Une stratégie pour le cyberespace

 (Publié dans Médium n° 31)

Le spectre de la cyberguerre – certains préfèrent dire « guerre informatique » – hante les médias ; elle est annoncée et théorisée depuis longtemps par les futurologues. En fait, le «Pearl Harbour informatique » est attendu depuis les années 1990. Successivement telle ou telle attaque – paralysie de sites estoniens en 2007, espionnage informatique attribué à la Chine en 2010, introduction d’un « vers » sophistiqué dans les systèmes d’enrichissement de l’uranium en Iran en 2010, intrusions au ministère des Finances (2011), démonstrations d’Anonymous ou offensives et contre-offensives entre hackers pro et anti-israéliens (2012) – ont donné lieu à des annonces solennelles : cette fois, la « vraie » cyberguerre a commencé, dit-on à chaque occasion.

La guerre numérique comme caméléon

Si les pertes financières dues aux cyberattaques sont considérables, aucune n’a fait de morts à ce jour, ni donné lieu à la conclusion de « cyberpaix », moins encore conféré de « cybervictoire ». Une annonce récurrente inquiète : demain, des attaques contre des « infrastructures vitales » (système bancaire, contrôle aérien, administrations, services d’urgence, etc.) mettront à genoux une grande puissance, justement très dépendante de sa technologie numérique.

Sans parler du problème d’identifier les auteurs de ces agressions, leur statut et leurs motivations (services d’État, entreprises, groupes de hackers « mercenaires » ou ayant un but idéologique). Et donc de la difficulté de savoir empêcher une attaque qui peut être économique et technique (priver un pays de certaines capacités ou lui dérober de précieuses données), politique au sens propre (l’obliger à céder à une revendication politique) ou encore idéologique au sens large (punir le méchant système, dénoncer des oppresseurs…).

Se distinguant parfois mal de la délinquance (en principe d’ordre « privé »), du terrorisme (si les groupes terroristes fleurissent sur la Toile, ils n’y commettent guère de cyberattentat), de la contrainte…, le cyyberconflit pose en termes nouveaux la question d’offensives destinées à violer des secrets, perturber des systèmes de contrôle, éventuellement répandre des contenus destinés à affaiblir ou discréditer un adversaire…

Le cyberconflit remet à jour de vieilles pratiques – espionnage, sabotage ou propagande – traduites en algorithmes, mais sans ce qui fait l’essentiel de la guerre : la force armée et le spectacle de la force, le différend politique proclamé, la zone de combat ou encore le front et l’arrière, sans oublier le distinguo du civil et du militaire ou celui du temps de guerre et du temps de paix. Bref, c’est l’attaque, sans la continuité des opérations tactiques ou des batailles sensées aboutir à un résultat stratégique et politique, et qui correspondrait au dessein avoué de faire l’Histoire.

La vraie cyberguerre est donc pour le moment du domaine de l’utopie, mais existe effectivement un nouveau type de conflictualité correspondant aux caractéristiques du numérique et des réseaux :

– possibilité d’agir à distance, souvent anonymement, via de simples programmes, c’est-à-dire avec des « armes » qui sont, en fait, des recettes transmissibles d’attaquant à attaquant, de la connaissance pure ;

– valeur des biens immatériels que quelqu’un peut altérer, reproduire, consulter, falsifier, capter, s’approprier, etc. à l’insu de leur propriétaire légitime ;

– type de dégâts (en termes de chaos, perte de contrôle ou perte de biens ou de connaissances) que peut en principe produire une attaque contre des mémoires, des systèmes de transmission ou de contrôle et de commandement, les infrastructures « vitales » ;

– dépendance générale de nos sociétés de flots d’information en ligne ;

– moyens offensifs et moyens défensifs changent tous les jours ; un nouveau logiciel malveillant peut apparaître demain, une nouvelle faille mais aussi un moyen de sécuriser ;

– multiplication des acteurs susceptibles d’entrer en lice (dont des acteurs « amateurs » de type Anonymous, LulzSec et autres groupes de volontaires) ;

– prolifération de stratégies étatiques, politiques, « privées » et intéressées.

Les forces et les électrons

Le conflit dans le cyberespace est trop souvent réduit à deux dimensions trop partielles : celle de la sûreté et celle du « nouvel espace ».

Une conception technicienne et réactive de la cyberstratégie est forcément limitée. Il n’est certes pas question de remettre en cause la nécessité de déceler au plus tôt les attaques informatiques, de doter un pays des meilleures capacités défensives, ni même d’accroître la résilience de ses systèmes informationnels. Mais le conflit n’est ni l’hygiène, ni la prévention antisismique, et la construction des meilleures forteresses numériques ne dispense pas de se préoccuper de la riposte, de la rétorsion, de la contre-attaque, et de ce dialogue de coups et parades qu’est un conflit.

