PLUSIEURS événements récents ont montré le rôle que la «cyberguerre

Transcription

1 Les cyberattaques, armes de guerre en temps de paix Dominique Mongin * PLUSIEURS événements récents ont montré le rôle que la «cyberguerre» allait être amenée à jouer dans les années à venir, à un degré proportionnel à la dépendance de nos sociétés vis-à-vis des technologies de l information : révélations sur une attaque visant l Élysée au moment de l élection présidentielle, débat autour de la lutte contre le programme nucléaire iranien, initiatives pour faire évoluer le débat stratégique en direction de cette cinquième dimension. Alors que le gouvernement français s apprête à rédiger un nouveau Livre blanc sur la défense, la capacité des démocraties à répondre à la mesure de la menace, déjà bien réelle et «opérationnelle», est mise au défi. Le débat stratégique aborde un changement d ampleur, qui n a rien à envier, dans un contexte radicalement différent, à celui qui avait émergé à la fin de la Seconde Guerre mondiale avec l arme nucléaire. N assiste-t-on pas à l émergence d une nouvelle arme «non conventionnelle»? Ne doit-on pas élargir l approche propre aux armes de destruction massive ou ADM (armes nucléaires, chimiques et biologiques) à cette nouvelle dimension de la guerre moderne entre États, et cela même si les effets destructeurs des cyberattaques ne sont en rien comparables à ceux des armes nucléaires? Après un état des lieux des actions «militaires» qui ont déjà eu lieu, de la réalité de la menace présente en matière de cyberguerre, * Docteur en histoire, chercheur et enseignant sur les questions de défense et de sécurité. Janvier

2 Les cyberattaques, armes de guerre en temps de paix cet article s intéressera aux réponses étatiques 1 apportées dans le camp des démocraties, puis à l évolution de leurs concepts de défense, dont certains (c est le cas de la France) prônent ouvertement le recours possible à la lutte informatique offensive (LIO), comme nouveau mode d action militaire, avec une ambiguïté savamment cultivée : la LIO, arme de guerre ou arme de non-guerre? Une menace multiforme et bien réelle dans le cyberespace Jusqu à présent, toutes les actions étatiques de cyberguerre ont été menées de façon clandestine (il n y a pas eu de guerre «déclarée»). La guerre informatique appartient bien à la «guerre secrète», qui consiste à mener une action technologiquement si sophistiquée qu il devient particulièrement difficile pour un adversaire étatique d en trouver l origine. Il s agit ici d un nouveau mode opératoire, multiforme, dans le «cyberespace 2», qui permet à l agresseur de se rendre quasiment indétectable, tout en délivrant, si nécessaire, un message diplomatique implicite, mais sans que l origine de l initiative soit précisément identifiée L une des premières opérations connues en matière de guerre informatique semble avoir été menée par la CIA au début des années 1980, en réponse à l affaire Farewell 3, lorsque le service d espionnage américain eut recours à des actions clandestines pour duper l adversaire soviétique sur certaines technologies (informatiques) que ce dernier cherchait à posséder 4. L une de ces actions consista 1. Cet article est focalisé sur la cyberguerre comme nouveau mode d action «militaire» entre États, il ne traite donc pas de la «cybercriminalité» ou de la «cyberdélinquance», même si certains États peuvent y avoir aussi recours pour mener des attaques. 2. Sur la définition du «cyberespace», se reporter à l article de Daniel Ventre, «Le cyberespace : définitions, représentations», publié dans la Revue défense nationale de juin Il y montre que le cyberespace, dimension transversale aux quatre espaces «conventionnels» (terre, mer, air, espace) et au monde réel, est composé de trois couches interdépendantes : une couche matérielle (infrastructures, hardware, spectre électromagnétique ), une couche logicielle et une couche cognitive. 3. L affaire Farewell commence au début de l année 1981 lorsqu un colonel du KGB prend contact avec un service de renseignement français (la DST) pour le faire bénéficier d un grand nombre de documents secrets révélant le haut degré de l espionnage soviétique en Occident. En communiquant deux mois après son élection la teneur de ces informations à l allié américain (les deux tiers des documents visaient les États-Unis), le président Mitterrand allait dès lors pouvoir nouer des relations de confiance avec le président Reagan. 4. Cette contre-offensive américaine a été révélée par un ancien membre du National Security Council, Thomas Reed, dans son livre At the Abyss, New York, Presidio Press, Voir également, au sujet de l affaire Farewell, le livre très documenté de Vincent Nouzille, Dans le secret des Présidents. CIA, Maison-Blanche, Élysée : les dossiers confidentiels ( ), Paris, Fayard,

