplomatie.gouv.fr/fr/dossiers-pa…
4/ @EmmanuelMacron revendiquait alors le fait que « la France, jusqu’à présent, a suivi une ligne et une stratégie différente de nos alliés, en particulier britannique et américain » (cf la fin du documentaire @ehuver boutique.arte.tv/detail/les_nou…)
5/ Mais le « jusqu’à présent » a son importance, la Revue stratégique de cyberdéfense ouvrant la voie (p159) à cette éventualité dès 2018 sgdsn.gouv.fr/uploads/2018/0…
6/ Dans la pratique, un premier changement intervient en juillet 2020, quand l’UE impose des sanctions contre des entités chinoises, russes et nord-coréennes en réponse aux attaques #WannaCry #NotPetya #CloudHopper et contre l’OIAC. consilium.europa.eu/fr/press/press…
7/ En octobre 2020, de nouvelles sanctions sont adoptées contre deux officiers et une unité du GRU (renseignement militaire russe) pour des attaques contre le Bundestag eur-lex.europa.eu/legal-content/…
8/ Adoptées à l’unanimité, rappelons que ces sanctions reposent sur une décision cadre (PESC 2019/797) dont la France a activement soutenu l’adoption en mai 2019 eur-lex.europa.eu/legal-content/…
9/ Si les États en question ne sont pas nommés dans les communiqués de presse, étant donné que les entités visées sont étatiques, la France a (au moins indirectement) procédé à des attributions publiques à travers ces sanctions européennes.
10/ Dans un entretien avec @SyLcyber , le directeur de l'ANSSI Guillaume Poupard a d'ailleurs confirmé que ces sanctions pouvaient être considérées comme un cas « d’attribution collective » (cf. ⬇️)
11/ Pourtant, à la même période, la France s’est abstenue de se joindre aux États-Unis pour attribuer les #MacronLeaks à la Russie
https://twitter.com/jeangene_vilmer/status/1318470917278846976?s=20
12/ Des cas plus équivoques sont apparus depuis. En février 2021, le CERT-FR a publié un rapport intitulé « Campagne d’attaque du mode opératoire Sandworm ciblant des serveurs Centreon » cert.ssi.gouv.fr/uploads/CERTFR…
13/ Ce rapport a parfois été assimilé à une attribution publique visant la Russie, car le mode opératoire Sandworm présente des similarités avec celui des attaques BlackEnergy et NotPetya attribuées par beaucoup à la Russie cyberscoop.com/sandworm-russi…
14/ À tel point que l’expression « Sandworm Team » est parfois utilisée pour désigner une unité du GRU justice.gov/opa/press-rele…
15/ Mais le rapport du CERT-FR souligne (p23) qu’il désigne par Sandworm un mode opératoire et non un groupe d’attaquants. Cette campagne d’attaque n’est donc pas formellement attribuée à la Russie dans ce document.
16/ De même, Guillaume Poupard a récemment indiqué qu’une « vaste campagne de compromission touchant de nombreuses entités françaises [...] conduite par le mode opératoire APT31 » est en cours sans désigner nommément la Chine, souvent associée à ce terme linkedin.com/feed/update/ur…
17/ Cette réserve s’explique par le fait que « ce n’est pas le rôle de l’ANSSI de faire de l’attribution » comme l’a expliqué Guillaume Poupard lui-même dans son entretien avec @SyLcyber (cf. ⬇️)
18/ Toujours est-il que ce choix de terminologie n’est sans doute pas innocent, ce qui laisse à penser que ces déclarations se situent « un cran au-dessus des habitudes » comme le dit @elise_vincent lemonde.fr/international/…
19/ Rappelons aussi que, quelques jours avant son départ, le CEMA François Lecointre a annoncé que la France allait « se montrer plus offensive sur ce sujet-là à l’avenir » lemonde.fr/international/…
20/ Pour l'heure, la position française en matière d'attribution publique semble toujours se distinguer de celle de ses alliés et ce de deux manières :
➡️ La France ne procèderait à des attributions publiques que si elle est en mesure de joindre le geste à la parole, par exemple avec des sanctions. Mon hypothèse est que de faire une attribution publique sans y associer de csq visibles serait jugé inutile, voire contre-productif.
➡️La France privilégierait exclusivement le cadre européen pour attribuer publiquement des cyber-attaques, ce qui serait en phase avec le concept d’ « autonomie stratégique » dont elle fait une promotion active.
21/ Reste à savoir si cette singularité française en matière d'attribution publique va se pérenniser ou s'il ne s'agit qu'une étape transitoire... [FIN]
• • •
Missing some Tweet in this thread? You can try to
force a refresh