Quant à l’idée que le cyberconflit est la simple « extension » de la bataille à un cinquième espace numérique (après la terre, la mer, l’air et la stratosphère), elle incite trop facilement à décalquer de vieilles recettes – celle de la dissuasion, par exemple – sur un nouveau problème.

Si nous partons de l’hypothèse que toute stratégie est l’emploi de forces dans le temps et dans l’espace en vue de la victoire, il faut envisager une révision beaucoup plus radicale.

Les forces ne sont pas ici des hommes, des projectiles ou des véhicules, mais des bits informatiques et des algorithmes qui surpassent d’autres algorithmes. La violence sert à s’emparer d’une connaissance protégée (ou à en priver autrui), à détraquer ou retarder des systèmes et enfin à impressionner des cerveaux humains.

La « force » déstabilisatrice de l’attaque interfère avec une fonction directrice (conformément à l’étymologie de son préfixe « cyber »). En cela, surgissant du virtuel pour agir sur le réel et perturbant le commandement plutôt que les effectifs, le principe destructeur ne ressemble plus guère à celui, classique, du feu ou de la masse qui pénètrent et déchirent des corps ou des matériaux. Le ravage est indirect : il se produit en contournant la réaction défensive d’un système qui ne fonctionne plus ou la vigilance d’un humain, et il suscite le trouble : panique, fausse manœuvre, colère des foules, etc.

Il est permis d’imaginer que, par une chaîne de conséquences, une cyberattaque finira par tuer des gens qui se trouveront privés de soins ou victimes d’accidents dans une ville livrée au chaos. Mais ce n’est pas sa fonction essentielle. Une attaque informatique fait changer un rapport de puissance ou d’influence. Avant l’attaque, le pays X a le monopole de telle technologie, ses systèmes informationnels fonctionnent harmonieusement, sa population est calme. Après l’attaque, il a perdu des informations confidentielles et du prestige, des ressources, des alliés, des soutiens. Ou un « temps » dont il sera question plus loin.

Dans le cybermonde, la « force » est le plus souvent anonyme. Sauf cas exceptionnels, dans la « vraie » guerre vous pouvez difficilement nier que c’est votre cavalerie ou votre char Abrams qui a détruit ce village. Dans le cybermonde, les électrons n’ont pas d’uniforme, l’attaque vient de nulle part et n’est pas signée.

Certes les victimes pourront peut-être reconstituer le trajet présumé : tel email provenant de tel courriel a infecté la machine, tel virus vient de telle adresse IP (l’identifiant d’un ordinateur précis), telle attaque dite par déni d’accès (qui consiste à faire bloquer un site par des milliers de requêtes inutiles) d’ordinateurs situés dans tel pays. Mais, au mieux, cela met dans le box des accusés une machine dont on ne sait qui la manipulait.

Le lieu de la guerre

Cela nous renvoie à la seconde dimension du conflit : la territorialité.

Donc à la question de la frontière : le mot apparaît en 1213 pour désigner la situation où une armée fait front (« fait frontière »), donc trace une ligne de défense. Le sens de limitation entre deux États n’apparaît qu’à partir de 1360. Cette ligne invisible (que seuls les progrès de la cartographie permettront de tracer avec précision) sert d’isobare, concrétisant un rapport de puissance entre deux souverains qui décident de ne pas pousser plus loin leurs forces militaires.

Pas de guerre, donc, sans frontière, ni de frontière sans guerre (au moins comme possibilité). Ou plutôt, la frontière sert paradoxalement à constater la guerre, à l’éviter et à la motiver (on se bat pour les changer).

Pour la tradition stratégique, tout se pense en mouvement de gens et de forces « projetées » : un corps d’armée ou un missile voyagent pour conquérir ou détruire. La stratégie est mouvements : le bon général s’assure la « liberté de manœuvre », déplace ses troupes comme un habile joueur d’échec ou de go, restreint les mouvements adverses et occupe des positions favorables ; il raisonne en contrôle de territoire, « centre de gravité » ou de « concentration des forces », etc.

L’espace détermine le temps : gagne celui qui mène ses forces au bon endroit à temps ; le perdant réalisant que, suivant la formule, toutes les batailles ont été perdues pour un quart d’heure de retard. Pour Clausewitz, la guerre consiste en grande partie en des problèmes de « brouillard et friction », ignorances et dysfonctionnements liés à la différence entre la carte et le terrain, entre la stratégie et son application concrète au vrai monde. Donc en questions de vision et mouvement.

