Overblog
Suivre ce blog
Editer l'article Administration Créer mon blog
19 janvier 2014 7 19 /01 /janvier /2014 14:14

               Dissuader les fraudeurs pourrait être la formule courte qualifiant la volonté de nombreux acteurs d'Internet, devant la croissance précisément d'attaques diverses et variées contre des sites, marchands ou non, officiels ou non, pour les  piller, les affaiblir ou les rendre inopérants. Outre le fait que ces attaques ne sont pas tous, très loin de là,  le fait d'acteurs non officiels, ou d'acteurs malhonnêtes au point de vue légal ou moral, il s'agit là d'une sorte de guerre (pour l'instant sans victimes humaines) à laquelle se livre de plus en plus de personnes morales et physiques. La littérature concernant les mille et unes manières de se prémunir de telles attaques connait une croissance encore plus exponetielle que lesdites attaques. Outre les désagréments dus aux multiples dysfonctionnements causés par les virus et compagnie, co-existent les piratages de données, de plus en plus extensifs, qu'ils s'agissent de données privées ou publiques, les opérations d'extorsion monétaire et diverses filouteries financières non autorisées par la loi, et demain peut-être les destructions pures et simples de données ou de matériels. 

    Il va s'en dire que la meilleure manière de détruire le fonctionnement de tout ou partie d'Internet est tout simplement de lui couper l'énergie qui lui permet de fonctionner. S'attaquer aux serveurs d'une entreprise, d'un Etat, voire de gros fournisseurs d'accès devient affaire de spécialistes informatiques à moins de viser tout simplement les moyens de produire des ordinateurs, de les alimenter en énergie.  Bien entendu, les acteurs d'Internet ne sont pas partisans d'une solution, même dans l'énervement le plus extrême, qui signifierait sinon sa mort ou au moins sa paralysie. Une paranthèse pour dire que l'accroissement des flux d'informations, via notamment la publicité-vidéo pourrait en fin de compte avoir le même effet que des activités intentionnelles, tant le ressort de beaucoup d'attaques de sites ou de serveurs consiste tout simplement à les bombarder d'informations... Bien entendu, les intentions des acteurs du cyber-espace ne sont pas de détruire Internet ni même de détruire les moyens d'utiliser Internet des concurrents ou adversaires. Internet est une poule aux oeufs d'or, qui permet d'espionner, d'arnaquer, de surveiller, de pirater, de voler, de violer, dans le monde virtuel, avec des effets... réels sur les finances ou la vie privée...

 

     Mais la réflexion n'en est pas là (sur l'opportunité même de detruire les moyens d'information...) : il s'agit tout simplement de délimiter les actions et les dissuasions possibles dans un champ de bataille - le cyberespace - supposé resté en place, de la même manière qu'une parcelle de mer ou un morceau de terrain servant... de champ de bataille réel. Notons que nous sommes dans le domaine de la guerre de l'information, où se croisent et se combattent des milliards de signes, et dans une guerre de conquête de territoire maritime ou terrestes ou même spatial (le réel, pas le virtuel). 

 

    Le modèle d'une dissuasion contre des attaques informatiques se cherche encore, et de nombreux spécialistes - mais là on conviendra que c'était facile de l'imaginer - prennent en référence la dissuasion nucléaire, comme Alain ESTERLE, polytechnicien et longtemps en responsabilité sur la cybersécurité à l'ENISA et au SGDN.

Lui comme d'autres de ses collègues (pas forcément du même bord...) réfléchissent sur les analogies possibles mais en viennent vite à conclure que décidément la dissuasion nucléaire est trop spécifique, pour constituer un modèle pour une cyber-dissuasion, et qu'il faut tout simplement probablement en inventer les concepts. Après avoir tiré de la dissuasion nucléaire tout ce qui peut-être utilisé pour cela...

 

   C'est d'abord une préoccupation économique plus qu'une préocupation stratégique qui amène à se forger les outils d'une cyber-défense. C'est d'ailleurs ainsi que commence Alain ESTERLE : "Le coût des incidents et attaques affectant les systèmes d'information est bien sûr difficile à évaluer faute d'une méthode uniforme d'analyse et du fait d'une forte incertitude sur le taux des incidents déclarés au regars des incidents reconnus. Sans compter les attaques, certainement les plus nuisibles, qui sont masquées ou restent ignorées par négligence. 

