huyghe.fr - Le site de François-Bernard Huyghe
OK
 Sur Twitter : @huyghefb
 Comprendre les conflits : une nouvelle polémologie
 Terrorisme
 Affrontements, stratégies et images
 Information, pouvoir et usage : l'infostratégie
 Intelligence économique : du savoir à l'influence
 Pouvoirs et information
 Transmission et communication : la médiologie
 Médiologie au présent
 Médiologie de l'histoire
 Divers
 Textes à télécharger
 Huyghe Infostratégie Sarl
Comprendre les conflits : une nouvelle polémologie > Affrontements, stratégies et images
Lutte offensive et défensive dans le cyberespace
L'épée et le bouclier numériques

Traditionnellement, serait "offensive" une arme qui ne sert qu'à infliger une perte humaine ou matérielle et est réputée défensive une arme (ou un quelconque système de protection) fabriqué pour rendre inutile la première. La défense est souvent un équivalent d'actes physiques comme esquiver, atténuer, parer, contrer, riposter..., mais amplifiés par des artefacts et des dispositifs de plus en plus sophistiqués.


Dans le monde physique, l'offensive consiste à lancer des hommes, des véhicules, des forces ou des projectiles vers l'autre tandis qu'une action défensive, forcément seconde et réactive, dépend de l'offensive. Dans la réalité, les armées sont dotées des deux ou d'armes mixtes (on porte une épée et un bouclier, un tank à un blindage et un canon..) et il a toujours fallu s'appuyer sur deux indices pour juger qui attaque et qui se défend : qui a commencé et où a eu lieu l'attaqu


Dans un conflit territorialisé et dans un monde bordé par des frontières, Ratzel a pu dire que l'offensive ou plutôt la guerre "consiste à porter sa frontière sur le territoire de l'autre". Comprenez : accomplir des actes de domination ou de violence chez l'autre, en franchissant une frontière politique dont l'étymologie est précisément "ligne de front", celle qui confronte la ligne adverse et marque provisoirement la zone au-delà de laquelle la bataille est possible, mais en-deça de laquelle un camp est à l'abri.


Tout ceci ne va pas forcément sans ambiguïtés conceptuelles. Un exemple célébrissime est celui de la guerre "préemptive" (et non préventive) imaginée par G.W. Bush et ses conseillers néoconservateurs : cette doctrine autorise les États-Unis à frapper un ennemi (État-voyou ou groupe terroriste abrité par un État) qui se préparerait à attaquer de façon imminente, et surtout s'il est doté d'armes de destruction massive ou sur le point de s'en doter. Le problème est ici que tout ce qui précède peut se révéler faux (attaque en vue, armes de destruction massive), voire fabriqué par des services de renseignement.


Comment peut-on transposer ces notions dans le monde cyber ? A priori en retenant les critères de fonction de l'arme, de territoire et d'antériorité ( l'ordre au sein d'une séquence attaques et défenses s'enchaînant).


En France on se réfère de plus en plus à la lutte informatique offensive(LIO) et à la lutte informatique défensive (LID) comme composantes d'une cyberstratégie.


On comprend donc que la première consisterait à faire ravage chez l'adversaire ou au moins à l'affaiblir chez lui, généralement en commençant le premier et en le prenant par surprise, ou alors pour riposter. Et la seconde à garantir la cybersécurité de ses informations et structures d'une certaine importance. Les bons font de la LID et n'envisagent la LIO qu'à titre de rétorsion ou de dissuasion, les méchant font sournoisement de la LIO pour s'en prendre à nos intérêts. Si l'on rentre dans les détails, les choses sont peut-être plus subtiles.


L'arme ? Toute attaque informatique suppose que l'on ait brisé une résistance : que l'on ait volé un mot de passe, franchi une "barrière de feu" (firewall) de protection, craqué un système de détection, bref que l'on se soit introduit "dans" un espace protégé (le disque dur d'un ordinateur, un téléphone, un système d'information...). Et ceci se fait par intrusion, contre une résistance théorique (si les firewalls, les antivirus, les mots de passe ou les contrôles de sécurité étaient parfait et les hommes assez méfiants, il ne se passerait jamais rien). De la première violence au sens large que constitue l'intrusion (au moins comme viol d'un monopole, celui du légitime propriétaire de la machine attaquée) en naît une seconde. L'attaquant ne peut faire que trois choses, ou une combinaison des trois (en donnant des instructions illégitimes à un cerveau électronique) :


- prendre connaissance d'informations confidentielles équivalent d'espionner


- détraquer un système (il ne contrôle plus, il n'avertit plus d'une anomalie, il ne fonctionne plus...), équivalent de saboter


- y laisser une trace (un tag vengeur, un slogan, une information fausse...) équivalent de défier.