3 Dominique Mongin à placer une «bombe logique» dans un système de contrôle informatique destiné à un gazoduc (un logiciel de gestion de turbine) dont l Union soviétique s efforçait de se doter. Lorsque des espions soviétiques dérobèrent à une entreprise canadienne ledit système de contrôle, ils n avaient pas conscience d être manipulés par la CIA et encore moins que le système en question était «infecté» par un virus. Une fois implanté sur un gazoduc en Sibérie, le système échappa complètement au contrôle de ses nouveaux détenteurs, provoquant en juin 1982, «l explosion et l incendie non nucléaires les plus gigantesques que l on ait jamais pu voir depuis l espace 5». Toutefois, cette explosion n a jamais été reconnue officiellement, ni du côté soviétique ni du côté américain. L intérêt de cet épisode réside dans le caractère potentiellement «destructeur» de certains systèmes informatiques qui ne sont plus sous contrôle. On pense bien entendu aux conséquences de ce type de situation dans le cas des secteurs d importance vitale, tant dans le domaine énergétique (nucléaire, hydroélectrique ) que dans celui des transports (système de contrôle aérien ), de l industrie chimique ou autre. À cet égard, le ver Slammer constitua en 2003 un avertissement. En infectant un logiciel gérant un système SCADA 6, ce ver provoqua un black-out sur le réseau électrique nordaméricain, privant d électricité cinquante millions de personnes. L actuel patron du Cyber Command 7 n hésite pas à prendre l exemple d un accident (provoqué par un bug informatique et non par une cyberattaque) qui s est produit dans une usine hydroélectrique russe en août 2009, faisant soixante-quinze morts, comme une illustration des dégâts importants que peuvent provoquer des perturbations informatiques 8. Aujourd hui, les cyberattaques qui visent ou qui menacent les États de la planète sont de plusieurs types : les actions de pertur- 5. Selon un ancien secrétaire de l armée de l air cité dans l article War in the Fifth Domain, The Economist, 3 juillet Supervisory Control and Data Acquisition System ou SCADA est un système de contrôle qui gère le fonctionnement de machines (valves, pompes, générateurs ) indispensables au bon fonctionnement d installations dites «vitales» : réseaux de distribution de l eau ou de l électricité, réseaux de transport 7. Le Cyber Command a été créé en 2010 afin de mieux prendre en compte dans l organisation de la défense des États-Unis la dimension de la cyberguerre et de mettre en place les moyens pour y répondre. Son patron, le général Alexander, est également patron de la National Security Agency (NSA), ce qui souligne les passerelles existant entre un service spécialisé dans l écoute et les interceptions électroniques et un commandement militaire en charge de préparer la guerre dans la nouvelle dimension informatique. 8. Allocution du général Alexander devant l université de Rhodes Island en avril

4 Les cyberattaques, armes de guerre en temps de paix bation, les actions de destruction et les actions d espionnage plus «classiques». Les actions de perturbation : il s agit d actions offensives mais non destructrices visant à perturber, massivement ou de manière très ciblée, le mode de vie et le fonctionnement d une nation. C est ce qu a subi l Estonie en avril-mai 2007, avec des attaques informatiques massives (attaque par «déni de service 9») pendant trois semaines à l encontre de sites internet gouvernementaux et privés (banques, opérateurs téléphoniques ) ; une «première» à l échelle d un État tout particulièrement «connecté» (97 % de la population estonienne fait ses opérations bancaires en ligne). Ces actions, émanant de ordinateurs détournés (réseau de «robots logiciels» ou botnet), intervenaient dans un contexte de tension diplomatique entre ce pays balte et la Russie après la décision de Tallinn de démanteler un monument à la mémoire de l Armée rouge. L origine russe de cette action (de représailles) non signée mais d une portée diplomatique évidente ne semble guère faire de doute, même si les preuves formelles sont, là encore, très difficiles à obtenir. Les actions de destruction : on a affaire ici à la propagation d attaques informatiques «destructrices» de deux types : d une part, des attaques qui peuvent être lentes dans le temps dont l objectif est de neutraliser physiquement un processus (industriel ou autre) à dimension militaire (ou civile) ; d autre part, des attaques combinées à la guerre «conventionnelle» et visant à rendre «aveugles» les systèmes numériques de l adversaire, ce qui s apparente à la guerre électronique. Récemment, la presse américaine a révélé l intensité du savoir-faire des États-Unis (et d Israël) en matière de neutralisation de réseaux informatiques. Sur le dossier du nucléaire militaire iranien 10, ces actions, lancées sous le nom de code Olympic Games par l administration Bush en 2006, avant de devenir opérationnelles trois ans plus tard sous l administration Obama, ont finalement «débordé» de leur objectif en 2010, échappant au contrôle 9. L attaque par «déni de service» permet de saturer le site internet visé de demandes de connexion et donc de le rendre inaccessible. 10. Le New York Times a été en pointe dans ces révélations depuis 2010, et plus récemment en révélant publiquement l existence d Olympic Games dans son édition du 1 er juin 2012 : Obama Ordered Sped up Wave of Cyberattacks Against Iran, signé par David Sanger, qui publie au même moment son livre Confront and Conceal: Obama s Secret Wars and Surprising Use of American Power, New York, Crown Publishing Group, Concernant l «émergence» du ver Stuxnet, se reporter à l article de William Broad et David Sanger : Worm Was Perfect for Sabotaging Centrifuges, dans le New York Times du 19 novembre

