huyghe.fr - Le site de François-Bernard Huyghe
OK
 Sur Twitter : @huyghefb
 Comprendre les conflits : une nouvelle polémologie
 Terrorisme
 Affrontements, stratégies et images
 Information, pouvoir et usage : l'infostratégie
 Intelligence économique : du savoir à l'influence
 Pouvoirs et information
 Transmission et communication : la médiologie
 Médiologie au présent
 Médiologie de l'histoire
 Divers
 Textes à télécharger
 Huyghe Infostratégie Sarl
Information, pouvoir et usage : l'infostratégie > Pouvoirs et information
Se défendre dans le cyberespace

Se défendre dans le cyberespace

Que signifie « se défendre » dans le cyberespace ? Pour la plupart, nous savons bien ce qu’est une «attaque» dans le dit espace. Pour l’excellente raison que nous en avons tous subi une à notre modeste échelle : un virus, un logiciel dit « malveillant », la tentative de saturation d’un site...

Ceci vaut à plus forte raison pour des entreprises (les pertes recensées se comptent facilement en millions à l’échelon d’un pays). C’est, du reste, une expérience perturbante pour les gestionnaires formés à diriger nos entreprises que de se voir être « attaqués » et non plus seulement concurrencés. D’autant plus qu’il peuvent être menacés (outre les formes modernisées de l’espionnage industriel et du vol de propriété intellectuelle) par des offensives « orientées données ou systèmes » ou orientées sens et contenu. Dans le premier cas l’acteur économique perd d’une façon ou d’une autre du savoir et des capacités (l’intranet ne fonctionne plus, la base de données est altérée..., bref les machines et algorithmes ne remplissent plus leur rôle). Dans le second cas, la menace porte sur des croyances et des opinions (l’entreprise est accusée de fabriquer des produits dangereux, de menacer un équilibre écologique, de se compromettre avec des acteurs politiques suspects, sa réputation est menacée...) et, même si le média joue un rôle crucial dans cette affaire (un « buzz » négatif sur les réseaux sociaux n’est pas exactement la même chose qu’une campagne de presse des années 60), de telles attaques ne peuvent pas être qualifiées de « cyber ».

Les cyberattaques (à distinguer de la cyberguerre, concept discutable) peuvent aussi frapper un État. Le cas le plus connu est celui de l’Estonie en 2007, mais il n’est pas le seul. Et, dans tous les cas, les services gouvernementaux se préoccupent de plusieurs hypothèses, dont la plus mythique, une offensive généralisée à travers Internet, atteignant les infrastructures vitales (vitales parce qu’informationnelles dans des pays fortement dépendant de leurs réseaux de régulation et de transmission numériques). Ce serait le cas extrême - le « Pearl Harbour informatique » ou le « Cybergeddon » (cybernétique + Armageddon). Mais on peut envisager des offensives plus limitées (destinées à exercer une pression sur les autorités), l’accompagnement d’offensives militaires par des attaques informatiques (version moderne du classique recours au sabotage des communications adverses par des commandos infiltrés en territoire ennemi), et, bien sûr, toutes les variétés d’espionnage... Le problème étant aussi qu’il est difficile de distinguer une attaque « économique » (destinée à affaiblir une concurrent) d’une attaque « politique » (destinée à contraindre la volonté d’un État), tant la première répond aux objectifs de la seconde.

L’attaque est manifeste lorsque quelqu’un tente de produire un dommage par ordinateur interposé et via Internet. Le dommage en question peut consister en vol d’information (A pénètre dans la mémoire de l’ordinateur de B contre son gré pour y prélever des données confidentielles), en dégradation de l’information (A ayant pénétré dans l’ordinateur de B rend son contenu inutilisable, ou fait croire à B des renseignements faux, ou encore il amène le site ou l’ordinateur de B à afficher ou transmettre à autrui contre son gré des informations truquées). Ou enfin A peut dégrader le système d’information de B (le réseau de B ne fonctionne plus normalement, ses ordinateurs ne peuvent plus communiquer...).