C'est à un troisième stade seulement que l'attaque peut produire un dommage dans le monde physique. Par exemple un système SCADA de contrôle industriel se détraque et une usine ne fonctionne plus, ou une organisation est incapable de communiquer normalement donc est livrée au chaos ou un système radar ne décèle pas une attaque comme il devrait, ou un hôpital est privé d'électricité et quelqu'un meurt...


Du billard à trois bandes, en somme... Même si le second stade (celui des opérations ordonnées une fois la pénétration réussie) peut n'impliquer qu'une perte de secret (p.e. un rival économique s'empare de données protégées ce qui lui donne un avantage concurrentiel illégitime) ou qu'une perte de prestige (l'adversaire a prouvé qu'il pénétrait sur votre site officiel quand il voulait et réalisé là un exploit). Variante : l'attaque crée une illusion : vous croyez vous adresser à X et vous êtes en contact avec Y, vous croyez que Z a dit blanc, et il a dit noir...


Mais au total, il y a forcément un dommage, direct ou indirect : l'information ou la confiance qui se sont perdues, l'argent qui s'est évaporé, le désordre qui s'est créé, voire les dommages physiques ou humains en bout de chaîne.


Le problème est ici de savoir quel degré (à chacun des trois stades) vous considérez comme suffisamment grave pour déclencher une procédure de crise, une réaction vigoureuse, un réexamen de tout votre système de protection, voire une guerre (puisque des cyberattaques peuvent être considérées comme des actes de guerre, notamment par les États-Unis).


On se doute que la cyberdéfense comprend tous les moyens d'empêcher tout ce qui précède ou d'assurer une résilience rapide en cas d'attaque. Donc des moyens physiques et virtuels qui vont de l'anticipation ou de la détection des attaques à la construction de défenses plus solides (meilleurs antivirus, meilleure cryptologie, meilleurs systèmes de protection de type Firwall, construction d'une résilience fiable, sensibilisation des acteurs, mise sur pieds d'équipe de diagnostic et d'intervention rapides et efficaces, circulation de l'information sur les attaques subies, précaution et prévention par des outils techniques et des comportements vertueux, coopération, etc.) bref à peu près tout ce que fait l'ANSSI en France et dont il faut se féliciter.


De la même façon on voit des organisations comme l'Otan ou des pays aussi divers que l'Estonie, le Royaume-Uni, Israël, l'Australie, etc ont annoncé se doter de centres dits de défense ou d'excellence, de cyberunités, cybercommandements, équipes d'intervention rapide, peu importe le nom...


Mais l'offensive ? Tous les pays cités et qui reconnaissent se doter d'armes offensives sont d'un totale discrétion à leur sujet. Cela se comprend : dire quel arme on prépare, quel type de virus ou quel type de "zero day attack" (un exploit réalisé pour la première fois comme de franchir une ligne de défense jusque là supposée ultra-solide), c'est révéler ce que l'on peut faire et souvent aussi contre qui on compte le faire, donc doublement avertir l'adversaire présumé qu'il est visé et comment, pour lui donner tout le temps de se préparer à ce qui l'attend.


L'arme offensive, dont on peut présumer qu'une fois essayée effectivement, elle suscitera des contre-mesures efficaces et qu'elle incitera à réparer failles non décelées, risque en effet de ne servir qu'une fois. D'où l'avantage, que souligne le sénateur Bockel, de ne pas la montrer pour obtenir un effet dissuasif maximum


Restera quand même à comprendre comment on peut être purement défensif sans être un tout petit peu offensif : la défense la plus efficace ne reposerait-elle pas sur une bonne connaissance des mécanismes adverses (donc sur "un petit peu" d'espionnage ou de piraterie) ? N'est-il pas tentant de tendre des pièges à des candidats à l'agression ?


