Dominique Mongin
Dominique Mongin / Esprit
Eurozine
Esprit
Esprit 1/2013 (French version)
2013-01-29
Les cyberattaques
Armes de guerre en temps de paix
Plusieurs événements récents ont montré le rôle que la "cyberguerre" allait être amenée à jouer dans les années à venir, à un degré proportionnel à la dépendance de nos sociétés vis-à-vis des technologies de l'information : révélations sur une attaque visant l'Élysée au moment de l'élection présidentielle, débat autour de la lutte contre le programme nucléaire iranien, initiatives pour faire
évoluer le débat stratégique en direction de cette cinquième dimension.
Alors que le gouvernement français s'apprête à rédiger un
nouveau Livre blanc sur la défense, la capacité des démocraties à
répondre à la mesure de la menace, déjà bien réelle et "opérationnelle", est mise au défi. Le débat stratégique aborde un changement
d'ampleur, qui n'a rien à envier, dans un contexte
radicalement différent, à celui qui avait émergé à la fin de la
Seconde Guerre mondiale avec l'arme nucléaire. N'assiste-t-on pas
à l'émergence d'une nouvelle arme "non conventionnelle" ? Ne
doit-on pas élargir l'approche propre aux armes de destruction
massive ou ADM (armes nucléaires, chimiques et biologiques) à cette
nouvelle dimension de la guerre moderne entre États, et cela même
si les effets destructeurs des cyberattaques ne sont en rien comparables
à ceux des armes nucléaires ?
Après un état des lieux des actions "militaires" qui ont déjà eu
lieu, de la réalité de la menace présente en matière de cyberguerre,
cet article s'intéressera aux réponses étatiquesCet article est focalisé sur la cyberguerre comme nouveau mode d'action "militaire"
entre États, il ne traite donc pas de la "cybercriminalité" ou de la "cyberdélinquance", même
si certains États peuvent y avoir aussi recours pour mener des attaques. apportées dans le camp des démocraties, puis à l'évolution de leurs concepts de
défense, dont certains (c'est le cas de la France) prônent ouvertement
le recours possible à la lutte informatique offensive (LIO),
comme nouveau mode d'action militaire, avec une ambiguïté savamment
cultivée : la LIO, arme de guerre ou arme de non-guerre ?
Une menace multiforme et bien réelle dans le cyberespace
Jusqu'à présent, toutes les actions étatiques de cyberguerre ont
été menées de façon clandestine (il n'y a pas eu de guerre
"déclarée"). La guerre informatique appartient bien à la "guerre
secrète", qui consiste à mener une action technologiquement si
sophistiquée qu'il devient particulièrement difficile pour un adversaire
étatique d'en trouver l'origine. Il s'agit ici d'un nouveau mode
opératoire, multiforme, dans le "cyberespace",Sur la définition du "cyberespace", se reporter à l'article de Daniel Ventre, "Le
cyberespace : définitions, représentations", publié dans la Revue défense nationale de juin 2012.
Il y montre que le cyberespace, dimension transversale aux quatre espaces "conventionnels"
(terre, mer, air, espace) et au monde réel, est composé de trois couches interdépendantes : une
couche matérielle (infrastructures, hardware, spectre électromagnétique...), une couche logicielle et une couche cognitive. qui permet à
l'agresseur de se rendre quasiment indétectable, tout en délivrant,
si nécessaire, un message diplomatique implicite, mais sans que
l'origine de l'initiative soit précisément identifiée...
L'une des premières opérations connues en matière de guerre
informatique semble avoir été menée par la CIA au début des années
1980, en réponse à l'affaire Farewell, L'affaire Farewell commence au début de l'année 1981 lorsqu'un colonel du KGB prend
contact avec un service de renseignement français (la DST) pour le faire bénéficier d'un grand
nombre de documents secrets révélant le haut degré de l'espionnage soviétique en Occident.
En communiquant deux mois après son élection la teneur de ces informations à l'allié américain
(les deux tiers des documents visaient les États-Unis), le président Mitterrand allait dès
lors pouvoir nouer des relations de confiance avec le président Reagan. lorsque le service d'espionnage
américain eut recours à des actions clandestines pour duper
l'adversaire soviétique sur certaines technologies (informatiques)
que ce dernier cherchait à posséder.Cette contre-offensive américaine a été révélée par un ancien membre du National
Security Council, Thomas Reed, dans son livre At the Abyss, New York, Presidio Press, 2004. Voir
également, au sujet de l'affaire Farewell, le livre très documenté de Vincent Nouzille, Dans le
secret des Présidents. CIA, Maison-Blanche, Élysée : les dossiers confidentiels (1981-2010), Paris,
Fayard, 2010. L'une de ces actions consista à placer une "bombe logique" dans un système de contrôle informatique destiné à un gazoduc (un logiciel de gestion de turbine) dont
l'Union soviétique s'efforçait de se doter. Lorsque des espions
soviétiques dérobèrent à une entreprise canadienne ledit système
de contrôle, ils n'avaient pas conscience d'être manipulés par la
CIA... et encore moins que le système en question était "infecté"
par un virus. Une fois implanté sur un gazoduc en Sibérie, le
système échappa complètement au contrôle de ses nouveaux détenteurs,
provoquant en juin 1982, "l'explosion et l'incendie non
nucléaires les plus gigantesques que l'on ait jamais pu voir depuis
l'espace".Selon un ancien secrétaire de l'armée de l'air cité dans l'article "War in the Fifth Domain", The Economist, 3 juillet 2010. Toutefois, cette explosion n'a jamais été reconnue officiellement, ni du côté soviétique ni du côté américain.
