Un petit article écrit dans le cadre du thème du mois de l'AGS sur le cyberespace et déjà publié sur le site de l'Alliance.
***
Le terme de "cyberguerre" s'impose de plus en plus dans le débat stratégique et les médias. Face aux nombreux messages alarmistes sur la vulnérabilité de nos infrastructures, nos dirigeants politiques placent la cybersécurité en haut de la liste de leurs priorités. Mais, alors qu'aucune occurrence de cyberguerre ne s'est encore produite, la situation est-elle si cataclysmique que certains la présentent ?
Tremblez devant le Cyber Monstre !
Depuis 1993 et le « Cyberwar is coming! » de John Arquilla et David Ronfeldt, le cyberdésastre semble nous pendre au nez. Pensez donc ! Grâce à Internet et au micro-ordinateur, tout un chacun, et notamment les états, mafias et autres terroristes mal-intentionnés, peut se muer en cyberpirate et mettre à bas la réputation ou les infrastructures numériques d'organisations situées à l'autre bout du monde ; et ce, en toute impunité ou presque, puisque si le réseau des réseaux abolit les frontières pour les trafiquants, criminels ou autres malfrats, la coopération internationale en termes de cyber-réponse (pour des raisons techniques, juridiques et politiques) est en revanche très lacunaire.
Virus, chevaux de Troie, vers, phishing, spams, contrefaçon, déni de service... la liste des menaces, plus ou moins intentionnelles, semble sans fin. L'accumulation d'exemples donnés par Nicolas Arpagian dans La Cyberguerre en donne le tournis. Et les ONG (particuliers, lobbys, activistes, mafias, groupes terroristes ou même entreprises) ne sont pas les seules à faire apparemment usage de l' « arme » numérique de façon offensive. L'Estonie en 2007, la Géorgie en 2008, Stuxnet en 2010 ou même le ghostnet chinois (La Chine au coeur d'une affaire de cyberespionnage de masse ?) sont autant d'affaires dans lesquelles les soupçons se portent sur une instigation étatique, avec plus ou moins de proxies pour brouiller les pistes ; un état de fait facilité par le manque de traçabilité qui existe sur Internet. La Clickskrieg nous guette :
The question isn't will there be a cyberwar -- the question is when will there be one?
La cyberguerre est déjà en train d'être perdue par les États-Unis, c'est ce que dit Mike McConnell, ancien directeur de la NSA :
The United States is fighting a cyber-war today, and we are losing.
Pas de quoi être optimiste, même si dans ce maelström on perçoit un certain amalgame entre menaces de diverses natures et de niveaux de dangerosité inégaux. D'autant que la sémantique est loin d'être innocente.
Cyber priorité et budget du cyber
Nos dirigeants semblent avoir pris le problème à bras le corps, donnant ainsi écho aux annonces alarmistes qui font de la quatrième dimension le terrain de la prochaine Guerre Mondiale. Il faut agir vite, car nos ennemis fourbissent déjà leurs claviers et nos infrastructures vitales sont vulnérables, du fait des failles de sécurité existant dans les systèmes SCADA ou DCS (Infrastructures vitales et cybersécurité). D'ailleurs, un hacker n'a-t-il pas récemment montré qu'il pouvait prendre à distance le contrôle d'une centrale nucléaire ? Kevin Mitnick, célèbre pirate informatique et ancien homme le plus recherché des Etats-Unis, ne pouvait-il d'ailleurs pas lancer l'apocalypse atomique en sifflant dans un téléphone ? Bref, les gouvernements font depuis quelques années de la cybersécurité une priorité de leur agenda et des dépenses militaro-sécuritaires. Et ce, à la fois sur les dimensions défensives et offensives. La création de l'US Cyber Command, la LOPPSI 2 ou la Canada's Cyber Security Strategy sont là pour en témoigner, sur des aspects divers. Au niveau international, marqué par un grand cloisonnement national, Hamadoun Touré, secrétaire général de l'Union Internationale des Télécommunications, agence spécialisée de l'ONU, réclame des traités internationaux et s'inquiètent de nouvelles formes de conflits (Nouvel Ordre Mondial Cybernétique et Clickskrieg) :
When I see Google and China fight, not China and the U.S., but a company and a country, it’s a new world order. Something new is happening around us. What do we do about it?
