Article dans la Revue Internationale Stratégique n° 87

En juin 2012 un article du New York Times confirme ce que beaucoup soupçonnaient : le virus Stuxnet, logiciel malveillant destiné à perturber les chaînes de centrifugeuses pour l’enrichissement de l’uranium iranien, avait bien été lancé sur ordre de la Maison blanche. On peut discuter de la part de responsabilité des Américains et des Israéliens dans cette affaire dont il sera plusieurs fois question dans ce numéro, du rôle de telle ou telle agence ou laboratoire dans son exécution, du « mérite » respectif de G.W. Bush et Obama dans le suivi du projet, de la sophistication ou  de l’efficacité réelle de Stuxnet (le nombre mois dont il aurait effectivement retardé la nucléarisation de l’Iran). La raison de la fuite elle-même fait débat : le candidat Obama est-il si fâché de révélations qui lui confèrent une  image de fermeté en période électorale ?

Mais, faute de démenti, cette révélation rend surtout quasi officiels deux faits évidents :
– la première puissance du monde recourt à des attaques informatiques là où en d’autres temps on eut utilisé des missiles ou des bombardiers2. Les cyberattaques supposent des cyberarmes : logiciels ou dispositifs qui permettent de saboter des machines adverses, de les espionner ou de pervertir les données ou instructions qu’elles contiennent (ce qui équivaut à leur donner des « ordres » illégitimes).
On distingue classiquement les dispositifs défensifs dits de résilience (ils permettent à une organisation attaquée de limiter au maximum les dégâts et la panique pour retourner au plus vite à la normale) et, d’autre part, des armes offensives dites de perturbation (tel des virus qui s’attaquent aux systèmes adverses pour les détraquer p.e.). Les USA emploieraient donc les secondes;
– la connaissance technologique devient moyen de contrainte politique. Elle s’exerce, non la force militaire, ni par la négociation diplomatique mais  par l’utilisation offensive du savoir. Ici l’action est indirecte : un programme fausse un autre programme qui régule un système mécanique, ce qui retarde la nucléarisation de l’Iran, et rend donc moins urgente une frappe par par Israël voire par les USA .

La recherche de la sécurité dans le cyberespace comporte pour chaque pays, des dimensions
– économiques : protéger leurs entreprises et leurs infrastructures voire contribuer au développement d’une économie sécurisée générant la confiance (article de N. Arpagian)
– judiciaires :  empêcher, certes des crimes et délits, presque toujours transfrontaliers, mais aussi désarmer leurs auteurs  (article de B. Louis-Sidney)
– stratégiques : se protéger mais le cas échéant aussi contribuer à une gouvernance globale d’Internet voire à une cyberpaix (article de D. Ventre)
– idéologiques ou éthiques enfin (article de M. Pinard). Des choix s’offrent ainsi à l’État, ouvrir ou fermer : favoriser la liberté d’expression sur Internet (éventuellement chez autrui pour déstabiliser certains régimes) mais aussi se défendre soi-même contre la déstabilisation informationnelle (catégorie dont on se doute qu’elle se prête à toutes les interprétations).

L’ÉTAT CIBLE ET ACTEUR

La nouveauté n’est pas tant dans le développement moyens numériques de sabotage qui s’en prennent aux logiciels ou aux machines plutôt qu’aux corps; Cela nous le soupçonnions bien avant Stuxnet, notamment par des travaux de chercheurs dès la décennie 90. Puis il y eut des  incidents avérés au cours des années suivantes, des soupçons d’intervention russe dans la paralysie numérique de l’Estonie en 2007 ou celle des défenses militaires géorgiennes en 2008 ou encore des accusations répétées contre la Chine à l’occasion multiples intrusions dans des systèmes informationnels d’États souverains. D’une certaine façon, le mythe du Pearl Harbour informatique, -l’attente du grand chaos numérique contagieux où un simple logiciel mettrait une grande puissance à genoux en paralysant ses infrastructures dites critiques – est constitutif de l’imaginaire d’Internet. On l’annonce sous ce nom depuis 1996 : rien de très nouveau dans la peur qu’éprouve notre société dépendant de flux d’informations instantanés face à l’hypothèse d’un  chaos à la mesure de leur complexité.

Ainsi, les USA ont affirmé qu’ils pourraient considérer comme acte de guerre une attaque informatique d’une certaine importance (touchant des cibles civiles mais compromettant des intérêts de souveraineté). D’autres pays ont annoncé qu’ils se dotaient d’armes informatiques offensives, dont le Japon et l’Inde : sans doute des programmes capables de perturber les systèmes informationnels d’un autre pays et ses fameuses infrastructures  critiques.

