Arme offensive et défensive dans le cyberespace

OFFENSIF ET DÉFENSIF

Traditionnellement, une arme « offensive » est un artefact très particulier : un outil qui sert à infliger une perte humaine ou matérielle. Est logiquement réputée défensive une arme (ou un système de protection) visant à rendre inutile la première. Dans la réalité les deux se combinent et l’on porte une épée et un bouclier, un tank à un blindage et un canon, etc.

Stratégiquement parlant, l’offensive a longtemps consisté à lancer des hommes, des véhicules, des forces ou des projectiles contre l’Autre, une action défensive étant forcément seconde et réactive. D’où la logique des deux indices utilisés pour juger qui attaque et qui se défend : l’initiative et le lieu de la première attaque.

Dans un monde divisé en nations, Ratzel a pu dire que la guerre « consiste à porter sa frontière sur le territoire de l’autre ». Comprenez : accomplir des actes de domination ou de violence au-delà d’une frontière politique dont l’étymologie est précisément « ligne de front », celle qui confronte la ligne adverse et marque provisoirement la zone au-delà de laquelle la bataille est possible, mais en deçà de laquelle un camp est à l’abri.

Tout ceci ne va pas forcément sans ambiguïtés. Un exemple extrême est celui de la guerre « préemptive » (et non préventive) imaginée par G.W. Bush et ses conseillers néoconservateurs : cette doctrine autorise à frapper un ennemi (État-voyou ou groupe terroriste abrité par un État) qui se préparer à attaquer de façon imminente, surtout s’il est doté d’armes de destruction massive ou sur le point d’en acquérir. Tout en se disant en légitime défense.

Information ravage et information bouclier

Comment transposer ces notions dans le monde cyber ? Les termes que l’on rencontre désormais -lutte informatique offensive (LIO) et de la lutte informatique défensive (LID) -présupposent qu’une attaque informatique puisse faire ravage par électrons interposés.
Cette opération ne consiste plus à projeter des gens, des choses ou de l’énergie vers un territoire, mais à introduire une information – programme malveillant ou message déstabilisateur – dans un dispositif adverse. Le dommage que subit la victime est une perte – de son patrimoine informationnel, de sa capacité de contrôle ou de son image.

Ceci renvoie à une redéfinition de l’arme. L’attaque cyber ne peut, dans une première phase au moins, que capter par ruse ou par technique une information que « possède » la victime ou un tiers (un ordinateur-zombie dont l’agresseur prend le contrôle pour mener une attaque par déni d’accès partagé, p.e.). Dans le vocabulaire de la cybersécurité, il est question de la confidentialité, de l’authenticité, de la fiabilité ou de l’intégrité de l’information. En d’autres termes l’attaquant s’en prend forcément à un bien intellectuel (sous forme de signes stockés dans des machines) et en altère les propriétés, apparemment à cent lieues de la brutalité qu’évoque habituellement une attaque : frapper, tirer, etc.

Toute attaque informatique suppose une résistance sémantique et technique surpassée (et un secret dérobé) : que l’on ait volé un mot de passe, franchi une « barrière de feu » (firewall), craqué un système de détection, bref que l’on se soit introduit « dans » un espace protégé (le disque dur d’un ordinateur, un téléphone, un système d’information…) tout se fait par signes interposés. Et ceci par intrusion, contre une défense trop faible (si les contrôles de sécurité étaient parfait et les hommes assez méfiants, la question de l’attaque ne se poserait même pas). De la première « violence » que constitue l’intrusion en naît une seconde qui consiste en trois choses, ou une combinaison des trois (via des instructions illégitimes à un cerveau électronique ) :

– prendre connaissance d’informations confidentielles, i.e. espionner

– détraquer un système (il ne contrôle plus, il n’avertit plus d’une anomalie, il ne fonctionne plus…), ce qui revient à saboter

– y laisser une trace (un tag vengeur, un slogan, une information fausse…) équivalent de défier ou désinformer.

À un troisième stade, l’attaque peut produire un dommage indirect dans le monde physique. Par exemple un système SCADA de contrôle industriel se détraque et une usine ne fonctionne plus, ou une organisation se trouve incapable de communiquer normalement donc livrée au chaos ou encore un système radar ne décèle pas une attaque, un hôpital est privé d’électricité et quelqu’un meurt…

Le second stade (celui des instructions illégitimes) la perte est souvent celle d’un monopole (p.e. un rival économique s’empare de données protégées ce qui lui donne un avantage concurrentiel illégitime) ou une perte de prestige (l’adversaire a prouvé qu’il pénétrait sur votre site quand il voulait et réalisé un exploit). Variante : l’attaque crée une illusion : vous croyez vous adresser à X et vous êtes en contact avec Y, vous croyez que Z a dit blanc, et il a dit noir… Mais ces opérations intellectuelles ne produisent encore ni cadavres sanglants, ni ruines fumantes, avant qu’adviennele dommage, direct ou indirect : les données ou la confiance perdues, l’argent qui s’est évaporé, le désordre qui s’est créé, voire les dégâts physiques ou humains en bout de chaîne.

