Le poids stratégique des cyberarmes
Depuis son origine, l’arme est conçue comme un outil produisant une force létale, ou au moins incapacitante – ici entendue comme retirant ses moyens à l’adversaire –. Offensive, elle inflige un dommage ou une contrainte. Défensive, elle contrarie la violence de la première. Du silex à la bombe H, posséder un armement a toujours consisté à produire et stocker des artefacts ainsi qu’à conserver des ressources et substances ayant un potentiel de destruction ou de mort. Un arsenal se compte en tanks, têtes de missiles ou autres systèmes d’armements que l’on peut exhiber dans des parades militaires –éventuellement en armes de destruction massive que l’on dissimule – etc. Dans tous les cas, leur effet se présume nocif. Mais quel potentiel possède un armement dit « cyber », dont l’efficacité repose sur l’information et l’action sur l’information – via des logiciels ou des algorithmes – ? Quels dangers portent ces panoplies qui, jusqu’à nouvel ordre, n’ont jamais tué mais suscitent tant de fantasmes ? Le dernier Livre blanc de la défense distingue ainsi la lutte informatique défensive de la lutte informatique offensive (LID et LIO) ; notre pays fait partie des puissances qui possèdent des « cyberarmes offensives », notion qui se retrouve dans de nombreuses études étrangères.
La défense et la connaissance
Concernant la composante défensive de la lutte informatique, chacun s’en fait une idée : il utilise lui-même des antivirus ou travaille pour une organisation préconisant un minimum de sécurité informatique. Se défendre consiste à sanctuariser un espace virtuel, à en contrôler l’accès par une « barrière de feu » (firewall) ou des modes d’identification perfectionnés. Il faut s’assurer qu’aucun acteur non autorisé ne puisse y prélever des données confidentielles, ni y imposer des « ordres » illégitimes visant à détourner le fonctionnement du dispositif ou à le rendre inopérant.
Se défendre n’est certainement pas aisé sur le plan technique, car les attaquants peuvent chaque jour inventer de nouvelles façons de faire, emprunter de nouvelles voies d’accès, de fausses identités ou de fausses autorisations ; ces derniers s’efforcent de pénétrer dans un ordinateur ou de prendre à distance le contrôle de dispositifs hypersophistiqués. Il existe donc indéniablement une prime à l’attaque. En matière d’organisation, jouer en défense n’est pas non plus des plus simples. Ainsi, pour défendre les infrastructures dites vitales ou critiques d’un pays – celles dont dépendent la distribution de l’énergie, les transferts bancaires, les réseaux de circulation, qui sont gérées par informatique¬–, il faut coordonner de multiples instances privées ou publiques, instaurer un partage efficace de l’information, créer des organismes d’intervention immédiate et éventuellement assurer une certaine résilience à des systèmes interdépendants : il faut présumer que ses systèmes informatiques seront attaqués un jour où l’autre et il importe qu’ils se rétablissent très vite.
Il est difficile de contester à un État le droit de se doter de la meilleure cyberdéfense possible contre l’espionnage industriel et de se protéger d’offensives militaires visant à un ravage et à une contrainte politique. Pourtant, la rhétorique cybersécuritaire de la lutte contre les pirateries peut servir d’alibi à une répression de la dissidence en ligne. Et pour anticiper des attaques futures, les États pourraient être tentés de pratiquer le renseignement sur d’éventuels agresseurs, ce qui suppose d’espionner « un peu », donc d’être « un peu » offensif. Mais comment reconnaître une arme offensive informatique, celle qui n’est pas conservée dans un hangar ou une caserne mais dans des cerveaux, humains ou électroniques, et ce alors que cette dernière semble se jouer des frontières ? De plus, une fois utilisée, elle suscitera sans doute la recherche frénétique de contre-mesures, qui la rendront demain obsolète.