Il est donc difficile d'établir une mesure absolue des pertes financières résultant des cyberattaques, mais l'estimation la plus couramment admise est que le cout des dommages affactant les systèmes d'information est comparable au chiffre d'affaires mondial du crime organisé et supérieur à celui du trafic de stupéfiants." Bien entendu, l'auteur n'en a aucune idée et une partie de ce chiffre d'affaires du crime ou du trafic des stupédiants... passent par Internet! Mais il lui faut délimiter un territoire d'intervention, pour lui et pour sa profession, le plus large possible, dans une sorte de marché de la sécurité, même si cela doit passer par l'alimentation de nombreuses peurs... alimentation analogue d'ailleurs, c'est intéressant, à celle de la peur nucléaire durant presque un demi-siècle par des adversaires qui, de toute façon, notamment après la crise des missiles de Cuba en 1962, n'avaient nullement envie de recourir aux armements atomiques pour atteindre des objectifs politiques, idéologiques et économiques parfois subtils.

 

   Dans ce marché de la sécurité, il est important d'abord de définir des acteurs, d'en dresser la typologie. Ainsi, Alain ESTERLE distingue :

- les cyberactivistes, qui utilisent Internet pour faire valoir leurs positions idéologiques, religieuses, politiques ou éthiques, aux modes d'action légaux (blogs, forums), mais pouvant inclure l'usage de moyens illégaux (défiguration de sites, dénis de service). Wikileaks, Anonymous (lesquels peuvent tout ou n'importe quoi...), et autres dévelopent des campagne de hacking de sites officiels, souvent pour s'opposer à des activités portant atteintes à des libertés politiques.

- les cybercriminels exploitent les réseaux et systèmes informatiques pour développer sur Internet les acticités qu'ils déploient habituellement dans l'univers réel : vols de données, espionnage industriel (là, des entreprises aux façades légales, multinationales souvent s'y investissent beaucoup, en direction de la concurrence), sabotage, contrefaçons...

- les cyberterroristes utilisent le réseau pour recruter, préparer des actions spécifiques ou encore communiquer entre eux à des fins opérationnelles. La menace à venir, précise l'auteur, réside dans leur capacité afin, par exemple, de mener une actions de sabotage avec des effets de grande ampleur (système financiers, réseaux critiques publics ou privés),

- les cyberguerriers, membres des services mis en place par des Etats pour conduire des actions offensives (espionnage, sabotage, neutralisation de systèmes informatiques) contre des cibles désignées par leur gouvernement (comme ennemi extérieur ou intérieur devons-nous préciser).

 

    "La tentation d'établir une analogie entre la dissuasion nucléaire et une dissuasion fondée sur la maitrise de l'information est apparue dès les années 1990 avec l'apparition simultanée d'un questionnement sur le deveni des arsenaux nucléaires consécutifs à la fin de la guerre froide et d'une diffusion massive de réseaux de communication de plus en plus interconnectés."  écrit Alain ESTERLE. Si dans l'actualité surgit de temps en temps des informations sur l'activité de grandes systèmes d'espionnage (par exemple la NSA) visant à collecter et à stocker à des fins ultérieures d'analyse et de classification pratiquement toutes les informations qui circulent sur Internet, c'est parce qu'il n'est pas possible tout simplement d'avoir une stratégie d'action ou de dissuasion sans connaitre les contours de ces circulations d'informations. 