Enfin et surtout, n'allons nous pas voir revenir le "préemptif" ? Or lancer une attaque "juste à temps" contre un adversaire étatique qui s'apprête à vous agresser ne suppose-t-il que l'on ait soi même pénétré les secrets de sa défense ? Si les rumeurs qui annoncent que l'administration Obama se dotera prochainement d'une doctrine de cyberattaque préemptive sont vraies, nous allons peut-être découvrir un singulier effet d'abyme.


La défense est souvent un équivalent d'actes physiques comme esquiver, atténuer, parer, contrer, riposter..., mais amplifiés par des artefacts et des dispositifs de plus en plus sophistiqués.


Dans le monde physique, l'offensive consiste à lancer des hommes, des véhicules, des forces ou des projectiles vers l'autre tandis qu'une action défensive, forcément seconde et réactive, dépend de l'offensive. Dans la réalité, les armées sont dotées des deux ou d'armes mixtes (on porte une épée et un bouclier, un tank à un blindage et un canon..) et il a toujours fallu s'appuyer sur deux indices pour juger qui attaque et qui se défend : qui a commencé et où a eu lieu l'attaqu


Dans un conflit territorialisé et dans un monde bordé par des frontières, Ratzel a pu dire que l'offensive ou plutôt la guerre "consiste à porter sa frontière sur le territoire de l'autre". Comprenez : accomplir des actes de domination ou de violence chez l'autre, en franchissant une frontière politique dont l'étymologie est précisément "ligne de front", celle qui confronte la ligne adverse et marque provisoirement la zone au-delà de laquelle la bataille est possible, mais en-deça de laquelle un camp est à l'abri.


Tout ceci ne va pas forcément sans ambiguïtés conceptuelles. Un exemple célébrissime est celui de la guerre "préemptive" (et non préventive) imaginée par G.W. Bush et ses conseillers néoconservateurs : cette doctrine autorise les États-Unis à frapper un ennemi (État-voyou ou groupe terroriste abrité par un État) qui se préparerait à attaquer de façon imminente, et surtout s'il est doté d'armes de destruction massive ou sur le point de s'en doter. Le problème est ici que tout ce qui précède peut se révéler faux (attaque en vue, armes de destruction massive), voire fabriqué par des services de renseignement.


Comment peut-on transposer ces notions dans le monde cyber ? A priori en retenant les critères de fonction de l'arme, de territoire et d'antériorité ( l'ordre au sein d'une séquence attaques et défenses s'enchaînant).


En France on se réfère de plus en plus à la lutte informatique offensive(LIO) et à la lutte informatique défensive (LID) comme composantes d'une cyberstratégie.


On comprend donc que la première consisterait à faire ravage chez l'adversaire ou au moins à l'affaiblir chez lui, généralement en commençant le premier et en le prenant par surprise, ou alors pour riposter. Et la seconde à garantir la cybersécurité de ses informations et structures d'une certaine importance. Les bons font de la LID et n'envisagent la LIO qu'à titre de rétorsion ou de dissuasion, les méchant font sournoisement de la LIO pour s'en prendre à nos intérêts. Si l'on rentre dans les détails, les choses sont peut-être plus subtiles.


L'arme ? Toute attaque informatique suppose que l'on ait brisé une résistance : que l'on ait volé un mot de passe, franchi une "barrière de feu" (firewall) de protection, craqué un système de détection, bref que l'on se soit introduit "dans" un espace protégé (le disque dur d'un ordinateur, un téléphone, un système d'information...). Et ceci se fait par intrusion, contre une résistance théorique (si les firewalls, les antivirus, les mots de passe ou les contrôles de sécurité étaient parfait et les hommes assez méfiants, il ne se passerait jamais rien). De la première violence au sens large que constitue l'intrusion (au moins comme viol d'un monopole, celui du légitime propriétaire de la machine attaquée) en naît une seconde. L'attaquant ne peut faire que trois choses, ou une combinaison des trois (en donnant des instructions illégitimes à un cerveau électronique) :


- prendre connaissance d'informations confidentielles équivalent d'espionner


- détraquer un système (il ne contrôle plus, il n'avertit plus d'une anomalie, il ne fonctionne plus...), équivalent de saboter


- y laisser une trace (un tag vengeur, un slogan, une information fausse...) équivalent de défier.


