F.B. Huyghe
http://huyghe.fr
Twitter : @huyghefb!
CYBERGUERRE, CYBERCONFLIT, CYBERSTRATÉGIE
PRÉSENTATION!
2
CYBERSTRATÉGIE!
6
CYBERGUERRE, LES LIMITES!
13
CYBERCRIME!
17
CYBERGUERRE ET FRONTIÈRES!
31
1
F.B. Huyghe
http://huyghe.fr
Twitter : @huyghefb!
PRÉSENTATION La cyberguerre - certains préfèrent "guerre informatique" - est sporadiquement évoquée par les médias ; elle est annoncée et théorisée depuis longtemps par les stratèges, ou futurologues. En fait, on attend même un "Pearl Harbour informatique" depuis les années 90 et, depuis, il ne se passe guère de mois où les stratèges ne produisent quelque programme de défense ou de développement des "opérations informationnelles", dans le cyberespace ; mais, même si les pertes financières dues aux cyberattaques sont considérables, une supposée cyberguerre n'a guère fait de morts à ce jour, ni donné lieu à la conclusion de "cyberpaix", moins encore conféré de "cybervictoire" nette et durable. Et surtout, les cas de "cyberattaques" connus, de la paralysie de l'Estonie à Duqu, ou de "Mafia Boy" à Titan Rain sont difficiles à qualifier d'actes de guerre au sens juridique (surtout devant l'Assemblée Générale des Nations Unies) et davantage encore à traiter en fonction de notions classiques comme rétorsion, dissuasion, guerre juste, négociation, etc. Se distinguant parfois mal de la délinquance (en principe d'ordre "privé"), du terrorisme, de la contrainte..., la cyberguerre pose en termes nouveaux la question d'attaques qui servent à violer des secrets, à perturber des systèmes de contrôle, éventuellement à répandre certains contenus destinés à affaiblir ou discréditer un adversaire... Bref elle remet à jour de vieilles pratiques,- espionnage, sabotage ou propagande - mais sans ce qui fait l'essentiel de la guerre : la force armée et le spectacle de la force, le différend politique proclamé, la zone de combat ou encore le front,le distinguo du civil et du militaire (comme celui du temps de guerre et du temps de paix), la continuité des opérations tactiques ou des batailles devant aboutir à un résultat stratégique et politique, et qui correspondrait au dessein avoué de faire l'Histoire... Cette forme de conflit adapte des méthodes de guerre de l'information (espionner, saboter, leurrer, proclamer...) aux caractéristiques du numérique et des réseaux : - la possibilité d’agir à distance, souvent anonymement, grâce à de simples algorithme, c’est-à-dire avec des « armes » qui sont en fait une connaissance transmissible d’attaquant à attaquant - la valeur des biens immatériels devenus des données électroniques que quelqu’un peut altérer, reproduire, consulter, falsifier, capter, s'approprier, etc. à l’insu de leur propriétaire légitime - les dégâts (en termes de chaos, perte de contrôle ou perte de biens ou de connaissances) que peut en principe produire une attaque contre des mémoires, des systèmes de transmission ou des systèmes de contrôle et de commandement qui constitueraient des infrastructures "vitales" 2
F.B. Huyghe
http://huyghe.fr
Twitter : @huyghefb!
- la dépendance générale de nos sociétés de flots d’information en ligne - l’accélération de la lutte de l’épée et du bouclier : moyens offensifs et moyens défensifs changent tous les jours ; un nouveau logiciel malveillant peut apparaître demain, une nouvelle faille mais aussi un moyen de sécuriser - la multiplication des acteurs susceptibles d'entrer en lice - l'apparition de nouvelles stratégies étatiques, politiques, "privées" et intéressées visant à voler des biens, à espionner, à saboter, à créer de la panique et du désordre (choses qui se font depuis toujours dans le cadre de crimes et de conflits), mais ceci dans le cyberespace et par de nouveaux instruments numériques. • Orientées "attaque contre l'intégrité des systèmes" (par exemple les "dénis d'accès" menés par des botnets (des réseaux d'ordinateurs "zombies" dont on a pris le contrôle et que l'on peut "louer" à des attaquants), • contre le contenu des mémoires ou des sites (visant par exemple leur éventuelle corruption pour diffuser des logiciels malveillants), • permettant de prélever des données confidentielles, • servant aussi à une fonction vitrine de proclamation et de communication (voire de défi symbolique), • capables de prendre le contrôle de systèmes de communication et de commandement • passant par les nouveaux outils du Web 2.0 dont les réseaux sociaux, • utilisant le facteur humain (on parle de "social engineering" pour désigner de telles manipulations), ces attaques sont diverses et évolutives. Toutes posent des problèmes * de capacité (purement technique et humaine), * de traçabilité (qui est vraiment l'auteur d'une attaque qui est passée par de multiples intermédiaires ? comment le prouver ?), * d'évaluation des dégâts, * d'interprétation du "message" ou de l'intention des agresseurs * et, bien sûr, de riposte (qui frapper, comment le dissuader ou le punir ?). De fait, jusqu'à ce jours on a surtout connu des cyberattaques menées à un moment x, provoquant des dommages difficiles à évaluer (les experts parlent de risque pour des "infrastructures vitales" ou d'atteintes à des moyens de souveraineté) mais il y a chaque fois controverse pour savoir s'il s'agit : - d'un acte d'un service d'État visant un but de contrainte ou de rétorsion politique 3
F.B. Huyghe
http://huyghe.fr
Twitter : @huyghefb!
- d'un acte terroriste destiné à menacer - d'une agression intéressée dont les buts sont finalement économiques (qu'il s'agisse d'un vol ou de l'affaiblissement d'un concurrent) - de l'action de "mercenaires", groupes criminels spécialisés dans la cyberpiraterie et qui louent leurs moyens au plus offrant (donc éventuellement à une des catégories précédentes) - de groupes militants de type Anonymous. Avec cette ambiguïté supplémentaire qu'ils peuvent passer du stade de l'expression d'une opinion (dénoncer un gouvernement sur Internet par exemple) à celui de la fourniture de moyens d'échapper à la censure aux cybermilitants, et enfin au stade de l'attaque informatique pour "punir" des sociétés qui ont participé à la répression, par exemple. Enfin des événements (des attaques électroniques menées contre l'Estonie et dans une moindre mesure contre la Géorgie, des intrusions dans des systèmes informatiques attribuées à tort ou à raison à des grandes puissances, une récente offensive imputée à la Chine contre Google, Explorer, les virus Stuxnet et Duqu supposés ralentir la nucléarisation de l'Iran, etc.) ont redonné quelque crédibilité à l'hypothèse d'une cyberguerre plus sophistiquée. Elle consisterait à préparer, relayer, amplifier et certains disent même remplacer, l'action des forces armées par des attaques électroniques contre des dispositifs militaires, étatiques (politiques ou administratifs) mais aussi privés. Le Livre Blanc français de la Défense Nationale mentionne la "guerre informatique" parmi les problèmes de la sécurité nationale, insistant sur le fait que notre pays doit se doter de moyens de contreoffensive (et pas seulement de défense et de sécurité), ce qui suppose une doctrine d'emploi. De même la doctrine américaine mentionne des contre-mesures actives assez imprécises, tandis qu'en Chine il est question d'une guerre "hors limite". Tout ceci pose des questions techniques (détection, prévention, résilience..., protection des infrastructures vitales) mais aussi des questions politiques. La tâche des acteurs étatiques est particulièrement délicate dans la mesure où il ne s'agit pas seulement de se doter du meilleur dispositif de détection / défense / résilience (voire rétorsion et poursuite), mais de viser des objectifs à la fois : - Économiques : protéger leurs entreprises et leurs infrastructures mais aussi contribuer au développement d'une économie sécurisée générant la confiance - Judiciaires et répressifs : empêcher des crimes et délits mais aussi désarmer leurs auteurs 4
F.B. Huyghe
http://huyghe.fr
Twitter : @huyghefb!
- Stratégiques : se protéger, mais aussi contribuer à une gouvernance globale d'Internet - Idéologiques ou éthiques : favoriser la liberté d'expression sur Internet (éventuellement chez autrui pour déstabiliser certains régimes) mais aussi se protéger contre la déstabilisation informationnelle. Une véritable réflexion stratégique qui n'en est qu'à ses prémices s'efforcera donc : - de clarifier ces notions : comment, par exemple, transposer le concept de guerre qui suppose une violence létale, armée, collective, durable, publique et ostensible, visant un but politique (la "victoire") au monde des réseaux et des électrons ? - de mesurer la distance entre les possibilités techniques de ravage et les stratégies qui peuvent effectivement y avoir recours : s'il est en principe possible de..., qui peut et désire pratiquement le faire, dans quel but et avec quelles conséquences ? - d'inventer des contre-stratégies - pas seulement pensées dans leur dimension technique, qui, par définition sera obsolète demain matin - mais dans leur dimension géopolitique. Donc des doctrines d'emploi reposant sur une prise de risque politique.
5
F.B. Huyghe
http://huyghe.fr
Twitter : @huyghefb!
CYBERSTRATÉGIE
(source : intervention au colloque portant le même titre à l'École Militaire, 29 novembre) Qu'entendre par cyberstratégie ? S'il se réfère à ce que le Department of Defense publie sous cette étiquette, aux missions de l'ANSSI ou autres textes de même facture, le lecteur est frappé par la tonalité préventive, prophylactique, hygiénique (on parle de "cyberhygiène" au département de la défense US), défensive en somme, de la phraséologie. Il n'est question que d'anticiper, préparer, former, détecter, améliorer, coopérer, accélérer..., discours qui évoque plus le management que l'Illiade ou Clausewitz. Un peu comme si la stratégie traitait du budget des armées, de la formation des soldats, de l'intendance, de la R et D et non de la conduite de la bataille et comme si l'unique fonction de ladite stratégie était d'accumuler des moyens dans la perspective d'une attaque, au mieux, et comme le recommandent des esprits les plus novateurs d'augmenter sa résilience. Ou encore comme si le but était de défendre une citadelle, dont on espère qu'elle n'est pas celle du "désert des Tartares". Sun Tzu disait que le meilleur général n'a pas besoin de combattre pour vaincre, comprenez celui que l'affrontement effectif est la confirmation d'une supériorité acquise au cours d'une longue préparation. Ce n'est pas une raison pour conclure que l'art de la guerre se résume à réduire ses vulnérabilités. Parfois on peut lire ici ou là des suggestions plus martiales. Ainsi dans le livre blanc, celle que nous devons nous doter de capacités offensives de guerre "informatique" (contre qui, dans quelles circonstances, jusqu'où et suivant quelle doctrine d'emploi ?). La doctrine américaine,elle, fait référence à la "défense active". Elle semble se réduire à étendre sa zone de surveillance ou en une sorte d'action préventive qui frapperait le cyberattaquant, une fois son intention bien avérée. Donc le plus en amont possible. Tout cela semble cohérent avec une pensée stratégique qui fond tous les dangers - catastrophe naturelles ou technologiques, désordres économiques, activités criminelles ou terroristes, offensives militaires dans la catégorie de la sécurité globale. Ou, de façon inverse, avec une doctrine de la guerre "hors limite" où les rivalités de puissance s'exercent par les moyens les plus divers, si possible les plus économiques au regard de leurs fins, qu'il s'agisse d'offensives boursières ou économiques, de guerre par le feu ou l'information. S'ajoute la difficulté de décider quel type d'agression "cyber" serait insupportable, voire mériterait la qualification d'acte de guerre, 6
F.B. Huyghe
http://huyghe.fr
Twitter : @huyghefb!