L'intérêt de cet épisode réside dans le caractère potentiellement
"destructeur" de certains systèmes informatiques qui ne sont plus
sous contrôle. On pense bien entendu aux conséquences de ce
type de situation dans le cas des secteurs d'importance vitale, tant
dans le domaine énergétique (nucléaire, hydroélectrique...) que
dans celui des transports (système de contrôle aérien...), de l'industrie
chimique ou autre. À cet égard, le ver Slammer constitua en
2003 un avertissement. En infectant un logiciel gérant un système
SCADA,Supervisory Control and Data Acquisition System ou SCADA est un système de contrôle
qui gère le fonctionnement de machines (valves, pompes, générateurs...) indispensables au bon
fonctionnement d'installations dites "vitales" : réseaux de distribution de l'eau ou de l'électricité,
réseaux de transport... ce ver provoqua un black-out sur le réseau électrique nordaméricain,
privant d'électricité cinquante millions de personnes.
L'actuel patron du Cyber CommandLe Cyber Command a été créé en 2010 afin de mieux prendre en compte dans l'organisation de la défense des États-Unis la dimension de la cyberguerre et de mettre en place les
moyens pour y répondre. Son patron, le général Alexander, est également patron de la National
Security Agency (NSA), ce qui souligne les passerelles existant entre un service spécialisé dans
l'écoute et les interceptions électroniques et un commandement militaire en charge de préparer
la guerre dans la nouvelle dimension informatique. n'hésite pas à prendre
l'exemple d'un accident (provoqué par un bug informatique et non
par une cyberattaque) qui s'est produit dans une usine hydroélectrique
russe en août 2009, faisant soixante-quinze morts, comme une
illustration des dégâts importants que peuvent provoquer des perturbations
informatiques.Allocution du général Alexander devant l'université de Rhodes Island en avril 2011.
Aujourd'hui, les cyberattaques qui visent ou qui menacent les
États de la planète sont de plusieurs types : les actions de pertur-
bation, les actions de destruction et les actions d'espionnage plus
"classiques".
Les actions de perturbation : il s'agit d'actions offensives -- mais
non destructrices -- visant à perturber, massivement ou de manière
très ciblée, le mode de vie et le fonctionnement d'une nation. C'est
ce qu'a subi l'Estonie en avril-mai 2007, avec des attaques informatiques
massives (attaque par "déni de service"L'attaque par "déni de service" permet de saturer le site internet visé de demandes de
connexion et donc de le rendre inaccessible.) pendant trois
semaines à l'encontre de sites internet gouvernementaux et privés
(banques, opérateurs téléphoniques...) ; une "première" à l'échelle
d'un État tout particulièrement "connecté" (97 pour cent de la population
estonienne fait ses opérations bancaires en ligne). Ces actions,
émanant de 85 000 ordinateurs détournés (réseau de "robots logiciels" ou botnet), intervenaient dans un contexte de tension diplomatique
entre ce pays balte et la Russie après la décision de Tallinn
de démanteler un monument à la mémoire de l'Armée rouge.
L'origine russe de cette action (de représailles) -- non signée mais
d'une portée diplomatique évidente -- ne semble guère faire de
doute, même si les preuves formelles sont, là encore, très difficiles
à obtenir.
Les actions de destruction : on a affaire ici à la propagation d'attaques
informatiques "destructrices" de deux types : d'une part, des
attaques -- qui peuvent être lentes dans le temps -- dont l'objectif est
de neutraliser physiquement un processus (industriel ou autre) à
dimension militaire (ou civile) ; d'autre part, des attaques combinées
à la guerre "conventionnelle" et visant à rendre "aveugles" les
systèmes numériques de l'adversaire, ce qui s'apparente à la guerre
électronique. Récemment, la presse américaine a révélé l'intensité
du savoir-faire des États-Unis (et d'Israël) en matière de neutralisation
de réseaux informatiques. Sur le dossier du nucléaire militaire
iranien,Le New York Times a été en pointe dans ces révélations depuis 2010, et plus récemment
en révélant publiquement l'existence d'Olympic Games dans son édition du 1er juin
2012 : "Obama Ordered Sped up Wave of Cyberattacks Against Iran", signé par David Sanger,
qui publie au même moment son livre Confront and Conceal: Obama's Secret Wars and
Surprising Use of American Power, New York, Crown Publishing Group, 2012. Concernant
l'"émergence" du ver Stuxnet, se reporter à l'article de William Broad et David Sanger : "Worm
Was Perfect for Sabotaging Centrifuges", dans le New York Times du 19 novembre 2010. ces actions, lancées sous le nom de code Olympic
Games par l'administration Bush en 2006, avant de devenir opérationnelles
trois ans plus tard sous l'administration Obama, ont finalement
"débordé" de leur objectif en 2010, échappant au contrôle
de ceux qui avaient initié le processus. En effet, à cette date, le ver
Stuxnet a infecté d'autres ordinateurs (sur l'internet via une clé USB)
que ceux pour lesquels il était destiné à l'origine, à savoir le
complexe nucléaire de Natanz en Iran. C'est cette propagation du
ver sur le réseau internet qui a donné une telle publicité à Stuxnet,
alors que cette action était censée rester secrète (au moins du côté
américain). Toutefois, ces "effets collatéraux" et le fait que le ver
commençait à échapper à son créateur n'ont pas dissuadé le président
Obama de poursuivre l'action informatique offensive en direction
des Iraniens.
Avec Stuxnet, les États-Unis ont franchi une étape majeure
dans la cyberguerre, celle permettant de détruire physiquement des
infrastructures. Ce que l'on a appris également, c'est le degré d'investissement
du président des États-Unis dans la conduite des
opérations visant à détruire les centrifugeuses iraniennes. En
donnant son "feu vert" étape après étape, le chef de l'État a eu un
rôle opérationnel (à distance, depuis le centre de situation de la
Maison-Blanche) dans la conduite de la (cyber)guerre. C'est bien là
une confirmation de l'évolution du processus décisionnel dans la
guerre moderne, combinant de manière plus prononcée l'échelon
stratégique et l'échelon logistique, dont le bombardement de
Hiroshima en 1945 constitue la préhistoire.