Qui dit arme dit doctrine d’emploi, droit de la guerre juste ou non, logique de contrainte et de rétorsion, voire diplomatie, négociations internationales, traités de paix… Pendant que ces nouvelles panoplies prolifèrent, des  États se dotent d’agences ou d’organismes dits de cyberdéfense ou de cybersécurité, ou comme les États-Unis publient leur « cyberstratégie » : des enjeux internationaux de puissance se nouent derrière ces affaires de virus aux noms bizarres, de courriels pillés et de sites bloqués. Les articles de C. Demchak pour les USA, F. Clérot pour la Chine,  et O. Kempf pour la France montrent comment chaque pays interprète cette nouvelle donne et s’y prépare.

LE PRIMAT DE L’ATTAQUE

Pendant que le simple citoyen s’habitue à trouver des virus ou subir des tentatives d’escroquerie dès qu’il ouvre son ordinateur, l’État subit des attaques numériques quotidiennes dont beaucoup plus difficiles à traiter et qualifier qu’une violation de frontière par une division blindée.

Une cyberattaque est par nature difficile à attribuer – quand bien même  une enquête démontrerait, lentement et péniblement, que l’adresse IP identifiant l’ordinateur source est située sur le territoire de tel pays. Celui-ci peut plaider que quelqu’un cherche à  leurrer la victime depuis un autre pays, ou que les autorités locales ne sont au courant de rien .
Dans une cyberattaque, il n’est pas certain que la victimes ait été la seule visée ni que le résultat atteint ait été celui recherché – qu’il soit moindre, plus grave ou géographiquement plus étendu. Dans un monde interconnecté, les dommages collatéraux touchent vite des neutres ou des amis.

Enfin et surtout, il n’est pas évident que celui qui possède des cyberpanoplies ait intérêt à dire la vérité
– sur ce qu’il a fait et qui pourrait lui être reproché,
– sur ce qu’il peut faire (ce qui aiderait l’adversaire à renforcer sa défense)
– ni sur ce qu’il a subi et qui révélerait son degré de résistance ou de résilience.

D’où le bizarre statut de ces armes secrètes/publiques dont on connaît l’existence et sur lesquelles on spécule sans en savoir l’efficace ou le contenu

Secrètes par leur mode d’emploi (pour qu’elles fonctionnent, leur concepteur doit avoir violé préalablement le secret d’un système de protection ou de certification). Secrètes par leurs effets et leur programmation. Voir le virus Flame dont on apprend une semaine qu’il est le plus sophistiqué, la semaine suivante qu’il s’est autodétruit pour effacer toute trace de ses exploits (prélever des données, des messages, des captures d’écran, enregistrer des conversations bref se comporter comme un parfait espion numérique).

Les mêmes attaques sont pourtant publiques par leurs effets, par les spéculations médiatiques qu’elles suscitent, comme sont parfois publics les acteurs qui les dirigeraient en sous-main. Ils se pourrait même que certaines attaques soient « publicitaires » au sens où un attentat recherche l’écho maximal. Il y a, en effet, des actions qui n’auraient guère d’intérêt si la presse n’en parlait et si l’opinion ne s’en inquiétait. C’est le cas de celles des Anonymous : peu de dommages, mais beaucoup d’effets d’annonce et de commentaires. Ce fut sans doute aussi le cas de l’attaque qui a frappé l’Estonie en 2007. Elle répondait à une « offense » (le déplacement d’une statue d’un héros de l’Armée rouge) et visait à faire sentir aux Estoniens la colère et la menace de leur puissant voisin, plutôt qu’à infliger un dommage irréparable. Il s’agissait en l’occurrence d’une « simple » opération de saturation des systèmes informatiques d’un pays dont l’administration et les transactions quotidiennes se font largement en ligne6.

Une cyberattaque, surtout ciblée et sophistiquée, a sans doute une date de péremption assez courte : vu la vitesse d’évolution de la technologie et l’intensité de l’effort de recherche en ce domaine, on imagine mal un supervirus réutilisable plusieurs années de suite ou gagnant plusieurs guerres successives. La loi du renouvellement perpétuel s’impose donc et par l’évolution rapide dans l’état de l’art, et par calcul tactique.

Nous voici, en somme, confrontés à un phénomène aux causes obscures et aux résultats imprévisibles, avec une seule certitude : la multiplication des cyberattaques constitue tendance lourde.

