Au lendemain de l’exercice CyberShockwave (voir notre annonce), le bilan n’est pas fameux : d’après le communiqué de son organisateur, les Etats-Unis ne sont pas prêts à affronter une cyber attaque majeure.

L’annonce, bien sûr, est à prendre avec des pincettes : cet exercice était organisé par un groupe de pression privé, certes composé d’anciens (très) hauts responsables américains, mais qui n’a rien d’officiel. Son organisateur peut donc parfaitement ignorer des capacités de réponse récentes à la disposition du gouvernement américain. En revanche, l’exercice avait l’avantage d’être public, contrairement aux jeux de rôles officiels.

Le scénario prévoyait une première phase durant laquelle un attaquant avait infecté sur plusieurs mois un grand nombres de téléphones mobiles américains par l’intermédiaire d’un jeu gratuit à télécharger. Cela lui a permis de « tuer » immédiatement vingt millions de smartphones américains dès le lancement de l’attaque, et ainsi désorganiser quelque peu l’activité du pays.

La phase suivante a consisté à neutraliser une plate-forme en ligne de courtage d’électricité, ce qui a en retour gravement perturbé l’alimentation électrique de la côte est des Etats-Unis.

Durant tout ce temps, l’équipe de défense américaine aurait éprouvé le plus grand mal à ne serait-ce qu’identifier l’origine de cette attaque, et donc bien entendu à la contrer.

Point intéressant à noter, chaque élément du scénario est parfaitement crédible : les chevaux de Troie pour smartphones existent depuis longtemps (et l’on a vu récemment une tentative de création de botnet mobile), et les attaques contre la distribution électrique ne sont pas elles non plus de la science fiction.