Le deuxième type d'attaque "destructrice" concerne les
attaques que la Géorgie semble avoir subies en 2008 au moment de
l'invasion militaire russe, avec pour objectif les systèmes d'information,
de renseignement et de commandement (systèmes C3I), la
cyberattaque "éclair" (appelée déjà par certains la "bitskrieg"Pour reprendre l'expression de John Arquilla dans son article "Cyberwar Is Already
Upon Us" paru dans Foreign Policy de mars-avril 2012, en référence à la Blitzkrieg.)
étant ici combinée avec une offensive militaire "conventionnelle".
Moyen probable également pour les forces russes de tester "grandeur
nature" l'efficacité de la lutte informatique offensive (LIO)...
en perspective de cyberattaques d'une tout autre ampleur. Israël
semble avoir eu recours à ce type d'opération en septembre 2007
lors de son raid contre un site à l'est de la Syrie suspecté d'abriter
une installation nucléaire militaire, en parvenant à rendre aveugle
le système de défense anti-aérienne syrien. Il apparaît que les
États-Unis ont envisagé de mener des actions similaires en 2003 lors
du déclenchement de la guerre d'Irak en direction des avoirs financiers
de Saddam HusseinVoir Richard Clarke (avec Robert Knake), Cyber War, New York, Harper Collins, 2010. (puis en 2011 lors de la guerre de
Libye), avant de reculer face aux risques de "dommages collatéraux", aux conséquences diplomatiques possibles et au "précédent" que cela aurait créé. Un autre mode de destruction physique
consiste pour un État à agir de manière "conventionnelle" contre
les infrastructures de réseau, les câbles sous-marins en particulier,
afin de les rendre inopérants.Voir à ce sujet l'étude de Bruno Gruselle, Bruno Tertrais et Alain Esterle : "Cyber Dissuasion", Recherches et documents de la Fondation pour la recherche stratégique (FRS), mars 2012, p. 76. Car, il faut le rappeler, le cyberespace
n'est pas dépourvu de dimensions physique et géographique.Point rappelé utilement par Alix Desforges dans son article, "Le cyberespace : un
nouveau théâtre de conflits géopolitiques", Questions internationales, janvier-février 2011, no 47.
Les actions d'espionnage "classique", de type "écoute et interception" électroniques (vols de renseignements sensibles) ou
"guerre de l'information" (prise de contrôle d'un site internet pour
en modifier les informations) constituent un autre type d'actions
clandestines. Elles persistent avec une nouvelle intensité. C'est ainsi
que les autorités américaines ont reconnu avoir fait l'objet de tentatives
d'intrusion depuis 1998, par des attaquants d'origine russe,
puis d'origine chinoise (en 2001, en 2006-2007...). Ces cyber -
attaques étaient menées au moyen de "chevaux de Troie". Les
États-Unis considèrent aujourd'hui que les vols de données par
cyberattaques sont une menace de tout premier plan. D'autres États
démocratiques (Allemagne, France, Grande-Bretagne, Nouvelle-
Zélande) ont révélé depuis 2007 avoir fait l'objet de tentatives d'intrusion
informatique visant l'acquisition d'informations sensibles. Il
a été établi que ces attaques provenaient notamment de Chine (le
CEA a ainsi reconnu avoir été la cible d'attaques informatiques en
2007), sans qu'il soit possible d'en établir précisément et formellement
l'origine étatique.Les divulgations WikiLeaks de fin novembre 2010 semblent confirmer très nettement
cette piste. Voir également à ce sujet le rapport sénatorial de Roger Romani, Cyberdéfense : un
nouvel enjeu de sécurité nationale, Commission des affaires étrangères et de la défense,
juillet 2008. Plus récemment, le ministère français de
l'Économie a été victime de cyberattaques à la fin de l'année 2010,
en pleine préparation de la présidence française des sommets du G8
et du G20, et l'Élysée semble avoir été attaqué au printemps 2012.Charles Haquet et Emmanuel Paquette, "Cyberguerre : comment les Américains ont
piraté l'Élysée", L'Express, 20 novembre 2012.
Dans une autre configuration, des informations circulent (dans
la presse anglo-saxonne, sur les sites de sociétés antivirus...) depuis
mai 2012 sur l'apparition d'un nouveau ver, baptisé Flame. Ce ver,
d'origine américaine et israélienne, semble avoir été destiné à faire
du recueil de renseignements à une dimension jusque-là inédite et
à préparer l'entrée en action de Stuxnet (notamment en cartographiant
le réseau iranien), donc à participer à la neutralisation
recherchée du programme nucléaire (militaire) iranien. Autre cas de
figure pour ce type d'offensives, les capacités qu'ont certains États
à "défigurer" des sites internet, afin de détourner leur contenu. On
l'a vu récemment à propos de sites favorables au Dalaï-lama ou de
sites relayant des informations sur le génocide arménien.
Traiter des cyberattaques (comme des accidents informatiques),
c'est aussi traiter de leurs "effets collatéraux", qui peuvent être
potentiellement massifs. Dans le cas du ver Stuxnet, qui semble
avoir infecté jusqu'à au moins 100 000 ordinateurs sur la planète,
les effets collatéraux furent limités, car le ver était programmé pour
dérégler spécifiquement le système de centrifugeuses du site
nucléaire iranien de Natanz. Mais, comme on l'a vu, il a échappé au
contrôle de ceux qui l'ont introduit, d'où la question de la fiabilité
de l'arme nouvelle, d'autant que son efficacité est proportionnelle
à son indétectabilité.
