CAIRN.INFO : Matières à réflexion
2014/4
format_quote Citer ou exporter Ajouter à une liste Suivre cette revue

Article

1Depuis son origine [1], l’arme est conçue comme un outil produisant une force létale, ou au moins incapacitante – moyen d’ôter des moyens. Offensive, elle inflige un dommage ou une contrainte. Défensive, elle contrarie la violence de la première. Du silex à la bombe H, posséder un armement a toujours consisté à produire et stocker des artefacts et substances ayant un potentiel de destruction ou de mort. Un arsenal se compte en tanks, têtes de missiles ou autres que l’on peut exhiber dans des parades militaires, éventuellement en armes de destruction massive que l’on dissimule, etc. Dans tous les cas, leur effet nocif se présume approximativement. Mais que peut un armement dit « cyber », dont l’efficacité repose sur l’information et l’action sur l’information – via des logiciels ou des algorithmes ? Quels dangers portent ces panoplies qui, jusqu’à nouvel ordre, n’ont jamais tué mais suscitent tant de fantasmes ? Le dernier Livre blanc de la défense [2] distingue lutte informatique défensive et offensive (LID et LIO) ; notre pays fait partie des puissances qui possèdent des « cyberarmes offensives » [3], notion qui se retrouve dans de nombreuses études étrangères [4].

La défense et la connaissance

2Pour la défensive, chacun s’en fait une idée : il utilise lui-même des antivirus ou travaille pour une organisation préconisant un minimum de sécurité informatique. Se défendre consiste à sanctuariser un espace virtuel, à en contrôler l’accès par une « barrière de feu » ou des modes d’identification perfectionnés. Il faut s’assurer qu’aucun acteur non autorisé ne peut y prélever des données confidentielles ni y imposer des « ordres » illégitimes – que les instructions en question servent à détourner le fonctionnement du dispositif ou à le rendre inopérant.

3Se défendre n’est certainement pas aisé sur le plan technique, car les attaquants peuvent chaque jour inventer de nouvelles façons de faire, emprunter de fausses identités ou de fausses autorisations ; ils s’efforcent de pénétrer dans un ordinateur ou de prendre à distance le contrôle de dispositifs hypersophistiqués. En matière d’organisation, jouer en défense n’est pas non plus des plus simples [5]. Ainsi pour défendre les infrastructures dites vitales ou critiques d’un pays, celles dont dépendent la distribution de l’énergie, les transferts bancaires, les réseaux de circulation, qui sont gérées par informatique. Il faut pour cela coordonner de multiples instances privées ou publiques, instaurer un partage efficace de l’information, créer des organismes d’intervention immédiate, éventuellement assurer une certaine résilience à des systèmes interdépendants : il faut présumer qu’ils seront attaqués un jour ou l’autre et il importe qu’ils se rétablissent très vite.

4Il est difficile de contester à un État le droit de se doter de la meilleure cyberdéfense contre l’espionnage industriel et de se protéger d’offensives militaires visant à un ravage et à une contrainte politique. Pourtant, la rhétorique cybersécuritaire de la lutte contre les pirateries peut servir d’alibi à une répression de la dissidence en ligne. Et pour anticiper des attaques futures, les États pourraient être tentés de pratiquer le renseignement sur d’éventuels agresseurs, ce qui suppose d’espionner « un peu », donc d’être « un peu » offensif. Mais comment reconnaître une arme offensive, celle qui n’est pas conservée dans un hangar ou une caserne mais dans des cerveaux, humains ou électroniques ? Elle semble se jouer des frontières. Utilisée une fois, elle suscitera sans doute la recherche frénétique de contre-mesures, qui la rendront demain obsolète.

