2012 : le tournant cyberstratégique

Ces derniers mois sont apparus de nouveaux virus informatiques toujours plus sophistiqués, si complexes qu’ils ne peuvent être fabriqués dit-on souvent, que par un État. Ils portent  des noms remarquables :  Flambeur, Effaceur, Flame, Shamoon, Stuxnet, etc ; ils menacent les banques, les États, les grandes entreprises. L’hypothèse d’une cyberattaque est si bien intériorisée qu’au début du mois d’Octobre, les États européens membres de l’Enisa (l’agence européenne chargée de la sécurité des réseaux) ont pu se livrer à un exercice géant « à l’américaine » et simuler une offensive générale contre les infrastructures critiques, sans que cela fasse les premières pages.

Nous sommes au stade où les attaques cybernétiques ne peuvent plus apparaître comme des événements tombés du ciel mais comme les moments dans la construction de stratégies planétaires de puissance ou cyberstratégies.

Le nouveau discours de la guerre numérique

Le 11 octobre dernier, le Secrétaire d’État américain à la Défense, Leon Panetta évoquait le virus informatique Shamoon qui venait de frapper 30.000 ordinateurs de la compagnie saoudienne Aramco ou de RasGas, celle du gaz au Qatar. Il reprenait un thème récurrent du discours politique américain depuis les années 90, le « Pearl Harbour informatique » qui menacerait les infrastructures critiques de son pays – ainsi une attaque numérique visant à saboter les systèmes de régulation de l’électricité ou de l’eau. LireDésignant la Russie, la Chine et même l’Iran comme de sérieux compétiteurs, M. Panetta recourt volontiers ces derniers temps à un vocabulaire martial.

Il est question d’actes de guerre, de défense du secteur civil par l’armée, de nouvelles règles d’engagement qui permettraient à l’US Army de riposter hors frontières à des actes de ce type, de rétorsion armée, voire d’action « préemptive », justifiant de frapper un adversaire prêt à lancer une attaque informatique décisive (G.W. Bush avait attaqué l’Irak au nom du principe appliquée alors aux Armes de Destruction Massive présumées de Saddam).

Ce discours rappelle des tropismes de la guerre froide (les anciens pays communistes, Russie et Chine, réputés aussi menaçants dans le cyberespace et appelant peut-être une nouvelle forme de dissuasion) ou le souvenir du 11 septembre (la répétition dans le virtuel du grand traumatisme physique et symbolique d’il y a onze ans). Mais au-delà, se dessine une nouvelle logique de l’affrontement.
2012 n’est pas l’année où a éclaté une « vraie cyberguerre » (cela on l’avait dit en 2007 à propos d’une attaque informatique contre l’Estonie, en 2008 à propos de la Géorgie, en 2010 à propos du fameux virus Stuxnet destiné, semble-t-il à retarder la nucléarisation de l’Iran). En revanche, certaines tendances que l’on soupçonnait déjà se sont révélées au grand jour :

-  Le passage inéluctable du défensif (via une meilleure protection et détection voire une résilience) à l’offensif. Les USA, mais aussi l’Inde, le Japon, le Royaume-Uni, l’Allemagne, etc., sans oublier la France, affirment se doter d’armes informatiques en mesure d’infliger des dommages aux systèmes d’information de l’agresseur.
Mieux, par les révélations non démenties du journaliste David Sanger, nous avons récemment appris que les USA (sous l’administration Bush puis Obama) sont bien à l’origine du virus Stuxnet implanté clandestinement dans des systèmes de contrôle iraniens et qu’il y a produit des dommages équivalent à une action de sabotage sur des centrifugeuses d’uranium. Bien sûr, tout le monde s’en doutait, et préfère sans doute qu’Obama ait laissé utiliser un virus plutôt que de missiles israéliens, mais que la chose soit portée sur la place publique change la donne.
L’existence de tels moyens de prévention, de punition ou de menace (sans oublier l’éventuelle riposte par des moyens physiques et conventionnels à une offensive numérique) entraîne des conséquences hautement politiques.