puisque le mot a été lâché par l'administration US. Et laquelle serait un délit de hacker relevant de la simple police, ou une forme d'espionnage industriel un peu sophistiqué, qui, elle, appellerait une réponse sur le seul plan de la technique, du droit et de l'économie. Certes, il n'est pas question de nier la nécessité de se protéger contre les attaques visant des "infrastructures vitales", et contre le chaos qui pourrait frapper par contagion une Nation dépendante des ses systèmes informationnels. Donc d'avoir les meilleurs outils et le meilleur système de gestion de crise. Mais il faut aller au-delà de la solution technico-organisationnelle et se soucier de la nature délibérée, téléonomique donc stratégique, de l'attaque. Elle renvoie à un paradoxe inhérent à la notion même de cyberconflit qui oblige à penser simultanément : - de la violence puisqu'il y a recherche d'un dommage ou d'un ravage - du savoir, puisque la cyberguerre suppose d'acquérir ou de fauser un certain savoir et que l'attaque n'est rendue possible que par l'insuffisance d'un certain savoir (ainsi, il ne peut y avoir attaque que là où il y a vulnérabilité, donc défaut et manque d'anticipation) - de la technique puisque le numérique implique ses propres règles : tout est calculable, tout est réduit à des suites de 0 et de 1 qui se transportent instantanément d'un point à un autre de la planète pour y produire des effets cognitifs ou physiques (lorsqu'il s'agit d'algorithmes commandant des machines par exemple). Les rapports anciens entre la volonté hostile, cette fureur, ce "thymos" qui animait les belligérants, le calcul du stratège et les hasards de l'action dans la vie réelle sont à repenser à neuf. Dans un domaine où les mots - et Dieu sait s'il en prolifère de nouveaux et de ronflants - ont une importance particulière, il importe de savoir de laquelle des poupées russes emboîtées on traite précisément. Pour reprendre le préfixe "cyber" (étymologiquement, une cyberstratégie est déjà une bizarrerie puisque cela signife litérallement "mener des fantassins avec un gouvernail") la cyberattaque (fait de provoquer un dommage ou une perte à distance par des vecteurs numériques) constitue toujours une menace pour la cybersécurité, mais pas nécessairement un cyberconflit, qui suppose la notion de lutte réciproque. Et tout cyberconflit n'est pas nécessairement une guerre au sens politique. De là la cascade des difficultés qui nous assaillent quand nous retransposons dans le cyberespace des notions élaborées pour d'autres formes de conflit. Ainsi, les électrons ne sont pas des fantassins et le temps est loin où la pénétration d'un seul soldat en arme sur notre terre sacrée suffisait à déclencher, sinon une guerre, du moins ses prémices. 7
F.B. Huyghe
http://huyghe.fr
Twitter : @huyghefb!
Le "lieu" de l'attaque, question liée à celle de son "auteur" et de son "statut" - civil, militaire, politique - est incertain dans le cyberespace, monde de l'anonymat, du contrôle à distance, des fausses identités et des "faux drapeaux". L'instantanéité des attaques et leur technicité innovante - par définition une cyberattaque doit exploiter une méthode ou une faille inédites - bouleversent la prévision. Le jeu et l'enjeu de l'usage de la force ne sont plus les mêmes. Dans un domaine où l'on ne peut retenir le critère de la mort d'homme, de l'intervention de troupes ne uniforme, de la déclaration de guerre ou le traité de paix, ni suivre l'enchaînement des batailles, etc..., la question du dommage, de sa source et de son intention est cruciale. Quel est le mobile : s'emparer de données précieuses, affaiblir un concurrent économique, désarmer une nation, accompagner ou préparer une offensive militaire classique ? Et, si l'on maintient que la recherche de la victoire consistant à faire céder la volonté politique adverse reste le but de la guerre, comment sait-on que l'on a gagné dans le cyberespace ? Question d'autant plus lancinante que nul ne sait si l'attaque, éventuellement menée par un groupe mercenaire qui "louent" technologies et ordinateurs zombies a bien atteint le but assigné et si elle n'a pas débordé sur un autre pays. Du coup la question de la désignation de l'ennemi, qui, classiquement, précède et conditionne la montée de l'hostilité et le déclenchement du conflit, devient ici l'énigme vitale à résoudre. L'ambiguité est inhérente à la cyberattaque qui traite du savoir et du secret comme armes. Le savoir technique qui permet de trouver la faille dans le système de protection visé, ou le savoir que l'on cherche à dérober. Le secret qu'il faut violer (trouver un mot de passe ou franchir un firewall par exemple) ou le secret dont il faut entourer son projet. D'où la principale difficulté pour la défense ou la rétorsion : désigner l'assaillant ou prouver qui est responsable du préjudice dans un univers qui est celui de la "malice" numérisée. L'identification de l'arme pose des problèmes inédits. Il y a, en effet, un énorme gouffre entre des algorithmes simples accessibles à tout hacker qui fréquente les forums et des instruments sophistiqués adaptés à une cible spécifique telle une chaîne d'enrichissement de l'uranium ou le réseau d'alerte d'un pays, avec renseignement préalable, dispositifs sophistiqués de dissimulation, résilience, etc. Ici la dangerosité des panoplies ne se mesure plus à leur létalité ou à leur force de déflagration, mais à leur faculté d'agir durablement et secrètement comme à la capacité de chaos et de paralysie de l'action adverse qu'ils sont capables de développer. Ce qui, dans la "vraie guerre" est préparation ou un complément de l'attaque en force - l'espionnage ou le sabotage, éventuellement la déception et la propagande - est l'essentiel de la cyberattaque : fausser le 8
F.B. Huyghe
http://huyghe.fr
Twitter : @huyghefb!
fonctionnement de vos systèmes informationnels, en leurrer , fausser des algorithmes, empêcher des dispositifs de fonctionner. Dans tout cela se mêle nécessairement la recherche d'effets physiques (par exemple une machine marche ou ne marche plus, un système SCADA, un approvisionnement électrique est en panne...) et des effets psychiques (ses victimes prennent ou ne prennent pas certaines décisions). Mais, au final, l'effet physique n'a de sens que s'il se traduit par un comportement et une modification de la volonté adverse. S'en prendre aux infrastructures vitales d'un pays n'a pas de sens en soi, sauf à éprouver une jouissance nihiliste - le "Qu'importe de vagues humanités, pourvu que le geste soit beau" de Thailade - à l'idée que des millions d'euros partent en fumée ou qu'un pays est privé d'électricité. En revanche contraindre des dirigeants, décourager des concurrents ou faire éprouver une punition à un peuple sont des objectifs qui peuvent faire sens. Une cyberattaque se joue donc dans la dimension - du temps (être plus rapide que l'autre avant qu'il ne trouve la riposte, le retarder) - du savoir (gagne celui qui sait ce que l'autre ignore ce qui remet singulièrement en cause les notions de fort et de faible) - du pouvoir (prendre le contrôle, priver de contrôle). D'une certaine façon, elle engage aussi sur le contrôle de l'attention attention du défenseur qu'il faut surprendre (l'attaque fonctionne obligatoirement sur une vulnérabilité, sur une faille non surveillée) attention de la victime qui sera obligée de réparer un dommage, de colmater une brèche, prenant peut-être des mois de retard (voir les virus Stuxnet et Duqu dont la finalité apparente est de retarder la nucléarisation de l'Iran), attention des foules que l'on dirige vers une page, une image ou une vidéo qui va décrédibiliser la cible ou lui faire perdre des soutiens... Une stratégie qui se projetterait dans l'avenir en fonction des objectifs adverses reste encore à définir devrait rendre compte des dimensions de la cyberattaque : - celle de l'économie et des moyens : qu'elle soit de prédation ou de ralentissement, l'attaque vise à affaiblir l'autre et ses capacités de réaction - celle de la contrainte : l'attaque - et en ceci elle se rapproche de la vision classique de la guerre ou du terrorisme - est destinée à jouer comme menace et doit obtenir une concession ou une abstention de la victime - celle de l'image : une offensive peut servir à ridiculiser, à dénoncer ou à rendre odieux celui qu'elle frappe. 9
F.B. Huyghe
http://huyghe.fr
Twitter : @huyghefb!
Il peut et il doit y avoir des stratégies asymétriques, mais il ne saurait y en avoir qui fasse l'économie d'une réflexion sur la réciprocité inhérente à la guerre. Nous pensions qu'il faut prendre au sérieux la phrase de Clausewitz : "Si l'on réfléchit philosophiquement à la façon dont surgit la guerre, le concept de guerre n'apparaît pas proprement avec l'attaque, car celle-ci n'a pas tant pour objectif absolu le combat que la prise de quelque chose. Ce concept apparaît d'abord avec la défense, car celle-ci a pour objectif direct le combat, parer et combattre n'étant évidemment qu'une seule chose." Pour formuler la chose autrement, et avec ce style ironique qui le caractérise si bien, Sloterdjik nous avertit que "La guerre n'est pas une discipline en soi, mais une sophistique armée (le prolongent de l'art d'avoir raison par d'autres moyens) dans laquelle on intègre des éléments de l'athlétisme, de la ritualistique et de la technique des machines." La guerre traditionnelle a toujours pris la forme d'un dialogue sanguinaire, ou plutôt de la compétition de deux discours dont l'un imposera finalement le silence à l'autre qui sera comme obligé de se taire face à l'Histoire et d'accepter. Nous voici confrontés à un étrange message destructeur. Une partie de la solution se trouve visiblement dans un effort de renseignement et d'abord de renseignement humain. Gagnera au final qui saura qui peut l'attaquer, comment et ce qu'il recherchera, ne serait-ce que pour l'en décourager. Mais le jeu de l'intelligence ne saurait suffire. Faisons une double hypothèse : l'avenir de la cyberstratégie dépendra de notre capacité à résoudre la question de l'autorité et celle du code. Par autorité nous renvoyons à l'étymologie du mot qui renvoie d'abord à l'auteur (l'auctor), ici celui qui a lancé l'attaque et à l'autorité, c'est à dire l'instance qui est supposée obtenir une obéissance dans un domaine de compétence. Ceci débouche sur des questions très concrètes dont les premières concernent au premier chef les services de renseignement et les secondes le sommet même de l'Ét at. - Qui a lancé l'attaque et quel est son statut (privé, public, politique, délinquant économique, militant...) ? Autorité implique ici imputabilité : comment une attaque "d'un clic" peut-elle être attribuée à un acteur souverain ou à un échelon secondaire (par exemple à un service qui jouerait sa propre politique, ou à un groupe de hackers dont on ne sait pas très bien s'il est commandité ou seulement toléré par son propre pays) ? - À quel niveau politique remonte la décision de déclencher une contre-violence ? Et suivant quels critères ? S'il se rencontre au quotidien des attaques qui ne méritent guère plus que la mise en œuvre d'une 10
F.B. Huyghe
http://huyghe.fr
Twitter : @huyghefb!