5 Dominique Mongin de ceux qui avaient initié le processus. En effet, à cette date, le ver Stuxnet a infecté d autres ordinateurs (sur l internet via une clé USB) que ceux pour lesquels il était destiné à l origine, à savoir le complexe nucléaire de Natanz en Iran. C est cette propagation du ver sur le réseau internet qui a donné une telle publicité à Stuxnet, alors que cette action était censée rester secrète (au moins du côté américain). Toutefois, ces «effets collatéraux» et le fait que le ver commençait à échapper à son créateur n ont pas dissuadé le président Obama de poursuivre l action informatique offensive en direction des Iraniens. Avec Stuxnet, les États-Unis ont franchi une étape majeure dans la cyberguerre, celle permettant de détruire physiquement des infrastructures. Ce que l on a appris également, c est le degré d investissement du président des États-Unis dans la conduite des opérations visant à détruire les centrifugeuses iraniennes. En donnant son «feu vert» étape après étape, le chef de l État a eu un rôle opérationnel (à distance, depuis le centre de situation de la Maison-Blanche) dans la conduite de la (cyber)guerre. C est bien là une confirmation de l évolution du processus décisionnel dans la guerre moderne, combinant de manière plus prononcée l échelon stratégique et l échelon logistique, dont le bombardement de Hiroshima en 1945 constitue la préhistoire. Le deuxième type d attaque «destructrice» concerne les attaques que la Géorgie semble avoir subies en 2008 au moment de l invasion militaire russe, avec pour objectif les systèmes d information, de renseignement et de commandement (systèmes C3I), la cyberattaque «éclair» (appelée déjà par certains la «bitskrieg 11») étant ici combinée avec une offensive militaire «conventionnelle». Moyen probable également pour les forces russes de tester «grandeur nature» l efficacité de la lutte informatique offensive (LIO) en perspective de cyberattaques d une tout autre ampleur. Israël semble avoir eu recours à ce type d opération en septembre 2007 lors de son raid contre un site à l est de la Syrie suspecté d abriter une installation nucléaire militaire, en parvenant à rendre aveugle le système de défense anti-aérienne syrien. Il apparaît que les États-Unis ont envisagé de mener des actions similaires en 2003 lors du déclenchement de la guerre d Irak en direction des avoirs financiers de Saddam Hussein 12 (puis en 2011 lors de la guerre de 11. Pour reprendre l expression de John Arquilla dans son article Cyberwar Is Already Upon Us paru dans Foreign Policy de mars-avril 2012, en référence à la Blitzkrieg. 12. Voir Richard Clarke (avec Robert Knake), Cyber War, New York, Harper Collins,

6 Les cyberattaques, armes de guerre en temps de paix Libye), avant de reculer face aux risques de «dommages collatéraux», aux conséquences diplomatiques possibles et au «précédent» que cela aurait créé. Un autre mode de destruction physique consiste pour un État à agir de manière «conventionnelle» contre les infrastructures de réseau, les câbles sous-marins en particulier, afin de les rendre inopérants 13. Car, il faut le rappeler, le cyberespace n est pas dépourvu de dimensions physique et géographique 14. Les actions d espionnage «classique», de type «écoute et interception» électroniques (vols de renseignements sensibles) ou «guerre de l information» (prise de contrôle d un site internet pour en modifier les informations) constituent un autre type d actions clandestines. Elles persistent avec une nouvelle intensité. C est ainsi que les autorités américaines ont reconnu avoir fait l objet de tentatives d intrusion depuis 1998, par des attaquants d origine russe, puis d origine chinoise (en 2001, en ). Ces cyber - attaques étaient menées au moyen de «chevaux de Troie». Les États-Unis considèrent aujourd hui que les vols de données par cyberattaques sont une menace de tout premier plan. D autres États démocratiques (Allemagne, France, Grande-Bretagne, Nouvelle- Zélande) ont révélé depuis 2007 avoir fait l objet de tentatives d intrusion informatique visant l acquisition d informations sensibles. Il a été établi que ces attaques provenaient notamment de Chine (le CEA a ainsi reconnu avoir été la cible d attaques informatiques en 2007), sans qu il soit possible d en établir précisément et formellement l origine étatique 15. Plus récemment, le ministère français de l Économie a été victime de cyberattaques à la fin de l année 2010, en pleine préparation de la présidence française des sommets du G8 et du G20, et l Élysée semble avoir été attaqué au printemps Dans une autre configuration, des informations circulent (dans la presse anglo-saxonne, sur les sites de sociétés antivirus ) depuis mai 2012 sur l apparition d un nouveau ver, baptisé Flame. Ce ver, d origine américaine et israélienne, semble avoir été destiné à faire 13. Voir à ce sujet l étude de Bruno Gruselle, Bruno Tertrais et Alain Esterle : «Cyber Dissuasion», Recherches et documents de la Fondation pour la recherche stratégique (FRS), mars 2012, p Point rappelé utilement par Alix Desforges dans son article, «Le cyberespace : un nouveau théâtre de conflits géopolitiques», Questions internationales, janvier-février 2011, n o Les divulgations WikiLeaks de fin novembre 2010 semblent confirmer très nettement cette piste. Voir également à ce sujet le rapport sénatorial de Roger Romani, Cyberdéfense : un nouvel enjeu de sécurité nationale, Commission des affaires étrangères et de la défense, juillet Charles Haquet et Emmanuel Paquette, «Cyberguerre : comment les Américains ont piraté l Élysée», L Express, 20 novembre

7 Dominique Mongin du recueil de renseignements à une dimension jusque-là inédite et à préparer l entrée en action de Stuxnet (notamment en cartographiant le réseau iranien), donc à participer à la neutralisation recherchée du programme nucléaire (militaire) iranien. Autre cas de figure pour ce type d offensives, les capacités qu ont certains États à «défigurer» des sites internet, afin de détourner leur contenu. On l a vu récemment à propos de sites favorables au Dalaï-lama ou de sites relayant des informations sur le génocide arménien. Traiter des cyberattaques (comme des accidents informatiques), c est aussi traiter de leurs «effets collatéraux», qui peuvent être potentiellement massifs. Dans le cas du ver Stuxnet, qui semble avoir infecté jusqu à au moins ordinateurs sur la planète, les effets collatéraux furent limités, car le ver était programmé pour dérégler spécifiquement le système de centrifugeuses du site nucléaire iranien de Natanz. Mais, comme on l a vu, il a échappé au contrôle de ceux qui l ont introduit, d où la question de la fiabilité de l arme nouvelle, d autant que son efficacité est proportionnelle à son indétectabilité. On assiste à un mouvement paradoxal : l interconnexion des réseaux, la convergence des produits techniques rendent les attaques informatiques plus facilement réalisables, mais, en même temps, la standardisation et la sophistication des systèmes de protection mis en place impliquent l activation de moyens de contournement plus perfectionnés. La dialectique du glaive et du bouclier, de l offensive et de la défensive est encore validée. Mais encore faut-il que les réponses gouvernementales soient à la hauteur des enjeux, d autant plus «vitaux» que le stade de la seule menace est aujourd hui dépassé. C est un combat pour le contrôle de l information à l ère électronique, domaine dans lequel les États-Unis sont partis avec une longueur d avance avec leur concept d Information Dominance. Les réponses des démocraties face aux enjeux de défense et de sécurité dans le cyberespace Le «camp démocratique» est menacé par cette forme nouvelle de la guerre qui transcende la dichotomie temps de guerre/temps de paix. Aujourd hui, et d après les informations publiques disponibles, la capacité d attaque massive contre les démocraties a principalement pour origine deux États autoritaires : la Russie et la 38

