Guerre dans le cyberespace
Le compas intellectuel d’un stratège est large : il embrasse les continents et le long terme. La conversation avec l’un d’eux est donc des plus intéressantes.
Je parlais ainsi ces derniers jours avec François Géré et lui disais mon admiration pour les travaux de Vincent Desportes et de Rupert Smith, ces théoriciens de la guerre dissymétrique entre une armée classique et des insurgés qui trouvent soutien et refuge dans une population civile.
« Tout ça, me dit-il, c’est du passé. Le conflit dissymétrique n’est plus le modèle des prochaines décennies. Nous allons retrouver la situation stratégique classique, celle d’un affrontement entre des empires qui souhaitent sécuriser leurs approvisionnements et leurs débouchés : États-Unis, Chine, Inde, Europe, Russie etc. Par contre le champ de bataille, lui, sera nouveau : ce sera le cyberespace ».
Ce propos a été confirmé quelques jours après par David Sanger et Elisabeth Bumiller, « Pentagon to Consider Cyberattacks Acts of War », The New York Times, 31 mai 2011.
La Chine partage elle aussi ce point de vue (voir Francis Tan, « China makes cyber-warfare a military priority : the Internet is the next battleground », TNW Asia, 3 juin 2011) : elle a formé une « Blue Army » de spécialistes, et lorsqu’une attaque de grande ampleur se produit quelque part dans le monde elle est la première soupçonnée. Il lui est aussi arrivé, semble-t-il, de se faire piller le trésor que ses espions accumulent (voir « Le trésor de guerre de Wikileaks ? Une gorge profonde
chinoise »,
Bug Brother, 2 juin 2010).
* *
Au néolithique, la guerre se déroulait sur terre. Elle s’est étendue à la mer dans l’Antiquité puis aux airs dans le XXe siècle. Pour un stratège la question la plus délicate, mais la plus féconde, réside dans la coordination des armes qui agissent dans ces trois espaces et que l’on qualifie de « cinétiques ». Il lui faut maintenant coordonner ce cinétique avec le « cyber », quatrième espace qui sera, dit Géré, le champ de bataille privilégié car étant nouveau il se prête à l’innovation stratégique et aux attaques par surprise.
Comme dans les autres domaines de l’art de la guerre, la stratégie dans le cyberespace s’appuie sur des manœuvres défensives et offensives :
Défense :
1) se protéger contre les attaques : par analogie avec la médecine, on peut parler de prévention ;
2) repérer et diagnostiquer les attaques (diagnostic 1 : de quelle maladie s’agit-il ? quel est l’agent pathogène : virus, ver, cheval de Troie, bombe informatique ?) ;
3) identifier les attaquants (diagnostic 2) ;
4) réparer les dégâts (prescription et soins aux malades).
Attaque :
5) concevoir des armes (guerre bactériologique : conception d’armes et de vaccins) ;
6) s’introduire dans les systèmes des autres, y poser des bombes activables (espionnage et sabotage) ;
7) concevoir les stratégies d’attaque ou de représailles comportant éventuellement des moyens cinétiques ;
8) mener effectivement les attaques ou les représailles (tactique opérationnelle).
(Je conseille Éric Filiol, « Les virus informatiques : théorie, pratique et applications », Springer 2009, pour se faire une idée de l’arsenal de la cyberguerre et de la cybercriminalité).
* *
La guerre se conduit déjà dans le cyberespace. On cite ainsi :
a) la prise de contrôle par les Israéliens du système de radar syrien qui a permis au bombardier israélien de passer sans être vu en septembre 2006 pour détruire une installation nucléaire ;
b) l’attaque d’origine inconnue (mais probablement russe) contre le système civil en Estonie en mai 2007 : quoique non préalable à un acte de guerre, cette attaque a considérablement gêné la société estonienne ;
c) les attaques russes qui ont précédé ou accompagné la guerre contre la Géorgie en août 2008 et désorganisé le commandement géorgien ;
d) l’attaque d’origine inconnue (mais probablement israélienne) utilisant le virus Stuxnet contre le programme nucléaire iranien en octobre 2010 ;
e) l’attaque contre les systèmes d’information du gouvernement français avant le G20 en mars 2011.
(Pour une liste plus complète, voir « Significant Cyber Incidents Since 2006 »).
Les nations seront d’autant plus vulnérables à une attaque qu’elles auront plus complètement automatisé la gestion de leurs services publics (production et transport de l’énergie, télécommunications, hôpitaux, chemins de fer etc.). Il est donc crucial de concevoir l’informatisation non comme une automatisation pure mais comme la mise en œuvre de l’alliage du cerveau humain et de l’automate, et de prévoir lors de la mise en place des automates la possibilité d’une reprise en main par des acteurs humains en cas d’incident ou de sinistre dus à une panne, un défaut du logiciel - ou une attaque.