Toutes ces méthodes peuvent se combiner (A peut prélever des données dans l’ordinateur de B pour pouvoir ultérieurement en changer le contenu, il peut prendre le contrôle des ordinateurs X, Y et Z pour attaquer B...) ou encore elles peuvent combiner attaques purement informatiques (envoyer un « vers » à sa victime), plus manipulation psychologique (faire avouer un mot de passe par tromperie à un naïf) plus, éventuellement des attaques physiques (couper un câble qui dessert un réseau d’ordinateurs).

En principe, il n’existe que trois façons de se défendre contre une attaque : offrir une résistance supérieure (méthode du bouclier ou de la forteresse), infliger un dommage supérieur (riposte en force), ou exercer une dissuasion supérieure (pour décourager l’idée même de l’attaque). L’idéal étant, bien entendu, de combiner les trois : bon bouclier, bonne épée, et bonne menace.

Forteresses numériques

Il existe d’excellentes études et nomenclatures de toutes ces attaques, de même qu’il existe de remarquables systèmes d’alertes, de prévention..., des organismes, des publications, des sociétés qui se spécialisent dans la cybersécurité, le repérage et analyse des nouvelles offensives. Bien entendu, il serait suicidaire de ne pas se doter des meilleurs experts, des meilleurs antivirus, des meilleures « barrières de feu » (firewall), ni de la meilleure formation. Et si possible, posséder le meilleur système de veille, pour se tenir au courant des périls à venir dans un domaine où, par définition, tout change très vite et où l’on peut s’attendre à subir demain une attaque inédite (« zero day attack » dans le jargon des spécialistes anglo-saxons).
Mais en tout état de cause, la défense « pure », celle qui consiste à opposer une résistance supérieure à la force agressive est ici par nature limitée. Même si elle constitue une étape absolument indispensable pour développer une vraie stratégie globale. Celle de la muraille destinée à subir un siège évoque une vision médiévale : des hommes en arme, cherchant à s’emparer de la forteresse, utilisant des panoplies bien connues, bien visibles et dont l’arrivée peut être repérée à l’avance, s’épuisent vainement et longuement, jusqu’à ce qu’ils se découragent ou que parviennent des secours.


Or, dans l’univers numérique :
- l’attaque est par définition surprenante (et certainement pas annoncée par des déclarations de guerre et des manœuvres d’approche)
- elle ne peut s’exercer que là où l’attaquant à repéré une vulnérabilité : un système de cryptologie insuffisant, une faille humaine, une technologie dépassée, ou simplement une incapacité à gérer plus d’un certain volume de « demandes » (attaque par déni d’accès), un seul défaut sur des millions de lignes de code d’un algorithme, donc là où elle peut agir immédiatement
- c’est une attaque par tromperie au sens large : soit un message envoyé par un être humain, soit une commande activée par un logiciel permet à l’attaquant de pénétrer là où il n’est pas autorisé, de donner des instructions illégitimes, d’apprendre ce qui devrait être caché, d’empêcher de fonctionner une système qui devrait être invulnérable, de remplacer des données par d’autres... et tout cela parce qu’un cerveau, qu’il soit électronique ou humain, a, d’une façon ou d’une autre, reçu des information délibérément truquées.
- toute attaque est nouvelle, ou du moins, il est difficile de se reposer sur l’expérience antérieure : ce qui a fonctionné une fois a exploité une faille que l’on peut a priori penser comblée. Par exemple, pour un nouveau virus on aura recherché un nouveau patch, pour une insuffisance repérée d’un système, on devrait avoir trouvé un système de substitution dans un temps raisonnable, etc..
- Il est en principe difficile de construire des défenses à la mesure de l’attaque, pour l’excellente raison qu’il est difficile d’en prédire la nocivité effective : quelles infrastructures vitales seront vraiment paralysées (et d’ailleurs lesquelles seront visées) ? lesquelles se montreront capables de résilience ? dans quel temps ? la panique se propagera-t-elle ? la paralysie temporaire d’une composante du système global se diffusera-t-elle partout (y compris sans doute hors du pays visé) ? Le tout sur fond de paradoxe du fort : plus on est puissant, ou en tout cas « moderne », plus on est dépendant de ses réseaux informatiques, plus on offre de cibles à d’éventuels agresseurs