8 Les cyberattaques, armes de guerre en temps de paix Chine, mais d autres développent également des capacités en ce sens (Corée du Nord, Iran ). Les traces numériques laissées par ces attaques permettent souvent de localiser leur origine dans ces pays, sans pour autant «formellement» pouvoir mettre en accusation les autorités gouvernementales, d autant plus que celles-ci peuvent avoir recours à des parties tierces (hackers) comme moyen de détourner l attention de leurs propres services spécialisés. Le propos portera ici sur la posture des États démocratiques face aux cyberattaques dont ils font l objet 17, non pas parce que ces États sont les seules «victimes» de ce type d attaques, mais parce que les fondements mêmes des démocraties, zones de liberté qui s étendent désormais aussi à l «espace virtuel» (tant en matière de liberté d expression que de protection de la vie privée), se trouvent menacés. Ainsi, pour les États autoritaires, le recours à la cyberguerre est un moyen supplémentaire dans leurs modes d action : possibilité de conduire des attaques grâce à d autres moyens que les moyens conventionnels (cyberattaques couplées à une offensive militaire classique ou menées dans le cadre de la guerre secrète), mais aussi un moyen d exercer une contre-offensive à l encontre de toute forme de liberté d expression. C est aussi une nouvelle confirmation du rôle exercé par les technologies modernes de communication dans l effacement des frontières entre le domaine de la sécurité intérieure des États et celui de la sécurité extérieure. Pour faire évoluer la posture de défense de notre pays, le Livre blanc de 2008 reprend la nécessité d une approche globale, mais associant cette fois la notion de «défense» (dimension extérieure) à celle de «sécurité intérieure». Ce Livre blanc sur la défense et la sécurité nationale a été novateur dans le débat stratégique en rendant publique, pour la première fois, la nécessité pour un pays comme la France de disposer d une capacité en matière de lutte informatique offensive (LIO), soulignant que «dans le domaine informatique plus que dans tout autre milieu, il faudra, pour se défendre, savoir attaquer 18». Afin d être en mesure de neutraliser les centres d opérations adverses, le Livre blanc met en avant la nécessité pour les forces françaises de définir une doctrine et un cadre d emploi qui devront «respecter le principe de riposte proportionnelle à l attaque 19». En prolongement du Livre blanc, la loi de 17. Est également exclu ici du propos le cas de l espionnage informatique entre partenaires étatiques du camp démocratique, ce qui ne veut pas dire qu il n existe pas 18. Livre blanc sur la défense et la sécurité nationale, Paris, Odile Jacob/La Documentation française, 2008, p Ibid., p

9 Dominique Mongin programmation militaire 2009/14 indique que «la menace informatique est désormais une préoccupation majeure. La défense informatique combinera protection des systèmes, surveillance, réaction rapide et action offensive de rétorsion 20». Une doctrine d emploi élaborée sous la responsabilité du chef d état-major des armées et validée par le chef de l État a été probablement arrêtée depuis et est prête à être mise en œuvre ; mais elle n a pas été rendue publique. Dans le cadre de cette évolution conceptuelle majeure, le Livre blanc a souligné à quel point la sécurité des systèmes d information (SSI) est un domaine dans lequel la souveraineté de la France doit s exprimer pleinement, au même titre que celui de la dissuasion nucléaire, afin de préserver une maîtrise technologique en la matière. C est ainsi que la France s est dotée très tôt d une politique nationale en matière de sécurité des systèmes d information (aspects défensifs), dont les prémisses remontent à 1986, avec la création d un Service central de la sécurité des systèmes d information, devenu Direction centrale (DCSSI) en 2001 et rattaché à un service du Premier ministre (le Secrétariat général de la défense nationale) afin d asseoir son champ de compétences interministériel. L étape suivante a été la transformation en 2009 de la DCSSI en une Agence nationale (ANSSI) et la publication en février 2011 de la stratégie française en matière de cyberdéfense, qui affiche clairement la volonté de faire de la France une «puissance mondiale de cyberdéfense». Au-delà de la montée en puissance de la SSI en France au niveau gouvernemental et de l évolution des concepts en direction de la LIO, force est de constater que notre pays doit encore faire un effort pour assurer dans la durée l autonomie stratégique tant revendiquée. La France est en effet confrontée à un manque de culture de sécurité au sein de la population, particulièrement flagrant dans le domaine de la SSI. Au niveau européen, on constate que des pays comme l Allemagne ou la Grande-Bretagne ont à leur disposition une capacité gouvernementale en termes de ressources humaines et de moyens financiers nettement plus importante que celle de la France (retard que celle-ci cherche précisément à combler). Quand le Communication and electronic security group (CESG) britannique compte sept cents agents, le Bundesamt für Sicherheit in der Informationstechnik (BSI) allemand plus de cinq cents agents, l ANSSI 20. Rapport annexé au projet de loi de programmation militaire 2009/14, p