procédure de protection, d'autres peuvent porter atteinte à des intérêts de souveraineté (voir les fameuses "infrastructures vitales"). La décision d'employer des moyens offensifs, le choix de leur cible (avec tous les risques de dommages collatéraux qu'implique toute action dans le cyberespace), éventuellement le choix du secret qui doit entourer l'opération (agit à visage découvert contre des acteurs anonymes ?) : autant de prises de risque graves. Avec toutes les questions secondaires comme celle d'une éventuelle graduation de la riposte, ne serait-ce que pour conserver une réserve de capacité offensive... Outre leur complexité technique, ces alternatives demandent l'élaboration d'une grille de réponse préalable et graduée en fonction de rapports de force éventuels. Menacer avec des armes numériques voire conventionnelles n'a guère d'effet dissuasif si l'on en reste au plan des principes et sans adresser de message à un destinataire. Quelle sanction,quelle dissuasion ? La doctrine d'emploi que nous appelons ici de nos vœux, implique en amont des choix qui concernent notre souveraineté et notre vie démocratique. Seconde problématique celle du code. Non seulement au,sens de la cryptologie, à l'évidence omniprésente, mais surtout au sens du code de communication qui soit s'établir avec l'adversaire. La guerre est affaire de persuasion (donc d'effet sur la perception et la volonté de l'autre). Encore faut-il parler la même langue, ce qui est ici d'autant plus difficile que l'on cerne mal l'interlocuteur : un autre État, une faction ou un service de ce pays, un groupe à motivation idéologique ou intéressée... D'infinies possibilités de bluff, de stratagème, de désinformation s'ouvrent ici, mais aussi de négociation. Si nous mettons à part une cyberattaque qui accompagnerait une offensive classique - paralysant des systèmes adverses de radars au moment où l'on lance ses missiles, par exemple - il y a de fortes de chances que la chaîne offensive, défense, nouvelle riposte, etc., jusqu'à ce qu'une des parties dépose les armes, comme dans la guerre classique, s'adapte mal. Notamment parce qu'il faut s'attendre à des attaques uniques dont la répétition serait douteuse. Voire à leur simple annonce, une menace agitée reposant sur une capacité technologique supposée. En d'autres termes, le problème est moins ici celui d'une capacité d'attrition ou d'occupation des positions stratégiques que la faculté de bien interpréter le risque réalisé ou virtuel. La cyberattaque repose pour une large part sur un effet de panique, désorganisation effective ou crainte d'une attaque à venir donc sur une réaction de la victime. Comment va-t-elle répondre à un dommage difficile à chiffrer objectivement (perte de données confidentielles, paralysie d'un système de gestion) ? Mais surtout, comment interprétera-t-elle cette expérience traumatique ? Par une politique de rétorsion, ou en cédant à une revendication ? Et par quelles voies ?
11
F.B. Huyghe
http://huyghe.fr
Twitter : @huyghefb!
Nous sommes conscients que notre équation comporte beaucoup d'inconnues et qu'elles ne seront pas dissipées par des meilleurs logiciels ou des clés plus robustes. Une partie de la réponse peut se trouver dans le renseignement de qualité qui nous dirait qui l'a fait, qui pourrait le faire et qui désirerait le faire. Mais cela ne saurait nous dispenser en aucun cas de choix politiques. Pour prendre une comparaison facile, la doctrine de dissuasion atomique, avec tous ses avatars, doctrine de première frappe, d'emploi limité, etc , semble maintenant un tissu d'absurdités, pour nous qui connaissons la fin de l'histoire. Mais à l'époque elle a eu le mérite d'établir une forme de dialogue entre des partenaires, certes bien identifiés. Il nous faut maintenant en réinventer l'équivalent moderne. Certains, comme le chercheur de la Rand, Martin Libicki, ont déjà commencé à réfléchir sur la traduction du concept de dissuasion dans le nouveau langage. C'est certainement la voie à suivre. En conclusion, il nous semble que la stratégie à inventer et qui remplirait les trois fonctions que nous avons suggérées - savoir qui l'a fait, savoir quoi lui faire dans quel cas, savoir lui faire comprendre - tiendrait quelque peu de l'enquête policière, de la politique pure et de la rhétorique. Façon ironique de dire qu'il est urgent de rétablir la hiérarchie du politique, du stratégique et du technique.
12
F.B. Huyghe
http://huyghe.fr
Twitter : @huyghefb!
CYBERGUERRE, LES LIMITES
(source : article sur http://huyghe.fr) Un caméléon dans le brouillard
La guerre est un caméléon, disait Clausewitz, pour en suggérer la nature changeante et imprévisible. Mais la cyberguerre (si tant est qu'un tel animal existe) se déroule toujours dans le brouillard (autre expression empruntée au Prussien qui savait bien combien la confusion dans l'information joue un rôle crucial dans les opérations). D'une certaine façon c'est une guerre pour par et contre le brouillard, née de l'incertitude qui entoure chacun de ses aspects. Prenons nos exemples dans l'actualité de ce matin où les médias utilisent le terme "cyberguerre" avec enthousiasme. On apprend simultanément : - que des hackers pakistanais du "Predators PK" s'en sont pris à des sites indiens, en une opération de rétorsion contre une opération similaire menée en sens inverse par '"l'Indian Cyber Army" - que Julian Assange est victime d'une "cyberguerre", en réalité un mélange d'attaques informatiques et de pressions politiques, a du finalement déménager son site à l'adresse Wikileaks.ch - que l'US Cyber Command, destiné précisément à la cyberguerre est devenu opérationnel en novembre Il s'agit à l'évidence de trois formes très différentes de conflit regroupées sous un même nom "cyberguerre" : - des opérations de sabotage ou d'humiliation symbolique menées par des hackers, des acteurs en principe privés (et entraînant un simple dommage d'une gravité très supportable pour une grande nation, même si un site tagé ou ne fonctionnant pas quelques heures peut être très perturbant, donc d'une question de fonctionnement de structures informationelle - d'une opération menée par le gouvernement des États Unis par des moyens divers, et dont tous ne sont sans doute pas avouables, pour faire taire une organisation militante. Donc d'une question de contenu de l'information et de liberté d'expression - d'une organisation militaire étatique se préparant, en attaque ou en défense, à des opérations informatiques susceptibles d'affecter la capacité opérationnelle d'une autre armée. Où commence vraiment la guerre ? Avec un acte d'espionnage, de sabotage produisant un certain désordre, au fait de divulguer des secrets d'État (ou d'empêcher de les divulguer) ? À l'utilisation d'armes numériques pour renforcer, paralyser ou remplacer de "vraies" armes ? 13
F.B. Huyghe
http://huyghe.fr
Twitter : @huyghefb!
quand elle est pratiquée par de "vrais" militaires et pas par des groupes militants ? Pour reprendre notre image du caméléon dans le brouillard, la supposée cyberguerre combine deux principes d'incertitude, factuelle et sémantique pour ne pas dire ontologique. L'incertitude sur les faits regroupe toutes les inconnues et tous les doutes qui accompagnent chaque fois la découverte d'une cyberattaque. Chacune pose des questions qui relèvent bien davantage de la criminologie que de la politique. Qui l'a fait ? À qui profite le crime ? L'instigateur est-il l'acteur ? Quel est son motif ? A-t-il eu les moyens et l'occasion ? Quels sont les complices ? Qui a été sur les lieux (numériques) du crime ? N'a-t-il pas semé de fausses preuves ? Celui qui revendique le crime est-il le vrai coupable ? La victime est-elle bien celle qui était visée (dans les affaires de cyberattaques, il n'y a pas de cadavre et l'évaluation des dommages effectivement subis, et par qui, n'est pas le moins compliqué) ? Le résultat obtenu est-il le résultat visé ? S'ajoute souvent une question qui relève plutôt de la forme de criminalité que l'on nomme terrorisme : si le responsable a voulu faire passer un message, quel est ce message et comment l'interpréter ? Que demande-t-il en réalité ? Y a-t-il un État ou un service étranger derrière l'action d'un groupe prétendument militant et autonome ? Et du reste, ses motivations sont-elles politiques ou crapuleuses (rançon, par exemple) ? Dois-je faire intervenir la police ou bien l'armée ? Où trouver des indicateurs ? Comment infiltrer mes agents ? ... Il peut y avoir des réponses aux problèmes qui précèdent, et elles passent sans doute par des méthodes techniques et par du renseignement humain. Mais reste la question principale : celle d'une définition de la cyberguerre d'où découleraient des stratégies ou des procédures (par des traités de cyberpaix destinés à garantir les signataires et prolongés par des systèmes de vérification et sanction). C'est un lieu commun que de dire que la guerre classique, interétatique, a vécu. Guerre classique ? Celle-ci reposait sur des éléments d'ordre politique et symbolique, au moins dans notre tradition intellectuelle européenne : - Seuls certains acteurs, dotés du monopole de la violence légitime sur un territoire bien délimité par des frontières, possèdent le "jus ad bellum", le droit d'entrer en guerre, c'est à dire d'exercer une violence armée et publique, généralement contre le territoire d'autrui ou pour défendre le sien, et non pas de se conduire comme un simple groupe armé. On peut discuter s'il faut au moins deux États pour faire un guerre 14
F.B. Huyghe
http://huyghe.fr
Twitter : @huyghefb!
(comment, par exemple, considérer certaines guerres civiles où des armées de partisans s'affrontent pour s'emparer d'un État ou le détruire ? ou certaines opérations d'armées régulières contre des groupes de guérilla ou d'insurrection?), mais il en faut au moins un. Et quand bien même il y a doute sur le statut des acteurs, tous ceux qui prétendent rentrer en guerre (armée révolutionnaire ou de libération par exemple), ceux-ci aspirent au statut de souverain (s’accordant le droit de déclarer la guerre et de traiter une entité politique et de traiter ceux qui la représentent ou en dépendent en ennemis et en égaux) - la guerre se déroule en un lieu précis et suivant un temps précis (il y a des zones et des périodes de guerre délimitées) - la séparation belligérants / non belligérants est nette. À l'intérieur du camp des belligérants, s'opère un autre distinguo entre gouvernement, armée et civils. Ils ne reçoivent pas, par exemple, le même traitement dans le jus in bello, le droit qui s'applique à la conduite des opérations de guerre - les acteurs militaires utilisent des outils spécifiques à leur métier : des armes. Les particuliers ne peuvent pas en posséder de semblables (il y a des pays où un citoyen peut détenir des fusils voire des armes automatiques, mais s'il a une aviation avec chasseurs et bombardiers, il cesse d'être vraiment un particulier). - la question de la mort d'homme infligée collectivement par les armes (et du droit d'infliger cette mort) sépare la guerre des autres violences et contraintes - la guerre poursuit un but politique durable, généralement sanctionné par un traité, un changement de gouvernement ou un transfert de souveraineté sur un territoire, de nouveaux droits et autres traces historiques durables. Pour atteindre ce but, elle a suivi un schéma linéaire : début de la guerre, intensification des opérations, victoire d'une des parties, traduction politique de la victoire militaire. Chacun des éléments qui précède est remis en cause, et pas seulement par la cyberguerre, mais aussi par les guerres dites asymétriques, la guérilla, le terrorisme... De façon tendancielle, les violences politiques sont menées - par des acteurs infra-étatiques (éventuellement organisées en sortes d'internationales combattantes trans-étatiques comme les groupes jiahdistes) - partout (les cibles sont mondialisées), par surprise, suivant un rythme discontinu ( discontinuité qui est, par exemple, celle des opérations terroristes) ou en utilisant des armes « à retardement » comme certaines bombes logiques introduites dans des systèmes cibles - dans la plus totale indifférence à la notion de monopole de la violence légitime et dans une non-distinction grandissante entre cibles militaires, politiques et civiles. - en infligeant la mort ou la privation de liberté à de simples citoyens, mais aussi en sabotant l'appareil économique et technique de 15
F.B. Huyghe
http://huyghe.fr
Twitter : @huyghefb!