On assiste à un mouvement paradoxal : l'interconnexion des
réseaux, la convergence des produits techniques rendent les
attaques informatiques plus facilement réalisables, mais, en même
temps, la standardisation et la sophistication des systèmes de
protection mis en place impliquent l'activation de moyens de
contournement plus perfectionnés. La dialectique du glaive et du
bouclier, de l'offensive et de la défensive est encore validée. Mais
encore faut-il que les réponses gouvernementales soient à la hauteur
des enjeux, d'autant plus "vitaux" que le stade de la seule menace
est aujourd'hui dépassé. C'est un combat pour le contrôle de l'information
à l'ère électronique, domaine dans lequel les États-Unis
sont partis avec une longueur d'avance avec leur concept
d'Information Dominance.
Les réponses des démocraties face aux enjeux de défense et de sécurité dans le cyberespace
Le "camp démocratique" est menacé par cette forme nouvelle
de la guerre qui transcende la dichotomie temps de guerre/temps de
paix. Aujourd'hui, et d'après les informations publiques disponibles,
la capacité d'attaque massive contre les démocraties a principalement
pour origine deux États autoritaires : la Russie et la
Chine, mais d'autres développent également des capacités en ce
sens (Corée du Nord, Iran...). Les traces numériques laissées par
ces attaques permettent souvent de localiser leur origine dans ces
pays, sans pour autant "formellement" pouvoir mettre en accusation
les autorités gouvernementales, d'autant plus que celles-ci
peuvent avoir recours à des parties tierces (hackers) comme moyen
de détourner l'attention de leurs propres services spécialisés. Le
propos portera ici sur la posture des États démocratiques face aux
cyberattaques dont ils font l'objet,Est également exclu ici du propos le cas de l'espionnage informatique entre partenaires
étatiques du camp démocratique, ce qui ne veut pas dire qu'il n'existe pas...
non pas parce que ces États sont
les seules "victimes" de ce type d'attaques, mais parce que les
fondements mêmes des démocraties, zones de liberté qui s'étendent
désormais aussi à l'"espace virtuel" (tant en matière de liberté d'expression
que de protection de la vie privée), se trouvent menacés.
Ainsi, pour les États autoritaires, le recours à la cyberguerre est un
moyen supplémentaire dans leurs modes d'action : possibilité de
conduire des attaques grâce à d'autres moyens que les moyens
conventionnels (cyberattaques couplées à une offensive militaire
classique ou menées dans le cadre de la guerre secrète), mais aussi
un moyen d'exercer une contre-offensive à l'encontre de toute forme
de liberté d'expression. C'est aussi une nouvelle confirmation du rôle
exercé par les technologies modernes de communication dans l'effacement
des frontières entre le domaine de la sécurité intérieure
des États et celui de la sécurité extérieure.
Pour faire évoluer la posture de défense de notre pays, le Livre
blanc de 2008 reprend la nécessité d'une approche globale, mais
associant cette fois la notion de "défense" (dimension extérieure)
à celle de "sécurité intérieure". Ce Livre blanc sur la défense et la
sécurité nationale a été novateur dans le débat stratégique en
rendant publique, pour la première fois, la nécessité pour un pays
comme la France de disposer d'une capacité en matière de lutte
informatique offensive (LIO), soulignant que "dans le domaine
informatique plus que dans tout autre milieu, il faudra, pour se
défendre, savoir attaquer".Livre blanc sur la défense et la sécurité nationale, Paris, Odile Jacob/La Documentation française, 2008, p. 207. Afin d'être en mesure de neutraliser
les centres d'opérations adverses, le Livre blanc met en avant la
nécessité pour les forces françaises de définir une doctrine et un
cadre d'emploi qui devront "respecter le principe de riposte proportionnelle
à l'attaque".Ibid., p. 208. En prolongement du Livre blanc, la loi de
programmation militaire 2009/14 indique que "la menace informatique
est désormais une préoccupation majeure. La défense
informatique combinera protection des systèmes, surveillance, réaction
rapide et action offensive de rétorsion".Rapport annexé au projet de loi de programmation militaire 2009/14, p. 12. Une doctrine d'emploi
-- élaborée sous la responsabilité du chef d'état-major des
armées et validée par le chef de l'État -- a été probablement arrêtée
depuis et est prête à être mise en oeuvre ; mais elle n'a pas été
rendue publique. Dans le cadre de cette évolution conceptuelle
majeure, le Livre blanc a souligné à quel point la sécurité des
systèmes d'information (SSI) est un domaine dans lequel la souveraineté
de la France doit s'exprimer pleinement, au même titre que
celui de la dissuasion nucléaire, afin de préserver une maîtrise technologique
en la matière. C'est ainsi que la France s'est dotée très
tôt d'une politique nationale en matière de sécurité des systèmes
d'information (aspects défensifs), dont les prémisses remontent à
1986, avec la création d'un Service central de la sécurité des
systèmes d'information, devenu Direction centrale (DCSSI) en 2001
et rattaché à un service du Premier ministre (le Secrétariat général
de la défense nationale) afin d'asseoir son champ de compétences
interministériel. L'étape suivante a été la transformation en 2009 de
la DCSSI en une Agence nationale (ANSSI) et la publication en
février 2011 de la stratégie française en matière de cyberdéfense,
qui affiche clairement la volonté de faire de la France une "puissance
mondiale de cyberdéfense".
Au-delà de la montée en puissance de la SSI en France au
niveau gouvernemental et de l'évolution des concepts en direction
de la LIO, force est de constater que notre pays doit encore faire un
effort pour assurer dans la durée l'autonomie stratégique tant revendiquée.
