huyghe.fr - Le site de François-Bernard Huyghe
OK
 Sur Twitter : @huyghefb
 Comprendre les conflits : une nouvelle polémologie
 Terrorisme
 Affrontements, stratégies et images
 Information, pouvoir et usage : l'infostratégie
 Intelligence économique : du savoir à l'influence
 Pouvoirs et information
 Transmission et communication : la médiologie
 Médiologie au présent
 Médiologie de l'histoire
 Divers
 Textes à télécharger
 Huyghe Infostratégie Sarl
Comprendre les conflits : une nouvelle polémologie > Affrontements, stratégies et images
Riposter aux cyberattaques





La lutte contre les attaques informatiques



La cyberguerre (alias guerre informatique) est entrée, à l’occasion du Livre Blanc de la Défense, au nombre de nos priorités de sécurité nationale. La lutte devient à la fois globale (une sécurité à la fois militaire, économique, technique...) et multidimensionnelle. Le but est de protéger le cyberespace comme l’espace national terrestre, maritime ou aérien, mais à la différence des autres, le premier n’a guère de frontières où poster des sentinelles et des barrières. Là, les notions de distance, de trajet, de limite ou d’étendue perdent tout sens au profit du lien et de l’interconnexion  : on y circule non pas mètre après mètre, mais par relation sémantique, de donnée en donnée.

 Des exemples récents, notamment en Estonie, ont accéléré cette évolution, en rappelant la fragilité de sociétés dépendantes de leur système d’information à la fois numérique et en réseaux.



Un nouveau ravage



En réseaux, cela implique que tout point dans le cyberespace peut  être atteint sans mouvement physique (tel celui d’un corps d’armée ou d’une simple lettre), mais par des relais sémantiques et  de multiples vecteurs, ce qui rend difficile l’identification de l’origine. Pour autant, les supports matériels de l’information sont tout sauf secondaires  : satellites, câbles, ordinateurs restent des objets physiques dont la destruction ou le sabotage peut avoir de graves conséquences.



La numérisation implique la fragilité des informations sous leur triple aspect de  :



- données (stockées hors de notre vue et susceptibles d’être altérées ou prélevées à l’insu du propriétaire légitime)



- messages dont l’État ne peut plus contrôler la circulation sur son territoire



- instructions, dont les algorithmes commandant le fonctionnement de logiciels et de machines.



L’information comporte une autre dimension  :  la connaissance (la mise en forme de savoirs dans un cerveau humain) et la représentation de la réalité que se font, par exemple, des décideurs peut largement être faussée.



Dans le cyberespace, une attaque peut porter sur chaque dimension de l’information  :



- violer un secret, accéder anonymement et à distance à des données protégées, en prendre connaissance, les remplacer



- imposer un contenu  : soit propager des messages illicites soit les faire passer par des canaux qui devraient être normalement inaccessibles (ainsi  : un site officiel pour y « tagger » des slogans vengeurs ou en ridiculiser les possesseurs).



- prendre les commandes, par exemple en transformant l’ordinateur d’un autre en « zombie » qui obéit à vos ordres et non aux siens, mais aussi en empêchant le fonctionnement normal d’une chaîne de commandement ou d’alerte.



Pour ne pas se perdre dans les définitions floues de la guerre de l’information, il importe a minima de distinguer l’information « référentielle », description vraie ou fausse de la réalité utile à la décision stratégique, et l’information objet de croyance, dont il importe qu’elle fasse beaucoup de convaincus (propagande, par exemple). De la même façon, dans les attaques informatiques,certaines visent à un effet technique et d’autres à un effet psychologique. Mais il faut aussi distinguer facteur d’amplification et saut qualitatif. Certaines attaques informatiques ne font qu’amplifier ce qui se faisait auparavant par d’autres moyens. Ainsi espionner par ordinateurs ou téléphones 3G interposés, c’est faire plus efficacement ce qui se faisait avec des micros et des agents. Publier de la propagande sur le Web , c’est multiplier l’efficacité du vieux tract. En revanche, créer une panique systémique (songeons à une altération du DNS, le système d’adressage d’Internet), modifier une base de données ou bloquer un système de messagerie, ou faire effectuer à une machine une tâche contre son légitime propriétaire, c’est passer à une autre dimension. Ce n’est pas faire avec des électrons ce que faisait un saboteur avec une scie ou un marteau.



