SOLAR SUNRISE Après 25 ans : Sommes-nous plus sages depuis 25 ans ?

Jul 11, 2023

Washington, DC, 28 février 2023 - En février 1998, il y a 25 ans ce mois-ci, les États-Unis ont subi une série de cyber-intrusions connues sous le nom de SOLAR SUNRISE que le sous-secrétaire à la Défense de l'époque, John Hamre, a qualifiées de "la [cyber]attaque la plus organisée et la plus systématique que le Pentagone ait connue à ce jour". Venant rapidement dans la foulée de ELIGIBLE RECEIVER 1997 (ER97)[1], un exercice multi-agences sans préavis qui a soulevé plus de questions que de réponses sur la manière dont le gouvernement gérerait une attaque contre la cyberinfrastructure américaine, SOLAR SUNRISE n'était pas un exercice. Comme le scénario hypothétique présenté par ER97 moins d'un an auparavant, les attaques SOLAR SUNRISE incluaient la violation des réseaux du Département de la Défense (DOD) par des acteurs internationaux présumés avec des motivations géopolitiques possibles et l'implication d'entités et d'infrastructures du secteur civil et privé. Les deux épisodes ont également soulevé une question persistante : qui est responsable ici ?

Les documents mis en évidence ici aujourd'hui pour marquer le 25e anniversaire de SOLAR SUNRISE mettent en lumière les mécanismes entrelacés de la diplomatie et de l'enquête et suggèrent la nécessité d'une réponse multi-agences aux cybermenaces émergentes. Les dossiers soulignent également l'importance de la collaboration des secteurs civil et privé dans les cyber-enquêtes et révèlent l'impact profond sur la préparation des États-Unis à la cybersécurité de "deux jeunes pirates de Californie" qui opéraient "sous la direction d'un adolescent pirate d'Israël". [Document 1, p.7]

La série d'intrusions dans les systèmes gouvernementaux s'est déroulée sur une période de trois semaines, du 1er au 26 février 1998, et s'est concentrée sur des systèmes non classifiés du DOD. Une note du FBI du 25 février 1998 intitulée "Solar Sunrise; CITA Matters" décrit l'origine des attaques, notant que "l'intrus semble avoir ciblé des serveurs de noms de domaine et obtenu le statut root via l'exploitation de la vulnérabilité 'statd' dans le système d'exploitation Solaris 2.4. " [Document 2, p.1] Le mémo explique en outre que, depuis le 1er février, "au moins 11 systèmes du DOD sont connus pour avoir été compromis", avec des intrusions ou des tentatives d'intrusion détectées à "Andrews Air Force Base (AFB), Columbus AFB, Kirkland AFB, Maxwell AFB (Gunter Annex), Kelly AFB, Lackland AFB, Shaw AFB, MacDill AFB, Naval Station Pearl Harbor et une base du Corps des Marines d'Okinawa". [pp. 1-2] Une diapositive d'une présentation de 1999 aux chefs d'état-major interarmées [Document 3] illustre davantage la large diffusion des intrusions, qui ont touché non seulement les systèmes militaires, mais aussi ceux d'universités comme Harvard et Notre Dame et le secteur privé, y compris le fournisseur de services Internet Maroon.com :

Document 4, p.11

La présentation met également en évidence les défis de l'attribution, car les multiples nœuds traversés par les intrus lors de l'attaque ont caché leur origine et paralysé des parties de l'enquête par des restrictions légales :

Document 4, p.14

Bien que les enquêteurs de diverses agences, dont le FBI, la Defense Information Systems Agency (DISA) et le DOD, n'aient pas été en mesure d'identifier immédiatement les intrus ou leur pays d'origine, l'utilisation d'un nœud aux Émirats arabes unis, Emirnet, a déclenché une sonnette d'alarme qui se répercuterait jusqu'aux plus hauts niveaux du Pentagone.

