Cyberarmements : les nouvelles logiques. 

 

Depuis son origine, l’arme est conçue comme outil produisant une force létale ou au moins  incapacitante (moyen d’ôter des moyens). Offensive, elle inflige un dommage ou une contrainte. Défensive, elle contrarie la violence de la première. Du silex à la bombe H, « posséder » un armement a toujours consisté à produire et stocker des artefacts et à conserver des ressources et substances ayant un potentiel de destruction ou de mort. Un arsenal se compte en tanks, têtes de missiles ou autres que l’on peut exhiber dans des parades militaires, éventuellement en armes de destruction massive que l’on dissimule… Dans tous les cas, leur effet nocif se présume approximativement. Mais que peut un armement dit « cyber », dont l’efficace repose sur l’information et l’action sur l’information (via des logiciels ou des algorithmes) ? Quel danger ces panoplies qui, jusqu’à nouvel ordre, n’ont jamais tué mais suscitent tant de fantasmes ?

Le dernier Livre blanc de la défense, distingue lutte informatique défensive et offensive (LID et LIO) ; notre pays fait partie des puissances qui possèdent des « cyberarmes offensives », notion qui se retrouvent dans de nombreuses études étrangères.

La défense et la connaissance

Pour la défensive, chacun s’en fait une idée : il utilise lui-même des antivirus ou travaille pour une organisation préconisant un minimum de sécurité informatique. Se défendre consiste à sanctuariser un espace virtuel, à en contrôler l’accès par une « barrière de feu » ou des modes d’identification perfectionnés. Il faut s’assurer qu’aucun acteur non autorisé ne peut y prélever des données confidentielles ni y imposer des « ordres » illégitimes (que les instructions en question servent à détourner le fonctionnement du dispositif ou à le rendre inopérant). 

Se défendre n’est certainement pas aisé sur le plan technique, car les attaquants peuvent chaque jour inventer de nouvelles façons de faire, emprunter de fausses identités ou de fausses autorisations; ils s’efforcent de pénétrer dans un ordinateur ou de prendre à distance, le contrôle de dispositifs hypersophistiqués. En matière d’organisation jouer en défense n’est pas non plus des plus simples. Ainsi pour défendre ses infrastructures dites vitales ou critiques d’un pays, celles dont dépendent la distribution de l’énergie, les transferts bancaires, les réseaux de circulation et qui sont, comme se doit, gérées par informatique… Pour cela, il faut coordonner de multiples instances privées ou publiques, instaurer un partage efficace de l’information, créer des organismes d’intervention immédiate, éventuellement assurer une certaine résilience à des systèmes interdépendants : en effet, il faut présumer qu’ils seront attaqués un jour où l’autre et il importe qu’ils se rétablissent très vite. Il est difficile de contester à un État le droit de se doter de la meilleure cyberdéfense contre l’espionnage industriel et de se protéger d’offensives militaires visant à un ravage et à une contrainte politique. Pourtant, la rhétorique cybersécuritaire de la lutte contre les piraterie peut servir d’alibi à une répression de la dissidence en ligne. Et pour anticiper des attaques futures, les États pourraient être tentés de pratiquer le renseignement sur d’éventuels agresseurs, ce qui suppose d’espionner « un peu », donc d’être « un peu » offensif soi-même. 

Mais comment reconnaître une arme offensive, celle qui n’est pas conservée dans un hangar ou une caserne mais dans des cerveaux, humains ou électroniques ? Elle semble se jouer des frontières, et qui, utilisée une fois, suscitera sans doute la recherche frénétique de contre-mesures qui la rendront obsolète demain.

Fonctions de l’agression

Dès les années 90, le cinéma, mais aussi des études de think tanks réputés évoquent le scénario tantôt d’un bricoleur de génie, tantôt d’une organisation contrôlée par un État voyou et qui, en fabriquant un virus redoutable, plongerait un pays dans le chaos : banques ou transports paralysés, pannes et paniques contagieuses, etc. Même s’il n’est pas possible d’exclure cette hypothèse, une cyberarme – comprenez :   un dispositif numérique ou code destiné à provoquer un dommage – n’a jamais encore eu de tels effets dans le « monde réel » où  les cyberagressions prennent des formes très hétérogènes.