Même si, il faut bien le dire, un certain désaccord existe sur la définition d'une cyberarme. Là où nous Occidentaux voyons une menace sur les infrastructures (énergie, transport, systèmes financiers ou militaires...), les Russes et les Chinois mettent au premier plan la « guerre des idées », terrain de jeu du « terrorisme informationnel », coupable de déstabiliser les régimes en place à coup d'ingérence numérique (Cyberguerre, un désaccord dans les termes).
Quoi qu'il en soit les industriels de l'armement, toujours à la recherche de leviers de croissance, ont senti le bon filon, alors que la « Transformation » des décennies passées ne semble pas être allée au bout de ses promesses financières. Il faut dire que des analystes estiment que les États-Unis vont dépenser près de 50 milliards de dollars sur le sujet d'ici à 2015. En conséquence, les EADS, Boeing, Northrop Grumman, Lockheed Martin ou L-3 Communications cherchent à multiplier les acquisitions d'acteurs spécialisés, afin de combler leur retard sur les pure players du secteur. On voit bien leur intérêt à ce que le niveau de la cybermenace ne soit pas sous-estimé.
Cyber prudence
Sans nier que la sécurité dans le cyberespace est un enjeu majeur du XXIème siècle, du fait de la réseau-dépendance de nos sociétés, il faut cependant raison garder. Il est vrai que le numérique et l'Internet sont propices aux fantasmes les plus fous, du fait des possibles, qu'il s'agisse de l'abolition des distances (on peut être dévalisé par un escroc nigérian sans qu'il n'ait à franchir ses frontières !), du nombre d' « attaques » (le Pentagone est « attaqué » plus de 100 fois par jour !), de l’anonymat ou de l'asymétrie (quelques individus entraînés peuvent faire tomber une centrale nucléaire à l'autre bout du monde). Et Hollywood n'y est sans doute pas pour rien, en nourrissant l'imaginaire qui va favoriser les emballements médiatiques.
« Emballement médiatique », voilà qui sied bien à l’affaire Stuxnet, un virus en circulation depuis plus d’un an mais qui a eu l’honneur des spotlights quand l’hypothèse d’une attaque israélo-américaine sur l’Iran a été évoquée. Pour le moment, cette histoire a surtout montré l’importance de la guerre médiatique et psychologique, en l’absence de preuve quant à son origine et ses effets réels.
Il est également de bon ton, et le thème du mois de l'AGS le montre, d'utiliser le préfixe « cyber » devant tout un tas de termes pour en tirer des buzzwords aux connotations effrayantes : cyberterrorisme, cybercriminalité, cyber Pearl Harbor, Cyber Armageddon voire Cybarmageddon ou Cybergeddon...
Comme le rappelle SD dans son article Cyberguerre : halte à la bataille d'ordinateurs, il n'y a cependant pas encore eu de cyberguerre au sens politique du terme :
Des actions limitées de lutte informatique ne peuvent être assimilées à une guerre mais tout au plus à un combat dont nous ne savons rien ou presque.
Il est donc important de garder la tête froide, et de remettre les choses en perspective. On compare souvent Internet à un autre réseau de communications, le réseau routier. A titre indicatif, il y a sur les routes environ 1, 3 million de morts chaque année dans le monde. Il y a une certaine marge avant que la « cyberguerre » (encore à venir) n'atteigne ce niveau. D'aucuns disent même, ce avec quoi je ne suis pas d'accord (ne serait-ce que parce que le monde virtuel peut influer sur des éléments bien matériels), qu'une cyberguerre ne ferait que des cybermorts.