Les premières intrusions ont été détectées juste au moment où les États-Unis déployaient environ 2 000 Marines en Irak pour soutenir et faire respecter les inspections d'armes qui faisaient partie du régime de sanctions établi après la défaite de l'Irak lors de la première guerre du Golfe (1991). Après des années de relative coopération, en 1997, le gouvernement irakien a refusé d'autoriser l'accès des inspecteurs à certaines zones, ce qui a conduit le Conseil de sécurité de l'ONU à appeler l'Irak au respect par le biais de résolutions. Les tensions se sont intensifiées après l'expulsion des inspecteurs américains en octobre 1997 et la déclaration ultérieure de Bagdad en janvier 1998 selon laquelle trois sites spécifiques seraient interdits. Le 6 février 1998, une intervention militaire américaine semblait imminente, avec le déploiement de quelque 2 000 Marines dans le golfe Persique, renforcés par un troisième porte-avions américain envoyé dans la région.[2]

Alors que les États-Unis se préparaient à déployer les troupes, les premières intrusions dans les systèmes non classifiés du DOD ont été détectées. En tentant de retracer le chemin des pirates, les enquêteurs ont découvert l'utilisation d'Emirnet, un FAI aux Émirats arabes unis et l'une des seules passerelles Internet vers l'Irak. Ces informations, combinées au moment des intrusions et au ciblage systématique des systèmes du DOD, ont suscité la question : les États-Unis ont-ils été victimes d'une cyberattaque depuis l'Irak ?

Une note de service interne du FBI de la Division de la sécurité nationale (NSD) et du Centre d'enquêtes informatiques et d'évaluation des menaces sur l'infrastructure (CITAC) adressée à tous les bureaux extérieurs a confirmé ces préoccupations, notant comment "l'ampleur et le moment de ces intrusions, qui continuent de se produire alors que les États-Unis se préparent pour des opérations militaires majeures, ont soulevé des préoccupations majeures pour le ministère de la Défense. " [Document 4, p.1]

Alors que les systèmes en question n'étaient pas classifiés, les informations critiques produites, stockées et transmises sur eux étaient essentielles à la capacité du DOD à poursuivre ses opérations en Irak. Dans son témoignage de juin 1998 devant la commission sénatoriale des affaires gouvernementales, George Tenet, alors directeur de la CIA, a affirmé que "bien qu'aucun système classifié n'ait été pénétré et qu'aucun dossier classifié n'ait été consulté, les systèmes logistiques, administratifs et comptables ont été consultés. Ces systèmes sont le noyau central des données nécessaires pour gérer nos forces militaires et les déployer sur le terrain. " [Document 1, p.7]

De même, un document d'orientation publié par le Commandement américain du Pacifique (USPACOM) a suggéré que les intrusions avaient réduit le niveau général de confiance dans l'intégrité des systèmes militaires et gouvernementaux conçus pour les prévenir et les détecter. Tout en affirmant qu'une "forte posture de sécurité des systèmes d'information est essentielle pour soutenir pleinement les opérations quotidiennes et d'urgence dans le théâtre du Pacifique", la directive a averti que "la situation actuelle du système est suspecte" et a recommandé l'installation de "correctifs de sécurité". [Document 5, p.3]. De plus, "les utilisateurs du système d'exploitation Solaris 2.4" devaient revoir les horodatages "pour s'assurer que les dates d'installation sont cohérentes avec l'activité de l'administrateur système". Le document avertissait en outre que "l'activité de .mil et .gov devrait également être examinée. Ne présumez pas que des relations de confiance existent". Les personnes ont été invitées à "accroître la sensibilisation de l'opsec [sécurité opérationnelle] à ce qui est mis sur le NIPRNET". [p.5]

Les documents révèlent de nombreuses questions et une incertitude générale sur les intrusions et les prochaines étapes probables des attaquants, mais démontrent également la valeur de la collaboration et de la coopération interinstitutions avec les civils et le secteur privé. Une note de service non datée du FBI a rappelé à ses destinataires, probablement de différents organismes et bureaux, la charge de la preuve requise pour obtenir une ordonnance du tribunal (probablement pour un piège et une trace), à ​​savoir que le gouvernement doit citer "des faits spécifiques et articulés montrant qu'il existe des motifs raisonnables de croire que le contenu d'un fil ou d'une communication électronique, ou les enregistrements ou autres informations recherchés, sont pertinents et importants pour une enquête criminelle en cours". [Document 6, p.2] Le document a ensuite passé en revue les "sites pertinents ciblés" et les a alignés sur l'agence ou les agences impliquées dans l'enquête sur ce site :

Document 6, p.3

D'autres documents indiquent qu'il y avait un certain niveau de coopération entre les agences et diverses entités privées, y compris des universités et des civils. Une note du FBI du 24 février avec le synopsis, "Résultats de l'entretien avec * expurgé * du groupe des services informatiques, Université de Harvard" [Document 7], a noté que, "Les enregistrements du système de l'Université de Harvard ont été remis à SA [Agent spécial] * expurgé * WFO [Washington Field Office], le 13 février 1998, vers 15h00… Boston [Field Office] obtient toujours le consentement de tous les utilisateurs du système pour une sauvegarde complète de Harvard les ordinateurs." [p.1-2]

