Couche sémantique

La couche sémantique du cyberespace

Dans le cyberespace (un « espace » métaphorique sans distances ni surfaces, mais composé par la connexion d’hommes et de machines reliés par des électrons), il est désormais admis qu’il faut distinguer trois couches. Il y aurait des « choses » (câbles. satellites, machines..) composant la couche matérielle, des « normes » qui régissent la couche dite logique ou logicielle et qui autorisent une interopérabilité générale et enfin des signes composant la couche sémantique ; ces signes s’adressent au destinataire ultime : le cerveau humain. Le réseau étant voué à la circulation d’informations (depuis des supports et via des vecteurs physiques, conformément à des codes et protocoles, et à destination d’interprétants pour qui elles font sens), le but de toute attaque cyber, qu’elle soit criminelle, politique ou autre, doit être au final d’influencer ou de tromper un « interprétant », un cerveau humain. Cela peut consister à lui voler des connaissances ou à « emprunter » les capacités d’autrui (par exemple le code qui permet de faire un virement bancaire), à paralyser ses décisions, à provoquer certains sentiments (peur, renoncement, soutien…). Voire à publier un message de défi, de dérision ou d’encouragement à la lutte. Mais, dans tous les cas, il s’agit d’anticiper, d’imiter ou de modifier les réactions d’un être humain.

L’existence de la couche matérielle implique des fragilités auxquelles ne songeaient pas toujours ceux qui prophétisaient l’avénement d’un monde pacifié, immatériel et sans frontières : un câble coupé, un routeur truqué, un fournisseur d’accès qui appuie sur un bouton et interrompt un flux, et nous voilà ramenés brutalement au réel. Tous les pouvoirs qui s’exercent en ce domaine – à commencer par le pouvoir de contrôle du souverain à l’intérieur de ses frontières – conditionnent les autres.
L’expression souvent citée de Lawrence Lessig «code is law » (le code fait la loi) rappelle combien la maîtrise de la couche logicielle, donc des règles qui font que les machines accomplissent certaines tâches (communiquer entre elles, transmettre des instructions, permettre ou pas un accès à des données…) entraîne de conséquences en termes de liberté ou de sécurité. Si un acteur veut paralyser une chaîne d’enrichissement d’uranium à distance, s’emparer de numéros de cartes bleues ou ficher des millions de gens, s’il dispose des connaissances intellectuelles et des accès physiques au systèmes, va probablement le faire par le code. Ou plus exactement par une stratégie du simulacre qui peut se décrire ainsi : X qui n’en a pas le droit émet des instructions falsifiées qui « ordonnent » à la machine z de cesser de fonctionner, d’afficher des informations erronées, de donner accès à des données confidentielles, de réaliser des opérations non prévues, etc., à la place de Y.
Cette sorte de « putsch » numérique exploite souvent aussi des faiblesses humaines (donc un effet sémantique) : un simple clic imprudent d’un usager légitime trompé par un lien alléchant ou recevant message apparemment amical peut suffire à déclencher le processus.

Viser le cerveau humain

La défense passe par la contre-offensive technique et la précaution. Sauf invention demain d’un sytème totalement révolutionnaire, il faut donc s’attendre à une longue lutte de l’épée et du bouclier, chaque progrès en matière de résilience, de renforcement, de vérification… suscitant en retour des tromperies et ruses inédites. Il est dans la nature même du code de déclencher une compétition de plus en plus complexe : à tout renforcement de la sécurité répond la recherche d’une nouvelle faille. La sécurisation de la couche logique est indispensable, elle se mène essentiellement par des moyens techniques et par une organisation efficace, notamment des services étatiques. Tout ce qui va en ce sens doit, bien entendu, être encouragé, mais la complexité inhérente à la dimension sémantique suppose une forme d’offensive et de contre-offensive.
Sa logique repose sur l’utilisation de signes pour gagner des ressources ou du pouvoir sur un adversaire et sa méthode suppose un principe de falsification ou de substitution. D’une manière quelconque, il s’agit de remplacer des signes authentiques (tels ceux qui permettent d’identifier l’acteur légitime) ou des messages « innocents » par d’autres, qui tromperont une machine ou un homme, pour gagner un accès et un pouvoir.

