(Sud-Ouest - 09/06/2008)
Le cyberespace est devenu un territoire d’affrontements pour les États mais aussi pour les organisations terroristes
« Sud Ouest ». Peut-on imaginer qu’une organisation terroriste ou un pays réussisse à désorganiser complètement une nation ennemie ?
Daniel Ventre. Bien sûr. Plusieurs tests ont montré qu’il était tout à fait possible de paralyser des systèmes de distribution d’eau, de gaz ou d’électricité. On sait que des hackers, terroristes ou pas, ont réussi à s’introduire dans les systèmes d’information de gros aéroports.
Il n’y a pas de guerre sans morts. La cyberguerre sera-t-elle plus « propre » ? : Dans l’idéal - si l’on peut dire -, la cyberguerre devrait permettre de vaincre un adversaire sans l’affronter et de réaliser le rêve du zéro mort. Partout dans le monde, la grosse crainte des services de sécurité, c’est de subir une attaque qui mettrait tous les systèmes hors d’état et qui ferait perdre la guerre avant même que la guerre soit déclarée, voire avant même que l’on ait pu imaginer qu’il pourrait y avoir une guerre. Mais il est évident que si, tout d’un coup, les systèmes se mettent en rideau, il y aura des dégâts collatéraux, des avions qui s’écrasent, etc.
Dans le virtuel, le zéro mort est donc aussi une illusion? Le zéro mort est illusoire pour une autre raison. La cyberguerre, si elle a lieu, ne sera probablement pas le seul mode de conflit entre deux ou plusieurs États. Il est fort probable qu’elle ne sera que le prolongement d’un conflit beaucoup plus concret qui se déroule sur un territoire très réel. Ce phénomène du prolongement du tangible vers le virtuel a été observé depuis des années. On l’a vu en Estonie en 2007. Les communautés russe et estonienne ont commencé par s’affronter physiquement. Ce n’est que dans un deuxième temps que le conflit s’est prolongé dans le cyberespace avec l’intervention de pirates informatiques et des agressions très ciblées sur les systèmes d’information du gouvernement. L’Estonie a rapidement accusé la Russie d’être responsable de toute l’opération et elle a même demandé à l’Otan d’intervenir.
On pourrait penser, au contraire, qu’une cyberguerre aurait pour objectif de préparer une attaque plus classique en dégradant les capacités de résistance de l’adversaire?
Ce n’est pas totalement exclu. Mais c’est ce à quoi on assiste presque tous les jours. Tout ce qui se passe dans ce domaine avec des attaques contre les systèmes d’information des gouvernements américains, français ou anglais peut être analysé comme une préparation pour des conflits à venir. Avec ces agressions, on voit comment l’adversaire réagit, on photographie ses réseaux, on identifie les failles, etc. Cela dit, le fait que quelqu’un décide de lancer un conflit avec une cyberguerre semble peu probable.
Pourquoi l’attaque dont l’Estonie affirme avoir été victime marque-t-elle une rupture ?
D’abord parce que les journaux en ont fait la une. Ensuite, et plus sérieusement, parce que le gouvernement estonien s’est immédiatement tourné vers l’Otan. C’était en effet la première fois qu’un État visé par une opération de ce type affirmait être attaqué dans sa souveraineté. Nous vivons dans un monde qui est soumis à des agressions permanentes. Depuis dix ans, on a recensé un grand nombre d’attaques d’envergure mais jamais, jusqu’alors, un État n’avait réagi de cette façon. Si l’Estonie l’a fait, c’est qu’elle a considéré que son cyberespace était un espace de souveraineté.
C’est une nouveauté ? Cette notion de souveraineté appliquée au cyberespace est effectivement assez nouvelle. Jusqu’à présent, nous avions les quatre espaces traditionnels : la terre, la mer, l’air, l’espace. Maintenant, il faut y ajouter le cyberespace. Aux États-Unis, les choses sont désormais très claires. Les Américains ont constitué une force spéciale pour la cyber défense. Ils ont confié à l’Air Force la mission de défendre le cyberespace en plus de l’air et de l’espace.