l'adversaire et surtout par l'arme de l'information, notamment en humiliant l'adversaire ou en le diabolisant aux yeux de l'opinion internationale. - par toutes sortes d'armes (y compris économiques, médiatiques...). Dans la cyberguerre, l’arme est plutôt celle de la connaissance - sans que les violences crapuleuses et politiques se distinguent clairement - pour des buts qui soit vont très au-delà de ce que l'on entend habituellement par but politique (établir le règne de Dieu) soit s'inscrivent dans une tout autre logique : par exemple rétorsion, vengeance pour le sang versé, témoignage d'une volonté de se battre jusqu'au bout contre une injustice dont l'adversaire est désigné comme premier coupable. Le problème de la cyberguerre n’est donc pas seulement informatique et informationnel (savoir qui frapper, quand et comment le frapper), il est aussi, beaucoup plus généralement, celui des nouvelles violences symboliques et techniques. Il dépend de notre capacité d’établir un code des nouvelles guerres (la gradation de la violence et de la menace, les modes de rétorsion, les manières de négocier une trêve ou une revendication). L’établissement de cette doctrine ou de ce système sera d’autant plus difficile qu’il faudra aussi apprendre à s’adresser à des acteurs que nous ne pouvons pas nommer (faute de savoir prouver leur culpabilité) et qui ne veulent pas s’avouer (car ils perdraient l’avantage de ne pouvoir être accusés officiellement). Il est possible que la cyberguerre ne fasse que commencer (ou quel que soit le nom que l’on choisit pour désigner la chose), mais dans ce cas, elle sera une affaire trop sérieuse pour être confiée aux ingénieurs et aux militaires et elle demandera une véritable invention politique.
16
F.B. Huyghe
http://huyghe.fr
Twitter : @huyghefb!
a
CYBERCRIME Réseaux numériques, réseaux criminels (source : article sur http://huyghe.fr)
Le « cybercrime » est une appellation romantique de ce qu’il serait plus juste de nommer délinquance assistée par ordinateur. Des vols, des sabotages, des chantages, des escroqueries, des actes d’espionnage ou de viol de l’intimité, la diffusion de contenus illégaux…, tout cela peut être réalisé par écrans interposés. S’y ajoutent différentes façons d’attaquer un système informatique (en pervertir le fonctionnement, en prendre la direction, y prélever des informations, ou encore le rendre inopérant). À ce mot-valise - cybercrime - , on associe volontiers celui de cyberterrorisme. Il désigne des attentats terroristes qui s’exécuteraient sur la Toile (une hypothèse agitée bien avant le 11 Septembre et qui ne s’est guère concrétisée hors quelques attaques informatiques contestataires bénignes et provisoires contre des sites officiels) et l’utilisation des facilités d’Internet (communication à distance, anonymat, présence sur toute la planète…) par des groupes terroristes. Au total, ces deux curieux néologismes, faits avec un préfixe grec (cyber vient du mot qui signifie « gouvernail ») et des mots latins dont la précision n’est pas très grande (faudrait-il parler de crime pour tout ce qui se fait d’illégal sur Internet et dans le domaine informatique ? une activité qui ne fait pas de morts, par exemple l’envoi de courriels, mérite-t-elle vraiment d’être qualifiée de terroriste ?) N’empêche : cybercrime a été popularisé par les réunions des organisations internationales – comme celle de Tunis sur la société de l’information ou les textes de l’Unesco - ; une incriminations prévue par des législations européennes et nationales, étudié par une multitude d’instituts et d’ONG. Depuis le 11 Septembre, on y associe volontiers le cyberterrorisme (bien que l’annonce de son apparition soit bien antérieure à 2001 et que le fantasme de la cyberguerre ait été agité depuis plus longtemps encore). D’abord, comment croire à l’information dont nous disposons sur le cybercrime ?
17
F.B. Huyghe
http://huyghe.fr
Twitter : @huyghefb!
Celle-ci provient soit de sociétés de sécurité ou d’organismes qui pourraient avoir intérêt à surestimer le péril pour justifier leur existence, soit d’entreprises ou d’administrations qui ont été victimes de ces attaques, et qui n’ont peut-être aucune raison de révéler leurs faiblesses ou leurs vulnérabilités. Soit, enfin, l’information provient de hackers et autres pirates à l’ego souvent surdéveloppé et qui peuvent se vanter d’exploits imaginaires. Par ailleurs, le manque de précision dans la définition du cybercrime n’arrange rien (dans certains cas un vol d’ordinateur est comptabilisé comme tel puisqu’il pourrait avoir pour but de s’emparer de précieuses données qu’il contient). Ou encore, certains considèrent comme cybercrime des « compromissions » de données qui auraient pu être exploitées de façon délictueuse. Le nombre de délits virtuels peut ainsi s’élever vertigineusement. Sans même parler de millions de télchargements ou de copies de logiciel d’une légalité douteuse. Ces réserves faites, on peut citer certains chiffres à titre indicatif : Selon le FBI, (une étude par sondage sur plus de 2000 sociétés), le cybercrime coûterait 67,2 milliards de dollars par an aux USA, la plupart de ces pertes étant dues à des «malwares» (des logiciels malveillants). Ce qui représenterait une augmentation considérable sur les estimations précédentes : ainsi en 2001, lors d’une réunion du G8 avaient circulé des chiffres sur le coût mondial du cybercrime situé entre 30 et 50 milliards d’euros. Mais comment comptabiliser par exemple les milliards de dollars qu’auraient coûté des virus comme le célèbre « I love you » ? Pour Valerie McNiven, Conseiller aux questions sur la cybercriminalité auprès du Gouvernement Fédéral américain, les gains annuels de la cybercriminalité s’élèveraient à 105 milliards de dollars et seraient supérieurs à ceux du trafic de drogue. En général,cela suscite des considérations revenant sur dse thèmes récurrents : - la célébration d’Internet, de ses virtualités pour le développement de la connaissance et la liberté d’expression, enthousiasme tempéré de quelques mots de crainte sur les cybenazis, les pédophiles et les discours de haine véhiculés par le Net ou les dangers que représente pour le cybercommerce l’insécurité des transactions - des propos généraux sur le conflit entre le droits de l’individu (et en particulier l e droit à la protection de la vie privée) et les dangers que lui font courir les technologies numériques, dont l’inévitable Big Brother informatique - un discours alarmiste sur les exploits de quelques hackers capables de franchir les protections les plus sophistiquées pour s’emparer de secrets ou prendre la commande d’ordinateurs et sur son extrapolation sous forme de scénario catastrophe : « Demain, si nous n’y prenons garde, 18
F.B. Huyghe
http://huyghe.fr
Twitter : @huyghefb!
un criminel muni d’un simple modem (ou d’un simple téléphone portable) pourra… ». Les fantasmes de Big Brother (un système totalitaire surveille tout et contrôle tout par écrans interposés), du grand accident informatique (la cyberbombe et ses réactions en chaîne prédites par Paul Virilio), du « Cybershock » prophétisé par Winn Schwartau (cybercrime, cyberguerre, cyberterrrorisme,et autres cyberhorreurs), du « Pearl Harbour informatique » (les USA, paralysés par une cyberattaque attendue dès les années 90), du « Frankenstein technologique » (le monde virtuel échappant à tout contrôle)… Toutes ces prédictions ne rivalisent qu’avec les anticipations militaires et para-militaires sur le concept assez flou de “guerre de l’information”. Il est troublant que le domaine militaire, politique, économique et l’espace privé soient ainsi réunis autour d’une même vision technologique de la conflictualité. Ou plus exactement il s’établit un nouveau rapport entre des réalités d’ordre stratégique (l’action délibérée de groupes en lutte), technique (l’omniprésence de l’informatique et des réseaux) et symbolique (le fonds de nos affects et croyance sur lequel se déroule ce conflit). Il existe une très abondante littérature sur toutes les méthodes numériques pour voler (y compris une identité ou un droit intellectuel), de causer un dommage (y compris le dommage moral) ou encore de prendre le pouvoir (y compris sur des machines, des données, des systèmes) sans en avoir le droit légitime. …. Parallèlement, la cybercriminalité (qu’il serait plus juste de nommer cyberdélinquance puisqu’il ne s’agit pas toujours de faits relevant d’un jury d’assises) nourrit toute une industrie de la sécurité Il existe vraiment des réseaux pédophiles, des escroqueries sur Internet et des « hackers » surdoués comme Kevin Mitnick (alias « Condor) ou Vladimir Levin (qui a détourné 10 millions de dollars de Citibank – encore que les exploits de ces vedettes datent souvent des années 90 et les aient menées en prison. Mais il existe aussi des marchands de sécurité. Dans un domaine au carrefour de deux grandes obsessions contemporaines – le risque et la société de l’information – les propos alarmistes, pas toujours désintéressés, trouvent un public intéressé. Chacun, ne serait-ce que parce qu’il a au moins une fois été gêné par un virus – est conscient des failles de l’informatique et d’Internet : il peut être attaqué à distance, à faible coût par un adversaire difficile à repérer et qui ne court aucun risque physique immédiat. Tout un imaginaire s’est développé : génie de l’informatique boutonneux escroquant des millions depuis leur chambre d’étudiant, nazis hantant la Toile pour contaminer de paisibles internautes, voleurs 19
F.B. Huyghe
http://huyghe.fr
Twitter : @huyghefb!
de numéros de carte bleue, pédophiles cherchant à attirer nos enfants sur les forums, adeptes du jihadisme recevant des instructions dans les cybercafés…. Rien de tout cela n’est totalement faux, mais les périls les plus médiatiques ne sont pas nécessairement les plus probables. Le risque de se faire « hameçonner » et d’être amené à livrer des informations confidentielles à un faux site de banque n’est pas statistiquement négligeable. De même pour celui de voir son téléphone mobile (que l’on protège généralement moins bien que son ordinateur) réaliser des opérations non voulues. Il existe même une possibilité de se faire « voler son identité ». Ce ne sont pourtant pas les dangers auxquels on songe en premier. Bien entendu, tout est constamment à revoir. Nouvelles prédictions, nouvelles surprises, nouvelles faiblesses et nouvelles parades… La notion d’attaque Un point commun à tout ce qui précède, pourtant : la notion d’attaque. Le cybercriminel (ou le cyberterroriste, si tant est qu’il existe un tel animal) prend l’initiative et utilise des ordinateurs (ou des moyens numériques de stockage, traitement ou communication de l’information) pour : - Copier ou prélever de l’information, violer des secrets, soit pour les exploiter (atteinte à la vie privée, espionnage économique), soit pour reproduire de la musique, des textes ou des images au détriment des droits intellectuels de leur légitime propriétaire - Détruire des données ou paralyser des systèmes et des fonctionnalités, produire un ravage coûteux, - Commander, donner des ordres à l’appareil à l’insu du propriétaire, lui faire réaliser des opérations aux conséquences aussi diverses que des dépenses injustifiées, la compromission d’autres cibles ou un état de dépendance et de paralysie qui permet tous les chantages - Falsifier : persuader que tel document ou programme émane de Mr. Dupont ou de la société Durand ou qu’il sert à Y (alors qu’il réalise une fonction malicieuse Z), faire une fausse correspondance entre deux propriétaires de mobile, changer un contenu… - Diffuser des images ou des discours interdits (racisme, pornographie…) 20
F.B. Huyghe
http://huyghe.fr
Twitter : @huyghefb!
