Livre Blanc et cyber

Intervention au Sénat
En me demandant de parler de la menace « du point de vue du citoyen et du point de vue de l’expert », vous m’invitez à un exercice un peu schizophrène ; le citoyen et le chercheur ne pensent pas forcément la même chose.

Le citoyen s’est levé ce matin, a allumé sa tablette et a constaté que son courrier électronique contenait plusieurs virus qui avaient été repoussés. Il a constaté des tentatives d’escroquerie assez maladroites, du genre « vous avez gagné, six millions de dollars que nous ferons passer en France par votre intermédiaire avec pourcentage pour vous pour si vous nous envoyez des information sur votre compte bancaire », etc. …
Donc, en tant que citoyen, je me suis habitué à ces attaques bénignes que mon Firewall ou ma propre vigilance repoussent négligemment, mais je suis conscient qu’ils existent. Comme citoyen aussi, je lis la presse et je crois comprendre que nous sommes menacés par trois grands types de périls d’une tout autre importance.
L’un, ressort de ce qu’on pourrait appeler de l’espionnage. Il est évident que des concurrents étrangers cherchent à s’emparer de données sensibles de nos fleurons industriels, ou de notre industrie. Ce risque provient de concurrents qui veulent s’épargner du temps et de l’énergie, de l’investissement, en s’emparant de nos avancées et de nos découvertes.
Le citoyen commence à avoir peur puisqu’on lui parle de cyberguerre. Certes, ce terme est excessif pour le moment, mais force est de constater qu’à côté de la stratégie du concurrent qui veut voler, se développent des stratégies de perturbations des systèmes informationnels. Elles peuvent s’attaquer par exemple à des centrifugeuses iraniennes, et remplacer les missiles d’une certaine façon, ou s’en prendre à des ordinateurs d’Aramco, comme le virus Shamoon, et dans ce cas à provoquer un dommage qui servirait à remplacer une bombe ou une opération de commandos. Les fameuses infrastructures vitales…
Il y a là quelque chose d’inquiétant : l’association du cyber à des formes de violence dont certains disent qu’il pourrait remplacer la guerre, ou faciliter des opérations guerrières ou qui pourraient encore constituer un dernier avertissement dans l’escalade entre deux pays, avant le stade proprement militaire.
Le citoyen, outre ces deux grands phénomènes, constate aussi une banalisation du conflit cyber. Il voit se multiplier des interventions comparables à celles des « Anonymous », ou des affrontements informatiques que l’on voit se développer autour de la Syrie. Cela donne l’impression d’une montée en puissance, d’une compétition de l’épée et du bouclier : des techniques des cyberdissidents qui s’améliorent, mais aussi des techniques de censure, infiltration, désinformation, utilisées par les services syriens baasistes, qui, le cas échéant, imitent des attaques à la façon des hackers.
Il existe un domaine encore mal défini de lutte pour l’opinion, dont les cibles sont des croyances ou des interprétations de la réalité; à côté de formes d’agressions qui nous rappellent l’ancien espionnage ou l’ancien sabotage, les attaques du troisième type ressemblent à de la propagande et la subversion, mais à qui le numérique conférerait une efficacité tout à fait étonnante.
Le citoyen que je suis est un bon Français râleur, qui veut le beurre et l’argent du beurre. Il est globalement satisfait de voir toutes ces avancées et il souhaite beaucoup de succès à l’officier cybersécurité et à l’ANSSI, il est très content de ces progrès. Il veut être mieux défendu, pourvu que cela n’atteigne pas ses libertés ou n’augmente pas d’impôts.