De même, le document 8, une déclaration du plaignant prise par le Bureau des enquêtes spéciales de l'Armée de l'air (AFOSI) à Randolph AFB, révèle la volonté de certains civils ayant accès à des systèmes touchés ou impliqués de contribuer à l'enquête. Dans la déclaration, le plaignant a déclaré qu'après avoir appris qu'"un individu basé sur ma machine… avait illégalement accédé à des machines militaires sur Internet", il avait rencontré un enquêteur de terrain de l'armée de l'air. La déclaration indiquait que "l'agent de terrain ne me prendrait aucune information à ce moment-là et ne voulait aucun mot de passe ou information" mais plutôt "m'a demandé (si j'étais prêt à coopérer et seulement alors) de désactiver le découpage de mes fichiers journaux dans ma crontab et de ne modifier aucune configuration de la machine à part cela. " [p.3] L'individu a ensuite demandé à l'agent de terrain "l'heure générale à laquelle l'activité de piratage a été notée", ce que l'agent a fourni. Armé de ces informations, l'individu a émis les commandes fournies pour désactiver le rognage. Après avoir été contacté par un autre enquêteur sur le terrain, le plaignant a affirmé que toutes les mesures d'assistance qu'ils avaient prises étaient « totalement sous mon consentement et [l'agent de terrain] m'a parfaitement fait comprendre que je n'avais pas à sauvegarder les disques durs ni à coopérer avec eux du tout ». [p.4] Sur la page de couverture jointe à la déclaration du plaignant, l'expéditeur a fait remarquer : "Voici cette déclaration - je suis toujours en train de la lire. On dirait que beaucoup de bonnes informations. Nos gars sont sur place pour essayer de parcourir les journaux système [fournis par le plaignant] en ce moment." [p.1]

Après trois semaines d'enquête fébrile, les enquêteurs ont identifié les auteurs : deux adolescents de Cloverdale, en Californie, sous la direction d'un adolescent israélien plus âgé, Ehud "The Analyzer" Tenebaum :

Document 4, p.17

Bien que l'affaire ait abouti à une conclusion positive, une question troublante demeure : si les enfants peuvent faire cela, que pourraient faire des pirates informatiques déterminés et sophistiqués ?

Les enseignements tirés à la fois de l'exercice ELIGIBLE RECEIVER 1997 et de l'attaque SOLAR SUNRISE ont incité le gouvernement américain à prendre des mesures importantes. En mai 1998, l'administration Clinton a publié la Directive de politique présidentielle 63 [Document 9], qui soulignait la relation « se renforçant mutuellement et dépendante » entre l'armée et l'économie :

En raison de notre force militaire, de futurs ennemis, qu'il s'agisse de nations, de groupes ou d'individus, pourraient chercher à nous faire du mal de manière non traditionnelle, y compris des attaques à l'intérieur des États-Unis. Étant donné que notre économie dépend de plus en plus d'infrastructures interdépendantes et cyber-soutenues, les attaques non traditionnelles contre nos infrastructures et nos systèmes d'information peuvent être capables de nuire considérablement à la fois à notre puissance militaire et à notre économie. [p.2]

Pour mieux faciliter les enquêtes et la réponse aux menaces contre les infrastructures critiques, la PPD 63 a officiellement autorisé "le FBI à étendre son organisation actuelle [3] à un centre national de protection des infrastructures (NIPC)" à grande échelle, "qui servira" d'entité nationale d'évaluation des menaces, d'avertissement, de vulnérabilité et d'enquête et de réponse aux forces de l'ordre. [p.12] Le NIPC était chargé de fournir "un point focal national pour la collecte d'informations sur les menaces pesant sur les infrastructures" et devait "fournir le principal moyen de faciliter et de coordonner la réponse du gouvernement fédéral à un incident, d'atténuer les attaques, d'enquêter sur les menaces et de surveiller les efforts de reconstitution". [p.13]

La contribution la plus précieuse de SOLAR SUNRISE est peut-être qu'il a confirmé les conclusions de ELIGIBLE RECEIVER 1997 :

