huyghe.fr - Le site de François-Bernard Huyghe
OK
 Sur Twitter : @huyghefb
 Comprendre les conflits : une nouvelle polémologie
 Terrorisme
 Affrontements, stratégies et images
 Information, pouvoir et usage : l'infostratégie
 Intelligence économique : du savoir à l'influence
 Pouvoirs et information
 Transmission et communication : la médiologie
 Médiologie au présent
 Médiologie de l'histoire
 Divers
 Textes à télécharger
 Huyghe Infostratégie Sarl
Information, pouvoir et usage : l'infostratégie > Affrontements, stratégies et images
Vers la cyberdissuasion ?
La cyberguerre est un sujet à peu près inépuisable pour les think tanks américains depuis la seconde moitié des années 90. Généralement, leur production tourne autour de deux thèmes :

- l'ampleur du péril - surnommé Pearl Harbour informatique, apocalypse ou "cybergeddon"- pour la sécurité nationale

- l'ardente nécessité de se doter de plus de budgets, de technologie ou d'organismes pour combattre le danger, donc de renforcer le bouclier face à une épée qui change tous les matins

Il est possible que ces deux thèses, qui se situent uniquement dans une problématique de la vulnérabilité, soient vraies, mais leur répétition depuis quinze ans semble plutôt bloquer la  réflexion sur le sujet.

Raison de plus pour signaler un rapport de la Rand, par Martin Libicki, un des pontes de la "Révolution dans les Affaires Militaires" : Cyberdeterrence and cyberwar ("cyberdissuasion et cyberguerre").



L'intérêt de ce texte est de poser la question de la "cyberguerre" (pour notre part, nous préférons parler de "cyberattaques") en termes vraiment stratégique, ou plus exactement, de montrer la difficulté de transposer des notions stratégiques classiques dans le cyberespace. Un espace qui, rappelons le, suppose à la fois des choses comme des disques durs ou des câbles que l'on peut détruire, des structures et des réseaux obéissant à des protocoles et dont on peut empêcher ou dégrader le fonctionnement, et enfin de signes que l'on peut imiter, pervertir, etc.., comme une algorithme, un mot de passe, un contenu de message ou des données falsifiés, etc..).



Rappel : il n'y a jamais eu de cyberguerre, avec début et fin des hostilités, enchaînement de batailles, ripostes et offensives, morts, territoires occupés, distinction entre civils et militaires, armistice et paix, désarmement, etc... Pas plus que d'attentat cyberterroriste ayant fait des morts ou des dégâts considérables.

En revanche, il y a eu des milliers et des milliers de tentative de sabotage ou à de l'espionnage par réseaux informatiques interposés et s'en prenant à toutes sortes de cibles et organisations privées et publiques. Il nous semble d'ailleurs que les catégories classiques d'espionnage (voler des informations protégées pour renforcer sa propre capacité offensive) et de sabotage (empêcher un système de fonctionner, produire effectivement du dommage, du désordre, des erreurs, amener la machine ou le dirigeant adverse à prendre de mauvaises décisions...) devraient être davantage prises en compte. Ainsi, dans le monde réel, des acteurs publics peuvent pratiquer ou faire pratiquer l'espionnage ou le sabotage, pour préparer ou accompagner une offensive militaire classique, mais cela ne constitue par une guerre en soi.

Parmi ces milliers d'attaques effectives via Internet, qui ont un coût financier énorme, certaines ont produit des dommages observables sur le fonctionnement de l'appareil d'État, retardant le fonctionnement de sites en les saturant par une technique de type "déni de service" ou pénétrant dans des ordinateurs en principe sécurisés. Nous pensons notamment à la fameuse attaque contre l'Estonie en 2007 et de récentes tentatives (Juillet 2009) contre les USA et la Corée du Sud. Ce sont ces attaques (censées portées sur des infrastructures vitales d'une Nation) qui sont généralement considérées comme faits de guerre (ou de gravité comparable à des faits de guerre).