Alors certes, sur la route, l'écrasante majorité des accidents n'est pas due à des attaques volontaires, mais plutôt à des comportements irresponsables ou à de l'imprudence. Mais j'y vois là aussi un parallèle, toute proportion gardée, avec les dangers du cyberespace : une grande part du succès des malware provient directement du maillon humain, qui en toute innocence, va télécharger un fichier douteux depuis le Web ou brancher une clé USB sur le réseau de l'Intranet de la Marine Nationale.
Ce qui, par ailleurs, augmente sensiblement le risque d’effet indésirable d’une attaque, et ses coûts collatéraux, par un possible effet boomerang sur ses propres infrastructures, et qui doit inviter à réfléchir des décideurs politiques désireux de lancer des offensives à première vue peu onéreuses.
D’autant qu’il ne faut pas sous-estimer la résilience du réseau dans son ensemble. Si l’on revient aux origines d’Internet, on se rappelle que son ancêtre, Arpanet, a été conçu pour permettre le maintien de communications entre centres névralgiques américains à la suite d’une attaque nucléaire. De fait, les attaques enregistrées jusqu’à ce jour ont paralysé momentanément quelques sites Web ou ont perturbé le fonctionnement de quelques usines. Il n’a pas fallu longtemps à l’Estonie ou la Géorgie pour se relever des attaques subies en 2007 et 2008. Autre exemple, moins glorieux : des serveurs de messagerie par lesquels sont transitent de grandes quantités de spams sont régulièrement éteints par décision de justice, occasionnant des chutes énormes immédiates du volume de pourriels perceptibles au niveau mondial ; qui reprend de plus belle à peine quelques jours plus tard…
Pour certains, comme Jean-Marc Manach, animateur du blog Bug Brother, la cause est entendue : après le terrorisme islamiste, la « cyberguerre » est le nouvel instrument de peur au profit de mesures sécuritaires et de contrôle de la population :
Je ne sais ce qu’il en sera dans 2, 5 ou 10 ans. Je n’en constate pas moins que, jusqu’à ce jour, et depuis des années, le “cyberterrorisme” relève surtout de la (cyber)propagande, et qu’il sert essentiellement à “nous” préparer à l’éventualité d’une “cyberguerre”, et donc à en financer les préparatifs et contre-mesures militaires, et policières.
D’autres, comme l’expert Bruce Schneier, sont plus mesurés : tout en reconnaissant l’emballement excessif autour du cyber, ils invitent à mettre l’emphase sur la cybersécurité menée par le civil, pensée en temps de paix, au détriment de la cyberguerre, qui serait par essence militaire :
We surely need to improve our cybersecurity. But words have meaning, and metaphors matter. There's a power struggle going on for control of our nation's cybersecurity strategy, and the NSA and DoD are winning. If we frame the debate in terms of war, if we accept the military's expansive cyberspace definition of "war," we feed our fears.
We reinforce the notion that we're helpless -- what person or organization can defend itself in a war? -- and others need to protect us. We invite the military to take over security, and to ignore the limits on power that often get jettisoned during wartime.
If, on the other hand, we use the more measured language of cybercrime, we change the debate. Crime fighting requires both resolve and resources, but it's done within the context of normal life. We willingly give our police extraordinary powers of investigation and arrest, but we temper these powers with a judicial system and legal protections for citizens.
Il s'agit donc de penser une "cyber-défense" permanente, couvrant l'ensemble des infrastructures et réactive en cas d'attaque, sans toutefois qu'elle soit uniquement militaire.
Le débat risque de rester vif dans les prochaines années, d’autant que comme nous l’avons déjà évoqué, le flou (proxy, false flag, astroturfing…) régnant sur l’origine des attaques dans le cyberespace et leur impact réel ne joue pas en faveur de la transparence, et pourrait favoriser l’emballement... ou la dissimulation. Il reste toutefois à espérer que les prophéties les plus pessimistes, encourageant la course aux cyberarmements défensifs et offensifs, ne deviennent pas autoréalisatrices.
Aucun commentaire:
Enregistrer un commentaire