huyghe.fr - Le site de François-Bernard Huyghe
OK
 Sur Twitter : @huyghefb
 Comprendre les conflits : une nouvelle polémologie
 Terrorisme
 Affrontements, stratégies et images
 Information, pouvoir et usage : l'infostratégie
 Intelligence économique : du savoir à l'influence
 Pouvoirs et information
 Transmission et communication : la médiologie
 Médiologie au présent
 Médiologie de l'histoire
 Divers
 Textes à télécharger
 Huyghe Infostratégie Sarl
Comprendre les conflits : une nouvelle polémologie > Affrontements, stratégies et images
Le poids stratégique des cyberarmes
Depuis son origine, l’arme est conçue comme un outil produisant une force létale, ou au moins incapacitante – moyen d’ôter des moyens. Offensive, elle inflige un dommage ou une contrainte. Défensive, elle contrarie la violence de la première. Du silex à la bombe H, posséder un armement a toujours consisté à produire et stocker des artefacts et à conserver des ressources et substances ayant un potentiel de destruction ou de mort. Un arsenal se compte en tanks, têtes de missiles ou autres que l’on peut exhiber dans des parades militaires, éventuellement en armes de destruction massive que l’on dissimule, etc. Dans tous les cas, leur effet nocif se présume approximativement. Mais que peut un armement dit « cyber », dont l’efficacité repose sur l’information et l’action sur l’information – via des logiciels ou des algorithmes ? Quels dangers portent ces panoplies qui, jusqu’à nouvel ordre, n’ont jamais tué mais suscitent tant de fantasmes ? Le dernier Livre blanc de la défense distingue lutte informatique défensive et offensive (LID et LIO) ; notre pays fait partie des puissances qui possèdent des « cyberarmes offensives », notion qui se retrouve dans de nombreuses études étrangères.


La défense et la connaissance

Pour la défensive, chacun s’en fait une idée : il utilise lui-même des antivirus ou travaille pour une organisation préconisant un minimum de sécurité informatique. Se défendre consiste à sanctuariser un espace virtuel, à en contrôler l’accès par une « barrière de feu » ou des modes d’identification perfectionnés. Il faut s’assurer qu’aucun acteur non autorisé ne peut y prélever des données confidentielles ni y imposer des « ordres » illégitimes – que les instructions en question servent à détourner le fonctionnement du dispositif ou à le rendre inopérant.
Se défendre n’est certainement pas aisé sur le plan technique, car les attaquants peuvent chaque jour inventer de nouvelles façons de faire, emprunter de fausses identités ou de fausses autorisations ; ils s’efforcent de pénétrer dans un ordinateur ou de prendre à distance le contrôle de dispositifs hypersophistiqués. En matière d’organisation, jouer en défense n’est pas non plus des plus simples. Ainsi pour défendre les infrastructures dites vitales ou critiques d’un pays, celles dont dépendent la distribution de l’énergie, les transferts bancaires, les réseaux de circulation, qui sont gérées par informatique. Il faut pour cela coordonner de multiples instances privées ou publiques, instaurer un partage efficace de l’information, créer des organismes d’intervention immédiate, éventuellement assurer une certaine résilience à des systèmes interdépendants : il faut présumer qu’ils seront attaqués un jour où l’autre et il importe qu’ils se rétablissent très vite.
Il est difficile de contester à un État le droit de se doter de la meilleure cyberdéfense contre l’espionnage industriel et de se protéger d’offensives militaires visant à un ravage et à une contrainte politique. Pourtant, la rhétorique cybersécuritaire de la lutte contre les pirateries peut servir d’alibi à une répression de la dissidence en ligne. Et pour anticiper des attaques futures, les États pourraient être tentés de pratiquer le renseignement sur d’éventuels agresseurs, ce qui suppose d’espionner « un peu », donc d’être « un peu » offensif. Mais comment reconnaître une arme offensive, celle qui n’est pas conservée dans un hangar ou une caserne mais dans des cerveaux, humains ou électroniques ? Elle semble se jouer des frontières. Utilisée une fois, elle suscitera sans doute la recherche frénétique de contre-mesures, qui la rendront demain obsolète.


Les fonctions de l’agression

Dès les années 1990, le cinéma, mais aussi des études de think tanks réputés évoquent le scénario tantôt d’un bricoleur de génie, tantôt d’une organisation contrôlée par un État voyou et qui, en fabriquant un virus redoutable, plongerait un pays dans le chaos : banques ou transports paralysés, pannes et paniques contagieuses, etc. Même s’il n’est pas possible d’exclure cette hypothèse, une cyberarme – comprenez : un dispositif numérique ou code destiné à provoquer un dommage – n’a jamais encore eu de tels effets dans le « monde réel », où les cyberagressions prennent des formes très hétérogènes.
La plupart des spécialistes sont à peu près d’accord pour les classer les cyberarmes comme visant à trois effets principaux : espionnage, sabotage et subversion. Le bon bout de code bien employé permet, en effet, de faire trois choses qui ne s’excluent pas. S’emparer de données confidentielles, d’abord : ce peut être pour leur valeur monétaire, pour s’approprier des technologies et les fruits d’une recherche, pour connaître la stratégie d’une entreprise et d’un État, pour préparer une future attaque, pour surveiller une population suspecte, voiroire, comme la NSA, pour anticiper des tendances planétaires à l’échelle des big data. Toutes ces opérations qui ressortent à l’espionnage ou à la piraterie informatique n’ont, évidemment, ni la même finalité, ni la même gravité, ni le même rapport avec un acte de guerre. Perturber, ensuite : le bon maliciel au bon moment peut provoquer des dysfonctionnements dans une défense antiaérienne ou dans une centrifugeuse enrichissant l’uranium, priver une grosse société de ses courriels quelques jours ou paralyser des feux de contrôle. Elle fonctionne suivant le principe du temps que l’on fait perdre à l’autre ou du temps dont on profite pour mener une action militaire et du chaos que l’on provoque. De telles actions pourraient, in fine, tuer indirectement ou provoquer des dégâts économiques ou organisationnels comparables à ceux d’une attaque dite cinétique. Provoquer, enfin : atteindre psychologiquement et souvent politiquement. Nombre des attaques dites de subversion consistent ainsi à ridiculiser un adversaire, généralement politique, à mettre ses documents compromettants en ligne, à mobiliser les internautes contre lui ou simplement à paralyser ses sites par un nombre de demandes artificiellement engendrées et qui produisent un effet de gel spectaculaire. Ces attaques dites par déni d’accès partagé, pas nécessairement très complexes ni très dommageables, ont souvent un grand impact médiatique. La frontière entre l’attaque au sens quasi militaire et l’activisme, la protestation voire l’expression d’une opinion est ici parfois fort ténue. Par ailleurs, les armes peuvent être soit très spécialisées dans une cible précise – ce qui a priori demande des investissements, du temps, des compétences comme en ont certains services d’État – et d’autres moins sophistiquées qui pénètrent moins en profondeur et ont un effet plus superficiel, comme les dénis d’accès précités.


