huyghe.fr - Le site de François-Bernard Huyghe
OK
 Sur Twitter : @huyghefb
 Comprendre les conflits : une nouvelle polémologie
 Terrorisme
 Affrontements, stratégies et images
 Information, pouvoir et usage : l'infostratégie
 Intelligence économique : du savoir à l'influence
 Pouvoirs et information
 Transmission et communication : la médiologie
 Médiologie au présent
 Médiologie de l'histoire
 Divers
 Textes à télécharger
 Huyghe Infostratégie Sarl
Comprendre les conflits : une nouvelle polémologie > Affrontements, stratégies et images
Cyberattaques : contraindre, dérober, dénoncer

Il n'y a guère de texte traitant des vulnérabilités dans le cyberespace qui ne rappelle que les attaques y sont soit à motivation politique (affaiblir, menacer ou contraindre un Gouvernement), soit une version numérique du vol et de l'espionnage économiques, soit enfin "idéologiques". Comprenez alors que leurs auteurs se réclament d'une cause, révolte ou revendication qu'ils croient juste, généralement pour mener des actions symboliques et bien médiatisées. Sans oublier le cas ou l'attaquant ne poursuit une quête purement narcissique de l'exploit pur.


Face à l'anonymat de règle dans ces attaques, il est difficile de discerner le statut des attaquants : États dotés de cyber armes, entreprises, bandes criminelles ne cherchant que le profit, ou groupes militants. Sans oublier les possibilités  de croisement entre ces catégories. Un acteur étatique ou économique peut louer les services de groupes mafieux ou emprunte le masque d'activistes. Etrue spectre souvent évoqué (mais jamais réalisé) d'un cyberterrorisme qui n'utiliserait pas seulement Internet pour communiquer ou recruter, mais aussi pour mener des opérations de désorganisation de services indispensables à la vie d'une Nation.


Le tout sur fond d'actualité marquée par des révélations spectaculaires concernant Stuxnet, Duqu ou Flame, par l'accroissement, la sophistication  et le ciblage croissants des attaques, et par force spéculations sur les capacités informatiques offensives ou défensives de plusieurs pays. Ils sont, du reste, de plus en plus nombreux à déclarer se doter de capacités informatiques offensives sur lesquelles ils gardent le silence ( dire quel type d'arme on possède, serait à la fois donner des indices à des adversaires pour s'en défendre et i former sur les limites de ses capacités de rétorsion).


Si largement que l'on définisse le crime, l'État menacé ne peut pas traiter pareillement l'agression quasi militaire qui pervertirait ses systèmes d'information et infrastructures vitales, l'espionnage industriel qui diminuerait sa compétitivité, la criminalité crapuleuse qui frapperait ses citoyens et l'action des groupes qui publient des informations stratégiques, bloquent et "défacent" des sites officiels au nom d'une révolte ou d'une indignation. D'où le lancinant problème de l'attribution d'une attaque. Il commande bien d'autres questions comme celle de la dissuasion, de la rétorsion ou punition, de la négociation, de l'attaque et de la défense, etc.


Certains États - les mêmes souvent qui abritent des pirates - pourraient profiter de cette confusion pour pousser devant les instances internationales des projets de conventions où l'on réprimerait pêle-mêle le cybercrime, un cyberterrorisme aux contours mal définis, diverses atteintes à la souveraineté numérique et des activités qui relèvent du délit d'opinion (discours que l'on baptisera de haine ou extrémistes et qui peuvent finir par justifier la répression de la cyberdissidence).


L'État démocratique, lui, se trouve confronté à un problème juridique et territorial.


La question de droit est, à l'échelle internationale, surtout liée à la qualification et à l'identification des acteurs (l'assimilation d'une attaque contre des infrastructures vitales  à un acte de guerre n'est plus un sujet tabou). À l'intérieur, la question renvoie à celle-ci : où placer la frontière entre l'expression légitime d'une contestation en ligne, le passage à l'acte (incitation à la violence, organisation d'une émeute "dans la vraie vie"), et un activisme, souvent mené par des groupes transfrontaliers, et qui s'en prend par électrons interposés au fonctionnement normal d'un État ? Qu'est-ce qui est interne ou externe désormais ? Et comment réagir ?


La question territoriale touche à la souveraineté : outre que les autorités n'ont pas toujours le moyens de frapper ou d'arrêter les coupables hors frontières quand bien même elles les identifient, iles tde pus en pus fréquent que des États négocient avec les acteurs économiques du Net. Que ce soit pour diffuser des technologies utiles aux groupes dissidents, ou, au contraire, pour acquérir des moyens de surveillance ou de blocage, en priver d'autres États, etc. Ou pour faire fermer un site qui contrarie ses intérêts économiques ou politiques et se croyait à l'abri "à l'étranger" ? 
Du coup la question du territoire, loin d'être obsolète revient en force :
- à l'intérieur de quelles frontières sont les systèmes (infrastructures critiques p.e.), les machines attaquées ? les victimes visées, les victimes effectivement touchées ? quel État garantissait le secret ou la sécurité de quels systèmes ou de quelles données  ?
- d'où sont venues les attaques ? ce qui signifie : qui se tenait physiquement derrière la machine qui a lancé l'attaque initiale, avec quels moyens fou ris ou tolérés par quel gouvernement ?
- mais aussi qui (notamment, qu'elle compagnie) relève de quel droit et subit l'influence de quel gouvernement dans le cadre de quelles négociations ?


Tout est ici affaire de frontières. Non seulement la transposition des frontières physiques reconnues par le droit international dans un monde où il faut réviser tout ce que nous avons appris dans le monde des bombes et des fusées sur une attaque, son origine, son trajet, l'extension de ses effets, le temps de déplacement, de frappe et de latence... Mais aussi les frontières intellectuelles entre public et privé, civil et militaire, politique et crime, destructions matérielles et viol des secrets, sabotage et manifestation d'opinion, ...


Violence politique, prédation économique ou protestation symbolique forment donc des entrelacs complexes. Cela appelle, d'abord, des solutions techniques : mieux identifier (et surtout plus vite) l'origine réelle d'une attaque, en qualifier le "style", deviner qui en avait la capacité. La recherche technologique est indispensable pour améliorer résistance et résilience de nos systèmes, détection et traitement des périls. Pas question de raisonner à l'ère des réseaux sociaux et du Web 2.0 comme si la question des possibilités d'action et des circuits de diffusion était secondaire.
Parallèlement, un travail de renseignement humain peut aider à identifier les responsables derrière les exécutants.


Mais les connaissances tactiques n'ont de sens que rapportées à une grille de lecture stratégique. S'il faut établir une politique de cyber-défense, encore faut-il plus que des parades pour des algorithmes ou des traitements pour des dommages, il faut l'anticipation qui permet de se préparer voire l'attitude qui décourage les agresseurs. Ce qui suppose de bien distinguer des intentions et des règles implicites derrière les attaques que l'on subit ou subira.


Les acteurs capables de mener des actions d'une certaine gravité dans le cyberespace - faire ravage, s'emparer de biens immatériels ou réaliser une proclamation - suivent des logiques et obéissent à des contraintes.
La trilogie implicite - États qui détruisent des systèmes dans un but de puissance, acteurs économiques qui volent des informations pour leur profit et militants qui mènent des actions spectaculaires au service de valeurs - est évidemment très simplificatrice.
Mais, pour le moment nous sommes obligés de partir de là pour construire une stratégie qui ne soit pas purement défensive, donc passive, donc suicidaire à long terme.








 Imprimer cette page