Difficile alors de traiter toutes les cyberattaques comme des crimes et délits perpétrés par des bandits et la cyberdéfense comme une simple ingénierie.

NATURE DE L’OFFENSIVE

Il n’est plus question de faire l’économie d’une cyberstratégie pour établir objectifs, moyens et règles d’un affrontement. Pour envisager ravages, ripostes, contraintes ou menaces possibles dans le cyberespace. Et, comme toute bonne stratégie, pour raisonner, au-delà des possibilités techniques, en termes de croyance ou d’anticipation des divers acteurs.

Or le cyberespace n’est pas une entité platonicienne flottant au-dessus du monde réel et que l’on pourrait définir par des attributs négatifs : sans frontière, sans délai de déplacement, sans limites, sans lois, sans oubli, sans permanence…

Il réunit
– des choses – écrans, machines, câbles, antennes – qui sont sur un territoire soumis à une souveraineté. Ces objets sont origine, vecteurs ou victimes des attaques
– des normes – protocoles, logiciels…- établies par une autorité qui, de ce fait, exerce un certain contrôle
– et enfin des signes dont le support est constitué d’électrons, que leur contenu soit un poème en faveur de la liberté, une photo pornographique, des données de grande valeur économique, ou à un algorithme commandant des opérations bancaires.

Si nous acceptons l’image d’un « cinquième espace » stratégique où l’on se battrait, après la terre, la mer, l’air et la stratosphère, encore faut-il se souvenir que le cyberespace ne cesse d’interférer avec les autres. La question de la territorialité donc de la souveraineté n’y est nullement obsolète : attaquants et victimes sont quelque part.

La recherche de la cybersécurité consiste à dresser des défenses puissantes et rapides face à des attaques à venir ( ou à réparer celles que l’on a déjà subies). Mais, pas plus que la stratégie du XVII° siècle ne se résumait aux fortifications de Vauban, la stratégie nouvelle ne saurait se limiter au renforcement et à la résilience des systèmes informatiques.

Une cyberattaque peut s’envisager au-delà de l’aspect technique :
– comme viol d’une souveraineté : si État n’est plus en mesure de contrôler des informations ou des programmes qui se propagent sur territoire, il ne peut plus garantir à ses citoyens l’usage paisible des réseaux de communication, ni être assuré ses capacités militaires ou industrielles..
– comme dommage (destruction de systèmes et contrôles, chaos, désorganisation) qui, à partir d’une certaine nocivité, équivaudrait au ravage d’un attentat voire d’un acte de guerre
– comme un vol de secret, qu’il relève de l’espionnage polititque ou industriel ou du vol de propriété intellectuelle : il y a dans tous les cas effraction de dispositifs censés préserver une certaine information

Aux enjeux stratégiques, politiques, économiques, publics se mêlent des questions de libertés : comment l’Etat peut il défendre ses entreprises contre des pirates sans en recueillir des informations confidentielles ? comment repérera-t-il des terroristes sur Internet sans contrôler davantage le citoyen lambda ? comment sécuriser des systèmes sans surveiller les gens ?

Le premier problème – forcément politique – de la cyberstratégie est donc de nommer l’ennemi et de comprendre ses buts. Il est difficile de distinguer entre cybercrime pur (perpétré par des individus recherchant un profit, une vengeance, un exploit…),  le cyberterrorisme (qui viserait à menacer ou perturber une population ou un gouvernement pour exercer une contrainte) et, enfin, véritables actions militaires ou para-militaires dans le cyberespace.

L’emploi de termes comme « cyberguerre » est dangereux et prétexte à manipulations. La guerre -régie par un droit spécifique- est une action violente ouverte. Elle implique mort d’homme, menée sur un territoire par des collectivités organisées dans un dessein politique qui est d’établir une certaine paix favorable à ses intérêts. Or aucune de ces conditions – publicité, légalité, létalité, territorialité, séparation nette entre période de paix et période de guerre, voire civil et militaire, allié, neutre et ennemi, etc,, ne s’applique aux attaques numériques telles que nous les avons connues.

Il n’y a pas eu et n’y aura pas avant longtemps de cyberguerre qui remplacerait une guerre « classique », mais il y aura de moins en moins d’offensives militaires classiques qui n’intègrent une composante cyber notamment pour désorganiser les défenses ennemies7. Enfin et surtout, il y aura beaucoup de cyberattaques en temps de paix, dont certaines seulement auront la même finalité qu’une attaque purement militaire.