Contre-attaques numériques



Bien entendu, il est facile de critiquer les lignes Maginot numériques et de répéter que la meilleure défense, c’est l’attaque. C’est vrai sur le plan des principes et, pour ne prendre qu’un exemple, le livre blanc de la Défense a parfaitement raison de préconiser que notre pays se dote de capacités informatiques offensives.
De même, on peut très bien imaginer la panoplie de rétorsion dont saurait se doter un pays technologiquement avancé ne mobilisant ses forces de sécurité, ses ingénieurs, ses centres de recherche : il pourrait sans doute faire « bien pire » que l’attaquant, surtout si ledit attaquant est un simple groupe de pirates. Sans compter qu’un État peut envisager des moyens non informatiques de rétorsion contre des attaques informatiques.
La vraie question est ici : qui frapper et quelle punition infliger ? En termes politiques, car la question ne peut se poser ici que pour un État, la question est : qui traiter en ennemi ?
En temps de guerre, ou lorsqu’il est fait usage de force ouverte, missiles contre missiles, tanks contre tanks, et que l’attaque informatique est simplement destinée à accompagner une offensive « classique » par une action de sabotage ou d’espionnage, la question n’a guère de sens : paralyser ou infiltrer les systèmes d’information ennemi, le tromper, augmenter « la friction et le brouillard » qui gênent son action, c’est simplement augmenter l’action des forces de destruction par un usage (incapacitant pour l’autre, « capacitant » pour soi) de l’information.
Mais en temps de paix ? À supposer que l’on soit doté de moyens au moins égaux à ceux de l’adversaire (vers, chevaux de Troie, ordinateurs « zombies ») où viser ?
S’en prendre aux infrastructures vitales du pays soupçonné ? Lesquelles au fait, militaires, politiques ou civiles (à supposer que cette distinction ait encore un sens) ? Au risque de frapper dans ce pays des populations ou des organisations qui sont parfaitement innocentes de l’attaque que l’on subit ou que l’on prévient ?
Voire, tout étant connecté sur la Toile, de produire du dommage dans d’autres pays ?
Faut-il le faire ouvertement au risque de provoquer l’indignation de l’opinion ou des sanctions internationales ?
En ce cas, comment prouver que c’est bien un État qui vous a agressé (ou s’apprête à vous agresser) par électrons interposés ? et que cela constitue bien un acte de guerre au sens juridique ?
On sait en effet qu’une attaque peut provenir d’un service d’État (il y en a même qui se dotent tout à fait officiellement de cyberbrigades de combat informatique comme la Chine et les USA), mais aussi d’un groupe de hackers motivés politiquement (éventuellement contrôlés ou encouragés en secret par l’État agresseur en question), voire d’une organisation criminelle (dont les services pourraient parfaitement avoir été loués par un acteur étatique). C’est ce que nous avions nommé le dilemme des 3 M : militaire, militant ou mercenaire ? Même si l’on peut se faire une idée de la chose (dans tel pays, une attaque de cette ampleur n’a pas pu se développer sans que les services de renseignement ne soient au courant et ne laissent faire quand ils ne financent pas..), cela ne constitue pas une preuve.
Et quand bien même, on saurait qui frapper, une puissance comme la France risque de se trouver confrontée à un paradoxe de riposte graduée (qui n’a rien à voir avec les raisonnements sur la sanctuarisation du pays par la dissuasion nucléaire) : ou bien l’attaquant risque d’être trop fort, ou bien il pourrait être trop faible.
Trop fort : imaginons par exemple que nous soyons persuadés qu’une attaque informatique vienne de Chine, pense-t-on sérieusement riposter par une vigoureuse réplique de virus tricolores et que l’affaire s’arrête là ?
Trop faible ? Mais supposons maintenant que ce soit un « État voyou » du Sud qui ait commandité quelques hackers pour mener une offensive contre nous ? Veut on vraiment se venger en plongeant, disons la Somalie, dans le cyberchaos ?

Tous les problèmes qui précèdent sont probablement solubles, mais ils supposent de se doter préalablement d’une doctrine d’emploi, d’une sorte de gradation des peines et châtiments et surtout d’un excellent système de renseignement pour savoir à qui s’en prendre et où. Rien n’oblige d’ailleurs que ce soit par une riposte (ou attaque préventive) symétrique, informatique contre informatique.