La plupart des spécialistes sont à peu près d’accord pour les classer les cyberarmes comme visant à trois effets principaux : espionnage, sabotage et subversion.

Le bon bout de code bien employé permet, en effet, faire trois choses qui ne s’excluent pas  : 

  • s’emparer de données confidentielles. Ce peut être pour leur valeur monétaires, pour s’approprier des technologies et les fruits d’une recherche, pour connaître la stratégie d’une entreprise et d’un État, pour préparer une future attaque, pour surveiller une population suspecte. Voire comme la NSA, pour anticiper des tendances planétaires à l’échelle des Big Data. Toutes ces opérations qui ressortent à l’espionnage ou à la piraterie informatique n’ont, évidemment, ni la même finalité, ni la même gravité, ni le même rapport avec un acte de guerre.
  • perturber. Le bon maliciel au bon moment peut provoquer des dysfonctionnements dans une défense antiaérienne ou dans une centrifugeuses enrichissant l’uranium, priver une grosse société de ses courriels quelques jours ou paralyser des feux de contrôle. Elle fonctionne suivant le principe du temps que l’on fait perdre à l’autre ou  ou du temps dont on profite pour mener une action militaire et du chaos que l’on provoque. De telles actions pourraient, in fine, tuer indirectement ou provoquer des dégâts économiques ou organisationnels comparables à ceux d’une attaque dite cinétique.
  • provoquer, atteindre psychologiquement et souvent politiquement. Nombre des attaques dites de subversion consistent à ridiculiser un adversaire, généralement politique, à mettre ses documents compromettants en ligne, à mobiliser les internautes contre lui, ou simplement à paralyser ses sites par un nombre de demandes artificiellement engendrées et qui produisent un effet de gel spectaculaire. Ces attaques dites par déni d’accès partagé, pas nécessairement très complexes ni très dommageables, ont souvent un grand impact médiatique. La frontière entre l’attaque au sens quasi militaire et l’activisme, la protestation voire l’expression d’une opinion est ici parfois fort ténue

Par ailleurs, les armes peuvent être soit très spécialisées dans une cible précise (ce qui a priori demande des investissements, du temps, des compétences comme en ont certains services d’État) et d’autres moins sophistiquées qui pénètrent moins en profondeur et ont un effet plus superficiel comme les dénis d’accès précités.

Combats dans le brouillard

Surtout, la logique des armes offensives cyber, hétérogènes par nature et par usage renvoie à la question du secret. L’arme secrète comme le V2 ou la bombe atomique – celle dont on dissimule la nature ou les effets à l’ennemi pour créer surprise – reste généralement cachée le temps d’être fabriquée avant utilisation spectaculaire. Mais toute arme informatique place son possesseur face à un dilemme.

S’il nie en avoir ou en concevoir le simple projet, il diminue ses chances de dissuader un éventuel agresseur : ce dernier, s’il ne craint pas la rétorsion, peut être tenté de considérer le pays en question comme une « cible molle ».

Si l’État fait savoir ce qu’il a dans son arsenal, il avertit les futures cibles de ce contre quoi elles doivent se prémunir, renseigne sur l’état de sa recherche et ses capacités. En outre, il se place de lui-même sur le banc des suspects lors d’une future cyberagression anonyme et il donne des arguments à ses adversaires pour le stigmatiser face à l’opinion internationale ; il s’expose peut-être à des accusations juridiques.

La bonne stratégie consiste sans doute à laisser supposer à d’éventuels agresseurs que, vu son niveau technologique et sa posture en matière de cyberdéfense, tel pays pourrait exercer des représailles redoutables sans plus de précision. Il pourrait y avoir une certaine tentation de bluffer un peu. Ou, comme l’ont fait les États-Unis dans l’affaire Stuxnet, de laisser dire par la presse que l’on est à l’origine d’une action sophistiquée sans en reconnaître formellement la paternité.

Pour compliquer les choses, quand bien même on saurait qui a quoi, ou qui peut quoi, toute attaque dans le cyberespace soulève des problèmes d’incertitudes ou de dissimulation rarement rencontrés avec des armes « classiques ».