L’attaque peut donc viser à savoir, empêcher de faire, fairefaire, ou encore faire-croire, preuve de la très vaste palette stratégique de l’assaillant. Pour le dire autrement, l’attaque peut * S’en prendre à la confidentialité, l'intégrité et la disponibilité des données, les diffuser sans autorisation des propriétaires légitimes, les détruire ou les rendre inaccessibles et inutilisables. Viol et sabotage, en somme. * Empêcher des systèmes de fonctionner : par exemple provoquer un déni d’accès sur un site, ce qui le paralyse, le rend inaccessible et entraîne des pertes financières * Propager des contenus illégaux (soit parce que « scandaleux » comme un délit d’opinion, soit parce que les droits d’emploi ou de diffusion n’en ont pas été réglés) D’où un premier tableau des crimes par, pour contre l’information en trois familles. - 1° Des formes traditionnelles de délinquance que les nouvelles technologies rendent plus faciles ou moins dangereuses. Ainsi les délits d’opinion : appel à une haine quelconque ou diffamation. Le fait de pouvoir lancer de faux bruits sur Internet ou d’en faire une tribune pour des ragots est favorisé par des caractéristiques du réseau : faible coût de l’opération, vitesse d’exécution, répercussion planétaire si le message est vite repris, possibilité d’agir à distance et par-delà les frontières, etc. Mais faciliter n’est pas bouleverser : tout cela aurait pu se faire par voie de presse. De même l’espionnage industriel reste de l’espionnage, peu importe que le coupable photographie des documents confidentiels avec un Minolta ou qu’il télécharge des données sur un disque dur. Recruter un tueur à gage sur Internet, c’est d’abord recruter un tueur à gages, et un chantage reste un chantage, que l’on menace d’infecter des données ou de mettre le feu à un bar. - 2° Des délits qui ne sont imaginables que dans le cybermonde : ils portent par définition sur des informations numérisées, accessibles à distance et susceptibles d’être transportées ou modifiées sur des réseaux informatiques. Nu ne peut effectuer un déni d’accès ou implanter un cheval de Troie dans une librairie. Ces actions high tech visent au contrôle de données -soit en raison de leur valeur marchande, -soit en raison de leur fonction de « gouvernail » (traduction littérale de « cyber ») : mots de passe, algorithmes …, bref, de telles 21
F.B. Huyghe
http://huyghe.fr
Twitter : @huyghefb!
actions sont efficaces à la mesure de ce qu’elles permettent de faire impunément : emprunter une identité ou un droit, effectuer une transaction à distance, activer une commande… Autre possibilité : les délits informatiques non de prédation, mais de destruction. Priver une entreprise ou une organisation de sa mémoire, de certains services, ou, tout simplement, lui faire perdre du temps (en rendant son site inopérant pendant plusieurs heures), c’est lui causer un dommage considérable. On avance des chiffres étonnants à propos de « programmes malveillants », voués à la nuisance numérique : le « vers » Code Red aurait, dit-on provoqué des milliards de dollars de dégâts. et on a prété à Stuxnet la capacité de retarder de plusieurs années la nucléarisation de l'Iran simplement parce que ce vers introduit par des clefs USB a la capacité de perturber des système de contrôle et nomannant le longue chaîne des centrifugeuses nécessaires à l'enrichissement de l'uranium. Par la suite, les dégâts se sont sans doute révélés bien moins graves, mais peu importe... ocra,, dans notre société de l’information, il y a de plus en plus de données, généralement sous forme de bits électroniques dont il faut assurer la sécurité,: - Données ayant une valeur commerciale. Ce sont des informations rares, soit parce que complexes et innovantes (un nouveau logiciel, une découverte scientifique…), soit banales isolément, mais précieuses une fois réunies dans des bases. Ainsi des données personnelles sur l’adresse, la date de naissance, le numéro de sécurité sociale, etc. de quelqu’un : aucune de ces informations n’est gardée comme un trésor, mais réunies et traitées elles confèrent un pouvoir sur ce quelqu’un. Ainsi elles permettent de faire des choses à ses frais ou sous son nom. Cela commence souvent par du phishing ou hameçonnage, qui consiste à se procurer des informations confidentielles en se faisant passer auprès des victimes pour une personne ou un organisme qui ayant le droit de les demander. - Mémoires dont l’altération ou l’effacement plongerait une organisation dans le chaos - Systèmes tout court dont la fiabilité doit être garantie à tout instant pour que les messages soient transmis, les gens payés, les consignes de sécurité respectées, les membres de l’organisation coordonnés, le public informé… - Identifiants permettant de prouver que l’on est qui l’on prétend et de réaliser des opérations sans être physiquement présent (faire une transaction financière, pénétrer dans certaines zones d’un ordinateur ou d’un intranet….) - Image et réputation. Celle-ci constitue un capital immatériel précieux dans une «économie de l’attention» mondialisée. Mais il peut aussi s’agir de la réputation d’un individu. Un faussaire se faisant passer pour lui, s’emparant de son e-mail ou de données personnelles voire un 22
F.B. Huyghe
http://huyghe.fr
Twitter : @huyghefb!
ennemi diffusant des images numériques humiliantes peut lui porter un préjudice moral considérable. Nombre de ces attaques supposent des modifications de données. Elles sont par définition difficiles à déceler, du moins sur le coup, puisque la machine semble fonctionner. La victime a confié à un support informatique la conservation de sa mémoire, et elle se retrouve dans une situation où elle semble s’être fait implanter comme de faux souvenirs, des données altérées, données qu’elle peut reproduire et diffuser en toute bonne foi. La modification des programmes destinées à leur faire réaliser des opérations non voulues et non connues par le propriétaire légitime est plus grave encore. Cette fois, la victime ne sait plus seulement ce qu’elle sait, elle ne sait plus ce qu’elle fait, ou plutôt ce que fait son appareil. Les propriétés de l’information - bien rare (susceptible d’être vendu, volé, recopié, dégradé), mais aussi commande, et message adressé à quelqu’un et produisant un certain effet psychique – sont donc toutes exploitées par une délinquance. Et ce à la mesure de trois phénomènes évidents : la mondialisation/accélération des échanges, la montée de l’économie de l’immatériel, la médiatisation générale. 3° Enfin, les organisations criminelles ne sont pas plus stupides que les autres et elles profitent des facilités d’organisation, de messagerie à distance, de mémoire, etc.., qu’offrent les technologies de l’information et de la communication. Exactement comme une entreprise « en réseau », mondialisée, connectée… Dans ce cas, des opérations qui seraient parfaitement légales dans un autre cadre – recruter, s’envoyer des messages, se former – deviennent illégales du fait de l’organisation qui les pratique. On notera que la victime d’une attaque peut l’être à plusieurs titres : - comme personne privée qui peut être volée, escroquée, diffamée… - comme acteur économique : une entreprise peut perdre des actifs immatériels, être perturbée dans son fonctionnement ou parfois simplement être critiquée ou ridiculisée par un site (ce qui n’est illégal que dans certains cas) - comme sujet politique Comme on le voit, dans le cybercrime, l’information est considérée comme un bien et un pouvoir qui peuvent être dérobés ou annulés, soit pour en tirer profit, soit pour faire ravage.
23
F.B. Huyghe
http://huyghe.fr
Twitter : @huyghefb!
Le cyberterrorisme obéit, lui, à une autre logique supplémentaire : celle de la propagation (de ses idées, de ses menaces, de ses communiqués, de ses « exploits » telle la diffusion d’images d’exécutions d’otages). C’est aussi une logique de la « preuve » : l’organisation terroriste cherche toujours à démontrer quelque chose – que ce soit avec les médias électroniques ou d’autres plus traditionnels - : sa capacité de nuisance ou de mobilisation, l’humiliation de ses ennemis… Le cybercrime a toujours un rapport avec un secret violé ou un secret utilisé pour agir façon invisible, voire indolore (la victime peut très bien ne jamais réalisé qu’on lui a volé des données ou une propriété intellectuelle, par exemple). Ceci est d’autant plus vrai que la possession d’un secret a souvent valeur probante : si X possède le mot de passe y, il « prouve » son identité à la machine et peut effectuer une opération. Le secret peut prendre la forme du « camouflage numérique » : se faire passer pour autrui, imiter le détenteur légitime d’un droit, voire voler l’identité de quelqu’un de façon permanente pour s’endetter, acheter, se procurer des documents sous son nom. Les tendances lourdes Les réseaux informatiques opèrent une véritable déterritorialisation, abolissent des frontières et mettent chacun en contact avec chacun. Cela veut dire, répondent les accusateurs, que pirates, espions, saboteurs, voleurs de données, désinformateurs, propagateurs des pires ignominies, peuvent agir de tout point de la planète, attaquer des banques de données, répandre de fausses nouvelles. Les réseaux se jouent des délais, permettent l'accès en temps direct, et l'archivage quasi illimité d'une masse d'informations. Aux dépens du temps de sélection et de réflexion, ajoutent les mêmes : une rumeur va plus vite qu'une information vérifiée, l'événement occulte l'histoire, la réaction primaire court-circuite les médiations. Le pouvoir est dématérialisé, transformé en flux et stocks. Le véritable pouvoir –ajoutent-les critiques- en deviendra occulte, les manipulations informatiques clandestines proliféreront. La connaissance sera digitalisée, transformée en série de bits plus faciles à stocker, traiter, ou transmettre. À cela, les technophobes répliquent : les trucages en seront facilités, la disponibilité d'une masse énorme de connaissance empêchera la constitution d'un véritable savoir, le contrôle du citoyen sur la réalité qui lui est imposée diminuera... Tandis que les mass media produisaient du visible efficient générateur de croyance, avec les nouvelles technologies, l'information devient un invisible fragile et dangereux. 24
F.B. Huyghe
http://huyghe.fr
Twitter : @huyghefb!