10 Les cyberattaques, armes de guerre en temps de paix en emploie moins de deux cent cinquante (mais elle est dans une importante phase de recrutement). En Grande-Bretagne, la stratégie de sécurité nationale (National Security Strategy), publiée en 2010, place les cyberattaques juste après le terrorisme comme la menace la plus élevée pour le pays. En ce qui la concerne, l Allemagne a adopté en 2005 un plan national pour la protection des infrastructures d information et a mis au point une stratégie en matière de cybersécurité, dont la coordination est assurée par le ministère fédéral de l intérieur (auquel le BSI est rattaché). À l échelle du continent, l Union européenne ne s est intéressée que tardivement aux questions de cyberdéfense. Ce sujet n est même pas abordé sous l angle des menaces dans le document approuvé par le Conseil européen de décembre 2003 («Une Europe sûre dans un monde meilleur»). Et, de manière caractéristique, dans un sondage Eurobaromètre d octobre-novembre 2002, à la question «De quoi ont peur les citoyens européens?», quatre menaces étaient perçues comme les plus fortes (à plus de 60 %) : le terrorisme international, la criminalité organisée, la prolifération des ADM et les accidents nucléaires mais aucune question ne portait sur les cyberattaques. État des lieux révélateur de la perception de la menace dans un contexte géostratégique particulier, à savoir le monde «post-11-septembre» et la question des ADM en Irak. Le Conseil européen a toutefois créé en 2004 l Agence européenne de la sécurité des réseaux et de l information (ENISA), avec pour objectif de conseiller la Commission européenne et de l assister (ainsi que les États membres) en matière de SSI. L ENISA a cependant illustré les difficultés de cet organisme à s imposer comme élément fédérateur au niveau européen, pour élaborer une politique de SSI à la hauteur des enjeux, en passant d une posture réactive (analyse des cyberattaques qui ont eu lieu) à une posture proactive (anticiper les menaces et tenter d y répondre préventivement 21 ). D ailleurs, si à ce jour l Union européenne n a pas encore défini de stratégie en matière de sécurité dans le cyberespace, la Commission est en train de lancer une réflexion sur le sujet, intitulée Internet Security Strategy for Europe. 21. Depuis sa création en 2004, l ENISA fait l objet de vives interrogations concernant son utilité. Elles témoignent de la difficulté de faire un travail de coordination à l échelle européenne sur un sujet qui, on l a vu, suscite de nombreuses réticences. Elles illustrent probablement aussi les difficultés à gérer les répartitions de compétences entre les différentes directions générales de la Commission, ainsi que la «difficulté» de travailler en étant positionné loin de Bruxelles (en l occurrence en Crète, à Héraklion). 41

11 Dominique Mongin Il en va autrement aux États-Unis, où la sensibilité aux questions de cyberdéfense n est pas neuve, grâce à une prise de conscience des enjeux de sécurité liés à la dépendance de ce pays envers les technologies de l information, et où l on cherche activement à prévenir un «Pearl Harbor numérique». La sensibilisation est d autant plus grande que le réseau internet tel qu il existe aujourd hui est un dérivé du réseau Arpanet, projet mis en œuvre en 1969 par le département de la Défense, afin de se doter d un réseau maillé et sécurisé, propre à faire aboutir une information en toute circonstance (en cas de conflit nucléaire). Depuis, et parallèlement au réseau internet «ouvert», subsiste un réseau sécurisé «fermé» (en fait un «intranet») et réservé aux services gouvernementaux ayant à traiter des informations sensibles sur le plan de la sécurité nationale 22. Aux États-Unis, l un des documents de référence en matière de cybersécurité, l International Strategy for Cyberspace. Prosperity, Security and Openness in a Networked World, a été publié par la Maison-Blanche en mai Si ce document n est pas le premier de l administration Obama à traiter des questions de cybersécurité, son caractère novateur réside dans le plaidoyer en faveur d une politique de coopération internationale. L objectif de cette stratégie est de promouvoir sur le plan international des infrastructures de communication ouvertes, interopérables, fiables et bien sûr sécurisées, sous réserve du respect par les utilisateurs d un certain nombre de règles de droit propres à susciter la confiance et à pérenniser le réseau global (internet). Dans le domaine spécifiquement militaire, la stratégie américaine affirme (au regard de la dépendance croissante des forces armées envers les réseaux informatiques) le besoin d assurer la fiabilité et la sécurité de ces réseaux et la nécessité de construire et de renforcer la coopération menée avec les alliés. Auparavant, en 2010, le pays a créé un nouveau commandement militaire (US Cyber Command) en charge spécifiquement de la défensive et de l offensive dans le cyberespace. Par ailleurs, les autorités américaines innovent également sur le plan juridique, en affirmant qu une cyberattaque relève de la légitime défense et du droit international et appelle donc une réponse adéquate sur ce terrain (le cyberespace n est pas une zone de non-droit). 22. À une autre échelle, et depuis peu (2007), la France dispose d un réseau similaire avec le réseau classifié ISIS (Intranet sécurisé interministériel pour la synergie gouvernementale). 42