Les attaques se déploient souvent dans ces trois dimensions (savoir, pénétrer, ordonner), même si certaines sont plus orientées vers l’espionnage (prendre connaissance des plans de l’adversaire, ou de s’emparer de son patrimoine informationnel), vers le sabotage (empêcher le fonctionnement normal d’un système informationnel, de détruire ou changer des archives, de troubler un système de messagerie.), d’autres enfin vers la tromperie ou l’effet psychologique.



La cyberattaque est asymétrique et  en situation d’information imparfaite (l’anticipation des risque et remèdes dans un domaine où il n’y a guère d’expérimentation préalable). L’attaque peut profiter de la moindre faiblesse (ainsi si un expert dans le monde découvre une faille de sécurité sur une ligne de code parmi des millions, des milliers de gens peuvent être au courant le lendemain et tenter leur chance), la défense, elle, est confrontée au double problème du maillon le plus faible et de la surprise systématique.



Temps et chaos



Une cyberattaque est souvent à deux temps.



Au moment A le possesseur d’un appareil réalise que quelque chose ne fonctionne pas  : il ne retrouve plus ses données, une messagerie ne transmet plus, un moyen de contrôle n’a pas détecté ce qu’il aurait dû, une machine a un comportement erratique.



Mais au moment B, on peut mesurer la conséquence de l’attaque « dans le monde réel »  : de l’argent a été prélevé, une attaque militaire a pu se dérouler en toute impunité, un service n’a pas fonctionné, un adversaire ou un rival s’est emparé d’un secret technique et l’a mis à profit.



Le facteur temps est crucial. L’efficience d’une attaque informationnelle tient de ce qu’elle fait perdre du temps  : les communications reprendront, mais trop tard, les systèmes d’alerte finiront par être rétablis, mais après coup, la panne sera réparée, mais entre temps la panique se sera répandue. La plus emblématique des attaques, le déni d’accès, consiste à bloquer un site important par une surabondance de connexions. Le principe stratégique reste simple  : surcharger un système, comme on ferait sauter un standard téléphonique en faisant appeler de nombreux complices. La victime est comme paralysée par excès de demande.



Prendre du temps dans notre société, c’est souvent provoquer un désordre contagieux  : dès que les liaisons sont rompues, dès que l’instantanéité des flux numériques n’est plus assurée, tout grippe. Songeons à nos propres réactions lorsque nous sommes privés quelques heures de notre disque dur, de nos courriels ou de l’accès à nos comptes, multiplions par le facteur systémique, la dimension de l’organisation et imaginons le résultat. Habitués à travailler en flux tendus, parfois formées à réagir instantanément aux sollicitations, et, en tout cas, soumises à une demande de « zéro délai » de leurs utilisateurs, les institutions réagissent mal à tout ce qui crée du délai et de la friction.



 Comme, à ce jour, les cyberattaques ont surtout eu lieu sur le papier ou à petite échelle, il est difficile de dérouler toute la chaîne des conséquences qu’aurait une  offensive portant notamment sur ce que les Américains nomment des infrastructures vitales. Ils les protègent depuis les années 90, tel le lieutenant Drogo du « Désert des Tartares » scrutant la venue d’envahisseurs qui ne viennent jamais. Il y a en effet environ quinze ans que l’on prophétise un « Pearl Harbour informatique » crédibilisé par force tests de vulnérabilité mais qu’aucun adversaire ne consent à réaliser, faute peut être de motivation, mais sûrement pas d’information.



Reste pourtant que les attaques informationnelles (surtout dans une panoplie complète en synergie avec d’autres offensives économiques, terroristes ou autres) pourraient déclencher une contagion du chaos.



Jusqu’où mènerait le couple panique et désordre  ? Dans un livre des années 60, Roberto Vacca, extrapolant à partir de cas avérés - pannes d'électricité, embouteillages monstrueux ou paralysie de systèmes bureaucratiques bloqués par des facteurs aléatoires - décrivait leur conjonction et l'emballement qui s’ensuivit. Par exemple,  la coïncidence de catastrophes : durant une paralysie du trafic routier, un quadriréacteur tombe sur une ligne à haute tension, d'où black-out, bientôt paralysie et désordre, abandon des villes, effondrement en chaîne, etc.. Plus complexe l'ordre, plus menaçant le chaos. Sans imaginer comme l’auteur un retour au Moyen Age, les effets conjugués de l’affolement et de la dépendance rendraient bien plus nocive une attaque initiale. Ainsi, une cyberattaque qui s’en prendrait à une tour de contrôle d’aéroport, aux transferts bancaires, aux feux rouges d’une ville, au services d’urgence, voire à un cocktail de tout ce qui précède, bénéficierait d’un effet multiplicateur.