Combats dans le brouillard

Surtout, la logique des armes offensives cyber, hétérogènes par nature et par usage, renvoie à la question du secret. L’arme secrète, comme le V2 ou la bombe atomique – celle dont on dissimule la nature ou les effets à l’ennemi pour créer la surprise –, reste généralement cachée le temps d’être fabriquée, avant une utilisation spectaculaire. Mais toute arme informatique place son possesseur face à un dilemme. S’il nie en avoir ou en concevoir le simple projet, il diminue ses chances de dissuader un éventuel agresseur : ce dernier, s’il ne craint pas la rétorsion, peut être tenté de considérer le pays en question comme une « cible molle ». Si l’État fait savoir ce qu’il a dans son arsenal, il avertit les futures cibles de ce contre quoi elles doivent se prémunir, renseigne sur l’état de sa recherche et ses capacités. En outre, il se place de lui-même sur le banc des suspects lors d’une future cyberagression anonyme, donne des arguments à ses adversaires pour le stigmatiser face à l’opinion internationale et s’expose peut-être à des accusations juridiques. La bonne stratégie consiste sans doute à laisser supposer à d’éventuels agresseurs que, vu son niveau technologique et sa posture en matière de cyberdéfense, tel pays pourrait exercer des représailles redoutables sans plus de précision. Il pourrait y avoir une certaine tentation de bluffer un peu. Ou, comme l’ont fait les États-Unis dans l’affaire Stuxnet, de laisser dire par la presse que l’on est à l’origine d’une action sophistiquée sans en reconnaître formellement la paternité.
Pour compliquer les choses, quand bien même on saurait qui a quoi ou qui peut quoi, toute attaque dans le cyberespace soulève des problèmes d’incertitudes ou de dissimulation rarement rencontrés avec des armes « classiques ». Lorsque l’une d’elle est employée, on peut systématiquement avoir un doute sur l’acteur qui l’utilise en réalité. C’est le fameux problème de l’attribution : telle attaque de tel niveau a-t-elle été organisée par un service d’État ? Seul ou associé à des groupes de hackers militants ou mercenaires ? Allié à d’autre pays ? Par l’État qui semble être en conflit avec la victime ou par un autre, provocateur ou opportuniste ? Par des acteurs privés que personne ne contrôle ? Accompagnée ou pas d’une revendication authentique ou non ? À ces doutes s’ajoutent l’incertitude sur l’efficacité des attaques : savoir si elle a été inférieure ou supérieure aux projets de ses concepteurs, à leur intention réelle, par exemple de délivrer un message de menace qui a pu être mal interprété, sans oublier l’éventualité qu’une attaque ait « bavé », c’est-à-dire que, dans un système hyperconnecté comme l’est Internet, un logiciel malicieux se soit répandu au-delà de la cible sur laquelle il était censé exercer son ravage. La liste des doutes raisonnables et des tromperies envisageables dans la bataille cyber n’est sans doute pas close. La pire inconnue étant que tous les raisonnements menés aujourd’hui peuvent être réduits à néant demain par une invention future.


Vers de nouvelles stratégies ?

Dans ces conditions, deux des principaux ressorts de l’action géopolitique sont ici non pas absents mais plutôt faussés : la menace et la négociation. Dans le cyberespace, nous savons mal ce qu’il faut vraiment craindre, et donc ce qui peut exercer la plus grande contrainte. A priori, on pourrait penser que le principal danger vient d’acteurs étatiques qui ont leurs propres moyens de cyberstatégie et font preuve d’agressivité politique. Mais tel pays réputé pratiquer l’espionnage informatique à grande échelle peut ne désirer produire aucun autre dommage et tel autre ne pas mobiliser tous ses outils de destruction numérique, même s’il est engagé dans un conflit. En ce sens, les cyberarmes jouent un rôle ambigu : elles favorisent l’usage d’une certaine violence ou au moins d’une contrainte, à distance, sans grand risque, mais peuvent aussi limiter ou remplacer la violence « classique » par le fer et par le feu. Quant à la négociation, elle aura peine à garantir un désarmement crédible : il est possible de contrôler les missiles, pas les connaissances, qui ne peuvent être désapprises, ni les recherches. Ceci ne signifie pas que toute stratégie soit inutile, simplement que si le danger des cyberarmes peut être limité, cela passera par des voies politiques, par le renseignement humain, par l’intuition des prédispositions de l’autre et par l’habileté à influencer, au moins autant que par les outils techniques.

 Imprimer cette page