"Sous sa forme initiale, cette analogie partait d'une vision simple (document non publié utilisé lors d'un stage de formation de "responsible senior en sécurité nationale et international" au Kennedy School of Governement - Harvard university, 1998) : une maitrise totale de l'information doit permettre de connaitre les actions préparées par les adversaires et de les dissuader de les entreprendre en leur faisant valoir queleurs intentions sont connues et les parades et représailles prêtes ; de leur côté, les pays "amis" auront besoin de solliciter les confirmations et compléments d'informations nécessaires à la réalisation de leurs objectifs de sécurité, qu'ils soient partagés ou en propre. S'instareraient ainsi un contrôle des pays hostiles et une dépendance des pays alliés de la même nature que ceux fondés au cours de la guerre froide sur la puissance de l'arsenal nucléaire américain. Il faut bien sûr replacer ces idées dans le contexte de l'époque : la fin des années 1980 avait vu l'émergence de la RBA (Révolution in Business Affairs) fondée sur l'emploi massif des technologies de l'oinformation, suivie de la RGA (Révolution on Government Affairs) et de la RMA (Révolution in Military Affairs). Ces idées ont aussi précédé de peu l'explosion de la bulle Internet sur les marchés à l'échelle mondiale."

Des auteurs comme Joseph NYE (Cyber Power, Kennedy School of Government, Harvard University, Belfer Center for Science and International Affairs, mais 2010, voir le site http://belfercenter.ksg.), conscients que les choses sont plus complexes, indiquent, comme la plupart des experts dans ce domaine le constatent, que "à mesure que fleurissent les communautés virtuelles sur Internet, elles s'entrecroisent avec les juridictions nationales et développent leurs propres modes de gouvernance. Les Etats resteront les acteurs dominants sur la scène mondiale, mais ils trouveront cette scène de plus en plus encombrée et difficile à contrôler".

C'est pourquoi nous ne pouvons nous départir d'une impression de "panique" de la part d'organisation du renseignements comme la NSA, qui entend stoker toutes les informations, avec des problèmes de plus en plus évident d'analyses des données, lesquelles, sans doute, induiront la tentation de recourir de plus en plus à des robots informatiques d'analyses, qui, une fois paramétré, complexifieront (formule en forme de litote, nous en convenons...) davantage les modalités d'interventions humaines sur l'information...

 

     Le nivellement de l'importance d'acteurs disparates, sur un même plan, du fait des mêmes modalités et facilités d'action sur Internet, ressemble à s' méprendre au pouvoir égalisateur de l'atome cher à la théorie de dissuasion nucléaire française, et si la dissuasion est une forme particulière du pouvoir, la cristallisation et l'affichage d'un rapport de force à un moment donné, la compétence d'un informaticien isolé peut être mise en balance avec celle d'un autre au service d'un Etat... 

 

          Pour reprendre l'analogie Nucléaire/internet, des auteurs (comme Harry D RADUEGE, Global Cyber Deterrence, Est-West institute, April 2010)  mettent en avant, dans le "dialogue dissuasif" :

- une capacité défensive : se protéger au mieux conte les attaques potentielles ;

- une capacité d'attribution : savoir identifier l'origine d'une attaque dans un délai bref avec une axactitude raisonnable ;

- une capacité offensive, disposer de moyens de représailles ;

- une capacité crédible de communication : faire connaitre à l'agresseur potentiel l'existence et la disponibilité de ces capacités de protection, d'attribution et de représailles de façon à le dissuader d'agir.

 

        Les composantes d'une cyberdissuasion se déclineraient alors :

- Sur la capacité défensive, dans la mise en place des mesures techniques et non techniques permettant d'assurer la sécurité des systèmes d'information. Pour être efficace, ces mesures doivent concerner toutes les vulnérabilités possibles, alors qu'une seule faille correctement exploitée peut suffire à assurer le seccès d'un attaque. En fait, aujourd'hui, l'expérience quotidienne montre que le coût de telles mesures est bien supérirur au coûr d'une attaque réussie. Il faudrait pour parvenir à cette capacité défensive notamment soutenir une politique nationale coodonnée, ambitieuse et cohérente qui couvre non seulement le réseau pour aussi tout son environnement. On en est loin du compte, et ceci pour tous les Etats.

- Sur la capacité d'attribution, même si une attaque a pu être clairement reconnue comme telle, des obstacles majeurs entravent son attribution à un acteur ou un groupe d'acteurs précis, vu les rebonds des messages d'une adresse à l'autre et la multiplicité des chemins d'attaque. Pour parvenir à le faire, il faut collecter et trier toutes les informations...