Document 4, p.16

Le NIPC, d'abord dirigé par le directeur Michael A. Vatis, a été le premier centre de fusion interagences créé avec la charge de combler ou du moins de minimiser ces lacunes. Dans une conversation avec l'auteur, Vatis a révélé que si le PPD 63 fournissait un "imprimatur présidentiel" pour l'établissement officiel du NIPC, "le NIPC a été levé par le DOJ/FBI en février [1998] - juste au moment où SOLAR SUNRISE se produisait". Selon Vatis, bien qu'encore à ses balbutiements lors des attentats de février, le NIPC "a prouvé l'intérêt d'avoir une seule entité capable de coordonner l'enquête et les actions inter-agences, ce qui a abouti à une conclusion rapide de l'enquête". décrit l'approche intégrative du NIPC, fusionnant non seulement le personnel d'agences disparates mais dépendantes, mais aussi l'expertise minière du secteur privé :

La mission du NIPC nécessite clairement l'implication et l'expertise de nombreux organismes autres que le FBI. C'est pourquoi le NIPC, bien qu'hébergé au FBI, est un centre inter-agences qui rassemble le personnel de toutes les agences concernées. En plus de nos 79 employés du FBI, le NIPC compte actuellement 28 représentants du DOD (y compris les services militaires et les agences qui en font partie), de la CIA, du DOE, de la NASA, du département d'État ainsi que des forces de l'ordre fédérales, y compris les services secrets américains, le service postal américain et, jusqu'à récemment, la police de l'État de l'Oregon. Le NIPC est en train de rechercher des représentants supplémentaires des forces de l'ordre nationales et locales.

Mais il est clair que nous ne pouvons pas compter uniquement sur le personnel gouvernemental. Une grande partie de l'expertise technique nécessaire à notre mission réside dans le secteur privé. Par conséquent, nous comptons sur des sous-traitants pour fournir une assistance technique et autre. Nous sommes également en train de faire en sorte que des représentants du secteur privé travaillent au Centre à plein temps. En particulier, le procureur général et l'Information Technology Association of America (ITAA) ont annoncé en avril que l'ITAA détaillerait du personnel au NIPC dans le cadre d'un "partenariat des cybercitoyens" entre le gouvernement et l'industrie des technologies de l'information (TI). Les représentants de l'industrie des technologies de l'information siégeant au NIPC amélioreraient notre expertise technique et notre compréhension de l'infrastructure de l'information et des communications. [pp.31-32]

Plus de deux décennies après son témoignage, Vatis observe : « Il est frappant pour moi que cette leçon semble devoir être réapprise continuellement - qu'il n'existe pas d'agence unique capable de gérer tous les aspects de la détection, de l'alerte, de l'enquête et de la réponse, mais qu'il doit y avoir un mécanisme opérationnel habilité à coordonner les activités de toutes les agences concernées, des partenaires internationaux, des gouvernements étatiques et locaux et des entités du secteur privé. décennies, soulevant la question : depuis l'aube de SOLAR SUNRISE, nous avons 25 ans de plus, mais sommes-nous 25 ans plus sages ?

Pièce 1

Base de données ProQuest

Il s'agit de la transcription intégrale de la deuxième d'une série d'audiences de 1998 sur la cybersécurité devant le Comité sénatorial des affaires gouvernementales. Il se concentre principalement sur la sécurité de l'information au sein du ministère de la Défense.

Pièce 2

Association d'études sur les conflits cybernétiques (CCSA) FOIA

Cette note du bureau extérieur du FBI à Albuquerque à la Division de la sécurité nationale/Division des enquêtes criminelles et aux agences résidentes de Las Cruces et de Roswell décrit les progrès de l'enquête SOLAR SUNRISE et vise à "établir des pistes à Las Cruces [Agence résidente] et Roswell [Agence résidente]". Il note que le ou les intrus semblent "avoir ciblé des serveurs de noms de domaine et obtenu le statut de racine via l'exploitation de la vulnérabilité 'statd' dans le système d'exploitation Solaris 2.4".

Pièce 3

Jason Healey et Karl Grindal

Cette présentation de 1999 aux chefs d'état-major interarmées décrit les événements et les conclusions des deux ELIGIBLE RECEIVER 97 et SOLAR SUNRISE, notant que les intrusions de SOLAR SUNRISE " ont confirmé les conclusions du RECEIVER ELIGIBLE ", à savoir que " les problèmes juridiques restent non résolus ", qu'il n'y a " aucun système efficace d'indications et d'avertissement ", que les " systèmes de détection d'intrusion " du gouvernement sont " insuffisants ", que " les lacunes organisationnelles du DOD et du gouvernement entravent la capacité de réagir efficacement " et que " des problèmes de érisation et d'attribution subsistent.