Ceci va de soi pour l’espionnage, une des trois grandes catégories d’attaques cybernétiques. Si quelqu’un veut s’emparer de connaissances précieuses, il doit amener un dispositif de protection ou un être humain à laisser faire à distance ce qui ne devrait pas l’être. Il commence s’introduire dans la place, même si la « place » en question est un algorithme. L’attaquant doit commencer par apprendre ce qu’il n’aurait jamais du savoir (comment actionner tel dispositif, comment copier les informations confidentielles qu’il recherche). Cette tricherie cognitive vise suivant le cas à s’emparer de valeurs négociables, à renforcer ses propres capacités en découvrant les plans et les capacités de son rival ou à préparer pour plus tard d’éventuelles attaques en repérant les failles adverses. De récentes affaires ont montré combien une organisation de type Wikileaks ou Anonymous, voire un simple « lanceur d’alerte » peuvent rendre redoutable l’arme de la révélation. Mettre sur la place publique les secrets d’une organisation – même ce sont de quasi secrets de Polichinelle comme dans le cas du cablegate (on apprenait les jugements pas très surprenants de diplomates américains sur la sexualité de Berlusconi ou l’amour des Saoudiens pour les chiites iraniens), c’est provoquer un effet de perte de prestige voire de ridicule. Parfois aussi, c’est susciter l’indignation de l’opinion ou favoriser des courants critiques ou activistes (comme ce fut le cas au début du printemps arabe). Ici le secret violé et publié devient une arme contre l’image d’un chef ou d’une institution, opération éminemment sémantique.

La seconde grande catégorie d’attaques est le sabotage : toutes les techniques numériques conçues pour empêcher un système de fonctionner correctement. Ici le but est de produire un ravage, d’une gravité très variable. Dans le cas d’une attaque par déni d’accès partagé, l’enjeu peut être simplement de paralyser un site, ou sa couche la plus superficielle, pendant quelques heures ; dans d’autre cas, ce peut être de retarder la nucléarisation d’un pays (affaire Stuxnet) ou de mettre hors d’usage les ordinateurs d’une compagnie pétrolière (Shamoon). On a beaucoup spéculé sur la gravité des actes de sabotage informatique. Il est possible qu’ils finissent un jour soit par produire des morts comme le ferait une véritable action militaire (ainsi, le sabotage des services d’approvisionnement d’urgence d’une grande ville qui provoquerait le décès de malades ou d’accidentés) soit par provoquer des dommages financiers ou techniques d’une gravité comparable à une attaque par le fer et par le feu. Mais en attendant, même des attaques comme Shamoon ou Stuxnet utilisent le dommage matériel surtout pour faire passer un message ou exercer une contrainte sur des acteurs politiques.
Sauf recherche de l’exploit technique pour la gloire, saboter pour saboter n’a pas de sens.Toute opération de ce type doit intégrer le calcul de la réaction de la victime subissant des pertes matérielles. Va-t-elle comprendre la menace qui lui est adressée et céder à la contrainte politique (cessez de vous battre ou de nous provoquer, négociez, etc.) ? Va-t-elle réagir par la panique face à la dysfonction d’un système indispensable dans la vie courante ou crucial pour la sécurité militaire ? Va-t-elle répliquer à son tour en utilisant une arme informatique offensive ou déclencher une action internationale (en se plaignant à l’Otan au titre de l’article 5 de sa charte, par exemple) ?

Une action de perturbation d’un dispositif technique ne sert que si elle perturbe la perception des acteurs, les amène à des initiatives contre-productives ou les contraint à des renoncements. Par ailleurs, l’attaque cyber a souvent une valeur quasi publicitaire pour celui qui la réalise. Elle peut satisfaire son ego si elle se présente un exploit particulièrement réussi, mais elel peut aussi donner à une organisation, ou à la cause qu’elle défend, un écho qu’elle n’aurait pas eu dans le seul « monde réel ».

