Au mur d’une chambre sombre, derrière une porte en verre fermée au public, des milliers de points jaunes scintillent sur la carte du monde. Quelques canapés laissés vacants devant cette constellation terrestre témoignent de son utilité : à partir du panorama global des infections par logiciels malveillants, des chercheurs sont occupés, dans la pièce attenante, à traquer les menaces informatiques. Ils œuvrent au milieu d’un laboratoire aux tons bleu-gris situé sur le campus de Microsoft à Redmond, dans l’État de Washington. Bienvenue à l’unité dédiée aux crimes numériques. 

Défenseuse de la démocratie

Fondé il y a 10 ans, ce groupe est plus actif que jamais. Au cœur de l’été, il a « appliqué une décision de justice visant à prendre et à transférer le contrôle de six noms de domaines créés par un groupe largement associé au gouvernement russe et connu sous le nom de Strontium ou Fancy Bear, ou encore APT28 », a annoncé le président de Microsoft, Brad Smith, lundi 20 août 2018. Les sites en question possédaient des URL similaires à ceux d’institutions existantes afin de tromper le public. À trois mois des élections intermédiaires américaines, ils se faisaient passer pour les vitrines du Sénat ou de plusieurs institutions républicaines, répandant au passage de fausses informations. Et à en croire Brad Smith, Moscou serait derrière la supercherie. 

Le président de Microsoft, Brad Smith, lors de la Conférence de Munich sur la sécurité 2018.
Crédits : Wikipedia

« Les démocraties du monde entier sont clairement attaquées », en déduit-il. « Des entités étrangères lancent des cyber-attaques pour perturber les élections et semer la discorde. » Cet avocat de formation craint qu’un scénario identique à celui de la dernière élection présidentielle de 2016 se reproduise. « Le président Vladimir Poutine a ordonné une campagne visant à influencer le scrutin », avait conclu la communauté du renseignement américain le 6 janvier 2017. Dans cette optique, il aurait eu recours à « Fancy Bear », un groupe de hackers accusé d’avoir infiltré le serveur du Comité national démocrate (DNC). 

Si des organisations républicaines sont cette fois ciblées, elle ont la particularité « d’avoir critiqué la relation du président des États-Unis Donald Trump avec son homologue russe, Vladimir Poutine », remarque le magazine Wired. Les noms de domaines attribués à Fancy Bear ont d’ailleurs pu être récupérés grâce à la procédure lancée contre lui dès août 2016. Plutôt que de contre-attaquer sur la Toile, Microsoft a porté l’affaire devant un tribunal. Il a réussi à prouver que, puisque les sites faussaires se répandaient notamment à travers son système de messagerie, ils portaient préjudice à ses clients. En vertu du 1946 Lanham Act, la justice l’a donc autorisé à se saisir des URL en août 2018. Ils ont ensuite été « désactivés » grâce à la technique du sinkhole.

Les Fancy Bears, ce groupe de hackers accusés d’avoir infiltré le serveur du DNC, seraient russes.

« Nous avons utilisé cette technique douze fois ces deux dernières années pour fermer 84 faux sites associé à ce groupe », détaille Brad Smith. « Malgré les résultats obtenus, nous sommes préoccupés par le ciblage continu de ces sites ou d’autres, notamment ceux d’élus, de politiciens, de groupes politiques ou de think tanks de tous bords aux États-Unis. » C’est pourquoi le programme de « défense de la démocratie » lancé en avril 2018 est enrichi par une initiative baptisée « AccountGuard » vouée à protéger les acteurs des scrutins à venir. Mais une multinationale peut-elle s’ériger en garante de la démocratie ?

« Microsoft a une équipe spécialisée qui travaille dans ce domaine en collaboration avec les autorités depuis des années », observe l’ancien chercheur de la NSA, Dave Aitel. « Ce qui est remarquable, dans ses derniers rapports, c’est qu’elle pointe la Russie. Une entreprise n’était peut-être jamais allée aussi loin dans son comportement avec un État nation. » La firme de Redmond n’est en tout cas pas dénuée de moyens. « Elle a une histoire en matière d’opération de sinkhole », pointe son ancien collègue, Jake Williams. Ses membres « font des tonnes de recherches sur les menaces », et ce depuis 2008.

Genèse d’une unité

En quittant le soleil de Floride pour la ville pluvieuse de Seattle, Richard Boscovich se retrouve au centre d’une tempête. Pour finaliser le nouveau système d’exploitation, Vista, les ingénieurs de Microsoft qu’il rejoint en mai 2008 ne comptent pas leurs heures. Après 17 ans de travail au ministère de la Justice, ce juriste est là pour les aider à améliorer la sécurité du service. Ses connaissances en informatiques sont limitées. La multinationale recrute aussi des bataillons d’experts en sécurité, n’hésitant pas à faire signer ceux qui se moquaient de ses lacunes en la matière. 

Crédits : Microsoft Digital Crimes Unit

À peine créée, la nouvelle unité dédiée aux crimes numériques dont fait partie Richard Boscovich est mise à contribution. En novembre 2008, le ver informatique Conficker infecte des ordinateurs sous Windows à la faveur d’une faille. « Tout le monde était très frustré », se souvient Boscovich. « Notre travail défensif s’était nettement amélioré mais nous avions le sentiment que nous pouvions faire mieux. » Plusieurs millions d’appareils étant touchés, Windows participe à un groupe de travail international avec d’autres acteurs du secteur. À l’initiative de son collègue, TJ Campana, ils enregistrent les noms de domaines utilisés par le ver afin de le neutraliser. 