Information, violence et norme

- Qui dit arme de guerre dit acte de guerre. Or, qu’il s’agisse de démontrer que l’on vient d’en être victime par algorithme interposé ou d’expliquer que l’on recourra soi-même à la version cyber de la raison ultime des souverains, un acte de guerre suppose un code légal, symbolique et stratégique.
Il faut d’abord le qualifier en droit et en préciser les critères. Ils mesurent la perte subie (en vies humaines, en capacité de souveraineté, en gâchis économique, en désorganisation des fonctions essentielles à la vie d’une Nation, rapport entre menace et ravage effectifs) et l’intention supposée de l’agresseur (s’emparer de secrets, affaiblir un compétiteur, envoyer un message politique, exercer une coercition sur un gouvernement..). Une telle doctrine, sorte de code des délits et des peines à l’échelle du cyberespace pourrait s’élaborer prochainement au moins dans le camp occidental. Il existe un « Manuel de Tallinn » de l’Otan qui tente de répondre à ces questions et une doctrine d’emploi US. Des juristes pourraient élaborer des normes et les stratèges des méthodes.  Mais la transposition dans le virtuel des règles du monde « réel » où telle troupe a visiblement franchi telle frontière ou telle bombe est tombée de tel avion portant telles cocardes, ne va pas sans difficulté.

- Tout ramène à la question centrale des secrets qu’il faut percer. Toute attaque présuppose un viol de secrets (ou si l’on préfère par des connaissances qu’a su acquérir l’agresseur) : l’agresseur a découvert une vulnérabilité qui ne devrait pas exister, implanté son logiciel là où il n’aurait pas dû parvenir, simulé une identité ou falsifié un certificat, percé un code ou un mot de passe, bref il a acquis certaines connaissances qui auraient dû être bien gardées.
En retour, l’État, s’il veut décourager ou châtier ses agresseurs, devra connaître, voire démontrer (devant une instance internationale, par exemple) un certain nombre d’informations.
La plus évidente est l’identité de l’agresseur dans un système où l’on agit par électrons interposés,  parfois en engageant des mercenaires ou en subventionnant des groupes « privés ». Savoir à qui le crime semble profiter ne suffit pas : on peut imaginer des méthodes de leurre et de provocation montées par des tiers.

Logique de l’attaque

Mais au-delà, s’ouvrent d’autres questions.
En matière de cyberattaques, tout est affaire de dommage et de proportion. Or la perte subie par la victime pose – outre le mystère du véritable instigateur – des interrogations propres.
La première porte sur sa gravité réelle. Un virus malicieux effectue une sorte de putsch électronique : il prend le pouvoir sur une machine distante ou l’oblige d’une manière ou d’une autre à faire ce que ne permettrait pas son légitime propriétaire : donner accès à des informations, leurrer son utilisateur, créer des dysfonctions dans un système physique ou simplement afficher des messages provocateurs.
Encore faut-il par exemple que l’acteur privé qui a été attaqué déclare rapidement et exactement ce dommage aux autorités étatiques : un problème qui préoccupe les autorités américaines en ce moment.
Et surtout, selon quel critère mesurer le dommage : que « vaut » par exemple telle information confidentielle dont s’est emparé un espion ou qu’a coûté le temps de réparation d’un système d’information ? Ou tant de jours où une administration est hors service ? Si l’on suit la chaîne des conséquences, où arrêtent les suites d’un acte initial qui déréglerait par exemple un système de contrôle du transport ou de l’approvisionnement énergétique d’une grande métropole ?