Une des questions principales que pose ce type de conflit (outre celui, sémantique et juridique de sa définition précise) est celui de son anticipation. Certes, on peu s'attendre à ce que le bilan d'une guerre "ordinaire" ne serve pas à préparer et gagner la suivante parce qu'il y aura eu changement technique et évolution stratégique entre les deux. Mais les Américains ne jettent pas leurs chars Abrams sous prétexte qu'ils ont été efficaces dans le dernier conflit et que tout changera sans doute au prochain.

C'est pourtant ce qui se passe peu ou prou en matière de cyberconflits : d'abord, la technologie informatique - c'est un lieu commun - évolue chaque jour, une attaque - par "vers" ou cheval de Troie, par exemple - qui est ou serait très efficace aujourd'hui rencontrerait sans doute des défenses adaptées dans trois semaines, du moins si les victimes en connaissaient la nature. Corollaire, ce qui a réussi une fois en matière de cyberconflit, n'est nullement certain de pouvoir être réédité. Nous sommes là devant un problème classique de futurologie  : comment raisonner aujourd'hui en fonction d'une invention qui sera découverte demain, à savoir une nouvelle variété d'attaque et/ou de défense ?

Mais le problème d'anticipation est également psychologique et stratégique : dans un cadre "classique", la nation A peut à peu près raisonner sur la façon dont réagirait la nation B en cas de bombardement de sa capitale ou à l'entrée de trois divisions blindées dans une province limitrophe (en première frappe ou en représailles). Un modèle difficile à transposer à une offensive ou une riposte informatique. Il est beaucoup plus difficile d'imaginer :

- le dommage effectif d'une attaque, car celui-ci dépend de facteurs de synergie et de propagation du chaos dans un système (inversement, on peut imaginer, comme ce fut dans une certaine mesure le cas en Estonie, qu'une attaque relativement redoutable dans un premier temps, rencontre un forte capacité de résilience et de substitution en quelques heures). Accessoirement, où s'arrêterait le dommage d'une attaque qui pourrait déborder sur des pays tiers, voire provoquer en bout de chaîne des dommages pour le pays responsable.

- sa finalité réelle (et comment elle serait interprétée politiquement par la victime) : démonstration de force pour exercer une pression, coup déloyal à un concurrent économique, "test" de nouvelles méthodes militaires, prélude à de "vraies" opérations militaires....

- à qui sera attribuée l'attaque (notamment devant l'opinion internationale) : un gouvernement (et en ce cas comment le prouver, car les ordinateurs d'où vient une attaque et qui sont situés sur le territoire de tel pays, peuvent en réalité être contrôlés depuis tel autre)

- comment réagira un pays cible : escalade, riposte de même nature ou par d'autres moyens de contrainte, soumission, appel à des alliés...



En tout état de cause, dans une attaque informatique, tout est affaire de tromperie, qu'il s'agisse de tromper un cerveau électronique - par exemple pour en prendre le contrôle - ou d'un cerveau humain - par exemple pour le pousser à de fausses conclusions sur l'origine d'une attaque. Ce qui implique a priori que l'aspect purement technique du conflit ne peut être séparé d'un important travail de renseignement (qui peut quoi, qui est responsable de quoi, qui réagira comment...) qui ne peut être confié à des machines.



Le problème se complique encore si l'on se place du point de vue d'un pays cible "vertueux" qui ne désire agresser personne, mais se doter (comme l'esquisse le livre blanc de la Défense pour notre pays) de capacités de rétorsion (ses propres moyens informatiques offensives). Comment ce pays peut-il faire passer un message à d'éventuels agresseurs : si vous attaquez nos systèmes d'information, nous sommes en mesure et nous avons la volonté de vous infliger pire que ce que vous nous ferez ? Et quel "code" de dialogue et de menace peut-il établir avec des interlocuteurs qui vont d'une grande puissance comme la Chine à un État qui pourrait lui-même être faiblement dépendant des réseaux numériques mais avoir engagé un poignée de hackers d'élite ?



Le tout suppose la rencontre d'une intention clairement exprimée (se défendre, punir les agresseurs), d'une capacité technique durable mais aussi d'un mode d'expression clair pour se faire comprendre d'un adversaire dans un jeu aux règles indécises : autant de nouveaux défis pour la réflexion stratégique sur lesquels nous reviendrons sur ce site.


 Imprimer cette page