Dans le cyberespace, l’innovation est plus rapide est moins coûteuse que dans le cinétique : tandis qu’il faut plusieurs années pour concevoir et développer un système d’armes, quelques mois peuvent suffire à de bons informaticiens pour concevoir une attaque cyber sophistiquée. Il est en outre très difficile d’identifier l’attaquant, comme le montrent certains des exemples cités : ce peut être un État, mais aussi un acteur non étatique, éventuellement irrationnel, qui attaquerait sans avoir raisonnablement anticipé les effets de ses actes (Franklin D. Kramer, « Cyber Conflict : Challenging the Future », Black Hat Conference, Washington, 18 janvier 2011).
Les ripostes peuvent être diplomatiques (demande d’enquête), économiques (sanctions), cinétiques, cyber enfin (attaque contre des serveurs). Pour pouvoir riposter dans le cyberespace il faut avoir soi-même préparé une attaque et donc avoir espionné l’adversaire, avoir depuis longtemps secrètement pénétré ses systèmes informatiques, y avoir éventuellement déposé des bombes que l’on puisse activer. Cela ressemble à l’équilibre périlleux que procure la dissuasion nucléaire (« si tu m’attaques, je suis en mesure de causer chez toi des dommages équivalents ou supérieurs »). Le problème le plus délicat réside cependant dans l’identification de l’agresseur, et elle devient pour les spécialistes la première des priorités.
* *
L’Internet est vulnérable : des failles existent dans les protocoles de routage, dénombrement et nommage qu’il utilise et ces protocoles sont si complexes qu’il faudra des années de recherche pour les corriger. La généralisation de l’utilisation du cloud computing accroîtra encore les risques.
Sur le marché noir du cybercrime on peut acheter le dernier virus, s’informer sur les dernières vulnérabilités découvertes, louer des botnets (milliers d’ordinateurs parasités), acheter en masse des numéros de carte de crédit, des informations personnelles, des données sur les comptes bancaires. Les cibles privilégiées sont les distributeurs de billets et les comptes en ligne. Les attaques par « denial of service », qui s’appuient sur des botnets pour attaquer un serveur, ne sont pas des actes de guerre, l’espionnage économique et le cybercrime non plus, mais la frontière qui les sépare de la guerre est ténue : les meilleurs cybercriminels disposent de moyens comparables à ceux des services de renseignement et sont souvent en contact avec leur gouvernement qui à l’occasion les emploiera comme mercenaires.
Ainsi la lutte contre la cybercriminalité et la sécurisation des systèmes d’information apparaissent comme une étape nécessaire de la stratégie dans le cyberespace : il s’agit en particulier pour les entreprises de mettre au point un système d’identification et d’authentification robuste et de gérer de façon rigoureuse les habilitations pour l’accès aux infrastructures critiques.
Certains préfèrent que le cyberespace reste un Far West car ils croient que cela favorise l’innovation : ils s’opposent à la cybersécurité ainsi que ceux qui, dans les administrations et les entreprises, y voient une menace pour leur chasse gardée ou encore ceux qui ont une confiance excessive dans le libre jeu d’un marché affranchi de toute régulation. Ajoutons que le style de commandement en vigueur chez les militaires répugne à certains experts en informatique...
* *
Aux Etats-Unis le système Einstein permettra de superviser les réseaux et, dans sa version la plus avancée, de détruire une attaque potentielle avant qu’elle n’ait pu atteindre sa cible (cette manœuvre est analogue à l’interception d’un missile). L’Office of Management and Budget de la Maison blanche développe des normes pour la sécurité des clouds. Le Federal Information system management act organise la régulation des quatre infrastructures essentielles (réseau électrique, télécommunications et informatique, services financiers, gouvernement) et une Financial action task force supervise la lutte contre le blanchiment. Un « Cyber Command » militaire dirigé par le directeur de la NSA, le général Keith B. Alexander, forme des spécialistes - mais il lui reste encore à définir une stratégie et des règles d’engagement.
Il n’est guère de jour où l’on ne trouve dans la presse des articles qui témoignent de la préparation de la guerre dans le cyberespace : aujourd’hui par exemple on apprend que les Britanniques s’y mettent (« Government plans cyber weapons programme »), ainsi que les Nord-coréens (« North Korea training cyberwarriors in foreign colleges »). La France s’y met elle aussi très sérieusement avec l’Agence nationale de la sécurité des systèmes d’information (ANSSI) (voir « L’Etat renforce sa politique de cybersécurité » sur infoDSI.com).
* *
Nous savions que le système d’information est l’outil essentiel de la stratégie d’une entreprise, que l’informatisation d’une nation détermine son rang et son influence dans la géopolitique. Que le cyberespace soit devenu le champ de bataille des conflits futurs confirme cette analyse.
On y retrouve certaines des règles qu’impose l’informatisation : ne pas faire entièrement confiance aux automatismes, mais les superviser et les articuler avec des cerveaux humains auxquels qui puissent reprendre la main en cas de besoin ; accorder le plus grand soin aux procédures d’identification, authentification et gestion des habilitations ; ne pas sous-traiter enfin les compétences sémantiques, logiques et techniques qui sont nécessaires à la conception et la réalisation de la stratégie...