Les fonctions de l’agression

5Dès les années 1990, le cinéma, mais aussi des études de think tanks réputés [6] évoquent le scénario tantôt d’un bricoleur de génie, tantôt d’une organisation contrôlée par un État voyou, et qui, en fabriquant un virus redoutable, plongerait un pays dans le chaos : banques ou transports paralysés, pannes et paniques contagieuses, etc. Même s’il n’est pas possible d’exclure cette hypothèse, une cyberarme – comprenez : un dispositif numérique ou code destiné à provoquer un dommage – n’a jamais encore eu de tels effets dans le « monde réel », où les cyberagressions prennent des formes très hétérogènes.

6La plupart des spécialistes sont à peu près d’accord pour classer les cyberarmes comme visant trois effets principaux : espionnage, sabotage et subversion [7]. Le bon bout de code bien employé permet, en effet, de faire trois choses qui ne s’excluent pas. S’emparer de données confidentielles, d’abord : ce peut être pour leur valeur monétaire, pour s’approprier des technologies et les fruits d’une recherche, pour connaître la stratégie d’une entreprise et d’un État, pour préparer une future attaque, pour surveiller une population suspecte, voire, comme la NSA, pour anticiper des tendances planétaires à l’échelle des big data. Toutes ces opérations qui ressortent à l’espionnage ou à la piraterie informatique n’ont, évidemment, ni la même finalité, ni la même gravité, ni le même rapport avec un acte de guerre [8]. Perturber, ensuite : le bon maliciel au bon moment peut provoquer des dysfonctionnements dans une défense antiaérienne ou dans une centrifugeuse enrichissant l’uranium, priver une grosse société de ses courriels quelques jours ou paralyser des feux de contrôle [9]. Elle fonctionne suivant le principe du temps que l’on fait perdre à l’autre ou du temps dont on profite pour mener une action militaire, et du chaos que l’on provoque. De telles actions pourraient, in fine, tuer indirectement ou provoquer des dégâts économiques ou organisationnels comparables à ceux d’une attaque dite cinétique. Provoquer, enfin : atteindre psychologiquement et, souvent, politiquement. Nombre des attaques dites de subversion [10] consistent ainsi à ridiculiser un adversaire, généralement politique, à mettre ses documents compromettants en ligne, à mobiliser les internautes contre lui ou simplement à paralyser ses sites par un nombre de demandes artificiellement engendrées et qui produisent un effet de gel spectaculaire. Ces attaques dites par déni d’accès partagé, pas nécessairement très complexes ni très dommageables, ont souvent un grand impact médiatique. La frontière entre l’attaque au sens quasi militaire et l’activisme, la protestation voire l’expression d’une opinion est ici parfois fort ténue. Par ailleurs, les armes peuvent être soit très spécialisées dans une cible précise – ce qui a priori demande des investissements, du temps, des compétences comme en ont certains services d’État – et d’autres moins sophistiquées, qui pénètrent moins en profondeur et ont un effet plus superficiel, comme les dénis d’accès précités.

Combats dans le brouillard

7Surtout, la logique des armes offensives cyber, hétérogènes par nature et par usage, renvoie à la question du secret [11]. L’arme secrète, comme le V2 ou la bombe atomique – celle dont on dissimule la nature ou les effets à l’ennemi pour créer la surprise –, reste généralement cachée le temps d’être fabriquée, avant une utilisation spectaculaire. Mais toute arme informatique place son possesseur face à un dilemme. S’il nie en avoir ou en concevoir le simple projet, il diminue ses chances de dissuader un éventuel agresseur : ce dernier, s’il ne craint pas la rétorsion, peut être tenté de considérer le pays en question comme une « cible molle ». Si l’État fait savoir ce qu’il a dans son arsenal, il avertit les futures cibles de ce contre quoi elles doivent se prémunir, renseigne sur l’état de sa recherche et ses capacités. En outre, il se place de lui-même sur le banc des suspects lors d’une future cyberagression anonyme, donne des arguments à ses adversaires pour le stigmatiser face à l’opinion internationale et s’expose peut-être à des accusations juridiques. La bonne stratégie consiste sans doute à laisser supposer à d’éventuels agresseurs que, vu son niveau technologique et sa posture en matière de cyberdéfense, tel pays pourrait exercer des représailles redoutables, sans plus de précision. Il pourrait y avoir une certaine tentation de bluffer un peu. Ou, comme l’ont fait les États-Unis dans l’affaire Stuxnet, de laisser dire par la presse que l’on est à l’origine d’une action sophistiquée sans en reconnaître formellement la paternité.