Faire croire et faire réagir

Le troisième domaine de la cyberconflictualité est désigné comme celui de la subversion, comprenez de toute utilisation des réseaux numériques pour affaiblir un pouvoir par l’action psychologique, la dérision, la dénonciation, l’activisme, la mobilisation de l’opinion; etc.
La frontière n’est pas toujours évidente entre un usage « normal » de la liberté d’expression en ligne, incluant le droit à la critique, à l’erreur ou à la mauvaise foi et une « attaque » informatique caractérisée par l’usage offensif de moyens numériques. De plus, il semblerait que toute lutte contre un pouvoir politique ou économique tende maintenant à passer par l’utilisation offensive des réseaux. Et pas seulement le printemps arabe. Dans tout affrontement idéologique, qu’il s’agisse d’une manifestation dite sociétale, protestataire ou de la guerre totale que veut être le jihadisme, tend de plus en plus à exploiter les pouvoirs d’expression et de coordination qu’offrent les réseaux sociaux.
Surtout, leur intérêt stratégique réside sans doute moins dans le contenu qu’ils permettent de créer ou de diffuser que dans les liens et les usages qui s’inventent à mesure que progresse la technique.
Certes, les réseaux permettent à n’importe qui d’élaborer un message efficace voir spectaculaire, d’avoir accès à des sources abondantes et à des outils numériques sophistiqués de traitement et reproduction de l’information ; cela confère une chance théorique que des milliards d’internautes consultent ce message, même si nous savons qu’il sera perdu en réalité parmi des millards d’autres. En ce sens, la force rhétorique du message critique, déstabilisateur, provocateur, mobilisateur, n’est limitée par la seule imagination de l’émetteur. À condition, bien entendu, qu’il parvienne capter deux ressources rares que produit le cerveau humain : de l’attention et de la confiance.
Que le but soit de susciter l’indignation, de ridiculiser ou d’humilier un adversaire politique, de dénoncer une entreprise, de défendre une cause, d’alerter l’opinion internationale, la force des images et la séduction du discours doivent être relayés par d’autres dispositifs. Techniques d’abord et bien sûr : une attaque a de plus fortes chances d’être remarquée et relayée si elle s’accompagne du défacement d’un site, de son blocage ou sur la publication de documents compromettants de l’adversaire. Du reste, les catégories que nous avons évoquées tendent à se mêler dans la pratique : on est d’autant plus efficace que l’on maîtrise la dimension logicielle (voire matérielle) ; une opération de subversion tend souvent à être précédée par du vol de données et du sabotage informatique. Les méthodes tendent donc à se mêler.
Mais surtout, qui dit réseaux sociaux dit lien social. Les rapports entre les acteurs reflètent cette nouvelle logique qui n’est plus celle du « un vers tous », mais de la coopération et de la construction de communautés éphémères orientées vers un objectif, comme la protestation. L’efficacité d’une opération idéologique et psychologique est amplifiée par de nouvelles capacités :
celle de susciter l’attention et la participation des internautes, donc de les amener sur son thème et ses lieux d’expression, de leur donner envie de reprendre le thème à leur compte, de commenter, de recommander, de rendre contagieux, ce qui n’est pas la même chose que de persuader ou d’endoctriner
celle de passer du « lien fort » au lien faible, d’un intérêt à distance, peu implicatif et parfois distrait en faveur d’une position politique ou morale à de véritables mobilisations reposant sur un sentiment communautaire fort et sur une envie de le traduire « dans la vraie vie »
celle d’organiser un collectif à partir de la base, d’amener chacun à coopérer, à participer l’émergence d’intelligence et de décision collective, à la mise en commun des informations et des mots d’ordre,…
celle de créer des milieux clos (les membres du réseau peuvent s’isoler du monde extérieur pour se renforcer dans leurs convictions et dans leurs engagements) et ouverts à la fois (les communautés s’unissant pour des objectifs communs)

La liste n’est sans doute pas close, et elle suggère que ni la compétence informatique ni l’ingéniosité du message ne suffisent à assurer le succès de l’opération. Elle requiert aussi la compréhension des mécanismes sociaux encore mal identifiés.
L’affrontement dans le cyberespace, qu’il s’agisse de cybercriminalité ou d’attaques politiques, demande aussi, au-delà de la mobilisation des meilleures compétences techniques, de nouvelles règles. Comprendre l’intention de l’agresseur, le sens du message qu’il veut faire passer, l’interprétation qu’en feront les Institutions visées, les mécanismes des contagions psychiques chez les internautes, tout cela demande un mélange de sens stratégique, médiologique et sociologique, bref, une compréhension des cultures et les communautés virtuelles.

Publicités

À propos de François-Bernard Huyghe

François-Bernard Huyghe est directeur de recherche à l’IRIS, spécialisé sur la communication et l’intelligence économique, responsable de l'Observatoire Géostratégique de l'Information Docteur en Sciences Politiques et habilité à diriger des recherches, il enseigne la stratégie de l’information et l'intelligence économique notamment à l’IRIS Sup, à Polytechnique, au Celsa. Il est membre scientifique du Conseil Supérieur de la Formation et de la Recherche Stratégiques et mène des recherches en médiologie parallèlement à une activité de consultant. C'est aussi un blogueur influent sur huyghe.fr Ses travaux sur les rapports entre information et conflit comportent la direction de numéros de revue (Panoramiques : "L’information c’est la guerre", Cahiers de médiologie "La scène terroriste", AGIR "Puissance et influence". Revue Internationale stratégique "Stratégies dans le cyberespace"..) et les livres : "L’ennemi à l’ère numérique" (P.U.F), le livre électronique "Ecran/ennemi", "Quatrième guerre Mondiale" (Rocher). "Comprendre le pouvoir stratégique des médias" (Eyrolles) et "Maîtres du faire croire. De la propagande à l'influence" (Vuibert). Également : "Terrorismes" (Gallimard 2011) Derniers livres : "Gagner les cyberconflits" (avec O. Kempf et N. Mazzucchi) Economica 2015 "Désinformation Les armes du faux" A. Colin 2016

Publié le 5 octobre 2014, dans Uncategorized. Bookmarquez ce permalien. Poster un commentaire.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

%d blogueurs aiment cette page :