12 Les cyberattaques, armes de guerre en temps de paix Au niveau de l Alliance atlantique, la prise en compte des cyberattaques comme étant une nouvelle priorité de l Otan a été actée lors du sommet de Bucarest en avril 2008 (un an après les attaques subies par l Estonie), en prévoyant de mettre en place une capacité pour contrer les cyberattaques, sur demande d un pays membre. Le «concept stratégique de l Otan», adopté lors du sommet de Lisbonne en novembre 2010, a pointé du doigt la montée en puissance des cyberattaques, tant en termes de fréquence que d efficience et de coût pour les pays membres, soulignant que ces attaques risquent d atteindre un seuil pouvant menacer la prospérité, la sécurité et la stabilité des États et de la zone euro-atlantique, et appelant dans ce domaine à une mobilisation et à une coopération très forte entre États membres. Ces orientations ont été confirmées lors du sommet de Chicago en mai Parallèlement, plusieurs pays membres de l Alliance ont mis en place (à Tallinn, en Estonie), un Centre d excellence sur la cyberdéfense afin de développer une expertise et de proposer de nouveaux concepts. On constate donc que, sur un plan multilatéral, les démocraties occidentales ont réagi aux questions de cybersécurité et de cyberdéfense, d abord en ordre dispersé, puis plus récemment dans le cadre de l enceinte en charge (de fait) de la défense collective de l Europe, à savoir l Otan. La prise de conscience dans ce domaine remonte à 2007 avec les attaques que l un des pays membres (l Estonie) a subies, ce pays ayant d ailleurs réclamé la mise en œuvre de l article 5 du traité de Washington (prévoyant une réponse collective des pays membres en cas d attaque contre l un d entre eux), mais en vain. En outre, on voit que l Union européenne n a pas donné toute sa mesure sur un dossier aussi sensible politiquement et que les initiatives structurantes en la matière sont des initiatives nationales, émanant d un nombre restreint d États, de la France en particulier. Par conséquent, si un début de mobilisation a eu lieu, on ne peut pas dire qu il existe une mise en œuvre réelle d une défense européenne commune pour se prémunir des cyberattaques, faute d élément fédérateur et d outils communs. Les réponses sont avant tout nationales, alors que les infrastructures à protéger sont à une autre échelle En ce qui concerne les aspects de LIO, la réflexion reste étroitement cloisonnée, eu égard à la portée politique de ce type d actions et des enjeux de souveraineté qu elles recouvrent. On est bien dans un domaine qui ne relève pas de la guerre «conventionnelle», avec un clivage qui s est déjà créé entre les États «dotés», ayant la capacité technique de mettre en œuvre la 43

13 Dominique Mongin cyberarme (à distinguer par conséquent des actions des hackers, qui ne sont pas du même ordre et qui ne peuvent pas intervenir à la même échelle qu un État) et les États «non dotés» qui n ont pas cette capacité. Les cyberattaques et l évolution des concepts de défense La cyberguerre est déjà une réalité de la vie quotidienne, sans que la plus grande partie de la population mondiale en ait vraiment conscience. Mis à part le risque de bug informatique lors du passage à l an 2000, qui avait fait craindre le pire aux médias, on ne peut pas dire que les questions de lutte informatique offensive soient au cœur des préoccupations aujourd hui. Certes, l apparition de nouveaux vers ou virus fait l objet d alertes de sécurité, mais c est un peu comme si ces «épidémies» étaient soient inhérentes aux systèmes informatiques (des épidémies «naturelles»), soit provoquées par des gens mal intentionnés (cybercriminalité), à la recherche d arnaque à la carte bleue ou d autres actions illégales. La cyberguerre comme nouvelle arme de la guerre secrète (et comme moyen d action combiné aux offensives «conventionnelles») n apparaît généralement pas comme un sujet majeur. Or la cyberguerre existe bien dès le temps de paix et est appelée à prendre des proportions importantes dans le futur, à la mesure de la numérisation croissante du «champ de bataille» et de son élargissement. À un point tel que la cyberguerre va conditionner l organisation des théâtres d opérations de demain, en raison de la place prépondérante des systèmes d information, qui devront être en mesure de se reconfigurer si nécessaire en fonction de l évolution des combats sur le terrain 23. La cyberguerre appelle donc une évolution des concepts de défense. On a vu, dans le cas de la France, que la prise de conscience de ces nouveaux enjeux avait bien eu lieu et que le Livre blanc de 2008 évoquait ouvertement le recours possible à la LIO. Cette annonce constituait en soit une petite révolution et le moins 23. À cet égard, le général James Cartwright, ancien vice-président du Joint Chief of Staff, a estimé (lors d une conférence devant le National Press Club le 12 juin 2012) que le temps pour mettre à niveau un système d information était au maximum de deux semaines, quand il faut compter de deux à trois ans pour améliorer un armement classique (que l on a mis vingt ans à fabriquer). 44