8Pour compliquer les choses, quand bien même on saurait qui a quoi ou qui peut quoi, toute attaque dans le cyberespace soulève des problèmes d’incertitudes ou de dissimulation rarement rencontrés avec des armes « classiques ». Lorsque l’une d’elle est employée, on peut systématiquement avoir un doute sur l’acteur qui l’utilise en réalité. C’est le fameux problème de l’attribution : telle attaque de tel niveau a-t-elle été organisée par un service d’État ? seul ou associé à des groupes de hackers militants ou mercenaires ? allié à d’autre pays ? par l’État qui semble être en conflit avec la victime ou par un autre, provocateur ou opportuniste ? par des acteurs privés que personne ne contrôle ? accompagnée ou pas d’une revendication, authentique ou non ? À ces doutes s’ajoutent l’incertitude sur l’efficacité des attaques : savoir si elle a été inférieure ou supérieure aux projets de ses concepteurs, à leur intention réelle, par exemple de délivrer un message de menace qui a pu être mal interprété, sans oublier l’éventualité qu’une attaque ait « bavé », c’est-à-dire que, dans un système hyperconnecté comme l’est Internet, un logiciel malicieux se soit répandu au-delà de la cible sur laquelle il était censé exercer son ravage. La liste des doutes raisonnables et des tromperies envisageables dans la bataille cyber n’est sans doute pas close. La pire inconnue étant que tous les raisonnements menés aujourd’hui peuvent être réduits à néant demain par une invention future.

Vers de nouvelles stratégies ?

9Dans les années 1990, disions-nous, la futurologie spéculait sur la grande attaque informatique que lancerait un jour un État de faible puissance et de ressources modestes. Elle atteindrait les nations les plus développées, justement parce que développées, donc dépendantes du numérique. Et ce serait le grand chaos.

10Depuis, les cyberattaques se sont multipliées, et tous les pays se dotent ou songent à se doter de moyens de protection, de structures militaires ou civiles de coordination [12]. Cela au moins pour ralentir le pillage de leur patrimoine informationnel et garantir leurs infrastructures vitales contre d’éventuels sabotages. Les États acquièrent des armes informatiques offensives pour une rétorsion contre des cyberattaques et y consacrent des budgets qui coûtent moins que celui d’un régiment ou d’un avion furtif. Si le coût de fabrication d’une cyberarme offensive – qui demande essentiellement du temps de cerveau humain – est évidemment aussi secret que sa nature, il est néanmoins possible de se faire une idée du « bon marché » relatif de la défense cyber, en rappelant que le budget annuel de l’Agence nationale de la sécurité des systèmes d’exploitation (ANSSI), en France, est inférieur à 100 millions d’euros et que celui du Cyber Command américain, qui vient pourtant de doubler, est de 447 millions de dollars en 2014. Par ailleurs, une composante cyberélectronique va forcément s’intégrer dans les activités militaires opérationnelles [13] : pourquoi se priver de paralyser le radar ou le drone adverse avec des électrons plutôt qu’avec des explosifs ?

11Pourtant, la grande attaque numérique qui remplacerait la guerre classique ne se produit toujours pas, et personne n’est encore mort d’un virus électronique. Dans des conflits comme en Syrie ou en Ukraine, des grandes puissances semblent se retenir par rapport à la force de nuisance cyber qu’elles pourraient utiliser. Tant et si bien que le ravage numérique – nous ne parlons pas du cyberespionnage qui, lui, est en pleine expansion – apparaîtrait plutôt comme un degré dans l’échelle des pressions et avertissements, qui tantôt éviterait la violence ouverte, « cinétique », tantôt en augmenterait l’efficacité par l’anticipation et la précision. Dans tous les cas, il semble que l’on songe actuellement plus spontanément à des bombes plutôt qu’à des « malwares » quand il faut combattre l’État islamique. Cette hypothèse d’une réduction de l’arme cyber à un rôle complémentaire, voire modérateur par rapport au fer et au feu est-elle une bonne nouvelle ? Peut-être, si l’on songe que l’arme cyber ne se désinvente pas et que l’on peut détruire des stocks de matières chimiques ou fissibles, mais pas un algorithme futur.

