Le Costa Rica déclare l'état d'urgence contre les ransomwares

En réponse à la crise actuelle, qui coûte chaque jour au Costa Rica la somme estimée de 38 millions de dollars, Rodrigo Chaves, son président nouvellement élu, a déclaré l'état d'urgence national. Typiquement, c’est le genre de décision que l’on peut prendre après une catastrophe naturelle ou un conflit interne. Mais les temps ont changé. En effet, le Costa Rica n'a pas été frappé par un tremblement de terre, une bombe ou une grève, mais par une crise d’un genre nouveau : la cybercriminalité. La gestion des cyberattaques est devenue le quotidien de tous les pays de la planète, qui se retrouvent tous confrontés aux lois du « Far West » de l'Internet moderne. Á toute heure du jour, les États-nations, les syndicats de cybercriminels, les activistes politiques et les farceurs déterminés, chacun pour des motifs différents, parcourent le web, à la recherche de leur prochaine victime. Et quelle meilleure victime peut-on trouver, si ce n’est le réseau du gouvernement d'un pays ? Les réseaux et systèmes gouvernementaux regorgent de ressources et d'informations, y compris de données personnelles vitales pour les opérations nationales et civiles. D’autant que les sites et systèmes gouvernementaux sont souvent en retard sur les meilleures pratiques de sécurité, ce qui en fait des cibles de choix pour les cybercriminels de tout poil.

Il y a un mois, le 12 avril, les systèmes nationaux du gouvernement du Costa Rica ont commencé à subir un nombre de cyberattaques plus élevé qu’à l’accoutumée. Les services de sécurité sociale et les services de l'emploi ont été fortement perturbés, et la fréquence des attaques n'a fait qu'augmenter les jours suivants. En l’état, cette histoire peut sembler tristement familière, car depuis une bonne décennie, les États-nations sont victimes de dizaines de cyberattaques de grande ampleur. Outre les attaques contre les gouvernements, un nombre incalculable d'attaques sont lancées chaque jour contre des entreprises et des particuliers. Sauf que cette fois, trente jours après le début des attaques, la situation du pays s’est clairement distinguée des autres.

Une crise héritée

Le 8 mai, alors que les systèmes financiers nationaux ne fonctionnaient toujours pas normalement, le nouveau président du Costa, Rica Rodrigo Chaves, a prêté serment. Et le 11 mai, l’une de ses premières actions a été de déclarer l'état d'urgence, ce qui lui a permis de réaffecter immédiatement des fonds d’urgence du Covid-19, en pensant que cette décision suffirait pour répondre avec agilité et efficacité à la crise. Mais rien n'est jamais aussi simple. Quelques heures après cette déclaration, la Commission nationale de prévention des risques et de gestion des urgences (National Commission for Risk Prevention and Emergency Management, CNE) du Costa Rica a annoncé publiquement qu'elle n'avait pas de feuille de route, pas de stratégie et pas de plan pour gérer cette urgence. Tout l’espoir suscité par l’annonce de M. Chaves a été anéanti par ce défaut de préparation, plus que par le manque d'efforts. Enfin, le 31 mai dernier, le service national de santé du Costa Rica (la Caisse de sécurité sociale du Costa Rica ou CCSS) a été piraté par un groupe russe de logiciels de rançon connu sous le nom de Hive.

En 2012, le ministère des Sciences, de l'Innovation, de la Technologie et des Télécommunications (MICITT) avait bien créé une équipe nationale de réponse aux incidents de cybersécurité (CSIRT). Et en 2017, le gouvernement du Costa Rica avait officiellement adopté une stratégie nationale de cybersécurité, avec les mesures à prendre pour protéger la nation contre les cyberattaques. Mais il semble que ces mesures n’ont été suivies d’aucune action.