Un invisible fragile ? La question du sens de l'information s'efface devant la question de la gestion des flux. Aux effets de connaissance et de croyance de l'information, il faut ajouter l'effet de contrôle. Il ne joue pas seulement sur la publicité de l'information (qui sait quoi) mais aussi sur sa disponibilité (qui a accès à quoi et peut transformer ou détruire l'information) et sur sa lisibilité (qui a les moyens de décoder, traiter, exploiter). D'où une multiplication des informations sensibles : souvent, aucune séparément n'est très précieuse ou très dangereuse, mais l'ensemble livre un “profil” et confère un pouvoir. Dans une entreprise, il ne s'agit plus seulement de garder sous clé le plan d'une invention ou une correspondance confidentielle. Il faut protéger d'innombrables données contre le vol, la destruction, ou la révélation publique, se mettre à l'abri des virus ou logiciels, chevaux de Troie, “cookies”, il faut s'assurer notamment dans les transactions en monnaie électronique de la véritable identité d'un correspondant,.... À l'échelle politique, la masse de documents classés secrets augmente paradoxalement depuis la guerre froide (il atteint chaque année 6 millions aux États-Unis) et la notion de “culture du secret” s'impose. Les activités criminelles liées à l'information s'étendent : cela va des pans entiers de l'économie et peut-être de la politique mondiale que contrôlent les mafias, à la petite délinquance informatique parfois pratiquée pour des motifs ludiques. La lutte pour empêcher l'adversaire ou le concurrent de connaître l'information se redouble d'une lutte pour interdire de la changer, de la détruire ou de détruire le système d'information, et d'une lutte pour empêcher de fausser l'interprétation de l'information, par exemple en trompant sur sa source. Les conséquences se résument en deux images. Il y a d'abord le phénomène citadelle : l'obsession sécuritaire gagne. L'économie se militarise. Les stratégies économiques font de plus en plus appel à l'intelligence dite pudiquement “compétitive”, ou à des procédés d'observation ou de déstabilisation qui évoquent souvent l'espionnage. Les entreprises vivent dans la paranoïa de l'attaque, du virus, du sabotage des numériques, des intrusions par Internet, ou plus subtilement de campagnes de rumeur et dénigrement menées via les nouveaux médias. Un fantasme se répand : l'énorme machine paralysée par une attaque indécelable en son point de fragilité, par des virus, des sabotages, la poignée d'informaticiens terroristes capables de détruire par quelques actions coordonnées tout un système de communication. Le second phénomène, corollaire, est la “mobilisation” du citoyen. Il devient victime potentielle non seulement d'un fichage bureaucratique mais aussi de manipulations commerciales, ou de 25
F.B. Huyghe
http://huyghe.fr
Twitter : @huyghefb!
délinquance astucieuse : il est devenu “traçable” (comme sur le champ de bataille l'adversaire observé est dit laisser une “signature”). C'est la rançon de deux possibilités des nouvelles technologies, croiser de multiples fichiers, et enregistrer une multitude d'actions ou de transactions, du payement par carte bancaire aux navigations sur Internet. Du coup des enjeux comme la protection de l'anonymat ou la liberté de la cryptologie sont aussi des thèmes militants. Nous sommes habités par deux besoins antagonistes. Au nom de la transparence démocratique, du principe de publicité, du droit de savoir, nous voulons tout voir. Qu'on ne nous cache rien, ni des mécanismes de l'État, ni du comportement privé des hommes publics. L’idéal libéral se répand : réduire au maximum la part du secret dans l’action publique (au profit de la transparence et de la gouvernance), le secret étant réservé au domaine de la vie privée du citoyen, qu’il s’agit, bien au contraire, de défendre contre toute tentative de surveillance ou de contrôle. Mais en même temps, jamais nous n'avons autant craint d'être fichés, filmés, surveillés, écoutés, jamais nous n'avons autant réclamé le droit à l'anonymat, nous que l'on disait menacés par l'anonymat des sociétés de masse. Besoin de sécurité et individualisme se conjuguent pour faire de la défense de la sphère privée une préoccupation majeure. Aux fonctions traditionnelles du secret, empêcher le partage d'un savoir, la publicité d'un événement ou l'anticipation d'une intention, s'ajoute celle de garder le contrôle sur sa propre vie. Les moyens d’attaque Certains sont entièrement issus d’une technologie toute récente. Suivant le Club de la Sécurité Informatique Française (Clusif ), nous pouvons pointer certaines pratiques à la hausse : - Vols de données et de codes sources - Robots qui piratent des systèmes se connectent à un serveur Irc et font rentrer l’appareil victime dans un réseau d’attaque caché ainsi piloté par le pirate ou celui à qui il loue ses services. Ce « maître occulte» pourra, suivant le cas, capturer ou falsifier de l’information, commander des attaques groupées, favoriser le spamming ou le phishing diffuser des programmes indésirables, des adwares (publicité abusive)… Sur Internet, on a vu des exemples de milliers d’ordinateurs passant sous contrôle. Demain des milliers de téléphones ? - Chevaux de Troie, portes dérobées, renifleurs de clavier (keyloggers) et autres instruments plus ciblés, visant personnellement la victime ou une entreprise précise dans un but précis. La spécificité des attaques, donc leur rareté les rend moins détectables qu’un virus à des milliers d’exemplaires, d’autant que la victime n’est censée s’apercevoir de rien. 26
F.B. Huyghe
http://huyghe.fr
Twitter : @huyghefb!
- Malwares ou spywares (logiciels malveillants et espions) ad hoc suppose chez le pirate outre des compétences techniques une bonne connaissance de la cible et des buts qui justifient un tel effort. Si nous mettons à part les maris jaloux ou les paranoïaques qui veulent pourrir l’existence de leur ennemi, ce peut être la voie royale de l’espionnage économique et de la criminalité haut de gamme visant des dirigeants, des cadres et que nous évoquions plus haut - De plus en plus d’espionnage économique, ce qui est complémentaire - Prise de contrôle par action sur le matériel. Sur ordinateur, il s’agit du vol physique de supports de mémoire ou de l’introduction de « machines à espionner » comme des mémoires flash, des stratégies similaires pourraient se reproduire sur mobiles. - Des rootkits qui servent à dissimuler l’introduction d’un autre programme et à le rendre plus furtif. - Usurpation d’identité. Nombre de ces risques résultent de la fabrication de logiciels malveillants (malware) dont la programmation même implique le projet une opération illégale sur l’ordinateur de la victime. Leur but est le ravage (détruire des données ou des fonctionnalités, empêcher des systèmes de fonctionner) ou la domination (prendre le contrôle, effectuer des commandes à la place de…). C’est notamment ce que font les pirates qui profitent de failles de sécurité pour obtenir des « élévations de privilèges », c’est-à-dire des pouvoirs d’administrateur auxquels ils n’ont pas droit.
D’où des nomenclatures qui se recouvrent partiellement : - Virus ou codes auto-propageables qui se dupliquent sur d’autres ordinateurs, et y produisent des dégâts : ces programmes sont cachés dans d’autres d’apparence inoffensive. La catégorie générale des virus se divise en vers, chevaux de Troie (certains mais pas tous) et bombes logiques. - Vers ou virus réseaux qui circulent et se reproduisent d’un ordinateur à l’autre. Nombre de vers se propagent par courriel, par exemple par un document attaché qui contient des instructions : ils peuvent à leur tour envoyer des copies du vers aux adresses de mail stockées par la victime dans sa mémoire. - Chevaux de Troie qui, sous des apparences inoffensives, réalisent des instructions indésirables : ce sont des programmes 27
F.B. Huyghe
http://huyghe.fr
Twitter : @huyghefb!
dissimulés sous d’autres et qui véhiculent des commandes par un accès dérobé (une backdoor) : ils ouvrent des ports de l’ordinateur le rendant ainsi pénétrable et vulnérable. Un cheval de Troie peut copier des données, voler un mot de passe, exécuter des commandes. Bref, il prend le pouvoir sur la machine. Certains chevaux de Troie sont aussi des virus s’ils se dupliquent et infectent d’autres ordinateurs. - Bombes logiques : elles agissent à retardement, se déclenchant à un moment déterminé, par exemple une certaine date, ou lorsque l’utilisateur utilise une certaine commande. - Portes dérobées (backdoors), parfois implantées dès la conception du programme et qui permettent à un inconnu de prendre le contrôle d’un système à distance. - Enregistreurs de touches (keyloggers) qui espionnent ce que l’utilisateur tape sur son clavier et le transmettent à leur maître. - Logiciels espions (spywares) qui lui rapportent les activités de l’utilisateur légitime - « Rootkits», comparables, eux, à un commando informatique furtif infiltré durablement : ces logiciels s’introduisent dans le noyau du système d’exploitation. Ils y effectuent des commandes requérant des droits d’administrateur et y installent des fichiers, éventuellement capables de veiller pendant des mois. Ils peuvent installer des portes dérobées exploitables à distance, exécuter des commandes et surtout effacer les traces de leur présence et de leur action dans les journaux d’activité des dispositifs de protection. Un rootkit peut stocker des programmes malveillants dans un ordinateur utilisé comme « gardemeuble », et faire envoyer sur un réseau des paquets de ces programmes avec moins de chances d’être repéré. Il garde en quelques sortes les clefs de la maison sans qu’on le sache et peut y retourner quand il veut, y compris pour téléphoner.
De ce point de vue,le cybercrime ressemble un peu à de la sorcellerie. Il consiste pour une part dans l’invention ou l’utilisation d’algorithmes pervers ou de machines aux propriétés maléfiques. Mais la délinquance informatique n’est pas une histoire à la Harry Potter, elle traduit notre dépendance à l’égard de nos prothèses numériques, de nos mémoires externalisées et de nos biens numériques invisibles. 28
F.B. Huyghe
http://huyghe.fr
Twitter : @huyghefb!
Mais si sophistiqués que soient ces logiciels, il n’y a pas que des solutions technologiques à des dangers qui ne le sont pas uniquement. Et ce pour plusieurs raisons : - Certains des délits (ou des dangers) constatés sur Internet (ou sur les réseaux mobiles) pourraient l’être sur d’autres supports ; ils sont seulement facilités ou amplifiés par les réseaux numériques. - Leçon du piratage informatique : la faille est souvent humaine. La victime, par habitude par naïveté, parfois par avidité a livré ou laissé accessible une information confidentielle, a cliqué où il ne fallait pas, a cru un interlocuteur dont elle n’a pas vérifié l’identité, ... Ou elle n’a pas respecté une routine de sécurité… Ou elle a levé une barrière de protection. Et la situation de l’attaquant est facilité. Dans le monde numérique, personne ne compare votre tête à la photo de votre carte d’identité ; personne ne sort de son guichet pour courir derrière vous. Et le nombre des opérations réalisées à distance, avec un simple code comme identifiant, ne cesse d’augmenter. Qui dit opération à distance dit code d’identification, qui dit code dit fraude. De ce point de vue, un grand avenir semble s’ouvrir au phishing, le hameçonnage. Il consiste à monter un faux site, un faux formulaire ou, maintenant, un faux centre téléphonique pour amener la victime à donner d’elle-même des informations confidentielles (codes, numéros de comptes…) . Cette technique semble pouvoir très bien s’adapter au téléphone mobile via l’acheminement de la voix sur IP : certains annoncent que ce sera « la menace de demain » . Qui se méfierait d’une « banque » dont on est réellement client et que l’on joint au téléphone ? Ainsi, le « social engineering » ou «subversion psychologique» est le procédé par lequel un manipulateur abuse de la confiance de sa victime pour se faire révéler des informations confidentielles. Il se fait passer pour X ou pour sa secrétaire qui a besoin d’un mot de passe d’urgence sous peine de perdre son travail. Il incite sa victime à télécharger un document croustillant ou programme recouvrant un logiciel malveillant qui ira prélever des données…. Certains des plus grands « hackers » informatiques réussissaient aussi leurs exploits grâce à une éloquence et un sens du contact humain qui aurait fait d’eux de bons escrocs classiques ou des champions du canular téléphonique. Dernier élément : une vision purement technologique du cybercrime ne permet pas d’en comprendre la variété des motivations : 29
F.B. Huyghe
http://huyghe.fr
Twitter : @huyghefb!