Autre indice du trouble où nous plonge la déterritorialisation de la guerre : la question de la souveraineté. Les attributs de la souveraineté (dont l’État n’est que le détenteur), sont théoriquement illimités et quasi « théologiques » : suprématie, perpétuité, absence de limitation juridique, complétude, non-transférabilité, etc. Sauf dans une dimension : celle de l’espace. Ne s’exerçant que sur un territoire (coïncidence d’un espace physique et du sens symbolique qu’il prend pour ceux qui l’occupent), la souveraineté n’existe que pour et dans la cohabitation avec d’autres souverainetés, voire dans leur confrontation.

La forme suprême de l’autorité politique, – désigner l’ennemi et ouvrir le temps de la guerre -, ne peut s’exercer que depuis un terrain dûment clôturé, au moins par le droit et la géographie.

Que la lutte se déroule en tel ou tel lieu, à tant de kilomètres d’une ligne, et elle sera réputée symétrique, régulière, pour ne pas dire canonique, ou bien irrégulière. La frontière détermine le « lieu » de la guerre, donc son existence et sa nature : elle se déroule forcément d’un côté ou de l’autre. Elles valent démonstration de qui est l’agresseur, de ce qui constitue une menace. Grâce à elles, chacun sait où commence le sanctuaire national, où s’exerce telle compétence, où s’arrête l’exercice d’une puissance et commence celui d’une influence en géopolitique… Un ordre international séculaire s’articule sur la clôture de l’espace terrestre, au moins en droit, et sur l’équilibre des forces qu’il fige.

Une attaque « dans le cyberespace » est, en réalité une agression venue du monde réel, ayant emprunté le média ou la médiation des réseaux et qui cherchera à produire des dommages matériels, organisationnels ou psychologiques sur des gens en chair et en os. Elle passe par un usage « non autorisé » des prothèses techniques auxquelles leurs légitimes propriétaires faisaient confiance – leurs machines, leurs logiciels, leurs codes – et cela présuppose une pénétration clandestine d’un système informationnel (il a bien fallu d’une façon ou d’une autre y « entrer »).

Attaque, cible et riposte

Une offensive via Internet se pratique d’adresse à adresse et non de province à province. D’où l’énorme incertitude juridique (comment traduire : guerre juste, acte de guerre, représailles, rétorsion…) liée à cette question de l’imputabilité de l’attaque.

Enfin et surtout les notions de puissance et de vulnérabilité prennent un tout autre sens, rapportées à la carte. Le « fort » n’est plus nécessairement celui qui possède un important territoire, profond et bien défendu : il se pourrait bien au contraire qu’il offre une cible plus visible. Plus un pays est riche et techniquement avancé, plus il dépend de ses réseaux numériques, plus il est relié au reste du monde, donc plus il offre de points d’entrée et de cibles d’attaque.

Inversement un agresseur « puissant » n’a pas nécessairement regroupé de considérables moyens de calcul et de communication sur son territoire : il peut très bien diriger un réseau d’ordinateurs corrompus dans le monde entier (comme Ghostnet que l’on dit implanté dans 130 pays) plutôt que chez lui. La question de l’imputabilité avec ses conséquences sur la preuve à l’égard de l’opinion et des instances internationales (donc de la riposte ou rétorsion qui peut s’ensuivre) n’est qu’une autre facette d’une donnée topologique : le trajet indirect et dissimulé de l’attaque dont il est difficile de dire par où elle passe et où elle vise (et le corollaire : elle est instantanée, sans délai de préparation ou de trajet observable).

Ce problème d’espace couplé à un problème de temps produit des effets troublants.

Si la guerre classique a été comparée à un duel où les belligérants échangent des coups, ripostent et pratiquent des manœuvres et contre-manœuvres, la cyberattaque telle que nous la connaissons est un fusil à un coup : elle est lancée au moment T, les systèmes attaqués détectent ou réagissent au temps T +1. Au mieux, après un temps de résilience, ils reviennent à la normale au moment T + 2 et le conflit est fini. Tant que nous n’avons pas encore observé de cyber-riposte et d’enchaînement des initiatives stratégiques, la soi-disant guerre dans le cybermonde ne constitue pas ce dialogue des forces dans le temps qu’elle a toujours été.

À noter ce changement crucial : la plupart des offensives consistent tout simplement à faire perdre du temps à l’adversaire : temps du blocage d’un site écrasé de « déni d’accès » (rendre un site inopérant en le submergeant de demandes), temps de la réparation (trouver un anti-virus, un patch), temps perdu en confusion ou en restauration de données altérées ou diffusées. Mais le temps a une grande valeur économique, organisationnelle et psychologique (effet panique du blocage).

S’ajoute l’incertitude d’effets imprévisibles. Là encore, nous devons parler en fonction d’une expérience restreinte : il semble logique qu’une attaque expérimentée une fois ne soit pas rééditée de façon répétitive (ni ne passe nécessairement par les mêmes canaux). On imagine mal que l’adversaire réemploie le même logiciel « malicieux » contre lequel la victime se serait empressée de préparer des défenses). L’inconnue portant sur l’effet de l’attaque (en-deçà ou au-delà des calculs de l’agresseur) pèse évidemment sur toute tentative d’anticipation.

