Dans le brouillard de la cyberguerre


par Charles Bwele pour Alliance Géostratégique

Dans leur stratégie de cybersécurité, les Etats-Unis considèrent le piratage d’une infrastructure vitale ou d’un système d’information critique (centrale électrique, télécommunications, gouvernement, réseaux bancaires, etc) comme un acte de guerre… et envisagent, le cas échéant, de riposter avec leur armement conventionnel ou nucléaire. C’est ici que le bellicisme l’emporte sur la prudence.

Vers une esthétique de la « cyberpuissance » ?

Le 16 mai 2011, la Maison Blanche a publié le document (format PDF, 30 pages) International Strategy for Cyberspace: Prosperity, Security, and Openness in a Networked World. Cette stratégie américaine de cybersécurité a l’immense mérite de sa clarté et de sa concision :

« L’environnement du cyberespace que nous cherchons récompense l’innovation et donne du pouvoir aux entrepreneurs; il joint des individus et renforce des communautés; il construit de meilleurs gouvernements et étend la responsabilité; il sauvegarde des libertés fondamentales et améliore la vie privée personnelle; il construit la compréhension, clarifie les normes de comportement et améliore la sécurité nationale et internationale. Cet espace virtuel est défini selon quatre caractéristiques clés : 1/ Ouvert à l’innovation, 2/ Interopérable dans le monde entier, 3/ Sécurise assez pour gagner la confiance des gens, 4/ Assez fiable pour soutenir leur travail. »

En outre, elle articule habilement recherche & développement, diplomatie, défense et libertés électroniques dans un seul et même continuum, et peut presque se lire comme un mode d’emploi pour les multiples agences et départements fédéraux (Défense, Justice, Sécurité Intérieure, FEMA, etc). Dans ce même document (p.18), un paragraphe a particulièrement attiré l’attention des amateurs et des professionnels de la cybersécurité :

« Si elles sont justifiées, les États-Unis répondront aux actes hostiles dans le cyberespace comme n’importe quelle autre menace contre notre pays. Tous les États possèdent un droit inhérent d’autodéfense et nous reconnaissons que certains actes hostiles perpétrés dans le cyberespace pourraient contraindre des actions conformément aux engagements que nous avons avec nos alliés des traités militaires. Nous nous réservons le droit d’utiliser tout moyen diplomatique nécessaire, informationnel, militaire et économique comme approprié et en accord avec la loi internationale applicable, pour défendre notre nation, nos alliés, nos associés et nos intérêts. Ainsi, nous épuiserons toutes les options avant la force militaire chaque fois que nous pouvons; pèseront soigneusement les coûts et les risques de l’action contre les coûts d’inaction; et agiront dans une voie qui reflète nos valeurs et renforce notre légitimité, cherchant le large support international chaque fois que possible. »

En plus clair, tout acte malveillant contre une infrastructure vitale ou un système d’information critique basé sur le sol américain sera considéré comme une acte de guerre par le gouvernement fédéral qui, faisant valoir la notion « d’équivalence » (au cas où une cyberattaque causerait autant de nuisances/dégâts qu’une frappe conventionnelle ou nucléaire), se réserve le droit de recourir à toute forme de représailles.

« Si vous stoppez notre réseau électrique, peut-être que nous vous enverrons un de nos missiles », avait alors déclaré un responsable du Pentagone sous couvert de l’anonymat lors de l’informelle campagne de communication accompagant la publication de la stratégie américaine de cybersécurité.

L‘International Cyberspace Strategy a été habilement décrypté par les blogs amis CIDRIS Cyberwarfare et Si Vis Pacem Para Bellum. Malheureusement, leurs analyses manquent cruellement de crocs et de venin. En effet, si la stratégie américaine de cybersécurité s’inscrit pleinement dans les règles du droit international (en matière de conflit armé), elle omet gravement plusieurs réalités propres au théâtre cybersécuritaire.

La cyberguerre improbable

Dans mon article « Peut-on dissuader dans le cyberespace ? » (version française ou anglaise), j’évoquais la possibilité qu’une cyberattaque d’ampleur causent des nuisances/dégâts équivalents à ceux de bombardements aériens mais insistait également sur leur caractère temporaire. Entretemps, le malware Stuxnet a révélé comment quelques lignes de code peuvent endommager une infrastructure physique.

Infectées par le ver Stuxnet, des usines iraniennes d’enrichissement de l’uranium ont certes subi de sérieuses nuisances – ralentissant quelque peu le programme nucléaire iranien – mais n’ont point été détruites par une frappe aérienne… comme ce fut le cas pour la centrale nucléaire irakienne d’Osirak après un raid de l’aviation israélienne en 1981. Le cyberpiratage d’une centrale hydroélectrique au Brésil – qui priva des centaines de villes d’électricité – ne dura que trois jours, le temps que les opérateurs de cette infrastructure vitale rétablissent son fonctionnement normal. Nul doute qu’ils auraient eu beaucoup plus de mal en cas d’attentat terroriste.