Maintenant, quel est le point de vue de l’expert. L’expert en quoi ? De quelle sorte d’expertise avons-nous besoin ? Nous savons que nous avons besoin de fortes avancées dans les disciplines numériques et cette expertise là, au niveau de sophistication qu’atteignent les cyberattaques, il y a peu de gens à la posséder, certainement pas moi en tout cas. Outre l’acquisition de cette connaissance informatique qui sert à prévenir ou empêcher le dommage, évaluer la menace, y répondre, créer des parades, des contre offensives, il y a de bonnes raisons de s’intéresser à des sciences du conflit, à des sciences plus politiques. Je vais employer un mot grec, un peu prétentieux : des sciences « agonistiques », des sciences du combat. Après tout, toutes ces attaques, sont nées d’un cerveau humain, elles s’adressent en dernier ressort à des cerveaux humains, des cerveaux qu’il faut leurrer, impressionner ou faire céder. Elles ont une finalité économique, idéologique et politique. Il est donc indispensable de comprendre le but poursuivi et les règles de combat qui sont en train de s’établir devant nos yeux.

L’expertise est confrontée à des questions de plusieurs ordres. Il y a, d’une part, des interrogations factuelles, et techniques. Elles portent sur des assertions qui sont ou bien vraies ou bien fausses et sur des méthodes qui sont ou efficaces ou inefficaces. Or, dans toute cyberattaque, il y a place pour nombre d’inconnues. Et la première est « qui l’a fait ? », qui est l’auteur de cette attaque anonyme par électrons interposés ? Cela ressemble à une enquête policière : est-ce que c’est celui qui y a un intérêt ? Mais peut-être que des manipulateurs habiles, par des leurres comme l’emploi d’adresses IP hors de leur territoire, essaient de nous désigner un faux coupable. Que voulait l’agresseur ? S’emparer, de quel type de connaissances et pour quoi en faire ? S’il s’est attaqué à nos systèmes, était-ce une punition, un avertissement, un message ? Le résultat qu’il a obtenu est-il celui qu’il voulait obtenir ? Qui avait les motifs, les moyens, l’opportunité et pas d’alibi ?
À chaque stade subsiste une grande part d’incertitude. Même Stuxnet, qui a été élaboré de façon très sophistiquée, a « bavé », si vous m’autorisez cette expression triviale. Il s’est répandu hors de la zone visée. Il y a toute une série de questions secondaires : comment pouvons-nous riposter ? comment pouvons-nous être sûr de frapper au bon endroit ? comment pouvons-nous être assurés de ne pas « baver » un petit peu nous-mêmes sur des cibles innocentes ? Tout ces questions factuelles sont très importantes.

Mais d’autres questions ressortent plus à l’étude du cerveau humain qu’à du cerveau électronique. Elles portent sur les représentations que se font les acteurs de ces attaques, sur leurs intentions, sur leurs doctrines, sur leur mode de raisonnement. Tout ceci constitue un élément fondamental pour la riposte : comment évaluent-ils le risque qu’ils peuvent subir, comment évaluent-ils notre propre combativité ? La réponse demande une véritable étude géopolitique et aussi pas mal de renseignement humain.

Le panorama tout à fait passionnant qui s’offre au chercheur lui suggère de s’engager donc dans plusieurs domaines. Si nous revenons à cette trilogie qu’avait cru déceler le simple citoyen – espionner, saboter, déstabiliser – il doit y avoir une logique économique pour faire face à la prédation, à ceux qui veulent nous « voler », nous, notre industrie, nos administrations, etc., s’emparare données précieuses. Comment peut-on anticiper ces attaques, comment peut-on deviner d’où elles viendront, comment peut-on en augmenter le coût pour ceux qui cherchent à s’emparer de ces informations, comment peut-on éventuellement les piéger par des « pots de miels», ou par de fausses informations ?
Mais à côté de de la logique économique, la logique géopolitique a d’autres exigences. Les attaques sont-elles étatiques, ou non-étatiques, et si l’on s’engage par là, comment allons-nous y répondre, quel va être le nouveau code de négociation avec l’adversaire, pour le décourager, négocier avec lui, éventuellement le punir, ou exercer une coercition ?
Et enfin, dans un troisième domaine qui va être tout à fait nouveau, il s’agira de comprendre comment fonctionnent de multiples groupes, type « Anonymous » ou autres, dont certains pourraient être manipulés discrètement par des États, et qui cherchent à agir sur l’opinion avec des techniques l’informatiqueS. Un exemple, très récent, est la façon dont une attaque, vraisemblablement menée par la « Syrian Electronic Army » contrôlée par le régime de Bachar El-Assad, a fait baisser la Bourse aux États-Unis. Et cela en diffusant une fausse dépêche d’une agence annonçant qu’il y avait eu un attentat contre la Maison Blanche. À certains égards, cela ressemble à un canular d’étudiant doué, mais imaginons que ce genre de techniques se développe… Il a de bonnes chances de se développer. Il est devenu possible de créer des milliers de faux partisans sur Twitter, sur Facebook, etc., donc de susciter artificiellement des faux mouvements d’opinion par l’intermédiaire de ce que j’ai appelé les « robots-démocrates ». Là, il y a un domaine d’extension de la lutte qui suggère une sorte de sociologie et de stratégie propre.