Une première préparation contre de telles attaques pourrait donc ressortir à une sociologie fiction, celle des paniques et du chaos systémique. Comment réagiront nos organisations, quel facteur humain d’interprétation et de réaction au phénomène technique  ? Il faudrait mener parallèlement dans le monde militaire une étude de la dépendance des systèmes informationnels, de la réaction/interprétation des hommes, des réactions collectives en fonction d’une culture communautaire, de la fragilité ou de la résilience des structures..



Ceci sans négliger des réponses beaucoup plus pragmatiques  : à attaque technique, défense technique.

Elle commencerait  par un vaste travail de veille, à la fois pour connaître l’état de l’art en matière de hacking par exemple, et pour déceler les attaques informatiques dès leurs prémices, toujours en raison du facteur temps évoqué plus haut.



D’autres réponses s’imposent  : sensibilisation, diffusion des connaissances techniques et des alertes auprès des acteurs privés, vérification et diffusion des systèmes sécurisés, recherche et anticipation, renforcement et partage de l’expertise... Y compris en évaluant les dangers inhérents aux technologies émergentes, domaine où la guerre de l’épée et du bouclier évolue très vite, et où la riposte à une attaque subie une première fois est probablement dépassée quand elle est au point. Il faudrait aussi  poser des questions comme  : quel mal pourra-t-on faire demain avec les nano-technologies  ? comment pourrait-on exploiter offensivement le web sémantique  ? etc.

Tout cela sans que des obstacles bureaucratiques n’abolissent les avancées techniques, c’est-à-dire dans une culture du partage d’information. Il faut éviter que chacun fasse la même chose dans son coin, mais aussi que la séparation privé / public dépourvue de sens pour les attaquants ne devienne un handicap pour les défenseurs.



Tout cela figure déjà dans des projets existants, tout comme le développement d’une capacité offensive de réplique à l’agresseur. Ce n’est-ce pas dans ce domaine où d’autres sont bien plus compétents que nous nous proposons de chercher des pistes.



Stratégies de l’ambiguïté



Quel que soit les progrès technologiques de notre future défense, elle n’aura de sens qu’au service d’une stratégie globale.



Si cyberguerre il y a, il est crucial de savoir y transposer ou y abandonner règles et catégories de la guerre .



Or la première caractéristique d’une attaque informatique est son ambiguïté.



    •    Ambiguïté de sa source.

    •    Ambiguïté du dommage qu’elle est censée produire.

    •    Ambiguïté de ses finalités.

    •    Ambiguïté de sa nature même.



L’ambiguïté de la source tient à la nature de l’attaque  : des électrons laissent moins de traces que des divisions blindées et personne ne les voit arriver sur le champ de bataille. Tracer et attribuer une attaque n’est pas facile  : quelqu’un qui sait s’emparer d’un ordinateur distant soit comme cible soit comme vecteur est généralement capable d’anonymiser son action ; certes, il reste des présomptions. Il est permis d’imaginer que si tant de milliers d’ordinateurs de tel pays autoritaire se sont mis en action en même temps, cela n’a pas pu se faire  sans l’accord au moins tacite des autorités. Mais de là à porter l’affaire devant le conseil de sécurité de l’ONU...

Or il importe de savoir s’il s’agit d’une attaque étatique, impliquant des services et des outils de souveraineté, obéissant à une logique de puissance (affaiblir ou contraindre un autre État, y compris à travers son économie, par exemple) ou d’actes de particuliers. En principe, ils cherchent la satisfaction d’intérêts, dont le plus évident est l’argent (mais il y a aussi la vengeance, le jeu, la recherche de la performance pure...).



Le problème est qu’entre le domaine de la puissance publique et celui de l’intérêt privé se glissent deux figures parfois indiscernables  : le militant et le mercenaire.



Nous appelons militant celui qui obéit à un intérêt, mais à un intérêt idéologique. Il croit réaliser une valeur générale par son action, par exemple punir des ennemis de son pays, arrêter un complot impérialiste ou réaliser la volonté de Dieu. Le hacker militant, ou le pirate qui prend un prétexte idéologique pour se livrer à une activité narcissique (compétition pour le plus grand exploit informatique) peut facilement être manipulé par un service.

Quant au mercenaire, en principe un expert privé, il vend sa compétence et rentabilise sa force de nuisance. Ainsi des organisations « louent » des ordinateurs zombies, des algorithmes redoutables, des informations confidentielles à un commanditaire qui peut être un acteur étatique (retour à la case précédente).