Les fonctions de l’agression
Dès les années 1990, le cinéma, mais aussi des études de think tanks réputés évoquent le scénario, tantôt d’un bricoleur de génie, tantôt d’une organisation contrôlée par un État voyou, qui, en fabriquant un virus redoutable, plongerait un pays dans le chaos : banques ou transports paralysés, pannes et paniques contagieuses, etc. Même s’il n’est pas possible d’exclure cette hypothèse, une cyberarme – comprenez, un dispositif numérique ou code informatique destiné à provoquer un dommage – n’a jamais encore eu de tels effets dans le « monde réel », où les cyberagressions prennent des formes très hétérogènes.
La plupart des spécialistes sont à peu près d’accord pour classer les cyberarmes comme visant à trois effets principaux : l’espionnage, le sabotage et la subversion. Le bon code, bien employé, permet, en effet, de faire trois choses qui ne s’excluent pas.
– S’emparer de données confidentielles – ce peut être pour leur valeur monétaire, pour s’approprier des technologies et les fruits d’une recherche, pour connaître la stratégie d’une entreprise et d’un État – pour préparer une future attaque, ou enfin pour surveiller une population suspecte, voire, comme la NSA, pour anticiper des tendances planétaires à l’échelle des big data. Toutes ces opérations, qui reviennent à accomplir des actes d’espionnage ou de piratage informatique n’ont évidemment ni la même finalité, ni la même gravité, ni le même rapport avec un acte de guerre.
– Perturber : le bon matériel employé au bon moment peut provoquer des dysfonctionnements graves dans une défense antiaérienne ou dans une centrifugeuse enrichissant de l’uranium, priver une grosse société de ses courriels pendant quelques jours ou bien même paralyser des feux de contrôle. Cette stratégie vise à faire perdre un maximum de temps à l’adversaire, laps de temps – ainsi que du chaos provoqué par nos soins – dont on profite pour mener une action militaire. De telles actions pourraient, in fine, tuer indirectement ou provoquer des dégâts économiques ou organisationnels comparables à ceux d’une attaque dite cinétique.
– Provoquer : ce qui revient à atteindre psychologiquement et souvent politiquement son adversaire. Nombre des attaques dites de subversion consistent ainsi à ridiculiser un adversaire, généralement politique, à publier ses documents compromettants en ligne, à mobiliser les internautes contre lui ou simplement à paralyser ses sites par un nombre de demandes artificiellement engendrées et qui produisent un effet de gel spectaculaire. Ces attaques dites par déni d’accès partagé, pas nécessairement très complexes ni très dommageables, ont souvent un grand impact médiatique. La frontière entre l’attaque au sens quasi militaire et l’activisme, la protestation voire l’expression d’une opinion est ici parfois fort ténue. Par ailleurs, ces armes peuvent être soit très spécialisées pour viser une cible précise – ce qui a priori demande des investissements lourds, du temps, des compétences comme en ont certains services d’État – et d’autres moins sophistiquées, qui pénètrent moins en profondeur, et ont un effet plus superficiel, comme les dénis d’accès précités.
Combats dans le brouillard
La logique des armes offensives cyber, catégorie hétérogène par nature et par usage, renvoie par essence à la question du secret. L’arme secrète, comme le V2 ou la bombe atomique – celle dont on dissimule la nature ou les effets à l’ennemi pour créer la surprise –, reste généralement cachée le temps d’être fabriquée, avant son utilisation spectaculaire aux dépends de l’adversaire. Mais toute arme informatique place son possesseur face à un dilemme. S’il nie en posséder ou en concevoir le simple projet, il diminue ses chances de dissuader un éventuel agresseur : ce dernier, s’il ne craint pas la rétorsion, peut être tenté de considérer le pays en question comme une « cible molle ». Si l’État fait savoir ce qu’il possède dans son arsenal, il avertit les futures cibles de ce contre quoi elles doivent se prémunir, renseigne sur l’état de sa recherche et de ses capacités. En outre, il se place de lui-même sur le banc des suspects lors d’une future cyberagression anonyme, donnant ainsi des arguments à ses adversaires pour le stigmatiser face à l’opinion internationale et s’exposant éventuellement à des accusations juridiques. La bonne stratégie consiste sans doute à laisser supposer aux d’éventuels agresseurs que, vu son niveau technologique et sa posture en matière de cyberdéfense, tel pays pourrait exercer des représailles redoutables sans plus de précision. Il pourrait exister une certaine tentation de bluffer un peu. Ou, comme l’ont fait les États-Unis dans l’affaire Stuxnet, de laisser dire par la presse que l’on est à l’origine d’une action sophistiquée sans en reconnaître formellement la paternité.