La France est en effet confrontée à un manque de culture
de sécurité au sein de la population, particulièrement flagrant dans
le domaine de la SSI. Au niveau européen, on constate que des pays
comme l'Allemagne ou la Grande-Bretagne ont à leur disposition
une capacité gouvernementale en termes de ressources humaines et
de moyens financiers nettement plus importante que celle de la
France (retard que celle-ci cherche précisément à combler). Quand
le Communication and electronic security group (CESG) britannique
compte sept cents agents, le Bundesamt für Sicherheit in der
Informationstechnik (BSI) allemand plus de cinq cents agents, l'ANSSI
en emploie moins de deux cent cinquante (mais elle est dans une
importante phase de recrutement). En Grande-Bretagne, la stratégie
de sécurité nationale (National Security Strategy), publiée en 2010,
place les cyberattaques juste après le terrorisme comme la menace
la plus élevée pour le pays. En ce qui la concerne, l'Allemagne a
adopté en 2005 un plan national pour la protection des infrastructures
d'information et a mis au point une stratégie en matière de
cybersécurité, dont la coordination est assurée par le ministère
fédéral de l'intérieur (auquel le BSI est rattaché).
À l'échelle du continent, l'Union européenne ne s'est intéressée
que tardivement aux questions de cyberdéfense. Ce sujet n'est
même pas abordé sous l'angle des menaces dans le document
approuvé par le Conseil européen de décembre 2003 ("Une Europe
sûre dans un monde meilleur"). Et, de manière caractéristique, dans
un sondage Eurobaromètre d'octobre-novembre 2002, à la question
"De quoi ont peur les citoyens européens ?", quatre menaces
étaient perçues comme les plus fortes (à plus de 60 pour cent) : le terrorisme
international, la criminalité organisée, la prolifération des ADM et
les accidents nucléaires... mais aucune question ne portait sur les
cyberattaques. État des lieux révélateur de la perception de la
menace dans un contexte géostratégique particulier, à savoir le
monde "post-11-Septembre" et la question des ADM en Irak. Le
Conseil européen a toutefois créé en 2004 l'Agence européenne de
la sécurité des réseaux et de l'information (ENISA), avec pour objectif
de conseiller la Commission européenne et de l'assister (ainsi que
les États membres) en matière de SSI. L'ENISA a cependant illustré
les difficultés de cet organisme à s'imposer comme élément fédérateur
au niveau européen, pour élaborer une politique de SSI à la
hauteur des enjeux, en passant d'une posture réactive (analyse des
cyberattaques qui ont eu lieu) à une posture proactive (anticiper les
menaces et tenter d'y répondre préventivementDepuis sa création en 2004, l'ENISA fait l'objet de vives interrogations concernant son
utilité. Elles témoignent de la difficulté de faire un travail de coordination à l'échelle européenne
sur un sujet qui, on l'a vu, suscite de nombreuses réticences. Elles illustrent probablement aussi
les difficultés à gérer les répartitions de compétences entre les différentes directions générales
de la Commission, ainsi que la "difficulté" de travailler en étant positionné loin de Bruxelles
(en l'occurrence en Crète, à Héraklion).). D'ailleurs, si à
ce jour l'Union européenne n'a pas encore défini de stratégie en
matière de sécurité dans le cyberespace, la Commission est en
train de lancer une réflexion sur le sujet, intitulée Internet Security
Strategy for Europe.
Il en va autrement aux États-Unis, où la sensibilité aux questions
de cyberdéfense n'est pas neuve, grâce à une prise de conscience
des enjeux de sécurité liés à la dépendance de ce pays envers les
technologies de l'information, et où l'on cherche activement à
prévenir un "Pearl Harbor numérique". La sensibilisation est
d'autant plus grande que le réseau internet tel qu'il existe aujourd'hui
est un dérivé du réseau Arpanet, projet mis en oeuvre en 1969
par le département de la Défense, afin de se doter d'un réseau maillé
et sécurisé, propre à faire aboutir une information en toute circonstance
(en cas de conflit nucléaire). Depuis, et parallèlement au
réseau internet "ouvert", subsiste un réseau sécurisé "fermé" (en
fait un "intranet") et réservé aux services gouvernementaux ayant
à traiter des informations sensibles sur le plan de la sécurité
nationale.À une autre échelle, et depuis peu (2007), la France dispose d'un réseau similaire avec
le réseau classifié ISIS (Intranet sécurisé interministériel pour la synergie gouvernementale).
Aux États-Unis, l'un des documents de référence en matière de
cybersécurité, l'International Strategy for Cyberspace. Prosperity,
Security and Openness in a Networked World, a été publié par la
Maison-Blanche en mai 2011. Si ce document n'est pas le premier
de l'administration Obama à traiter des questions de cybersécurité,
son caractère novateur réside dans le plaidoyer en faveur d'une politique
de coopération internationale. L'objectif de cette stratégie est
de promouvoir sur le plan international des infrastructures de
communication ouvertes, interopérables, fiables et bien sûr sécurisées,
sous réserve du respect par les utilisateurs d'un certain nombre
de règles de droit propres à susciter la confiance et à pérenniser le
réseau global (internet). Dans le domaine spécifiquement militaire,
la stratégie américaine affirme (au regard de la dépendance croissante
des forces armées envers les réseaux informatiques) le besoin
d'assurer la fiabilité et la sécurité de ces réseaux et la nécessité de
construire et de renforcer la coopération menée avec les alliés.
Auparavant, en 2010, le pays a créé un nouveau commandement
militaire (US Cyber Command) en charge spécifiquement de la
défensive et de l'offensive dans le cyberespace. Par ailleurs, les
autorités américaines innovent également sur le plan juridique, en
affirmant qu'une cyberattaque relève de la légitime défense et du
droit international et appelle donc une réponse adéquate sur ce
terrain (le cyberespace n'est pas une zone de non-droit).