Les priorités sur lesquelles il va falloir travailler se dessinent en tenant compte des acquis tout à fait considérables du Livre Blanc, d’une évolution très heureuse des mentalités.
Premièrement, il va falloir dissiper le brouillard qui entoure les attaques, et ce sera en grande partie un travail de renseignement : comprendre qui fait quoi, qui peut quoi.
Deuxièmement, un travail proprement politique devra assurer l’autorité de l’État dans ces domaines. Il faudra, par exemple, évaluer jusqu’où nous pouvons aller dans un processus de négociation avec des grands du Web. Je songe à l’exemple récent de négociations entre l’Élysée et Google, qui a montré combien le pouvoir de l’État français, d’un point de vue fiscal ou juridique, était limité face aux grands du Web et il va falloir que nous prenions des décisions politiques en ce domaine, et que le message soit d’une grande clarté. Il faut se féliciter que nous ayons avancé dans l’idée d’une doctrine, qui établisse dans quelles conditions l’État doit réagir et avec quel degré de force.
Et enfin, parmi les domaines dans lesquels nous devons progresser, il faut explorer ce domaine à cheval entre le travail sur les cerveaux électroniques et le travail sur les cerveaux humains. Un travail qui commence par la veille, mais qui se développera certainement à travers des réflexions théoriques et peut-être même des nouvelles disciplines universitaires à créer.

Publicités

À propos de François-Bernard Huyghe

François-Bernard Huyghe est directeur de recherche à l’IRIS, spécialisé sur la communication et l’intelligence économique, responsable de l'Observatoire Géostratégique de l'Information Docteur en Sciences Politiques et habilité à diriger des recherches, il enseigne la stratégie de l’information et l'intelligence économique notamment à l’IRIS Sup, à Polytechnique, au Celsa. Il est membre scientifique du Conseil Supérieur de la Formation et de la Recherche Stratégiques et mène des recherches en médiologie parallèlement à une activité de consultant. C'est aussi un blogueur influent sur huyghe.fr Ses travaux sur les rapports entre information et conflit comportent la direction de numéros de revue (Panoramiques : "L’information c’est la guerre", Cahiers de médiologie "La scène terroriste", AGIR "Puissance et influence". Revue Internationale stratégique "Stratégies dans le cyberespace"..) et les livres : "L’ennemi à l’ère numérique" (P.U.F), le livre électronique "Ecran/ennemi", "Quatrième guerre Mondiale" (Rocher). "Comprendre le pouvoir stratégique des médias" (Eyrolles) et "Maîtres du faire croire. De la propagande à l'influence" (Vuibert). Également : "Terrorismes" (Gallimard 2011) Derniers livres : "Gagner les cyberconflits" (avec O. Kempf et N. Mazzucchi) Economica 2015 "Désinformation Les armes du faux" A. Colin 2016

Publié le 16 mai 2013, dans Uncategorized. Bookmarquez ce permalien. Poster un commentaire.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

%d blogueurs aiment cette page :