Notes

  • [1]
    Voir André Leroi Gourhan, Évolution et technique, Vol. II : Milieux et techniques, Paris, Albin Michel, 1943.
  • [2]
    Ministère de la Défense, Livre blanc sur la défense et la sécurité nationale, Paris, La Documentation française, 2013.
  • [3]
    Voir le dossier « Lutte informatique offensive. Les attaques ciblées », MISC magazine, n° 36, éditions Diamond, mars-avril 2008.
  • [4]
    Voir par exemple Dale Peterson, « Offensive Cyber Weapons : Construction, Development, and Employment », Journal of Strategic Studies, vol. 36, n° 1, 2013, pp. 120-124.
  • [5]
    Voir le dossier « Le cyberespace, nouvel enjeu stratégique », La Revue internationale et stratégique, n° 87, IRIS Éditions – Armand Colin, automne 2012.
  • [6]
    Voir notamment John Arquila et David Ronfeldt, « Cyberwar is Coming ! », Comparative Strategy, vol. 12, n° 2, Taylor & Francis, printemps 1993, pp. 141-165.
  • [7]
    Voir la critique de ces catégories par Thomas Rid, Cyber War Will Not Take Place, New York, Oxford University Press, 2013.
  • [8]
    À titre d’exemple, et bien que de tels chiffres soient impossibles à vérifier, le cyberespionnage coûterait entre 24 et 120 milliards de dollars par an aux États-Unis, selon le Washington Post (Ellen Nakashima et William Wan, « U.S. announces first charges against foreign country in connection with cyberspying », 19 mai 2014).
  • [9]
    Les quatre cas étant respectivement illustrés par le conflit entre Russie et Géorgie en 2008, par le ver informatique Stuxnet contre l’Iran, par celle du virus Shamoon contre la compagnie Aramco et par la paralysie provisoire du tunnel du Carmel en Israël.
  • [10]
    Comme celles que pratique Anonymous.
  • [11]
    Voir le dossier « Secrets à l’ère numérique », Médium, n° 37-38, octobre 2013-mars 2014.
  • [12]
    Voir François-Bernard Huyghe, Olivier Kempf et Nicolas Mazzucchi, « Composante politicomilitaire et sociétale d’une cyberstratégie française : agir dans la dimension sémantique du Cyberespace », étude CSFRS à paraître, 2014.
  • [13]
    Voir Aymeric Bonnemaison et Stéphane Dossé, Attention : Cyber ! Vers le combat cyber électronique, Paris, Economica 2013

Plan

  1. La défense et la connaissance
  2. Les fonctions de l’agression
  3. Combats dans le brouillard
  4. Vers de nouvelles stratégies ?

Auteur

François-Bernard Huyghe
Directeur de recherche à l’IRIS.
Dernière publication diffusée sur Cairn.info ou sur un portail partenaire
Consulterfile_download Télécharger
Mis en ligne sur Cairn.info le 02/12/2014
https://doi.org/10.3917/ris.096.0107
Pour citer cet article
Distribution électronique Cairn.info pour IRIS éditions © IRIS éditions. Tous droits réservés pour tous pays. Il est interdit, sauf accord préalable et écrit de l’éditeur, de reproduire (notamment par photocopie) partiellement ou totalement le présent article, de le stocker dans une banque de données ou de le communiquer au public sous quelque forme et de quelque manière que ce soit.
keyboard_arrow_up
Chargement
Chargement en cours.
Veuillez patienter...