Menaces numériques


Dissuader c’est convaincre un éventuel agresseur (présumé rationnel, oublions le schéma « dissuasion du fort au fou) qu’il aurait plus à perdre qu’à gagner à vous agresser et que vous avez les moyens et la volonté de lui infliger un dommage supérieur en cas de besoin. Or c’est un concept politique.
Il suppose des acteurs ayant des objectifs de puissance identifiés et qu’un certain degré de contrainte, effective ou potentielle, est susceptible de décourager, notamment parce qu’il présente des intérêts visibles et vulnérables.
Mais cela suppose aussi de comprendre clairement ce qu’il vise.
S’agit-il en l’occurrence de gagner un avantage (économique par exemple) indu, de préparer une « vraie » guerre, de tester des défenses ou de faire de la diplomatie musclée en infligeant une punition symbolique ou en adressant un avertissement (ce qui pourrait parfaitement être le cas de l’affaire estonienne) ?
Nous touchons là aux limites de la notion de cyberguerre. Elle a jusqu’à présent été pensée en termes de sécurité (comment s’en préserver) ou de nocivité (quel dommage on pourrait théoriquement infliger à distance, probablement anonymement, et avec des moyens réduits). Or le but de la guerre reste, selon la formule de Clausewitz, et quels que soient les changements techniques, « de contraindre l’adversaire à accepter notre volonté ». La cyberattaque reste donc un moyen de contrainte parmi d’autres, comme la guerre économique ou un soutien discret à un groupe terroriste ou à un mouvement de libération, mais en aucune façon une fin en soi.


ANNEXE : La nature du cyberespace

Le mot formé de la réunion de cybernétique et d’espace (cyberspace = cybernetics + space en anglais) apparaît en 1984 dans un livre de science-fiction, le Neuromancien de William Gibson. Il désigne « Une représentation graphique de données extraites des mémoires de tous les ordinateurs du système humain » Depuis, l’expression est entrée dans l’usage et sert à désigner le « monde » virtuel qui naît de la connexion des ordinateurs du monde entier échangeant des données. Il nous apparaît en effet comme un espace dans la mesure où nous avons l’impression de nous déplacer « dans » l’information, - par exemple en cliquant sur un lien hypertexte qui nous enverra du site A au site B suivant une proximité sémantique. Il en va de même en participant à un jeu électronique où nous déplaçons un personnage qui va dans plusieurs directions et y rencontre choses et événements nouveaux. Bref, tout se passe comme si nous nous projetions hors de nous-mêmes dans le nouvel espace-temps de la réalité virtuelle. Le cyberespace est en réalité à la fois celui des signaux électroniques circulant physiquement entre des ordinateurs et l’espace mathématique qui se traduit en images sur notre écran. Le tout représenterait à la fois la masse étonnante et toujours en croissance des connaissances humaines mais aussi une structure particulière où tout est directement ou indirectement relié à tout, puisque les informations se renvoient les unes aux autres.
La notion de cyberespace se confond largement avec Internet réseau de réseaux informatiques reposant sur le même protocole de communication (TCP/IP) avec le World Wide Web (dit aussi le Web ou la Toile) qui, lui-même n’est qu’une partie d’Internet. Certains emploient la notion d’infosphère. Ce serait la « sphère virtuelle des contenus numérisés issue de l’interconnexion de l’informatique, des télécommunications et des médias » selon le commissariat au Plan. D’autres étendent la notion au-delà du numérique pour désigner l’univers créé par l’ensemble des documents produits par les hommes. Cela recouvrirait la totalité des productions de l’esprit de notre espèce formulées de façon à les rendre communicable donc partageables par d’autres. L’idée est sans doute inspiré par celle de « noosphère » inventée par Theilard de Chardin en 1947 pour désigner « l’enveloppe de substance pensante » que notre espèce a rajouté à sa biosphère. Ce serait donc le milieu des représentations produites par nos cerveaux, échangeables et dans lequel nous vivons au moins autant que dans notre milieu naturel.

 Imprimer cette page