Lorsque l’une d’elle est employée, on peut systématiquement avoir un doute sur l’acteur qui l’utilise en réalité. C’est le fameux problème de l’attribution : telle attaque de tel niveau a-t-elle été organisée par un service d’État ? Seul ou associé à des groupes de hackers militants ou mercenaires ? Allié à d’autre pays ? Par l’État qui semble être en conflit avec la victime ou par un autre, provocateur ou opportuniste ? Par des acteurs privés que personne ne contrôle ? Accompagnée ou pas d’une revendication authentique ou non ?

 À ces doutes s’ajoutent l’incertitude sur l’efficacité des attaques : savoir si elle a été inférieure ou supérieure aux projets de ses concepteurs, à leur intention réelle, par exemple de délivrer un message de menace qui a pu être mal interprété. Sans oublier l’éventualité qu’une attaque ait « bavé », c’est-à-dire que, dans un système hyperconnecté comme l’est Internet, un logiciel malicieux se soit répandu au-delà de la cible sur laquelle il était sensé exercer son ravage.

La liste des doutes raisonnables et des tromperies envisageables dans la bataille cyber n’est sans doute pas close. La pire inconnue étant que tous les raisonnements que nous menons aujourd’hui peuvent être réduits à néant demain par une invention future.

Nouvelles stratégies

Dans ces conditions, deux des ressorts principaux de l’action géopolitique sont ici non pas absents mais plutôt faussés  : menace et négociation.

Nous savons mal ce qu’il faut vraiment craindre dans le cyberespace, donc ce qui peut exercer la plus grande contrainte. A priori, on pourrait penser que le principal danger viendrait d’acteurs étatiques qui ont les moyens leurs moyens de cyberstatégie et font preuve d’agressivité politique. Mais tel pays réputé pratiquer l’espionnage informatique à grande échelle peut ne désirer produire aucun autre dommage et tel autre ne pas mobiliser tous ses outils de destruction numérique même s’il est engagé dans un conflit. En ce sens les cyberarmes jouent un rôle ambigu : elles favorisent l’usage d’une certaine violence ou au moins d’une contrainte, à distance, sans grand risque, mais elles peuvent aussi limiter ou remplacer la violence « classique », par le fer et par le feu.

Quant à la négociation, elle aura peine à garantir un désarmement crédible : il est possible de contrôler  les missiles, pas les connaissances qui ne peuvent être désapprises, ni les recherches.

                                        Ceci ne signifie pas que toute stratégie soit inutile, simplement que, si le danger des cyberarmes peut être limité, cela se passera par des voies politiques, par le renseignement humain, par l’intuition des prédispositions de l’autre et par l’habileté à influencer, au moins autant que par les outils techniques.

Publicités

À propos de François-Bernard Huyghe

François-Bernard Huyghe est directeur de recherche à l’IRIS, spécialisé sur la communication et l’intelligence économique, responsable de l'Observatoire Géostratégique de l'Information Docteur en Sciences Politiques et habilité à diriger des recherches, il enseigne la stratégie de l’information et l'intelligence économique notamment à l’IRIS Sup, à Polytechnique, au Celsa. Il est membre scientifique du Conseil Supérieur de la Formation et de la Recherche Stratégiques et mène des recherches en médiologie parallèlement à une activité de consultant. C'est aussi un blogueur influent sur huyghe.fr Ses travaux sur les rapports entre information et conflit comportent la direction de numéros de revue (Panoramiques : "L’information c’est la guerre", Cahiers de médiologie "La scène terroriste", AGIR "Puissance et influence". Revue Internationale stratégique "Stratégies dans le cyberespace"..) et les livres : "L’ennemi à l’ère numérique" (P.U.F), le livre électronique "Ecran/ennemi", "Quatrième guerre Mondiale" (Rocher). "Comprendre le pouvoir stratégique des médias" (Eyrolles) et "Maîtres du faire croire. De la propagande à l'influence" (Vuibert). Également : "Terrorismes" (Gallimard 2011) Derniers livres : "Gagner les cyberconflits" (avec O. Kempf et N. Mazzucchi) Economica 2015 "Désinformation Les armes du faux" A. Colin 2016

Publié le 1 septembre 2014, dans Uncategorized. Bookmarquez ce permalien. Poster un commentaire.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

%d blogueurs aiment cette page :