Au niveau de l'Alliance atlantique, la prise en compte des
cyberattaques comme étant une nouvelle priorité de l'Otan a été
actée lors du sommet de Bucarest en avril 2008 (un an après les
attaques subies par l'Estonie), en prévoyant de mettre en place une
capacité pour contrer les cyberattaques, sur demande d'un pays
membre. Le "concept stratégique de l'Otan", adopté lors du
sommet de Lisbonne en novembre 2010, a pointé du doigt la montée
en puissance des cyberattaques, tant en termes de fréquence que
d'efficience et de coût pour les pays membres, soulignant que ces
attaques risquent d'atteindre un seuil pouvant menacer la prospérité,
la sécurité et la stabilité des États et de la zone euro-atlantique,
et appelant dans ce domaine à une mobilisation et à une coopération
très forte entre États membres. Ces orientations ont été confirmées
lors du sommet de Chicago en mai 2012. Parallèlement,
plusieurs pays membres de l'Alliance ont mis en place (à Tallinn,
en Estonie), un Centre d'excellence sur la cyberdéfense afin de
développer une expertise et de proposer de nouveaux concepts.
On constate donc que, sur un plan multilatéral, les démocraties
occidentales ont réagi aux questions de cybersécurité et de cyberdéfense,
d'abord en ordre dispersé, puis plus récemment dans le
cadre de l'enceinte en charge (de fait) de la défense collective de
l'Europe, à savoir l'Otan. La prise de conscience dans ce domaine
remonte à 2007 avec les attaques que l'un des pays membres
(l'Estonie) a subies, ce pays ayant d'ailleurs réclamé la mise en
oeuvre de l'article 5 du traité de Washington (prévoyant une réponse
collective des pays membres en cas d'attaque contre l'un d'entre
eux), mais en vain. En outre, on voit que l'Union européenne n'a pas
donné toute sa mesure sur un dossier aussi sensible politiquement
et que les initiatives structurantes en la matière sont des initiatives
nationales, émanant d'un nombre restreint d'États, de la France en
particulier. Par conséquent, si un début de mobilisation a eu lieu,
on ne peut pas dire qu'il existe une mise en oeuvre réelle d'une
défense européenne commune pour se prémunir des cyberattaques,
faute d'élément fédérateur et d'outils communs. Les réponses sont
avant tout nationales, alors que les infrastructures à protéger sont
à une autre échelle... En ce qui concerne les aspects de LIO, la
réflexion reste étroitement cloisonnée, eu égard à la portée politique
de ce type d'actions et des enjeux de souveraineté qu'elles recouvrent.
On est bien dans un domaine qui ne relève pas de la guerre
"conventionnelle", avec un clivage qui s'est déjà créé entre les
États "dotés", ayant la capacité technique de mettre en oeuvre la
cyberarme (à distinguer par conséquent des actions des hackers, qui
ne sont pas du même ordre et qui ne peuvent pas intervenir à la
même échelle qu'un État) et les États "non dotés" qui n'ont pas
cette capacité.
Les cyberattaques et l'évolution des concepts de défense
La cyberguerre est déjà une réalité de la vie quotidienne, sans
que la plus grande partie de la population mondiale en ait vraiment
conscience. Mis à part le risque de bug informatique lors du passage
à l'an 2000, qui avait fait craindre le pire aux médias, on ne peut
pas dire que les questions de lutte informatique offensive soient au
coeur des préoccupations aujourd'hui. Certes, l'apparition de
nouveaux vers ou virus fait l'objet d'alertes de sécurité, mais c'est
un peu comme si ces "épidémies" étaient soient inhérentes aux
systèmes informatiques (des épidémies "naturelles"), soit provoquées
par des gens mal intentionnés (cybercriminalité), à la
recherche d'arnaque à la carte bleue ou d'autres actions illégales.
La cyberguerre comme nouvelle arme de la guerre secrète (et
comme moyen d'action combiné aux offensives "conventionnelles")
n'apparaît généralement pas comme un sujet majeur. Or la cyberguerre
existe bien dès le temps de paix et est appelée à prendre des
proportions importantes dans le futur, à la mesure de la numérisation
croissante du "champ de bataille" et de son élargissement. À
un point tel que la cyberguerre va conditionner l'organisation des
théâtres d'opérations de demain, en raison de la place prépondérante
des systèmes d'information, qui devront être en mesure de se reconfigurer
si nécessaire en fonction de l'évolution des combats sur le
terrain.À cet égard, le général James Cartwright, ancien vice-président du Joint Chief of Staff,
a estimé (lors d'une conférence devant le National Press Club le 12 juin 2012) que le temps
pour mettre à niveau un système d'information était au maximum de deux semaines, quand il
faut compter de deux à trois ans pour améliorer un armement classique (que l'on a mis vingt
ans à fabriquer).
La cyberguerre appelle donc une évolution des concepts de
défense. On a vu, dans le cas de la France, que la prise de
conscience de ces nouveaux enjeux avait bien eu lieu et que le Livre
blanc de 2008 évoquait ouvertement le recours possible à la LIO.
Cette annonce constituait en soit une petite révolution et le moins
que l'on puisse dire est qu'elle n'a pas suscité de controverse
médiatique. Depuis, un travail de conceptualisation a certainement
été mené au sein de l'état-major des armées, mais ce travail
n'a pas été rendu public. Cette absence de publicité sur la réalité
du concept (non sur les règles d'engagement, dont le détail doit
rester secret) pose d'ailleurs un problème : ne doit-on pas afficher
notre stratégie afin de sensibiliser nos compatriotes sur notre entrée
dans une ère militaire nouvelle et afin de se doter des moyens de ce
nouveau type de défense ? Au sein du camp démocratique, ceux qui
ont avancé le plus loin dans ce domaine, on ne s'en étonnera pas,
ce sont les États-Unis, en accordant une place importante au
concept de "dissuasion", qu'il soit nucléaire ou "conventionnel".
C'est essentiellement en se dotant d'une capacité de défense
adéquate que les États-Unis estiment être en mesure de faire reculer
un adversaire qui chercherait à attaquer le pays via le cyberespace.