Comment obtenir la traçabilité et de l’imputabilité des attaques  ? Le principe du « id fecit qui prodest » ( à qui le crime profite) ne peut  se transposer à des enquêtes algorithmiques par des Sherlock Holmes digitaux. Il y faut sans doute du renseignement humain pour identifier les vrais manipulateurs et si possible prévoir leur prochain mouvement.

Par ailleurs leur stratégie peut être soit de rechercher l’anonymat, soit d’essayer de faire accuser un tiers pour accentuer la confusion, soit de faire savoir qu’ils en sont les auteurs (histoire de faire comprendre la menace) mais sans laisser de preuve formelle.

Là encore, pas de politique de rétorsion ou de dissuasion qui vaille sans travail de renseignement pour savoir qui décourager ou qui punir. Le renseignement ne doit pas révéler seulement sur qui a fait, mais aussi qui peut et qui veut faire. Entendez qu’il s’agit aussi d’étudier les intérêts politiques, matériels et idéologiques, les stratégies (voire les doctrines d’emploi), les vulnérabilités des éventuels agresseurs.



Seconde grande question  : comment évaluer un ravage qui ne se mesure ni en provinces perdues, ni en milliers de morts, ni en nombre de batailles. Quel est le dommage réel (et qui nous informera sur cela objectivement sans avoir intérêt à dissimuler ses vulnérabilités) et où s’arrête-t-il, éventuellement au-delà des intentions de l’auteur. On peut, par exemple imaginer que dans un monde interconnecté les conséquences d’une attaque sur une base de données, un système bancaire ou autre ait des conséquences y compris sur le pays de l’agresseur. Estimer le dommage réel est une première nécessité. Par exemple pour juger s’il s’assimile à un acte de guerre. Peut-il y avoir mort d’homme  ? A priori on l’imagine mal (mais que serait une guerre qui ne tuerait personne  ?), même si, au bout de la chaîne des conséquences d’une cyberattaque, quelqu’un peut effectivement mourir, par exemple à cause d’une paralysie des systèmes de secours médicaux.



Peut-il y avoir destruction matérielle (au moins sous son aspect le plus évident  : une perte financière considérable)  ? À partir de quel ravage, une attaque informatique est-elle violence grave contre les choses assimilable à un attentat  ?



La perturbation organisationnelle que nous évoquions (notamment par l’enchaînement perte de temps, chaos, panique) ne pose pas moins de questions d’évaluation. Qualifiera-t-on de catastrophe nationale ou d’acte de guerre un service public qui ne fonctionne pas un jour, mais qui, le lendemain, peut être bloqué aussi gravement, mais légalement cette fois par une grève.



Enfin la dimension de l’humiliation symbolique (évidente par exemple dans l’affaire estonienne s’il s’agissait bien de répondre à un autre acte symbolique  : le retrait de la statue d’un héros soviétique), ou de la recherche de l’effet psychologique (peur, contrainte, démoralisation) n’est certainement pas la moins délicate à estimer.

Par ailleurs, comment appliquer des notions d’ordre public à de tels dommages qui commencent souvent par frapper des infrastructures privées  ?







Mais la mesure du dommage (surtout l’estimation à la source avant que le péril ne se développe) ne vaut rien sans réaction immédiate et appropriée. sans méthode pour limiter la contagion du désordre, maîtriser l’arme de l’information, rassurer, reprendre vite le contrôle, garantir la résilience de nos systèmes informationnels. En clair  : il faut inventer un mélange de défense civile et de gestion de crise adaptée aux nouvelles menaces à l’échelon privé et public.

 La question se complique si nous envisageons une attaque informatique comme un pistolet à un coup  : en révélant sa technique d’attaque, l’agresseur renseigne la victime sur les contre-mesures et court le risque de se heurter la fois suivante à des contre-mesures. Peut-être faut-il donc tout réinventer à chaque fois, et surtout ne pas risquer une guerre de retard



 Victoire et châtiment



Troisième domaine  : l’évaluation des buts recherché par l’attaquant. Qui est l’ennemi et quel est son critère de la victoire  ? Faute de réponse, il n’y a ni préparation ni riposte appropriée.

Or il faut chaque fois considérer plusieurs hypothèses  :



- l’attaque vise-t-elle à un avantage compétitif (s’emparer d’un secret industriel ou autre, déstabiliser un concurrent, faire baisser son action en bourse, retarder un projet de recherche pour la défense...)  ?