RIDEAUX DE FUMÉE

Si une cyberattaque implique d’utiliser une faille dans la protection d’un site ou d’un système informationnel pour y prendre un pouvoir illégitime, cela peut consister en trois choses parfois mêlées :
– savoir ce que l’on ne devrait pas savoir. En clair : espionner.
– perturber ce qui devrait fonctionner : pervertir le fonctionnement d’un système
–  faire savoir ce que la victime de l’attaque voudrait empêcher de publier. Par exemple pénétrer sur le site d’un adversaire pour y faire des inscriptions le ridiculisant ou mettre sur la place publique ce qu’il dissimulait en s’inspirant de la méthode Wikileaks.

Pour des autorités il importe d’abord de distinguer ceux que l’on peut arrêter (même agissant hors de ses frontières, mais qui relèvent d’une police fut-elle internationale) et des acteurs publics. Les premiers ne peuvent être punis que pour ce qu’ils ont fait, les seconds sont susceptibles d’être contraints en tant que communauté.
Sauf à instituer une responsabilité collective – l’État serit comptable des actions de pirates situés sur son territoire, même à son insu – l’efficacité d’une prévention, d’une défense ou d’une rétorsion se heurte à des obstacles cognitifs.

Le premier est souvent signalé : l’agresseur qui n’a pas publié ses revendications ni annoncé ses intention agressives se dissimule. Acteurs économiques, militants, étatiques purement criminels peuvent se mêler et s’allier. Ainsi, un État peut soutenir en sous-main un groupe de hackers professant un discours idéologique, une entreprise peut louer les services de criminels pour des « contrats » de cyberattaques. La question du « qui l’a fait ? » est donc aussi fondamentale que dans une enquête policière.

La technique résoudra peut-être ce problème – il est question au Japon de contre-virus qui remonteraient à la source et désigneraient coupable – mais, pour le moment, il faut compter sur le raisonnement pur (« ce doit être le pays x. : il a le motif et les capacités ») ou sur de bons services de renseignement (humain, faut-il le préciser ?).

Au rideau de fumée que déploient les attaquants peut s’ajouter celui des victimes, proclamées, qui n’ont pas forcément intérêt à bien qualifier le coupable. La notion terrifiante de ce cyberterrorisme pourrait ainsi servir à stigmatiser une simple protestation ou à réprimer des délits d’opinion.

Un gouvernement peut pratiquer des amalgames et mettre sur le même plan  renseignement économique, actions contre des infrastructures vitales, actes de guerre,  démonstrations de hackers contre sa politique autoritaire…
Avec une bonne rhétorique, certains réclameront vertueusement des mesures internationales contre des cyberattaques qu’ils assimileront à des armes de destruction massive, et éventuellement dénonceront leur voisin, ce qui leur permettra de combattre leurs propres cyberdissidents comme pirates et agents de l’étranger.

Il y a enfin un troisième rideau de brouillard à disperser et celui-là est plutôt dans notre esprit : le rapport entre le dommage réel et le dommage symbolique provoqué par une cyberattaque. Il nous semble que, dans plusieurs des exemples que nous avons cités,  montrer sa force, humilier l’autre, le punir ostensiblement pour une faute ou une provocation, lui lancer un avertissement, tous ces objectifs motivent l’agresseur au moins autant que l’idée de détruire des richesses économiques ou de déstabiliser des organisations.

NOUVELLES RÈGLES

Pour le dire autrement, une cyberattaque adapte des méthodes de guerre de l’information (espionner, saboter, leurrer, proclamer…) aux caractéristiques du numérique et des réseaux :
– la possibilité d’agir à distance, via de simples algorithmes, donc par une connaissance transmissible d’attaquant à attaquant
– la valeur économique ou stratégique de biens immatériels : des données électroniques qui peuvent être altérées, reproduites, consultées, falsifiées captées, appropriées commandées, etc. à l’insu de leur propriétaire légitime et dont certaines valent fort cher
– les dégâts (en termes de chaos, perte de contrôle ou perte de biens ou de connaissances) qui résultent de l’altération des mémoires, systèmes de transmission ou de contrôle et commandement. La contagion du désordre et la diffusion des paniques dans des systèmes où tous les réseaux sont reliés, dépend aussi du comportement des utilisateurs habitués à faire confiance en « la » technologie et soudain privés de leur prothèses qui leur servaient à calculer, planifier, se souvenir et communiquer.
– l’accélération de la lutte de l’épée et du bouclier : moyens offensifs et défensifs changent tous les jours
– ce que nous avons appelé ailleurs le problème des quatre M. et que l’on pourrait résumer ainsi : sommes-nous attaqués par des Militaires (une cyber brigade d’un pays ennemi), par des Militants (un groupe d’activistes en ligne), par des Mercenaires (des groupes criminels qui « louent » leur capacité de nuisance, notamment des milliers d’ordinateurs distants dont ils ont pris le contrôle à distance) ou par des Marchands plus ou moins pirates (des entreprises utilisant des moyens illégaux contre la concurrence).