Autre préoccupation majeure des autorités américaines, la nécessité
de laisser le choix au président américain face à une gamme de
réponses militaires allant de la réponse strictement "conventionnelle
" à une gamme de réponses d'un autre ordre de la "guerre
moderne", dont la LIO (au même titre que le recours à l'arme
nucléaire). Conception qui n'est pas sans rappeler l'émergence de
la doctrine de la "riposte graduée" aux États-Unis en 1962. Mais
disposer d'une telle capacité et définir les règles d'engagement en
réponse à une attaque n'est pas suffisant en soi ; il est indispensable
de connaître le potentiel réel de l'adversaire ("déclaré" ou non) et
de chercher à connaître (ou vérifier) son identité. Cela suppose un
important travail de collecte de renseignements qui explique la colocalisation
du commandement militaire en charge de la cyberdéfense
(US Cyber Command) et de l'agence de renseignement en charge des
écoutes et des interceptions électroniques (la NSA), qui de surcroît
dispose de compétences très importantes en matière de cryptographie
et de cryptanalyse. Le risque, pointé du doigt par le Sénat
américain, est même que les actions d'espionnage américain pour
évaluer le potentiel des "cyberpuissances" soient perçues par ces
dernières comme étant des cyber attaques. Pour des raisons
évidentes de sécurité, les autorités américaines ne rendent pas
publiques la capacité effective de leur "cyberforce" et leurs règles
d'engagement. Toutefois, on ne peut exclure que les fuites dans la
presse relatives au programme de LIO baptisé Olympic Games ne
soient un moyen de sensibiliser un adversaire potentiel sur les
capacités américaines, et par conséquent de tenter de faire jouer à
plein le principe de la dissuasion. En ce qui concerne le danger
d'une escalade d'un conflit, notamment en raison d'une mauvaise
interprétation des données relatives à l'origine d'une cyberattaque,
le département de la Défense américain fait (officiellement) preuve
de retenue et en appelle à la mise en place de mesures de confiance
(cyberspace norms) au niveau international. Aux yeux des
Américains, cela passe par un minimum de transparence sur les
concepts et les capacités des États concernés.
Le développement du cyberespace comme nouveau champ de
bataille du XXIe siècle pousse à un remodelage des concepts que l'on
peut comparer, toute proportion gardée, avec l'introduction des
armes de destruction massive (ADM) au siècle précédent, non pas en
termes d'effets destructeurs mais en termes de conséquences stratégiques.
L'arme numérique repose sur les caractéristiques
suivantes :
-- une arme proliférante issue de technologies duales : il y a une
interpénétration entre le cyberespace "civil" et le cyberespace
"militaire", si tant est que l'on puisse même faire une distinction
entre les deux ; les technologies de l'un servent à l'autre, et réciproquement.
On l'a vu dès l'origine avec Arpanet et sa mutation
en internet, on le voit aujourd'hui avec la possibilité de mener des
cyberattaques à partir de logiciels jusque-là "civils". Par ailleurs,
il devient moins évident de discriminer un objectif militaire d'un
objectif civil. Cette évolution favorise la prolifération de ce type
d'armes, d'autant plus aisément que le monde numérique se prête
particulièrement bien à la duplication de ce type d'applications.
Cette évolution rend nécessaire un partenariat plus étroit entre les
autorités régaliennes de défense et le monde de l'entreprise, afin
de mettre au point des produits de sécurité efficients, des instruments
de contre-attaque et d'anticiper le risque de "rupture technologique" qui permettrait à un adversaire d'exercer sa supériorité
stratégique. La prolifération de l'arme nouvelle est facilitée à la
fois par la grande disponibilité des technologies numériques
(généralisation de l'accès et facilité de reproduction), son caractère
relativement "économique" (en ressources humaines et en
coût de production) et par le brouillage temps de guerre/temps de
paix ;
-- une arme aux capacités de désorganisation massive, avec des
effets psychologiques et médiatiques fortement déstabilisateurs,
en particulier au sein des sociétés démocratiques, où la liberté
d'expression et les libertés individuelles font partie des "intérêts
vitaux". Comme avec les ADM, les populations civiles deviennent
un objectif en soi de l'attaquant, cible qui peut être combinée avec
des objectifs strictement militaires. Cette capacité de désorganisation
massive en fait une arme stratégique, alors qu'elle peut
aussi être employée à une échelle tactique. Paradoxalement, le
caractère furtif de cette arme est susceptible de provoquer un effet
psychologique majeur, car sa propagation peut générer des
paniques. D'où l'importance de communiquer et de sensibiliser sur
ces questions et de faire connaître sa stratégie ;
-- une arme aux capacités de destruction, à triple détente : l'arme
nouvelle autorise des destructions numériques instantanées (et/ou
sur la longue duréeToute proportion gardée, alors que dans le domaine du nucléaire militaire une frappe
unique peut être massivement destructrice, dans le domaine informatique l'attaquant pourra être
enclin à diffuser massivement ses attaques afin d'être sûr que l'objectif visé ait le plus de probabilités
d'être atteint.), leur portée est ainsi démultipliée car
mondiale (en "un seul clic" on peut s'en prendre à un objectif
situé aux antipodes), tout comme la vitesse de leur exécution,
réduisant d'autant le temps de réponse pour celui qui subit l'attaque.
Cette arme permet également de procéder à la destruction
physique d'infrastructures dépendantes des technologies de l'information.