Nature et sens de l’offensive font aussi débat. Certaines attaques semblent relever du simple espionnage économique (c’est le cas de la plupart de celles que l’on attribue – assez généreusement, d’ailleurs – à des pirates chinois et apparemment aussi du virus sophistiqué Flame découvert durant l’été 2012 capable d’intercepter des données voire de s’autodétruire s’il est repéré).
D’autres ont une fonction plus directement destructrice de sabotage (le cas le plus célèbre étant ici Stuxnet, construit pour une mission très spécifique, même si sa propagation s’est étendue au-delà de ce que planifiaient ses concepteurs).

Dans nombre de cas, comme les attaques menées par la Syrian Electronic Army pro-Assad, une des fonctions évidentes est d’humilier l’ennemi par des images et un slogan vengeur. Idem pour Shamoon qui outre ses fonctions supposées – espionnage ou sabotage-, s’accompagne de proclamations vengeresses contre les traîtres saoudiens sur fond de drapeaux américains en flammes. L’idéologie n’est absente.
En sens inverse la lutte contre la piraterie informatique peut servir d’alibi à la répression de mouvements d’opposition tant la frontière est perméable. D’où des possibilités de manœuvres diplomatiques. Ainsi la proposition russe d’un traité international onusien qui organiserait une lutte internationale contre la cyberpiraterie ou les cyberattaques, mais introduirait aussi des dispositions pour lutter contre l’ingérence, les atteintes à la sécurité nationale ou la diffusion d’opinions « extrémistes »…

Une attaque qui peut indifféremment servir un projet d’espionnage, de vandalisme , de menace politique ou d’humiliation, est aussi un message dont nous ne maîtrisons pas encore la réponse et qui se prête aux manipulations et mésinterprétations.

La cyberstratégie est affaire de réponses techniques et factuelles (qui ? avec quel résultat ? délibéré ou non ? quel statut, étatique, privé, … ? quel objectif ?) mais elle ouvre  sur des questions morales (comme le nouveau droit de la guerre et à la guerre, la question des dommages collatéraux ou des victimes innocentes, la légitimité d’un système de punition, de prévention et de menace élaboré par des Occidentaux). Elle est aussi affaire de contrôle et pas seulement le contrôle technique qui assure du fonctionnement des systèmes informationnels) : de contrôle politique et économique de son territoire. Au final elle pose un problème de justification devant l’opinion qui restera à convaincre dans un conflit qui est aussi et avant tout un conflit pour la perception.

About these ads

À propos de François-Bernard Huyghe

François-Bernard Huyghe est directeur de recherche à l’IRIS, spécialisé sur la communication et l’intelligence économique, responsable de l'Observatoire Géostratégique de l'Information Docteur en Sciences Politiques et habilité à diriger des recherches, il enseigne la stratégie de l’information et l'intelligence économique notamment à l’IRIS Sup, à Polytechnique, au Celsa et sur le campus virtuel de l’Université de Limoges. Il est membre scientifique du Conseil Supérieur de la Formation et de la Recherche Stratégiques et mène des recherches en médiologie parallèlement à une activité de consultant. C'est aussi un blogueur influent sur huyghe.fr Il est l'auteur de nombreux ouvrages dont le dernier est "Terrorismes. Violence et propagande", Gallimard 2011 Ses travaux sur les rapports entre information et conflit comportent la direction de numéros de revue (Panoramiques : "L’information c’est la guerre", Cahiers de médiologie "La scène terroriste", AGIR "Puissance et influence". Revue Internationale stratégique "Stratégies dans le cyberespace"..) et les livres : "L’ennemi à l’ère numérique" (P.U.F), le livre électronique "Ecran/ennemi", "Quatrième guerre Mondiale" (Rocher). "Comprendre le pouvoir stratégique des médias" (Eyrolles) et "Maîtres du faire croire. De la propagande à l'influence" (Vuibert). Derniers livres publiés : "Terrorismes" (Gallimard 2011) "Think tanks" (Vuibert 2013)

Publié le 2 novembre 2012, dans Publé sur www.huyghe.fr. Bookmarquez ce permalien. Poster un commentaire.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

Suivre

Recevez les nouvelles publications par mail.

%d blogueurs aiment cette page :