Il est enfin un dernier facteur autour duquel se nouent tous les autres : le temps. Le temps est l’essence de la stratégie et les batailles ont toujours été perdues parce qu’un camp comprenait ou réagissait un quart d’heure trop tard.
Mais le temps joue ici un rôle supplémentaire : le rapide attaque le lent et il l’agresse essentiellement pour lui faire perdre du temps.
En clair saboter consiste le plus souvent simplement à  retarder en provoquant un dysfonctionnement (ou une saturation comme dans les Ddos) qui finira par être réparée un jour. Espionner consiste à s’emparer aujourd’hui de connaissances qui n’auront  plus de valeur demain. Mener une action de propagande, de désinformation ou de punition symbolique (comme d’humilier son adversaire en changeant le contenu de son site),  équivaut à faire savoir maintenant et par surprise ce que la victime ne pourra plus effacer ensuite.
Et la cyberdéfense ne consiste pas seulement à détecter, qualifier, retracer, réparer, renforcer, punir ou désarmer, elle consiste en une réaction « juste à temps ».

PENSER UNE CYBERSTRATÉGIE

À ce stade, le lecteur aura remarqué que nous avons seulement abordé la question  des attaques, actes sporadiques qui réussissent plus ou moins et se reproduisent à un rythme variable. Or ni la guerre, ni la diplomatie, ni la stratégie ne se résument à des coups isolés : ce sont des formes de dialogue ou les actes et les plans des uns et des autres se suivent et se déterminent mutuellement. Il est visible que nous ne connaissons pas les règles du nouveau jeu et que nous serons bientôt forcés d’apprendre les codes de l’autre.

Ou plutôt, le politique sera obligé d’innover et d’établir ses objectifs, ses règles et ses priorités. Attaquer préventivement, attendre d’avoir à se défendre ? Faire savoir comment il ripostera et décourager ainsi l’agression ? Cacher au contraire sa force ?Piéger les attaquants, sanctionner l’agression sur un plan juridique, diplomatique, militaire « classique » ? Par le droit ? Avec quelles alliances et quelle dimension internationale ? Suivant quels critères de souveraineté ? Ce ne sont pas exactement des questions pour ingénieurs, experts et exécutants.
Ce sont des défis pour des acteurs souverains qui doivent ainsi repenser à neuf la question de la violence, de la menace et de la coopération entre les Nations.

Publicités

À propos de François-Bernard Huyghe

François-Bernard Huyghe est directeur de recherche à l’IRIS, spécialisé sur la communication et l’intelligence économique, responsable de l'Observatoire Géostratégique de l'Information Docteur en Sciences Politiques et habilité à diriger des recherches, il enseigne la stratégie de l’information et l'intelligence économique notamment à l’IRIS Sup, à Polytechnique, au Celsa. Il est membre scientifique du Conseil Supérieur de la Formation et de la Recherche Stratégiques et mène des recherches en médiologie parallèlement à une activité de consultant. C'est aussi un blogueur influent sur huyghe.fr Ses travaux sur les rapports entre information et conflit comportent la direction de numéros de revue (Panoramiques : "L’information c’est la guerre", Cahiers de médiologie "La scène terroriste", AGIR "Puissance et influence". Revue Internationale stratégique "Stratégies dans le cyberespace"..) et les livres : "L’ennemi à l’ère numérique" (P.U.F), le livre électronique "Ecran/ennemi", "Quatrième guerre Mondiale" (Rocher). "Comprendre le pouvoir stratégique des médias" (Eyrolles) et "Maîtres du faire croire. De la propagande à l'influence" (Vuibert). Également : "Terrorismes" (Gallimard 2011) Derniers livres : "Gagner les cyberconflits" (avec O. Kempf et N. Mazzucchi) Economica 2015 "Désinformation Les armes du faux" A. Colin 2016

Publié le 17 octobre 2012, dans Publé sur www.huyghe.fr. Bookmarquez ce permalien. Poster un commentaire.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

%d blogueurs aiment cette page :