14 Les cyberattaques, armes de guerre en temps de paix que l on puisse dire est qu elle n a pas suscité de controverse médiatique. Depuis, un travail de conceptualisation a certainement été mené au sein de l état-major des armées, mais ce travail n a pas été rendu public. Cette absence de publicité sur la réalité du concept (non sur les règles d engagement, dont le détail doit rester secret) pose d ailleurs un problème : ne doit-on pas afficher notre stratégie afin de sensibiliser nos compatriotes sur notre entrée dans une ère militaire nouvelle et afin de se doter des moyens de ce nouveau type de défense? Au sein du camp démocratique, ceux qui ont avancé le plus loin dans ce domaine, on ne s en étonnera pas, ce sont les États-Unis, en accordant une place importante au concept de «dissuasion», qu il soit nucléaire ou «conventionnel». C est essentiellement en se dotant d une capacité de défense adéquate que les États-Unis estiment être en mesure de faire reculer un adversaire qui chercherait à attaquer le pays via le cyberespace. Autre préoccupation majeure des autorités américaines, la nécessité de laisser le choix au président américain face à une gamme de réponses militaires allant de la réponse strictement «conventionnelle» à une gamme de réponses d un autre ordre de la «guerre moderne», dont la LIO (au même titre que le recours à l arme nucléaire). Conception qui n est pas sans rappeler l émergence de la doctrine de la «riposte graduée» aux États-Unis en Mais disposer d une telle capacité et définir les règles d engagement en réponse à une attaque n est pas suffisant en soi ; il est indispensable de connaître le potentiel réel de l adversaire («déclaré» ou non) et de chercher à connaître (ou vérifier) son identité. Cela suppose un important travail de collecte de renseignements qui explique la colocalisation du commandement militaire en charge de la cyberdéfense (US Cyber Command) et de l agence de renseignement en charge des écoutes et des interceptions électroniques (la NSA), qui de surcroît dispose de compétences très importantes en matière de cryptographie et de cryptanalyse. Le risque, pointé du doigt par le Sénat américain, est même que les actions d espionnage américain pour évaluer le potentiel des «cyberpuissances» soient perçues par ces dernières comme étant des cyber attaques. Pour des raisons évidentes de sécurité, les autorités américaines ne rendent pas publiques la capacité effective de leur «cyberforce» et leurs règles d engagement. Toutefois, on ne peut exclure que les fuites dans la presse relatives au programme de LIO baptisé Olympic Games ne soient un moyen de sensibiliser un adversaire potentiel sur les capacités américaines, et par conséquent de tenter de faire jouer à 45

15 Dominique Mongin plein le principe de la dissuasion. En ce qui concerne le danger d une escalade d un conflit, notamment en raison d une mauvaise interprétation des données relatives à l origine d une cyberattaque, le département de la Défense américain fait (officiellement) preuve de retenue et en appelle à la mise en place de mesures de confiance (cyberspace norms) au niveau international. Aux yeux des Américains, cela passe par un minimum de transparence sur les concepts et les capacités des États concernés. Le développement du cyberespace comme nouveau champ de bataille du XXI e siècle pousse à un remodelage des concepts que l on peut comparer, toute proportion gardée, avec l introduction des armes de destruction massive (ADM) au siècle précédent, non pas en termes d effets destructeurs mais en termes de conséquences stratégiques. L arme numérique repose sur les caractéristiques suivantes : une arme proliférante issue de technologies duales : il y a une interpénétration entre le cyberespace «civil» et le cyberespace «militaire», si tant est que l on puisse même faire une distinction entre les deux ; les technologies de l un servent à l autre, et réciproquement. On l a vu dès l origine avec Arpanet et sa mutation en internet, on le voit aujourd hui avec la possibilité de mener des cyberattaques à partir de logiciels jusque-là «civils». Par ailleurs, il devient moins évident de discriminer un objectif militaire d un objectif civil. Cette évolution favorise la prolifération de ce type d armes, d autant plus aisément que le monde numérique se prête particulièrement bien à la duplication de ce type d applications. Cette évolution rend nécessaire un partenariat plus étroit entre les autorités régaliennes de défense et le monde de l entreprise, afin de mettre au point des produits de sécurité efficients, des instruments de contre-attaque et d anticiper le risque de «rupture technologique» qui permettrait à un adversaire d exercer sa supériorité stratégique. La prolifération de l arme nouvelle est facilitée à la fois par la grande disponibilité des technologies numériques (généralisation de l accès et facilité de reproduction), son caractère relativement «économique» (en ressources humaines et en coût de production) et par le brouillage temps de guerre/temps de paix ; une arme aux capacités de désorganisation massive, avec des effets psychologiques et médiatiques fortement déstabilisateurs, en particulier au sein des sociétés démocratiques, où la liberté d expression et les libertés individuelles font partie des «intérêts 46

16 Les cyberattaques, armes de guerre en temps de paix vitaux». Comme avec les ADM, les populations civiles deviennent un objectif en soi de l attaquant, cible qui peut être combinée avec des objectifs strictement militaires. Cette capacité de désorganisation massive en fait une arme stratégique, alors qu elle peut aussi être employée à une échelle tactique. Paradoxalement, le caractère furtif de cette arme est susceptible de provoquer un effet psychologique majeur, car sa propagation peut générer des paniques. D où l importance de communiquer et de sensibiliser sur ces questions et de faire connaître sa stratégie ; une arme aux capacités de destruction, à triple détente : l arme nouvelle autorise des destructions numériques instantanées (et/ou sur la longue durée 24 ), leur portée est ainsi démultipliée car mondiale (en «un seul clic» on peut s en prendre à un objectif situé aux antipodes), tout comme la vitesse de leur exécution, réduisant d autant le temps de réponse pour celui qui subit l attaque. Cette arme permet également de procéder à la destruction physique d infrastructures dépendantes des technologies de l information. Elle provoque enfin des dommages collatéraux qui peuvent être massifs et non maîtrisables. La cyberarme introduit par conséquent une nouvelle dimension dans la manière de faire la guerre au XXI e siècle, sur le profil et le rôle des combattants dans le cyberespace. C est bien à une redéfinition de «l art de la guerre» à laquelle il va falloir s atteler ; une arme qui favorise la stratégie asymétrique : d abord en raison de la primauté donnée à l offensive sur la défensive. L option consistant pour un État assiégé à bâtir une architecture défensive (de type ligne Maginot) risque d être contournée par une «rupture technologique» non anticipée 25. Ensuite, parce que l arme nouvelle produit une géographie des conflits complètement déstructurée : l État souverain attaqué est confronté à un agresseur «invisible», sans frontière, qui tire profit de sa capacité à frapper à distance de sécurité, du «vecteur» qu il utilise et de la difficulté à se faire identifier par sa victime. C est l essence même de la 24. Toute proportion gardée, alors que dans le domaine du nucléaire militaire une frappe unique peut être massivement destructrice, dans le domaine informatique l attaquant pourra être enclin à diffuser massivement ses attaques afin d être sûr que l objectif visé ait le plus de probabilités d être atteint. 25. Cette conception de la primauté de l offensive sur la défensive n est pas unanimement partagée, voir à cet égard l article de Thomas Rid, Think Again: Cyberwar, publié dans Foreign Policy de mars-avril 2012, selon lequel le coût pour développer une arme cybernétique est très élevé et pour qui, une fois la contre-mesure trouvée, l arme cybernétique n est plus (par définition) une arme. 47