- Intéressées, puisqu’il y a d’énormes possibilités de gain avec de faibles investissement et de faibles risques (action anonymes, à distance…). - Politiques ou idéologiques : l’attaque numérique est une façon de ridiculiser, d’humilier, de perturber, de saboter, de perturber, etc.., un système de pouvoir qui repose sur le contrôle des mémoires et des réseaux - Parfois simplement ludiques : chez les hackers, beaucoup sont simplement motivés par le désir de réaliser une performance technique spectaculaire, de prouver ses qualités techniques ou son ingéniosité.
30
F.B. Huyghe
http://huyghe.fr
Twitter : @huyghefb!
CYBERGUERRE ET FRONTIÈRES (source : livre "Cyberguerre et guerre de l'information", extraits) Pas de guerre sans frontières
La question politique se noue autour de la question des frontières réelles, plus précisément par le rapport entre le lieu de l'attaque et la souveraineté. Il détermine aussi la différence entre cyberguerre et cybercrime. Ce dernier est sanctionné par la loi et par des traités internationaux, fait l'objet de nomenclatures et d'une constante surveillance. La notion regroupe des crimes et délits qui pourraient se commettre dans le monde réel, mais qui sont facilités et amplifiés par ordinateurs et réseaux (comme monter une escroquerie ou publier des propos tombant sous le coup de la loi) et d'autre part, des atteintes à la propriété intellectuelle ou la sécurité d'une victime, et qui ne peuvent se mener que dans le cyberespace (ainsi : violer des bases de données ou introduire un logiciel malveillant). L'objectif politique forme la ligne de démarcation avec la délinquance intéressée ou gratuite. De la même façon, le "cyberterrorisme", notion popularisée par les médias recouvre en réalité deux sortes d'activités. D'une part celles que des groupes activistes pourraient mieux mener sur Internet : s'exprimer, recruter communiquer (éventuellement de façon codée), etc. Et d'autre part des attaques destinées, sinon à "répandre la terreur", du moins à exercer une contrainte sur l'opinion et les décideurs. Dans cette hypothèse, jamais encore avérée, l'effet de chaos correspond à un dessein symbolique et politique. Rien, sinon la qualification des attaquants ("groupe terroriste"), ne les distingue d'une agression menée par un service d'État, ayant éventuellement loué les services de mercenaires, ou manipulant des groupes aux motivations idéologiques. Corollaire : la stratégie peut comporter le soutien à des groupes dissidents d'un pays, par fourniture d'outils techniques de protestation et d'expression. De la subversion par la libération de la parole à l'attentat, la gamme est donc large.
Une large partie des attaques dites "guerrières" relèvent, avonsnous dit, de l'espionnage. Il peut avoir des finalités économiques, mais aussi répressives : la lutte de l'État contre ses propres opposants, donc la politique intérieure. De même que les services tsaristes utilisaient agents 31
F.B. Huyghe
http://huyghe.fr
Twitter : @huyghefb!
et mouchards dans toutes l'Europe pour contrer les exilés révolutionnaires, de même la Chine poursuivrait jusque chez les serveurs occidentaux les correspondances du dalaï-lama et de ses partisans, s'il faut en croire les révélations de la presse sur l'opération dite "Aurora"[1]. Cette descente de police hors frontière et par électrons interposés, nous éloigne encore davantage du schéma classique de la guerre. Les mêmes actes seront criminels, terroristes, policiers ou militaires suivant le statut de leur auteur et selon le lieu d'où ils émanent. L'instance politique (l'État susceptible de déclencher ou de subir la guerre) et la frontière se définissent mutuellement même dans le cyberespace. Replaçons ce constant dans une perspective longue qui relativise l'étrangeté du cyberespace : le mot frontière est d'origine militaire ; il apparaît en 1213 pour désigner la situation où une armée fait front ("fait frontière"), donc trace une ligne de défense. Le sens ne renvoie à la limitation entre deux États qu'à partir de 1360. Cette ligne invisible (que seuls les progrès de la cartographie permettront de tracer avec précision) sert d'isobare, concrétisant un rapport de puissance entre deux souverains qui décident de ne pas pousser plus loin leurs forces militaires. Ils s'en tiennent là souvent parce que la frontière est reconnue par deux États voisins et de bonne volonté, et qu'aucun ne décide d'attaquer l'autre. À moins que, sans pour autant reconnaître la frontière, aucun des deux n'estime alors devoir prendre le risque d'avancer un soldat d'un mètre audelà de la barrière théorique qui sépare des hostilités, et passer du "pays de la paix" au "pays de la guerre" . Pas de guerre, donc, sans frontière, ni de frontière sans guerre (au moins comme possibilité). Ou plutôt la frontière sert paradoxalement à constater la guerre, à l'éviter et à la motiver. Du reste, la tradition stratégique tend à penser en terme de mouvements et manœuvres donc dans le cadre de l’espace terrestre. tout se pense en mouvement de gens et de forces "projetées" : un corps d'armée ou un missile voyagent pour conquérir ou détruire. La stratégie s'énonce en mouvements : le bon général s'assure la "liberté de manœuvre", déplace ses troupes comme un habile joueur d'échec ou de go, restreint les mouvements adverses et occupe des positions favorables, il raisonne en contrôle de territoire, "centre de gravité" ou de "concentration des forces" etc. L'espace détermine le temps : gagne qui mène ses forces au bon endroit à temps, le perdant réalisant que, suivant la formule, toutes les batailles ont été perdues pour un quart d'heure de retard. Pour Clausewitz, la guerre consiste en grande partie en des problèmes de "brouillard et friction", ignorances et dysfonctionnements liés à la différence entre la carte et le terrain, entre la stratégie et son 32
F.B. Huyghe
http://huyghe.fr
Twitter : @huyghefb!
application concrète au vrai monde. Donc en questions de vision et mouvement..
Autre indice du trouble où nous plonge la déterritorialisation de la guerre, la façon dont elle se heurte à nos conceptions de la souveraineté enracinée: les attributs de la souveraineté (dont l'État n'est que le détenteur), sont théoriquement illimités et quasi "théologiques" : suprématie, perpétuité, absence de limitation juridique, complétude, nontransférabilité, etc. ? Ceci est vrai sauf dans une dimension : celle de l'espace. Ne s'exerçant que sur un territoire (qui est la coïncidence d'un espace physique et du sens symbolique qu'il prend pour ceux qui l'occupent), la souveraineté n'existe que pour et dans la cohabitation avec d'autres souverainetés, voire dans leur confrontation. La forme suprême de l'autorité politique, désigner l'ennemi et ouvrir le temps de la guerre, ne peut s'exercer que depuis un terrain dûment clôturé, au moins par le droit et la géographie.
Plusieurs siècles de philosophie politique ont distingué une vraie guerre (avec l'ennemi "juste", une autre entité souveraine qui a en quelque sorte "compétence" pour être l'adversaire reconnu) de guerres civiles, irrégulières, de partisans, de guérilla..., peu importe le terme, où l'un des groupes armés, à l'intérieur du territoire, combat les forces "légitimes" ou réputées telles. L'État tente alors de maintenir son fameux "monopole de la violence légitime" à double face : le jus belli (le droit de faire la guerre) et la force "répressive" au service de l'ordre interne. Que la lutte se déroule en tel ou tel lieu, à tant de kilomètres d'une ligne, et elle sera réputée symétrique, régulière, pour ne pas dire canonique ou bien irrégulière. Les juristes recourent souvent à la métaphore des "grands hommes" : les États, assimilés à des géants luttant pour leurs champs enclos, se comportent, à l'échelle internationale, comme des citoyens qui lutteraient ou s'accorderaient à partir de leur propriété bornée. D'où le caractère sacré, des frontières, mais aussi leur valeur probante. La frontière détermine le "lieu" de la guerre, donc son existence et sa nature : elle se déroule forcément d'un côté ou de l'autre. Elles valent démonstration de qui est l'agresseur, de ce qui constitue une menace. Grâce à elles, chacun sait où commence le sanctuaire national, où s'exerce telle compétence, où s'arrête l'exercice d'une puissance et commence celui d'une influence en géopolitique... Un ordre international séculaire s'articule sur la clôture de l'espace terrestre, au moins en droit, et sur l'équilibre des forces qu'il fige.
L’ennemi et le souverain 33
F.B. Huyghe
http://huyghe.fr
Twitter : @huyghefb!
Cette représentation théorique subit au cours du temps de nombreuses adaptations reflétant l'évolution des idées et des techniques de combat. Il faudra ici se contenter des les évoquer : - la séparation entre l'espace européen, partagé et ordonné, et le reste du monde ouvert à la colonisation et donc à la "prise" de nouveaux terres par des découvreurs et conquérants. Ainsi, par le traité de Tordesillas de 1494, un méridien nord-sud partage entre Espagnols et Portugais le droit de coloniser le Nouveau Monde qui n'est considéré jusque là que comme "la chose de personne" (res nullius). - les normes s'appliquant à la terre et à la mer. Cette dernière étant comme espace libre à l'exception des zones côtières, cela entraîne d'évidentes conséquences sur l'usage de la force la guerre en mer et sur le statut du pirate ("ennemi du genre humain") hors des zones protégées par des États (ennemi que chacun a donc le droit de châtier en vertu d'un principe de juridiction universelle). - la guerre aérienne, qui, par définition, suppose des actes de reconnaissance, transport, ou feu aérien, au-dessus du territoire et contre le gré de l'État. Le franchissement de la frontière par le haut élargit encore le champ de bataille et bouleverse les lois de l'unité de temps et de lieu, typiques de l'ancienne vision. - la dissuasion atomique caractérisée par ses débats futuristes (la multiplication des scénarios à propos d'un conflit qui n'a jamais éclaté) voire par son ésotérisme (les multiples spéculations sur la réaction supposée de l'adversaire sur un modèle de théorie des jeux), remet en cause et la guerre et la frontière. Destruction mutuelle assurée avec la doctrine Dulles, doctrine Mc Namara de riposte graduée (l'apocalypse n'est plus automatique en cas d'attaque soviétique contre tout territoire d'un allié des USA). Nucléaire stratégique et nucléaire tactique... Doctrines française de sanctuarisation du territoire national et de dissuasion correspondant à un "seuil" de crédibilité technique et politique, bref projet de "flexibilisation" de J. Chirac étendant la liste des intérêts vitaux (attaque terroriste par armes de destruction massive) dont la mise en cause pourrait entraîner une riposte nucléaire. Dissuasion du fort au fort, du faible au fort, du fort au fou... Le point commun à toutes ces constructions mentales est d'établir un nouveau rapport qui s'établit avec les frontières. Celles-ci sont à la fois "sacralisées" par l'éventualité d'un châtiment disproportionné au gain éventuel et négligeables : l'abri fourni traditionnellement par le territoire qui devient illusoire dans l'éventualité d'une apocalypse planétaire. - le bref épisode de l'Initiative de Défense Stratégique, alias, "Guerre des étoiles" qui projette dans la stratosphère le lieu de la guerre et rétablit dans l'espace, avec ses armes anti-missiles et anti-satellites, la 34
F.B. Huyghe
http://huyghe.fr
Twitter : @huyghefb!