Le problème est ici de déterminer quel degré de nuisance (à chacun des stades) est assez grave pour déclencher une procédure de crise, une réaction vigoureuse, un réexamen de tout votre système de protection, voire une guerre (puisque des cyberattaques peuvent être considérées comme des actes de guerre, notamment par les États-Unis).

Purement défensif ?

On se doute que la cyberdéfense comprend tous les moyens d’empêcher ce qui précède ou d’assurer une résilience rapide en cas d’attaque. Des moyens physiques et virtuels qui vont de l’anticipation ou de la détection des attaques à la construction de défenses plus solides (meilleurs antivirus, meilleure cryptologie, meilleurs systèmes de Firewall, résilience fiable, sensibilisation des acteurs, mise sur pieds d’équipe de diagnostic et d’intervention rapides et efficaces, partage de l’information sur les attaques subies, précaution et prévention par des outils techniques et des comportements vertueux, coopération, etc.) bref à peu près tout ce qu’encourage l’ANSSI en France et dont il faut se féliciter.

Tous les pays qui reconnaissent posséder des armes offensives sont discrets à leur sujet. Cela se comprend : dire quel arme on prépare, quel type de virus ou quel type de « zero day attack » (un exploit réalisé pour la première fois comme de franchir une ligne de défense jusque là supposée ultra-solide) on envisage, c’est révéler ce que l’on peut faire et contre qui on compte le faire, donc doublement avertir l’adversaire présumé qu’il est visé et comment. Cela peu lui donner tout le temps nécessaire pour réparer sa vulnérabilité.

L’arme offensive, dont on peut présumer utilisée effectivement, elle suscitera des contre-mesures et qu’elle incitera à réparer les failles, risque souvent de ne servir qu’une fois. D’où l’avantage, que souligne le sénateur Bockel, de ne pas la montrer pour obtenir un effet dissuasif maximum

Restera à expliquer comment on peut être purement défensif sans être un tout petit peu offensif : la défense la plus efficace ne reposerait-elle pas sur une bonne connaissance des mécanismes adverses (donc sur « un petit peu » d’espionnage ou de piraterie) ? N’est-il pas tentant de tendre des pièges à des candidats à l’agression ? Comment résoudre la question de l’attribution sans être un peu agressif et pro actif ?

Enfin quid du « préemptif » ? Lancer une attaque « juste à temps » contre un État qui s’apprête à vous agresser ne suppose-t-il que l’on ait soi même pénétré les secrets de sa défense ? Si les rumeurs qui annoncent que l’administration Obama envisage une action cyber préemptive sont vraies, ce pourrait être un singulier effet d’abyme.

Publicités

À propos de François-Bernard Huyghe

François-Bernard Huyghe est directeur de recherche à l’IRIS, spécialisé sur la communication et l’intelligence économique, responsable de l'Observatoire Géostratégique de l'Information Docteur en Sciences Politiques et habilité à diriger des recherches, il enseigne la stratégie de l’information et l'intelligence économique notamment à l’IRIS Sup, à Polytechnique, au Celsa. Il est membre scientifique du Conseil Supérieur de la Formation et de la Recherche Stratégiques et mène des recherches en médiologie parallèlement à une activité de consultant. C'est aussi un blogueur influent sur huyghe.fr Ses travaux sur les rapports entre information et conflit comportent la direction de numéros de revue (Panoramiques : "L’information c’est la guerre", Cahiers de médiologie "La scène terroriste", AGIR "Puissance et influence". Revue Internationale stratégique "Stratégies dans le cyberespace"..) et les livres : "L’ennemi à l’ère numérique" (P.U.F), le livre électronique "Ecran/ennemi", "Quatrième guerre Mondiale" (Rocher). "Comprendre le pouvoir stratégique des médias" (Eyrolles) et "Maîtres du faire croire. De la propagande à l'influence" (Vuibert). Également : "Terrorismes" (Gallimard 2011) Derniers livres : "Gagner les cyberconflits" (avec O. Kempf et N. Mazzucchi) Economica 2015 "Désinformation Les armes du faux" A. Colin 2016

Publié le 12 mars 2013, dans Uncategorized. Bookmarquez ce permalien. Poster un commentaire.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

%d blogueurs aiment cette page :