huyghe.fr - Le site de François-Bernard Huyghe
OK
 Sur Twitter : @huyghefb
 Comprendre les conflits : une nouvelle polémologie
 Terrorisme
 Affrontements, stratégies et images
 Information, pouvoir et usage : l'infostratégie
 Intelligence économique : du savoir à l'influence
 Pouvoirs et information
 Transmission et communication : la médiologie
 Médiologie au présent
 Médiologie de l'histoire
 Divers
 Textes à télécharger
 Huyghe Infostratégie Sarl
Information, pouvoir et usage : l'infostratégie > Pouvoirs et information
Cybercalifat ou cybertzar ?
Attaque contre TV5 : humiliation ou démonstration ?

Cybercalifat ou cybertzar ? L'attaque contre TV5 le 8 avril illustre parfaitement les mécanismes de désinformation et confusion qui accompagnent les cyberattaques. Au départ, l'attaque qui a provoqué l'écran noir de la chaîne francophone pendant plusieurs jours (mais aussi la prise de contrôle sur ses comptes Twitter et Facebook) est attribuée au "Cybercliphate". Il la revendique en envoyant un message "Je suis Isis". Or, depuis quelques jours, les entreprises de sécurité informatique américaines comme Trend Micro ou FireEye (déjà connue pour ses rapports pointant le péril chinois et russe d'"Advanced Persistent Threats") lancent le soupçon vers la Russie accusant le groupePawn Storm, ou APT28 de hackers.
Pour notre part, nous n'avons aucune compétence pour en juger et n'avons jamais ouvert le capot des ordinateurs de TV5. Notons que l'ANSSI, dont c'est quand même le travail, enquête. Ce qui semble transpirer est que l'attaque était sophistiquée, menée par une pénétration entreprise depuis des semaines (avec sans doute une part d'"ingénerie sociale", c'est-à-dire de tromperie exercée sur des êtres humains pour les amener à donner des informations confidentielles).
On se contentera de quelques remarques en vrac.
-Le principe de non attribution des attaques dans le cyberespace continue de régner. Rien ne prouve qui a lancé une offensive, surtout préparée depuis des semaines. Au mieux, on retrouvera l'adresse IP de l'ordinateur qui l'a lancée et on saura dans quel pays il est situé. Mais ceci n'exclut pas qu'il y ait eu trucage, faux drapeau, fausse piste, etc, ni ne démontre qui, dans ce pays en question, a donné l'ordre aux exécutants. Les choses sont quand même plus simples quand un char franchit votre frontière.
- Les revendications ne sont pas toujours convaincantes. Ainsi, on se souvient que lors de l'attaque dite "Shamoon" qui avait paralysé 30.000 ordinateurs d'Aramco en 2012, un bizarre communiqué en ligne tendait à faire attribuer l'attaque sinon à l'Iran, du moins à des activistes chiites. Il y a de quoi provoquer le scepticisme. En tout cas, dans le cas de TV5, l'attaquant l'attaquant est bien celui qui a revendiqué (voir les "tags" qu'il a laissé sur le compte Facebook de la chaîne, par exemple) et il voulait qu'au moins la presse - au moins un moment - attribue la responsabilité à des jihadistes sunnites.
- Les experts en sont réduits à raisonner par "niveau technique" ou "style" des attaques. Cela équivaut à une enquête policière qui ne pourait se fonder que sur le modus operandi et non sur des témoignages ou des indices matériels et où l'on ne pourrait inocenter personne par son alibi. Quant à l'opportunité, tout possesseur d'un ordinateur l'a et la motivation - nous y reviendrons - est plus que subjective. Si nous ne craignons d'être traité de grave paranoïaque islamo-gauchiste nous dirions même que les sociétés de cybersécurité américaines ont quand même beaucoup tendance à accuser l'ennemi russe après avoir avoir beaucoup pointé vers la Chine, et que ceci pourrait avoir un sens politique.

Il y a donc en fait trois hypothèses principales :

- Hypothèse 1 Soit le cybercalifat, effectivement lié à l'État islamiste, a acquis le niveau technique pour mener lui-même de telles attaques. Il les pratique dans une optique de démonstration de force et rompt ainsi avec le principe qui voulait qu'il n'y ait que peu d'attaques de jihadistes en ligne (ce qui n'est absolument pas inconciliable avec la forte présence jihadiste sur les réseaux sociaux), en tout cas pas de gros "cyberattentat". Jusqu'ici, ces attaques étaient plutôt de l'ordre de l'humiliation symbolique, de la provocation, du slogan vengeur, etc. sans capacité de vraiment paralyser le fonctionnement essentiel. Or ici, il y a bien eu sabotage, aboutissant à la paralysie d'un système informatique. L'affaire TV5 a bien concrétisé un des cauchemars de la cyberdéfense : une attaque sophistiquée capable de paralyser plusieurs jours une société ou une administration à travers ses systèmes informatique. Certes l'activité de TV5 n'est pas vitale pour notre pays. Personne n'est mort et la France a continué à tourner, mais le dommage a été médiatique et symbolique. Dans ce cas, il faudrait en déduire qu'un pas a été franchi et que le fameux "cyberterrorisme" de sabotage et chaos annoncé depuis les années 90, mené par des groupes non étatiques à motivation idéologiques commencerait à devenir une réalité préoccupante (en vertu du principe : s'ils faisaient la même chose demain sur nos infrastructures vitales, énergie, finance, etc). En ce cas l'État islamique tenterait d'imiter les méthodes de la Syrian Electronic Army pro Bachar pour créer davantage encore d'inquiétude et de confusion chez ses adversaires.

- Hypothèse 2 Ce serait l'État islamique, mais il n'aurait pas le niveau technique et il aurait loué les services de mercenaires russes comme il en existe beaucoup. Le but - humilier, provoquer, inquiéter - reste le même et le dossier technique est plus convaincant.

- Hypothèse 3. Ce sont les Russes sous les ordres de leur gouvernement. Mais dans ce cas quel est le motif, si l'on admet que Poutine a des cibles plus importantes que TV5 pour frapper la propagande occidentale et pro-otanienne ? Faire faussement accuser l'État islamique ? Quel intérêt ? Faire un essai de ses techniques ? Dire indirectement à la France "Oui, c'est nous. Vous avez reconnu notre style inimitale et vous voyez bien que nous pourrions paralyser vos systèmes informatiques de souveraineté si nous le voulions. Mais comme nous sommes très malins, nous avons lancé une fausse piste pour les journalistes, tandis que vous, les gouvernants, comprenez bien que nous vous avons lancé un message avec démontration de force et menace !" Un peu subtil non ?

Dans un conflit classique, les protagonistes tendent, en règle générale, à savoir qui est l'autre, ce qu'il veut et souvent même quelles sont à peu près ses forces. Avec le cyberespace il va falloir apprendre à raisonner avec des logiques plus floues.

 Imprimer cette page