Pour collecter massivement des données (comme le fait la NSA), deux axes peuvent être suivis : l'axe spatial avec les satellites de renseignement et le piégeage de satellites civils de communication et l'axe maritime avec le piégeage des câbles sous-marins. Ce qui demande sur un temps long la mise en oeuvre de moyens considérable. 

Pour trier les données collectées, il faut discriminer par étape les informations intéressantes. Ce tri peut demander un temps plus ou moins long... Or le délai d'attribution de l'attaque joue un rôle capital. Du coup, cette difficulté de l'attribution (même pour la NSA, faut-il le répéter, malgré toutes les rodomontades de l'administration américaine... qui préfère endurer les accusations de profanation des libertés publiques et privées que d'avouer qu'elle est très loin du compte d'une capacité d'attribution à la hauteur des enjeux supposés...) rend non applicable le modèle de dissuasion nucléaire au cyberespace.

- Sur les capacités offensives, sur le plan des logiciels et sur le plan des matériels, il existe une grande diparité mondiale dans la distribution des câbles sous-marins par lesquelles passent à l'heure actuelle 99% du trafic Internet., comme dans la disponibilité des satellites. Cette disparité profite aux grands pays et l'Europe et les Etats-Unis sont, de loin les moins vulnérables à des ruptures de câble (redondance de multiples câbles transtalantiques) que la région du Moyen-Orient (seulement trois câbles majeurs). Mais la situation peut évoluer, car les BRIC (Brésil, Russie, Inde, Chine, Afrique du Sud) tentent de construction un réseau contournant les Etats-Unis. la mondialisation du marché des composants électroniques rend de plus en plus difficile l'organisation d'attaques ciblées efficaces. Aucune cartographie des réseaux constamment remis à jour n'existe, et comme pour la stratégie terrestre ou maritime, la cartographie est le premier élément d'une géographie (qui sert d'abord à la guerre...). Dans une phrase prudente, l'auteur écrit "Tous (les) facteurs rendent les conditions d'emploi des cybercapacités offensives très différentes de celles des armes nucléaires".

Le coût peu élevé, comparativement au nucléaire, du développement des capacités offensives fait que même les grandes puissances doivent se livrer à une course fatigante face aux cyberacteurs individuels compétents, l'évaluation des capacités était quasiment impossible, tant l'évolution des matériels et des procédures ne connait pas de limite visible.

- Sur la crédibilité dissuasive, "les conditions de développement de capacités défensives et offensives sont tteès différentes pour le cyberespace et les forces nucléaires, alors que l'incertitude dans l'attribution des attaques reste un obstacle permanent dans le cyberespace. (...). Les difficultés majeures apparaissent, liées aux spécificités du cyberespace.

Par exemple, si on lancer ouvertement une attaque contre un système d'information particulier on peut peut-être apporter des preuves convaincantes de sa capacité de destruction mais on risque des dommages collatéraux importants (...). Si on fait une démonstration en réseau fermé, on n'évitera pas un doute sur l'efficacité en réseau ouvert. Si on revendique une capacité d'attaque sans apporter de preuve, on reste peu crédible, et si on apporte des preuves précises et détaillées, on dévoile son savoir-faire et on risque d'être systématiquement suspecté pour toutes les attaques à venir. (...)

A l'inverse, la crédibilité dissuasive est aussi limitée par la confrontation des déclarations à des faits avérés, avec des effets potentiellements dévastateurs." Une grande partie du jeu stratégique dans le cyberespace est qu'à une déclaration d'infiltration peut répondre une dénonciation de "sale campagne" de désinformation et de dévoilement de la véritable identité des "défenseurs", avec tous les risques de dénonciation des techniques d'infiltration elle-mêmes, peu précises et peu fiables en même temps. 

 

    "Au total, conclue notre auteur, l'application au cybespace d'une logique de dissuasion prenant pour modèle la dissuasion nucléaire se heurte à de multiples obstacles sur les plans formel et pratique, qu'il s'agisse du caractère asymétrique du rapport défense/attaque, de la difficulté majeure d'attribution des attaques, ou de l'absence de régime de contrôle des technologies sensibles concernant le développement de capacités offensives. Enfin, l'exercice de capacités offensives dans une perspective de dialogue dissuasif se heurte aussi à des difficultés de principe." Si le modèle nucléaire n'est pas une piste sérieuse pour un schéma de cyberdissuasion, existe-t-il d'autres voies qui permette de construire un modèle de dissuasion spécifique au cyberespace?