Pour compliquer les choses, quand bien même on saurait qui possède quoi ou qui peut faire quoi, toute attaque dans le cyberespace soulève des problèmes d’incertitudes ou de dissimulation rarement rencontrés avec des armes « classiques ». Lorsque l’une d’elle est employée, on peut systématiquement avoir un doute sur l’acteur qui l’utilise en réalité. C’est le fameux problème de l’attribution : telle attaque de tel niveau a-t-elle été organisée par un service d’État ? L’a-t-il fait seul ou associé à des groupes de hackers militants ou mercenaires ? Était-il allié à d’autre pays ? Cette attaque est-elle le fait de l’État qui semble être en conflit avec la victime ou bien par un tiers, provocateur ou opportuniste ? Des acteurs privés, que personne ne contrôle, peuvent-ils être à l’origine de l’attaque ? Cette offensive informatique a-t-elle été accompagnée (ou pas) d’une revendication authentique (ou non) ? À ces doutes, s’ajoute l’incertitude sur l’efficacité des attaques informatique : l’efficacité de cette dernière a-t-été été inférieure ou supérieure aux projets de ses concepteurs, à leur intention réelle – par exemple de délivrer un message de menace qui a pu être mal interprété – sans oublier l’éventualité qu’une attaque ait « bavé », c’est-à-dire que, dans un système hyperconnecté comme l’est Internet, qu’un logiciel malicieux se soit répandu au-delà de la cible sur laquelle il était censé exercer son ravage. La liste des doutes raisonnables et des tromperies envisageables dans la bataille cyber n’est sans doute pas close. La pire inconnue étant que tous les raisonnements menés aujourd’hui peuvent être réduits à néant demain par une future invention.
Vers de nouvelles stratégies ?
Dans ces conditions, deux des principaux ressorts de l’action géopolitique – la menace et la négociation– sont ici non pas absents mais plutôt faussés. Dans le cyberespace, nous savons mal ce qu’il faut vraiment craindre, et donc ce qui peut exercer la plus grande contrainte. A priori, on pourrait penser que le principal danger vient d’acteurs étatiques, qui possèdent leurs propres moyens de cyberstatégie et font preuve d’agressivité politique. Mais tel pays, réputé pratiquer l’espionnage informatique à grande échelle, peut ne désirer produire aucun autre dommage alors qu’un autre peut décider de ne pas mobiliser tous ses outils de destruction numérique, même s’il est engagé dans un conflit. En ce sens, les cyberarmes jouent un rôle ambigu : elles favorisent l’usage d’une certaine violence ou au moins d’une contrainte, à distance, sans grand risque, mais peuvent aussi limiter ou remplacer la violence « classique » par le fer et par le feu. Quant à la négociation, elle aura peine à garantir un désarmement crédible : il est possible de contrôler les missiles, pas les connaissances, qui ne peuvent être désapprises, ni les recherches. Ceci ne signifie pas que toute stratégie soit inutile, simplement que si le danger des cyberarmes peut être limité, cela passera par des voies politiques, par le renseignement humain, par l’intuition des prédispositions de l’autre et par l’habileté à influencer, au moins autant que par les outils techniques.