Cyberattaquer une infrastructure vitale est une chose, détruire physiquement cette même infrastructure en est une autre. Pertes humaines en sus. La notion d’équivalence brandie par le Pentagone ne résiste donc pas à une comparaison poussée et révèle aussitôt de profondes lacunes.

À ce jour, l’attribution d’une attaque, d’une intrusion ou d’un « cybotage » demeure l’épineux problème du théâtre cybersécuritaire. L’incessante sophistication des technologies de l’information et le communication n’arrange pas les choses. De l’offensive en ligne au sabotage par clé USB, « l’esprit cybercriminel » ou « le chien de cyberguerre » veille autant que possible à brouiller les pistes, profitant astucieusement de configurations inhérentes aux technologies numériques qui favorisent d’abord et surtout l’intrus ou l’attaquant, et interdisent de facto son identification rapide et sa localisation précise.

Stuxnet serait-il l’oeuvre conjointe des Etats-Unis et d’Israël contre l’Iran nucléaire ou d’un concurrent de Siemens dans le secteur des systèmes de contrôle industriels ? Peut-être. Mais comment le prouver ? Le gouvernement russe fut-il le commanditaire de la cyberattaque d’ampleur dont fut victime l’Estonie après le déboulonnage d’une statue de l’ère soviétique ? Les autorités estoniennes en sont persuadées mais ne disposent d’aucune preuve solide et irréfutable.

Les Etats-Unis oseront-ils – conformément à leur stratégie de cybersécurité – bombarder un territoire à l’arme conventionnelle ou nucléaire sur la seule base de fortes suspicions ? Comment différencier instantanément acte cybercriminel, acte « cyberterroriste » et « acte de cyberguerre » ? Quelles pays devront-ils cibler en cas de cyberattaques menées par plusieurs hackers internationaux via des myriades de serveurs et d’automates logiciels de par le monde ? Même dans le cas de représailles en ligne, le risque de dommages colatéraux n’est-il pas incroyablement élevé du fait de la « pervasivité » des protocoles et de l’interconnexion croissante des sociétés modernes ?

Lors de la seconde guerre du Golfe, le Pentagone envisagea de cyberattaquer les réseaux télécoms et le système bancaire irakiens. L’administration Bush s’y opposa fermement pour une simple et bonne raison : une telle action aurait eu des conséquences néfastes pour tous les pays voisins de l’Irak… ainsi que pour la France, l’Allemagne et le Royaume-Uni ! Leurs gouvernements auraient-ils pu distinguer – sur le vif – une cyberattaque d’un effet domino ?

Washington serait-il capable d’établir illico presto cette distinction en cas d’acte malveillant ou de bogue en cascade au sein du réseau américano-canadien d’électricité ou de la bourse de New York ? Et si cet éventuel acte de guerre était plutôt le fait d’adolescents texans en mal de sensation, faudrait-il lancer des missiles de croisière sur Houston et Dallas après conclusion de l’expertise informatique c-à-d plusieurs semaines/mois après les faits ?

La cyberguerre étant en primauté une affaire d’individus plus que d’états, une nation étrangère (l’Iran, par exemple) doit-elle considérer une cyberattaque menée par des « hacktivistes » américains comme un acte de guerre provoqué par la Maison Blanche ? Doit-on également tenir l’Amérique pour responsable des actes malveillants initiés par ses citoyens ou déclenchés depuis son territoire ? Le Pentagone aurait-il oublié que les Etats-Unis semblent être la première source de cyberattaques dans le monde (cf. la firme cybersécuritaire McAfee) ? Dès lors, pourquoi le gouvernement fédéral ne balaie-t-il pas devant sa porte ?

Ainsi, l’International Cyberspace Strategy démontre à quel point les principes de la guerre conventionnelle et de la dissuasion nucléaire sont très peu adaptés aux enjeux cybersécuritaires. D’une certaine façon, un Etat face aux hackers est aujourd’hui comme un boxeur poids lourd face à un essaim d’abeilles : complètement désemparé et très peu dissuasif.

À défaut d’admettre publiquement cette réalité propre au cyberespace, un Etat devrait éviter de rouler des mécaniques et faire preuve de prudence et de discrétion.

Charles Bwele

Son blog : Electrosphère

À lire également sur la cyberguerre :

L’effervescence de la géopolitique du net et de la cyber-géostratégie (+ vidéo)

La guerre de l’information n’est pas la cyberguerre (+ vidéo)

Cyber-guerres

Des lieux de la cyberguerre (I)

Des lieux de la cyberguerre (II)

Cyops ou opérations cyberpsychologiques

Stuxnet : propagande sioniste ou manipulation du Mossad ?

Stuxnet : Premier cyber-missile militaire israélien contre l’Iran ou opération d’intox médiatique ?

La géopolitique d’Internet

Source : Alliance Géostratégique

Publicités