Cela suggère l’impossibilité – peut-être provisoire – d’établir un code implicite de l’attaque, du dommage, de la réponse, de la menace, etc. Et qui fait qu’il est encore impossible de projeter la perspective d’une cyber-guerre sur le long terme. Même si des pays comme la France et les États-Unis veulent se doter de capacités offensives, la question d’une doctrine d’emploi reste cruciale.

L’offensive informatique asymétrique rompt aussi avec le principe de réciprocité. Faute de véritable code de la riposte – dissuasive, graduée, ciblée, de représailles, etc. – le cyber-conflit se limite de facto à l’attente de la prochaine agression que ne précédera ni avertissement ni gesticulation martiale et à la reconstruction des futures protections par de meilleurs anti-virus, une meilleure cryptologie, davantage de vigilance, d’autres « murailles » (les firewalls protectrices).

Si la cible est bien la volonté d’un État ou d’un groupe d’États, il faut raisonner en termes de contrainte et dialogue. L’évocation de la guerre (même s’il s’agit d’une guerre du ou par le « gouvernail » comme le suggère l’étymologie de cyber-guerre) oblige à la penser aussi comme un « langage » comme Philonenko ou, à la façon de Sloterdjik, comme une « sophistique armée (le prolongement de l’art d’avoir raison par d’autres moyens) ».

Si la possibilité de la menace, énoncée ou latente, est inhérente aux rapports interétatiques, comment décourager un agresseur en le convainquant qu’il lui en coûterait davantage de mener son projet jusqu’au bout que de s’abstenir ? Modifier son calcul gains et coûts de la violence ? Dans le cyberespace, la menace se heurte à une double inconnue.

La première est : qui dissuader puisque l’auteur de la prochaine attaque est, par définition, inconnu ? Si elle a lieu, il ne sera pas facile de prouver une culpabilité devant l’Assemblée des Nations unies, avons-nous dit. Pas plus que d’établir un code de la dissuasion clairement affiché et qui vaille aussi bien pour la Chine (souvent citée comme suspecte) que pour un minuscule État voyou.

La seconde difficulté est de mesurer un dommage futur (celui que l’on subirait ou celui que l’on infligerait et qui devrait, par définition être très supérieur au premier) : le résultat dépendrait de technologies à inventer ou jamais testées. Plus la nécessité de limiter sa réplique au seul coupable sans toucher au passage, par contagion, un neutre ou un allié. On imagine les incroyables problèmes de droit international que soulèverait le recours à la catégorie d’acte de guerre – pouvant justifier un tir de missile en riposte à un tir d’électrons.

Une dissuasion de ce genre qui pourrait paradoxalement être du fort au faible n’est encore ni pensée ni codifiée.

Les arcanes de la guerre

Il faut donc présumer que se développeront dans l’ombre des opérations obscures : tromperie, repérage, infiltration, identification, provocation, leurre…, qu’elles ressortiront davantage aux manœuvres d’espionnage et de police qu’à la guerre. Savoir secrètement qui se dote secrètement de quelles panoplies pour quels objectifs. Donner de fausses informations sur ses vulnérabilités ou sur ses capacités…

Faire croire en l’existence de technologies ravageuses ou offrir de fausses cibles pour mesurer ou dévoyer celles de l’autre. Découvrir qui il est et ce qu’il prépare. Telles seront sans doute les règles du jeu. Et où gagneront peut-être ceux qui disposeront du meilleur renseignement humain plutôt que des meilleurs ingénieurs.

Entre une vision « hygiéniste » de la cyber-stratégie comme prophylaxie pour accroître les meilleures défense immunitaires, diminuer les exposition ou acquérir une bonne résilience, et, d’autre part, une vision romanesque, certes avec ses manœuvres et ses plans secrets, mais finalement plus conforme à la loi du conflit, il nous semble que la seconde s’imposera autant par la logique de la technologie que par nécessité politique. Avec les risques qu’implique en démocratie ce manque de transparence.

Note :

Pour ne pas surcharger le lecteur de références webographiques surabondantes, nous le renverrons à trois documents de synthèse :

– le n° 10 de l’Observatoire Géostratégique de l’Iris (en ligne sur iris-france.org),

– la brochure « Stratégies dans le cyberespace », Alliance Géostratégique n° 2 (Sept. 2011),

– le livre collectif Cyberguerre et guerre de l’information (Lavoisier, 2010), dont notre chapitre sur « La cyberguerre et ses frontières ».

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

%d blogueurs aiment cette page :