17 Dominique Mongin guerre qui doit être repensée, étant donné qu il n y a plus de temps de paix et que l offensive prévaut sur la défensive. Devant ces grandes tendances de l arme nouvelle, qui ne sont pas sans rappeler la problématique introduite par les ADM, la question de la capacité dissuasive de la cyberarme se pose avec acuité. D abord, qui dit capacité dissuasive dit capacité de frappe en second ; être en mesure de pouvoir riposter à une première frappe est en effet vital si l on veut contraindre un adversaire potentiel à ne pas attaquer. À partir du moment où cette capacité de représailles est crédible, qu une capacité de «riposte par les mêmes moyens» existe, dissuade-t-elle pour autant un agresseur potentiel de passer à l action? Rien n est moins sûr, a fortiori s il se sent invulnérable, à la fois dans son attaque (furtivité de la cyberattaque, attaque par procuration ) et dans sa défense. La comparaison avec la dissuasion nucléaire trouve donc ses limites, car dans le cas de la LIO il est très difficile d identifier l agresseur et de le combattre frontalement, qui plus est en temps réel, alors que, dans certains cas, il faut réagir encore plus vite que dans le cas d une frappe nucléaire. Cette difficulté à identifier l agresseur avec garantie pose par conséquent un problème majeur dans la conduite du «dialogue dissuasif 26». Toutefois, pour que celui-ci soit opérant (si tant est que l agresseur potentiel ait été localisé), la fonction «communication» (faire savoir ses intentions) est primordiale 27. En outre, il est très difficile pour un État d affirmer qu il n utilisera pas la cyberarme en premier (no first use) ou qu il l utilisera uniquement contre des États «dotés». En effet, l intérêt de la LIO réside en particulier dans sa souplesse d emploi, dans sa furtivité et dans son «instantanéité». À ce jour, seules les autorités américaines, britanniques, françaises et russes ont évoqué un possible recours à la LIO en cas de cyberguerre. Du côté français, il est raisonnable de penser que le nouveau Livre blanc en préparation sera plus explicite sur les cas d application de la LIO, en précisant ce que l on entend par «riposte proportionnelle à l attaque» et le rôle du chef de l État dans le processus décisionnel (ce processus est-il comparable à celui existant pour le nucléaire militaire?). La notion d «ADM», terme qui s est répandu après les débuts de la guerre froide, ne doit-elle pas aujourd hui évoluer afin de prendre en compte l apparition de nouveaux types d armes suscep- 26. B. Gruselle, B. Tertrais et A. Esterle : «Cyber Dissuasion», art. cité, p Ibid., p

18 Les cyberattaques, armes de guerre en temps de paix tibles d entraver et de désorganiser durablement le fonctionnement des sociétés modernes, de plus en plus dépendantes de l économie numérique? Enfin, si se prononcer en faveur d une extension de la notion d ADM au XXI e siècle, en particulier aux cyberattaques, est novateur 28, il va de soi que cette extension n est pas limitative et qu elle devra prendre en compte l évolution des armes de «désorganisation massive» dans le monde (peut-être les nanotechnologies dans le futur, par exemple) et les perspectives de maîtrise des armements (arms control) en la matière. C est bien dans ce domaine qu une vision globale des ADM apparaît indispensable aujourd hui, afin d anticiper la prolifération d attaques multiformes susceptibles de déstabiliser nos sociétés. Ce débat ne peut être disjoint d un autre, concernant le respect des libertés fondamentales dans une société démocratique, débat posé de manière un peu similaire après les attentats du 11 septembre Se prémunir contre la menace des cyber - attaques est essentiel, on l a vu, mais cela ne doit pas se faire au détriment de la liberté d expression sur le nouveau média que constitue l internet. À cet égard, la Déclaration universelle des droits de l homme (1948), qui n avait exclu aucun support d expression, est une référence suprême. L une des meilleures garanties en la matière reste toutefois la difficulté d une maîtrise durable du cyberespace, «espace public contesté» et objet d une lutte incessante entre États (adeptes de la surveillance) et internautes (adeptes de la «sous-veillance 29»). Encore faut-il que le réseau fonctionne et qu il ne soit pas mis à plat par une attaque majeure à l encontre de ce nouvel espace de liberté Dominique Mongin 28. En la matière, c est la représentation nationale qui a innové, dans un rapport sur «Les enjeux géostratégiques des proliférations», publié en novembre 2009 par la commission des Affaires étrangères de l Assemblée nationale, et dont les rapporteurs, les députés Jean-Michel Boucheron et Jacques Myard, n ont pas hésité à inclure les cybermenaces dans leur réflexion sur les proliférations. 29. Voir l avant-propos de Frédéric Ocqueteau et Daniel Ventre dans la livraison de septembre 2011 de Problèmes politiques et sociaux (revue malheureusement disparue depuis) consacrée au contrôle et aux surveillances dans le cyberespace. 49