Dans ce domaine, on en est sans doute aux tâtonnements et aux Etats-Unis comme en France (inutile de discuter de la Russie et de la Chine dans ce domaine : soit la notion de dissuasion n'est pas mise en avant, soit ces pays informent peu sur la question). 

  Aux Etats-Unis, on peut évoquer le texte La Stratégie internationale pour le cyberespace (White House, 2011). Il s'appuie sur une vision du cyberespace à venir, ouvert et interopérable, sûr et fiable, stabilisé par des normes de comportements fondées sur des proncipes reconnus par tous : libertés fondamentales, respect de la propriété, valeur de la vie privée, protection contre le crime et droit à l'auto-défense. Mais peut-on considéré un tel texte comme base d'opérabilité pour un organisme comme le NSA? Il s'agit en fait de développer des coopérations avec les alliés, coopérations formelles et informelles, pour une auto-défense collective et une dissuasion collective, sans "préjudice" comme on dit en langage joliment juridique des principes constitutionnels, selon des formules à double sens dont sont coutumières les différentes diplomaties américaines...

   En France, il s'agirait, suivant les "conseils" de l'allié américain de :

- être exemplaire en matière de sécurité des systèmes d'information (SSI), avec une définition claire et une application rigoureuse de politique en SSI, tant pour les actions de sensibilisation que pour la mise en oeuvre et la maintenance des outils de sécurité classiques (ant-virus, chiffreurs, pare-feux...) ;

- établir et maintenir les bases d'une cyberdéfense efficace et l'appliquer à un champ de souveraineté englobant les réseaux très sensinles, notamment en matière d'agréments de produits, d'analyses d'attaques, de continuité d'activité en modes dégradés et de retour à la normale ;

- développer des collaborations avec les partenaires étrangers en matière d'échange de données, d'alerte, d'analyse des attaques, d'exercices et d'actions opérationnelles pour répondre à des attaques à plus ou moins grande échelle.

Tout cela ne fait forcément une doctrine de dissuasion, mais est tout à fait en ligne avec les objectifs stratégiques en SSI tels que récemment définis par le SGDN (ANSSI, 2011). 

     Malgré l'optimisme affiché par Alain ESTERLE dans ces objectifs, le contrôle des matériels et logiciels demeurent tout de même difficile dans un environnement mondialisé d'échanges de procédés et de matériels informatiques, qui ne connait que les lois de rentabilité à court terme...

 

   Dans la "blogosphère", puisque l'on discute ici du cybespace, on reste au minimum dubidatif, souvent très septique, sur les possibilités de dissuasion (Cidris - cyberwarfare, dans www.cidris.fr ; Thomas RID, dans Slate.fr, Cyber-defense.fr...). Certains même estiment que tout le battage médiatique autour de la cyberguerre fait surestimer cette dimension des affaires stratégiques.

 

Bruno GRUSELLE, Bruno TERTAIS, Alain ESTERLE, Cuber Dissuasion, Fondation pour la Recherche Stratégique, Recherches et documents, n°03/2012, mars 2012, www.frstrategie.org. Alain ESTERLE, La dissuasion nucléaire est-elle un modèle stratégique transposable au cyberspace?, dans Le Cyberespace, Nouveau domaine de la pensée stratégique, Sous la direction de Stéphane DOSSÉ, Olivier KEMPF, Christian MALIS, Economica, collection cyberstratégie, 2013.

 

STRATEGUS

 

 

 

 

 

 

 

 

Partager cet article

Published by GIL - dans STRATÉGIE
commenter cet article

commentaires

Présentation

  • : LE CONFLIT
  • : Approches du conflit : philosophie, religion, psychologie, sociologie, arts, défense, anthropologie, économie, politique, sciences politiques, sciences naturelles, géopolitique, droit, biologie
  • Contact

Recherche

Liens