- est-elle la préparation ou l’accompagnement d’une autre offensive (militaire, économique, terroriste...)  ? Voire l’annonce d’actes plus graves que son effet premier ?



- sert-elle à exercer une pression, agir sur l’opinion, à lancer un avertissement  ? Une cyberattaque peut devenir un instrument de « diplomatie digitale musclée »,  un avertissement à un État (hypothèse qu’il ne faut pas écarter dans le cas de l’Estonie, par exemple, mais moins vraisemblable pour la Géorgie où les tanks et les AK47 ont volé la vedette aux électrons).



S’ouvre ici le domaine du décideur politique  : juger de la nature de la menace et celle de la riposte. À lui de choisir une doctrine d’emploi pour les moyens de rétorsion voire à lu de la faire connaître (il n’y a guère d’effet dissuasif si l’adversaire ignore le risque). Au politique d’interpréter et de fixer une stratégie globale.



Ce qui nous ramène en conclusion sur ce par quoi on aurait tout aussi bien commencer  : la nature hybride, asymétrique et largement aléatoire de la cyberguerre.



Est-ce une guerre  ? Au sens clausewitzien d’une effusion de sang qui sert à imposer sa volonté à un acteur politique, cela est douteux.

Sans débattre s’il faut au moins un acteur étatique sur deux pour faire un guerre, celle-ci requiert plusieurs conditions  :

- un degré de violence létale (une guerre qui ne tuerait personne serait-elle autre chose qu’une manœuvre ou une menace  ?)

- des armes, des outils conçus pour détruire un corps humain

- un caractère collectif  : la guerre oppose des communautés, pas des individus

- une certaine continuité (sinon il faut parler d’une simple bataille)

- une finalité politique durable (établir ou agrandir un État, signer un traité, imposer un pouvoir sur un territoire...), bref établir un nouveau rapport permanent et réécrire l’histoire

- une conscience historique et éthique des acteurs. Elle se manifeste notamment par leur conviction qu’ils exercent une violence juste (juste à leurs yeux, bien entendu), juridiquement normée, soumise à des règles différentes de celles du temps de paix (droit, voire devoir de tuer des gens envers qui l’on n’a aucun différend personnel, par exemple).

Il est évident que la présence de chacun de ces éléments est pour le moins douteux dans la cyberguerre telle que nous l’avons décrite qui s’en plus souvent à des choses et à des informations qu’à des gens, qui se pratique avec des médias, qui ne dure guère et ne se prête pas à des développements durables et dont nous ignorons enfin si elle possède cette valeur symbolique à l’égard de ceux qui la pratiquent. À ce propos, il serait d’ailleurs intéressant, si cyberguerre il y a, de se demander ce que serait une cyberpaix.





La référence au cyberterrorisme n’est pas plus éclairante. Si le terrorisme se situe quelque part entre « guerre du pauvre » (lutte armée d’un groupe qui n’a pas d’armée, justement) et « propagande par le fait » (un acte de violence, l’attentat, pour faire passer un message de menace, radicalisation, punition, avertissement, défi, etc...), une cyberattaque ressemble certes à un attentat, mais où il y manquerait l’élément de proclamation ou revendication propre à l’attentat terroriste. La composante publique voire publicitaire du terrorisme (faire mourir pour faire savoir) semble ici faire défaut.



Le rapprochement avec l’activité criminelle n’aide pas davantage (même si l’attaque informationnelle est forcément en infraction avec le droit du pays victime) dans la mesure où les acteurs peuvent être des États.



La cyberattaque peut en effet combiner l’effet de contrainte politique, de proclamation symbolique et d’acquisition d’un avantage pratique.



Conclusion



La guerre informatique  - ou plutôt les offensives informatiques - rentrent dans la catégorie des nouveaux conflits ou des nouvelles violences, opérations de maintien de la paix et dites « autres que la guerre », terrorisme d’État dissimulé, résistance armée ou guérilla, désordres dans des zones de non droit, affrontement armés de groupes privés, guerre dite économique ou hors limite. Il faut prendre acte de cette dispersion ou hybridation du conflit.



Pour riposter il faudra prendre en compte cette pluralité  : toutes les dimensions psychologique, culturelles, idéologiques, stratégiques, prospectives et, bien sûr techniques. Acte conscient d’un acteur humain, la cyberattaque, au moins autant que de la technique qui agit sur les choses, ressort à une pragmatique qui agit sur les gens.





























 Imprimer cette page