Elle provoque enfin des dommages collatéraux qui
peuvent être massifs et non maîtrisables. La cyberarme introduit
par conséquent une nouvelle dimension dans la manière de faire
la guerre au XXIe siècle, sur le profil et le rôle des combattants dans
le cyberespace. C'est bien à une redéfinition de "l'art de la
guerre" à laquelle il va falloir s'atteler ;
-- une arme qui favorise la stratégie asymétrique : d'abord en raison
de la primauté donnée à l'offensive sur la défensive. L'option
consistant pour un État assiégé à bâtir une architecture défensive
(de type ligne Maginot) risque d'être contournée par une "rupture
technologique" non anticipée.Cette conception de la primauté de l'offensive sur la défensive n'est pas unanimement
partagée, voir à cet égard l'article de Thomas Rid, "Think Again: Cyberwar", publié dans
Foreign Policy de mars-avril 2012, selon lequel le coût pour développer une arme cybernétique
est très élevé et pour qui, une fois la contre-mesure trouvée, l'arme cybernétique n'est plus (par
définition) une arme. Ensuite, parce que l'arme
nouvelle produit une géographie des conflits complètement
déstructurée : l'État souverain attaqué est confronté à un agresseur
"invisible", sans frontière, qui tire profit de sa capacité à frapper
à distance de sécurité, du "vecteur" qu'il utilise et de la difficulté
à se faire identifier par sa victime. C'est l'essence même de la
guerre qui doit être repensée, étant donné qu'il n'y a plus de temps
de paix et que l'offensive prévaut sur la défensive.
Devant ces grandes tendances de l'arme nouvelle, qui ne sont
pas sans rappeler la problématique introduite par les ADM, la question
de la capacité dissuasive de la cyberarme se pose avec acuité.
D'abord, qui dit capacité dissuasive dit capacité de frappe en
second ; être en mesure de pouvoir riposter à une première frappe
est en effet vital si l'on veut contraindre un adversaire potentiel à
ne pas attaquer. À partir du moment où cette capacité de représailles
est crédible, qu'une capacité de "riposte par les mêmes moyens"
existe, dissuade-t-elle pour autant un agresseur potentiel de passer
à l'action ? Rien n'est moins sûr, a fortiori s'il se sent invulnérable,
à la fois dans son attaque (furtivité de la cyberattaque, attaque par
procuration...) et dans sa défense. La comparaison avec la dissuasion
nucléaire trouve donc ses limites, car dans le cas de la LIO il
est très difficile d'identifier l'agresseur et de le combattre frontalement,
qui plus est en temps réel, alors que, dans certains cas, il faut
réagir encore plus vite que dans le cas d'une frappe nucléaire. Cette
difficulté à identifier l'agresseur avec garantie pose par conséquent
un problème majeur dans la conduite du "dialogue dissuasif".B. Gruselle, B. Tertrais et A. Esterle : "Cyber Dissuasion", art. cité, p. 44.
Toutefois, pour que celui-ci soit opérant (si tant est que l'agresseur
potentiel ait été localisé), la fonction "communication" (faire
savoir ses intentions) est primordiale.Ibid., p. 55. En outre, il est très difficile
pour un État d'affirmer qu'il n'utilisera pas la cyberarme en premier
(no first use) ou qu'il l'utilisera uniquement contre des États
"dotés". En effet, l'intérêt de la LIO réside en particulier dans sa
souplesse d'emploi, dans sa furtivité et dans son "instantanéité".
À ce jour, seules les autorités américaines, britanniques, françaises
et russes ont évoqué un possible recours à la LIO en cas de cyberguerre.
Du côté français, il est raisonnable de penser que le nouveau
Livre blanc en préparation sera plus explicite sur les cas d'application
de la LIO, en précisant ce que l'on entend par "riposte proportionnelle
à l'attaque" et le rôle du chef de l'État dans le processus
décisionnel (ce processus est-il comparable à celui existant pour le
nucléaire militaire ?).
La notion d'"ADM", terme qui s'est répandu après les débuts
de la guerre froide, ne doit-elle pas aujourd'hui évoluer afin de
prendre en compte l'apparition de nouveaux types d'armes suscep-
tibles d'entraver et de désorganiser durablement le fonctionnement
des sociétés modernes, de plus en plus dépendantes de l'économie
numérique ? Enfin, si se prononcer en faveur d'une extension de la
notion d'ADM au XXIe siècle, en particulier aux cyberattaques, est
novateur,En la matière, c'est la représentation nationale qui a innové, dans un rapport sur "Les enjeux géostratégiques des proliférations", publié en novembre 2009 par la commission des
Affaires étrangères de l'Assemblée nationale, et dont les rapporteurs, les députés Jean-Michel
Boucheron et Jacques Myard, n'ont pas hésité à inclure les cybermenaces dans leur réflexion
sur les proliférations. il va de soi que cette extension n'est pas limitative et
qu'elle devra prendre en compte l'évolution des armes de "désorganisation
massive" dans le monde (peut-être les nanotechnologies
dans le futur, par exemple) et les perspectives de maîtrise des
armements (arms control) en la matière. C'est bien dans ce domaine
qu'une vision globale des ADM apparaît indispensable aujourd'hui,
afin d'anticiper la prolifération d'attaques multiformes susceptibles
de déstabiliser nos sociétés.
Ce débat ne peut être disjoint d'un autre, concernant le respect
des libertés fondamentales dans une société démocratique, débat
posé de manière un peu similaire après les attentats du
11 septembre 2001. Se prémunir contre la menace des cyber -
attaques est essentiel, on l'a vu, mais cela ne doit pas se faire au
détriment de la liberté d'expression sur le nouveau média que
constitue l'internet. À cet égard, la Déclaration universelle des
droits de l'homme (1948), qui n'avait exclu aucun support d'expression,
est une référence suprême. L'une des meilleures garanties
en la matière reste toutefois la difficulté d'une maîtrise durable du
cyberespace, "espace public contesté" et objet d'une lutte incessante
entre États (adeptes de la surveillance) et internautes (adeptes
de la "sous-veillance"Voir l'avant-propos de Frédéric Ocqueteau et Daniel Ventre dans la livraison de
septembre 2011 de Problèmes politiques et sociaux (revue malheureusement disparue depuis)
consacrée au contrôle et aux surveillances dans le cyberespace.). Encore faut-il que le réseau fonctionne
et qu'il ne soit pas mis à plat par une attaque majeure à l'encontre
de ce nouvel espace de liberté...