C'est à un troisième stade seulement que l'attaque peut produire un dommage dans le monde physique. Par exemple un système SCADA de contrôle industriel se détraque et une usine ne fonctionne plus, ou une organisation est incapable de communiquer normalement donc est livrée au chaos ou un système radar ne décèle pas une attaque comme il devrait, ou un hôpital est privé d'électricité et quelqu'un meurt...


Du billard à trois bandes, en somme... Même si le second stade (celui des opérations ordonnées une fois la pénétration réussie) peut n'impliquer qu'une perte de secret (p.e. un rival économique s'empare de données protégées ce qui lui donne un avantage concurrentiel illégitime) ou qu'une perte de prestige (l'adversaire a prouvé qu'il pénétrait sur votre site officiel quand il voulait et réalisé là un exploit). Variante : l'attaque crée une illusion : vous croyez vous adresser à X et vous êtes en contact avec Y, vous croyez que Z a dit blanc, et il a dit noir...


Mais au total, il y a forcément un dommage, direct ou indirect : l'information ou la confiance qui se sont perdues, l'argent qui s'est évaporé, le désordre qui s'est créé, voire les dommages physiques ou humains en bout de chaîne.


Le problème est ici de savoir quel degré (à chacun des trois stades) vous considérez comme suffisamment grave pour déclencher une procédure de crise, une réaction vigoureuse, un réexamen de tout votre système de protection, voire une guerre (puisque des cyberattaques peuvent être considérées comme des actes de guerre, notamment par les États-Unis).


On se doute que la cyberdéfense comprend tous les moyens d'empêcher tout ce qui précède ou d'assurer une résilience rapide en cas d'attaque. Donc des moyens physiques et virtuels qui vont de l'anticipation ou de la détection des attaques à la construction de défenses plus solides (meilleurs antivirus, meilleure cryptologie, meilleurs systèmes de protection de type Firwall, construction d'une résilience fiable, sensibilisation des acteurs, mise sur pieds d'équipe de diagnostic et d'intervention rapides et efficaces, circulation de l'information sur les attaques subies, précaution et prévention par des outils techniques et des comportements vertueux, coopération, etc.) bref à peu près tout ce que fait l'ANSSI en France et dont il faut se féliciter.


De la même façon on voit des organisations comme l'Otan ou des pays aussi divers que l'Estonie, le Royaume-Uni, Israël, l'Australie, etc ont annoncé se doter de centres dits de défense ou d'excellence, de cyberunités, cybercommandements, équipes d'intervention rapide, peu importe le nom...


Mais l'offensive ? Tous les pays cités et qui reconnaissent se doter d'armes offensives sont d'un totale discrétion à leur sujet. Cela se comprend : dire quel arme on prépare, quel type de virus ou quel type de "zero day attack" (un exploit réalisé pour la première fois comme de franchir une ligne de défense jusque là supposée ultra-solide), c'est révéler ce que l'on peut faire et souvent aussi contre qui on compte le faire, donc doublement avertir l'adversaire présumé qu'il est visé et comment, pour lui donner tout le temps de se préparer à ce qui l'attend.


L'arme offensive, dont on peut présumer qu'une fois essayée effectivement, elle suscitera des contre-mesures efficaces et qu'elle incitera à réparer failles non décelées, risque en effet de ne servir qu'une fois. D'où l'avantage, que souligne le sénateur Bockel, de ne pas la montrer pour obtenir un effet dissuasif maximum


Restera quand même à comprendre comment on peut être purement défensif sans être un tout petit peu offensif : la défense la plus efficace ne reposerait-elle pas sur une bonne connaissance des mécanismes adverses (donc sur "un petit peu" d'espionnage ou de piraterie) ? N'est-il pas tentant de tendre des pièges à des candidats à l'agression ?


Enfin et surtout, n'allons nous pas voir revenir le "préemptif" ? Or lancer une attaque "juste à temps" contre un adversaire étatique qui s'apprête à vous agresser ne suppose-t-il que l'on ait soi même pénétré les secrets de sa défense ? Si les rumeurs qui annoncent que l'administration Obama se dotera prochainement d'une doctrine de cyberattaque préemptive sont vraies, nous allons peut-être découvrir un singulier effet d'abyme.



 Imprimer cette page