Seulement, certaines URL demeurent inaccessibles à Microsoft. Souhaitant s’en emparer malgré tout, Boscovich se souvient d’une affaire qu’il avait eu à traiter en Floride. Un fabricant de sac à main avait obtenu le droit de saisir les contrefaçons de sa marque, car les copies nuisaient à son image. Les mêmes causes devant produire les mêmes effets, il décide de se prévaloir d’un préjudice devant un juge pour prendre possession des noms de domaines vérolés. D’abord écartée par ses supérieurs, son idée porte finalement ses fruits le 24 février 2010. Elle permet de lutter contre les virus Waledac et Rustock. 

Le Lanham Act de 1946 est notamment cité lors de l’audience. « Nous avons utilisé des principes de bases du droit – enfin peut-être aussi une ou deux lois modernes – pour traiter un problème du XXIe siècle d’une nouvelle manière », souligne Boscovich. « C’est amusant. Je n’avais jamais envisagé de saisir des serveurs employés pour envoyer des virus en utilisant le Lanham Act sur la violation du droit des marques. » Une fois la justice rendue, Microsoft doit encore neutraliser l’envoi automatique de virus. Or, les bots de Rustock sont programmées pour générer un nouveau nom de domaine dès que l’un d’eux ne fonctionne plus. Avec l’aide de la société Kapersky, la firme parvient finalement à anticiper les URL qui vont être crées par l’algorithme de manière à les empêcher d’apparaître. 

En 2011, la contagion de Kelihos est parée grâce à une plainte contre le responsable d’un gestionnaire de noms de domaine, Dominique Alexander Piatti. Cet homme n’a certes pas sciemment infecté des ordinateurs, mais il n’a – d’après Boscovich – pu empêcher que d’autres le fassent à l’aide de sa plate-forme. C’est cette même logique qui va le conduire à attaquer un autre fournisseur de nom de domaine en 2014, No-IP.

Pour une convention de Genève numérique

Dan Durrer, fondateur et PDG de No-IP.
Crédits : No-IP

Ce matin de 2014, Dan Durrer est réveillé à l’heure du livreur. Mais l’homme qui a frappé à sa porte, à 7 heures, faisant aboyer son chien, n’apporte aucun colis, juste une mauvaise nouvelle. Une pile de documents aussi épaisse que le chambranle lui est confiée par un employé du tribunal. En gros, ce fatras l’informe que Microsoft vient de prendre le contrôle de son entreprise basée dans le Nevada, No-IP. Avant qu’il ait le temps de le savoir, des messages l’informant que ses services ne fonctionnent plus affluent sur son téléphone.

Sans qu’il le sache, son système fournissant des noms de domaines depuis 15 ans à de petites sociétés a été utilisé par des hackers malveillants. Et, toujours sans qu’il le sache, Microsoft l’a fait fermer. « Le nombre de malware qui se servait du nom de domaine No-ip.org était astronomique », justifie Boscovich. La requête ex parte dont Boscovich s’est fait une spécialité peut aboutir bien que sa cible n’en ait pas été informée, qu’importe les dommages induits pour les clients respectant le cadre légal. Quand No-IP ferme, des millions d’adresses sont touchées. Microsoft avait prévu de laisser intactes les sites licites, mais son procédé à échoué.  

Alors que les plaintes de ses clients affluent en masse, Dan Durrer prend contact avec son avocat et finit par avoir Boscovich au téléphone. La conversation est tout sauf amicale. Microsoft accepte de remettre en service No-IP à certaines conditions. Son patron refuse de s’y plier. Ne pouvant les dévoiler en détail, il parle néanmoins de son cas à la presse, ce qui pousse la multinationale à lui rendre le contrôle de ses noms de domaine quelques jours plus tard. 

Dans le cas de No-IP, « Microsoft a considéré que si une ressource largement utilisée sur Internet était mal gérée par son propriétaire, quelqu’un devrait pouvoir le remplacer », résume Paul Vixie, un des créateurs du système des noms de domaine DNS, désormais PDG d’une société de sécurité informatique. « Et bien il y a une longue liste de personnes qui pourraient mieux s’occuper de Hotmail ou d’Outlook que Microsoft. Je ne pense pas que ses membres voudraient vivre dans un monde où l’affaire No-IP créerait un précédent. » D’ailleurs, le comportement de Microsoft est jugé sévèrement par l’Electronic Frontier Foundation. Différents juristes s’élèvent aussi contre la pratique du recours ex parte, qui met à mal le principe du contradictoire selon lequel toutes les parties doivent être entendues par un juge. 

Paul Vixie, PDG chez Farsight Security. 

Ce genre de pratique est encore plus polémique lorsqu’elle met en jeu la souveraineté des États. En 2012, Microsoft a obtenu d’un tribunal le contrôle du fournisseur de nom de domaines chinois 3322.org à partir duquel se propageait un virus baptisé Nitol. Affecté par la manœuvre, l’opérateur Pen Yong a dû trouver un compromis avec Microsoft pour reprendre son activité. Le ménage effectué n’a du reste pas suffit à venir à bout de Nitol, des noms de domaines secondaires extérieurs à 3322.org ayant été utilisés. La lutte contre les logiciels malveillant par ce procédé « n’empêche pas les hackers de lancer de nouvelles tentatives de mieux en mieux dissimulées », remarque Wired. 

Pour Paul Vixie, « quand une entreprise ou un pays se lance seul dans une activité de sanction, le résultat est en général catastrophique car Internet est riche de ses interdépendances et beaucoup de ses règles ne sont pas écrites. » Avant de prendre le contrôle de noms de domaines, Microsoft doit bien sûr avoir l’aval d’un juge. Mais il l’obtient de plus en plus fréquemment et, le cas échéant, son ascendant est total. L’expertise de la multinationale dans la protection des cibles de hackers mérite sans doute un encadrement. Elle-même, appelle de ses vœux une convention de Genève numérique.