notion d'une bouclier infranchissable que la guerre atomique ne laissait plus espérer placer à ses frontières terrestres. Dans cette guerre toute théorique, les opérations se déroulent en un instant (on parle de la guerre des quinze secondes) et en un lieu quasi abstrait où s'affrontent les machines hors de notre vision. - La RMA (Revolution in Military Affairs) formalisée après la chute de l’URSS et dont la cyberguerre est un prolongement logique repose sur l’utilisation de technologies de l’information, qu’il s’agisse de renseignement, de “rendre le champ de bataille transparent”, de frapper là où la force est efficace, de coordonner parfaitement ses propres forces, de réagir instantanément depuis le “capteur” qui décèle les cibles jusqu’au tireur sans passer par la lourde hiérarchie du commandement militaire traditionnel[2]. La technologie permet de détruire comme si la punition tombait du ciel toute force conventionnelle sans se soucier des anciennes notions de front ou de frontière (ou de bataille). Mais l’ennemi “triche”. Il se placera dans une logique asymétrique, cherchant à transformer ses propres faiblesses en forces, notamment vis-à-vis des médias et de l’opinion. Le « fort », lui, devra résoudre des "conflit de basse intensité", des terrorismes, des guérillas, avec des adversaires civils, ... dans un contexte qui ressemblera de plus en plus à du maintien de l’ordre à l’échelle planétaire. Raison de plus de réaliser la multiplicité des effets de l’information dans le conflit : : effet de chaos (abaisser les capacités de l’autre p.e. en sabotant ses systèmes), effet stratagème (amener l’adversaire à la mauvaise décision), effet capacitant (savoir plus que), mais aussi qualitatif, négatif (abaissement de la combativité, diabolisation, discrédit) ou positif (soutien, moral, voire recrutement ou conversion)… Dans ce crescendo de la complexité - car ces strates différentes s'additionnent et ne s'annulent pas - s'ajoute l'apparition d'un cyberespace comme champ de bataille supposé. La métaphore de l'espace ne doit pas être poussée à l'absurde puisque nous avons vu que les notions de déplacement, de trajet, de territoire, de franchissement, d'éloignement... sans perdre toute pertinence, recouvrent les interactions de notre monde "réel" avec celui des signes et des codes. Une attaque "dans le cyberespace" veut dire en réalité une agression venue du monde réel, ayant emprunté le média ou la médiation des réseaux et destinée à produire des effets dans ce même monde réel : des dommages matériels, organisationnels ou psychologiques sur des humains en chair et en os. Elle passe par un usage "non autorisé" des prothèses techniques auxquelles leurs légitimes propriétaires font 35
F.B. Huyghe
http://huyghe.fr
Twitter : @huyghefb!
confiance : leurs machines, leurs logiciels, leurs codes, et ce par une pénétration clandestine d'un système informationnel (il a bien fallu d'une façon ou d'une autre y "entrer"). Du point de vue de la victime, une attaque informatique paraît tomber de nulle part. Certes, elle offre une relative traçabilité (qui se traduira le plus souvent par la découverte d'une adresse IP située dans un certain pays, mais qui peut très bien être un leurre), mais aucune certitude. Une guerre dans le cyberespace se pratique d'adresse à adresse et non de province à province.
Forces et faiblesses
Par ailleurs, les notions de puissance et de vulnérabilité prennent un tout autre sens, rapportées à la carte. Le "fort" n'est plus nécessairement celui qui possède un important territoire, profond et bien défendu : il se pourrait bien au contraire qu'il offre une cible plus visible. Plus un pays est censé être riche et techniquement avancé, plus il peut être dépendant des ses réseaux numériques, plus il est relié au reste du monde, donc plus il offre de points d'entrée et de cibles d'attaque. Inversement un agresseur "puissant" n'a pas nécessairement regroupé de considérables moyens de calcul et de communication sur son territoire : il peut très bien diriger un réseau d'ordinateurs corrompus dans le monde entier (comme "Ghostnet" que l'on dit implanté dans 130 pays) plutôt que chez lui. La question de l'imputabilité avec ses conséquences sur la preuve à l'égard de l'opinion et des instances internationales (donc de la riposte ou rétorsion qui peut s'ensuivre) n'est qu'une autre facette d'une donnée topologique : le trajet indirect et dissimulé de l'attaque dont il est difficile de dire d'où elle vient, par où elle passe et où elle vise (et le corollaire : elle est instantanée, sans délai de préparation ou de trajet observable). Ce problème d'espace couplé à un problème de temps produit des effets troublants :
- son caractère - pour le moment - unique et unidirectionnel. Si la guerre classique est comparée à un duel où les belligérants échangent des coups, ripostent et pratiquent des manœuvres, la cyberattaque telle que nous la connaissons est un fusil à un coup : elle est lancée au moment T, les systèmes attaqués détectent ou réagissent au temps T +1. Au mieux, après un temps de résilience, ils reviennent à la normale au moment T + 2 et la "guerre" est finie. Tant que nous n'avons pas encore observé de cyber-riposte et d'enchaînement des initiatives stratégiques, la soi-disant guerre est unilatérale et ne constitue pas ce dialogue des forces dans le temps qu'elle a toujours été. 36
F.B. Huyghe
http://huyghe.fr
Twitter : @huyghefb!
- ses effets relativement imprévisibles. Là encore, nous devons parler en fonction d'une expérience restreinte : il semble logique qu'une attaque expérimentée une fois ne soit pas rééditée de façon répétitive (ni ne passe nécessairement par les mêmes canaux). On imagine mal que l'adversaire réemploie le même logiciel "malicieux" contre lequel la victime se serait empressée de préparer des défenses. L'inconnue portant sur l'effet de l'attaque (en-deçà ou au-delà des calculs de l'agresseur) pèse évidemment sur toute tentative d'anticipation. - l'impossibilité - peut-être provisoire - d'établir un code implicite de l'attaque, du dommage, de la réponse, de la menace, etc. fait qu'il est encore impossible de projeter la perspective d'une cyberguerre sur le long terme. Même si des pays comme la France et les États-Unis veulent se doter de capacité offensives en ce domaine, la question d'une doctrine d'emploi reste cruciale. Son effet dissuasif - capacité de convaincre un éventuel agresseur qu'il aurait davantage à perdre qu'à gagner à s'en prendre à un pays - repose sur une vraisemblance. Le dommage, la crainte, la stratégie adverse doivent faire l'objet d'une spéculation. L'anonymat relatif de l'attaquant, l'asymétrie de l'attaque (menée, par exemple, par un "faible" n'ayant pas le statut d'acteur étatique contre un État "fort"), le caractère aléatoire des effets, ne facilitent pas la mise en place de mesures susceptibles de décourager un agresseur. Que, l'offensive ne se développe ni dans la dimension classique du temps (la pénétration de systèmes ne coïncide pas nécessairement avec le ravage constaté), ni dans celle de l'espace (de quel territoire à quel territoire est-elle lancée ?) ne facilite guère une riposte graduée et ciblée.
Nul ne songe à nier l'importance de l'informatique et des réseaux dans la conduite de la guerre : il serait étonnant que ce soit le seul aspect de l'activité humaine qui n'ait pas été touché par la révolution numérique. Les opérations cybernétiques ne peuvent pas ne pas jouer un rôle croissant. Mais en tant que composantes de la guerre et nullement comme son substitut. L'attaque informatique pourrait devenir un préalable, un moyen de contrainte et d'avertissement, une nuisance maîtrisée qui enrichirait les panoplies du conflit non-guerrier. À la logique du mur qui tenterait de dresser une illusoire barrière contre les attaques venues du cyberespace, il faudra substituer des stratégies de l'anticipation (avec la part de renseignement que cela comporte), mais aussi de la profondeur (apprendre où aller chercher le responsable), des flux et des frontières.
[1] « Opération Aurora » : Pékin réplique à Washington, Le Monde, 22 janvier 2010
37
F.B. Huyghe
http://huyghe.fr
Twitter : @huyghefb!
[2] Voir en particulier Philippe Braillard, Gianluca, Maspoli « La « Révolution dans les affaires militaires paradigmes stratégiques, limites et illusions », Annuaire Français des Relations Internationales (AFRI), Vol. III, 2002. Et Etienne de Durand, « « Révolution dans les affaires militaires ». « Révolution » ou transformation », Hérodote, 109, 2003. Sur quelques anticipations futurologiques voir John Adams ., The Next World War, New York, Simon and Schuster, 1998
38
FRANÇOIS-BERNARD HUYGHE HTTP://HUYGHE.FR
CONTACT@HUYGHE.FR
Domaines de recherche : stratégies de l’information, décryptage des médias, intelligence économique et stratégique, médiologie, polémologie mais aussi critique des idées contemporaines, routes de rencontre des civilisations et des imaginaires (route de la soie, route des épices...) •
Ses ouvrages :
•
Terrorismes Violence et propagande (Gallimard Découvertes 2011)
François-Bernard Huyghe, docteur d’État en sciences politiques et Habilité à Diriger des Recherches (infocom)
Avec A. Bauer : Les terroristes disent toujours ce qu'ils vont faire •
Maîtres du faire croire (Vuibert 2008)
Comprendre le pouvoir stratégique des médias (Eyrolles 2005) Quatrième guerre mondiale (Rocher 2004) Écran/Ennemi (00hOO.com 2002) L’ennemi à l’ère numérique (PUF 2001)
Enseignement : Iris/Ipris Campus virtuel, Université de Limoges École de guerre économique Celsa Paris IV Sorbonne Hautes Études Internationales DRMCC, ENA, Polytechnique... Chercheur et consultant Médiologue, revue Médium
L’information, c’est la guerre (Corlet 2001)
Chercheur à l’IRIS; y dirige l'Observatoire géostratégique de l'information
Les experts (Plon 1996)
au comité scientifique du CSFRS
La langue de coton (R. Laffont 1991)
dirige Huyghe Infostratégie Sarl, société de conseil et formation en communication d’influence, infostratégie, intelligence économique...
La soft-idéologie (R. Laffont 1987) Avec Edith Huyghe, il a écrit : La route de la soie, La route des tapis, Histoire des secrets, Images du monde, Les coureurs d'épices...
Anime le site http://huyghe.fr Twitter : @huyghefb