Un pays en guerre

Quelques jours après les premières attaques, le tristement célèbre groupe de ransomware CONTI en a revendiqué la responsabilité des premières attaques. Ce cybergang russophone ayant des liens présumés avec le Kremlin, a été fortement impliqué dans le conflit ukrainien en cours. Une prime de 10 millions de dollars pour toute information sur ses dirigeants et une récompense de 5 millions de dollars pour toute information sur ses membres offertes par les États-Unis n'ont pas réussi à perturber l’activité du groupe. Et brusquement, les termes utilisés par le président Chaves pour justifier l’état d’urgence ont fait resurgir d’autres réalités. Le président Chaves a déclaré vouloir mettre fin aux souffrances du Costa Rica aux mains des « cybercriminels » et des « cyberterroristes ». La cybercriminalité est une chose, et le code pénal du Costa Rica prévoit des directives claires sur poursuivre les crimes de cette nature, mais le « cyberterrorisme » est une tout autre chose. Le gang à l’origine du ransomware CONTI a déclaré que son objectif était de renverser le gouvernement. En réponse, le président Chaves a déclaré que le pays était « maintenant en guerre ». Or, fait unique, puisque le Costa Rica a démantelé son armée il y a 70 ans. Outre les conséquences potentielles que peut avoir une telle déclaration sur le plan politique et sur le droit international, le code pénal du Costa Rica ne contient aucune définition du cyberterrorisme. Par contre, le caractère indéniablement politique du « terrorisme » a des implications quand il s'applique à un groupe que beaucoup considèrent comme étroitement lié au Kremlin.

Un exemple pour le monde

Où en est le Costa Rica, et qu'est-ce que cela signifie pour le reste du monde ? En raison des interruptions de service, le Costa Rica continue de perdre chaque jour énormément d’argent. Et même si le gouvernement a annoncé un « plan d'action », il semble qu'il a encore du mal à savoir comment arrêter/contenir l'attaque et gérer ce type de crise au niveau de la nation. Même s'il y parvenait, aucun cadre juridique ne lui permettrait de poursuivre les auteurs de l'attaque. À ce stade, le gouvernement devrait rattraper en quelques semaines cinq années de travail pour parvenir à mettre en place une cybersécurité digne de ce nom. L'Amérique latine regorge d'infrastructures critiques mondiales. Que se passerait-il si de telles attaques se propageaient dans tout le continent sud-américain ? Le canal de Panama génère 2,7 milliards de dollars de recettes par an, et une interruption de service aurait un impact économique nettement supérieur. À la frontière entre le Brésil et le Paraguay, le barrage d'Itaipu produit plus d'énergie que toute autre centrale hydroélectrique dans le monde, pour une valeur de 3,2 milliards de dollars. Et ce ne sont que quelques exemples parmi d’autres.

Le Costa Rica n'a pas mis en œuvre la stratégie qu'il avait définie il y a cinq ans pour préparer ses infrastructures à se défendre contre les cyberattaques. Aujourd'hui, cette défaillance peut servir d'exemple non seulement aux autres nations d'Amérique latine, mais aussi au monde entier. Les nations doivent mettre à jour leurs infrastructures, élaborer des plans d'intervention, actualiser leur code pénal et l'harmoniser avec les normes et les meilleures pratiques reconnues au niveau international, et rejoindre la cybercommunauté internationale. Une grande collaboration entre les pays a permis d’alléger le fardeau de toute entité individuelle qui cherche à renforcer ses défenses pour se protéger contre les cyberattaques. Le framework de cybersécurité Cyber Security Framework (CSF) publié par le National Institute of Standards and Technology (NIST) des États-Unis a été adopté par d'innombrables nations et entreprises privées partout dans le monde. Tout pays qui se tient à distance de la cybercommunauté internationale, qui n'a pas élaboré de plans et de stratégies de cyberdéfense, qui a ignoré l’avis de ses experts en cybersécurité, court un risque extrême. Certes, il y a 20 ans, c’était certes le meilleur moment pour s’y mettre. Mais le deuxième meilleur moment, c'est maintenant.