Pièce 4

CCSA FOIA

Ce mémo de la Division de la sécurité nationale du FBI fournit des conseils pour les demandes de presse concernant SOLAR SUNRISE, notant que bien que "l'enquête ait été classée au niveau secret… un rapport assez détaillé est apparu dans une publication technique", ce qui a conduit le FBI à spéculer que "il y aura un intérêt continu de cette manière par la presse nationale".

Pièce 5

CCSA FOIA

Ce document d'orientation sur la sécurité des informations publié par l'US Pacific Command (USPACOM) avise le personnel d'une vulnérabilité potentielle dans le système d'exploitation Solaris 2.4 et l'oblige à "s'assurer que les correctifs les plus récents pour votre système d'exploitation sont installés". Le mémo "demande également que les centres de contrôle du réseau jouent un rôle actif dans l'examen du trafic du système de détection d'intrusion local afin d'assurer une réaction la plus rapide possible en cas d'activité réseau suspecte ou malveillante".

Pièce 6

CCSA FOIA

Ce document non daté du FBI répertorie les différents sites ciblés dans l'enquête SOLAR SUNRISE, ainsi que l'éventail des agences impliquées. La note de service rappelle aux enquêteurs les exigences légales pour obtenir une ordonnance du tribunal, à savoir "des faits articulés montrant qu'il existe des motifs raisonnables de croire que le contenu d'un fil ou d'une communication électronique... est pertinent et important pour une enquête criminelle en cours".

Pièce 7

CCSA FOIA

Cette note de service du bureau extérieur de Boston au siège du FBI rapporte que "les dossiers du système de l'Université de Harvard ont été remis" au FBI, mais que le bureau extérieur "obtient toujours le consentement de tous les utilisateurs du système pour une sauvegarde complète des ordinateurs de Harvard".

Pièce 8

CCSA FOIA

Cette déclaration d'un plaignant inconnu, prise par le Bureau des enquêtes spéciales de l'Air Force (AFOSI), détaille la coopération enthousiaste d'un civil avec l'enquête SOLAR SUNRISE. Une fois que l'individu apprend que son ordinateur a été impliqué dans des intrusions dans des systèmes militaires, il exécute des commandes pour conserver les preuves, puis remet ces journaux et une sauvegarde du système aux enquêteurs.

Pièce 9

Fédération des scientifiques américains (www.fas.org)

L'introduction de cette directive note que l'armée et l'économie américaines sont "de plus en plus dépendantes de certaines infrastructures critiques et de systèmes d'information basés sur le cyberespace". Le reste de la directive de 18 pages précise l'intention du président "d'assurer la continuité et la validité des infrastructures critiques" face aux menaces physiques ou cybernétiques. La directive énonce également un objectif national, définit un partenariat public-privé pour réduire la vulnérabilité, énonce des lignes directrices, précise la structure et l'organisation, discute de la protection des infrastructures critiques du gouvernement fédéral, ordonne à un sous-groupe NSC de produire un calendrier pour l'achèvement d'une variété de tâches et ordonne qu'un rapport annuel de mise en œuvre soit produit. La directive établit également officiellement le National Infrastructure Protection Center (NIPC) au sein du FBI, bien que le NIPC ait été créé en février 1998 lors de l'enquête sur la cyber-intrusion SOLAR SUNRISE.

Pièce 10

Imprimerie du gouvernement américain

La transcription de cette audience devant le sous-comité sur la technologie, le terrorisme et l'information gouvernementale comprend les témoignages de Michael A. Vatis, alors directeur du National Infrastructure Protection Center, et de John S. Tritak, alors directeur de l'Office of Critical Infrastructure Assurance. Leurs témoignages détaillent les enseignements tirés de l'exercice ELIGIBLE RECEIVER 1997 et de l'enquête sur les cyber-intrusions SOLAR SUNRISE, la variété des cybermenaces à l'horizon pour les infrastructures critiques et les efforts déployés par chaque bureau pour prévenir, détecter, répondre et enquêter sur les cyberincidents.

[1] Les analyses des documents ER-97, partie I et partie II, peuvent être consultées via le projet Cyber ​​Vault.

[2] Tim Maurer, "SOLAR SUNRISE : cyberattaque depuis l'Irak ?" A Fierce Domain: Conflict in Cyberspace, 1986-2012, pp. 121-123.

[3] "L'organisation actuelle" du FBI à l'époque était le Computer Investigations and Infrastructure Threat Assessment Center ou CITAC, qui était fréquemment référencé dans les documents susmentionnés.

[4] Michael A. Vatis, message électronique à l'auteur, 27 février 2023.

[5] Idem.