Comment définit-on le cyberespace ? C’est quelque chose de très complexe et d’assez vague. Ce n’est pas uniquement Internet. Cela va du simple PC jusqu’au satellite en passant par les réseaux. C’est un espace très vaste, difficile à cerner. Je préfère parler d’espace informationnel.
Un État, un groupe terroriste, un hacker utilisent les mêmes techniques pour lancer une attaque. Comment faire la différence ? Les techniques peuvent être les mêmes. Pas forcément les cibles. Si l’on assiste à des intrusions répétées pendant des mois, voire des années, sur les mêmes cibles, comme les systèmes du Pentagone ou des bases de données sensibles, on pourra en déduire que l’on n’a pas affaire à de simples pirates.
Peut-on savoir qui tire les ficelles ? La Russie était-elle vraiment responsable de l’attaque contre l’Estonie ? Aucune preuve n’a été apportée. Ce n’est pas parce que l’attaque est coordonnée qu’elle est organisée par un État. Techniquement, il est possible de remonter jusqu’au serveur de base, même si les attaques par « botnets », qui mobilisent des millions de machines à l’insu de leurs propriétaires, compliquent les choses. Mais ce n’est pas parce que le serveur se trouve dans tel ou tel pays que le pays en question est impliqué dans l’offensive. Le problème de la source est malheureusement un problème sans solution.
Il faudra bien en trouver une ? Il faut sans doute penser différemment. Je crois qu’il faut prendre acte du fait que l’on peut être attaqué et vivre avec cette menace. Mais, en même temps, il faut se dire que si l’on subit des agressions, on est aussi en mesure d’en lancer.
On ne peut pas fermer son cyberespace ? C’est évidemment impossible. En revanche, on peut, par exemple, sécuriser des systèmes sensibles en évitant qu’ils soient accessibles par Internet. Mais la faiblesse du monde de l’information réside dans le fait qu’il est toujours, à un moment ou à un autre, manipulé par des hommes. Au Japon, ces dernières années, il y a eu beaucoup d’affaires révélatrices de cette faille : des secrets militaires se sont retrouvés sur Internet parce que des officiers utilisaient les mêmes ordinateurs ou clés USB pour traiter des documents confidentiels et des informations privées. En se connectant au réseau à leur domicile pour leurs loisirs, ils se faisaient voler les données qui n’auraient jamais dû quitter leur bureau. D’autres fuites ont concerné la police ou les centrales nucléaires.
Pourrait-on développer la formation et la sécurité en amont ? Je crois que cela ne servirait à rien. Le ver est dans le fruit et cela tient à la façon même dont l’informatique a été pensée. Tout le monde essaye de mieux sécuriser les systèmes mais chaque nouvelle « couche » rajoutée à ce qui existe déjà apporte ses propres failles. Il y a des portes partout. On ne peut pas sécuriser à 100 %. Mais faut-il vivre dans un monde sécurisé à 100 % ?
« Le zéro mort est illusoire. La cyberguerre, si elle a lieu, sera le prolongement d’un conflit sur un territoire très réel »
Où en est la France ? Les États-Unis sont en pointe. Leur première doctrine militaire sur la guerre de l’information remonte à 1992. La Russie, la Chine et l’Inde ont suivi. Un militaire russe a même déclaré récemment qu’une attaque importante contre le cyberespace national serait de nature à justifier une riposte de type nucléaire. La France a pris cons- cience des enjeux en informatisant ses armées, mais, à ce jour, elle n’a pas affiché une doctrine de la guerre de l’information. Pour l’instant, on focalise surtout sur la guerre économique.
Une attaque des systèmes d’information comparable à une offensive militaire classique est-elle vraiment possible ? Il y a maintenant une bonne dizaine d’années que les experts affirment qu’une opération de cette envergure est techniquement réalisable. Ils prédisent un « Pearl Harbor informatique ». J’ai tendance à penser que si cette possibilité existait vraiment, elle aurait déjà été exploitée. Sauf si l’on se trouve dans une logique de dissuasion : on a les armes, on les teste, mais on ne les utilise pas. Jusqu’au jour où? (1) La revue « Défense nationale » a consacré son numéro de mai à la cybercriminalité et à la cyberguerre. Des spécialistes font le point sur des aspects du dossier peu connus.