RSA Conference 2011 : Interrogations autour du concept de cyberguerre
Les premiers actes de guerre numériques ont-ils déjà eu lieu ? De l’avis d’un grand nombre de participants à la conférence RSA qui se déroule actuellement à San Francisco, la réponse est clairement positive, Stuxnet apparaissant même comme le fait marquant en la matière. De son côté, la Maison Blanche a clairement indiqué avoir fait des réseaux de communication électronique un nouveau domaine de la défense nationale. Pour autant, la notion même de cyberguerre, au coeur de nombreux débats organisés dans le cadre de cette édition de la grand messe annuelle de la sécurité informatique outre-Atlantique, semble très loin de faire l’unanimité.
Bruce Schneier, l’incontournable gourou du petit monde de la sécurité informatique, n’y va pas par quatre chemins. Selon lui, qui intervenait dans le cadre d’une table ronde sur le concept de cyberguerre, ce terme semble avant tout employé à des fins de marketing : «c’est un terme pour gros titres, un terme vendeur.» Surtout, son utilisation relève d’une volonté : «survendre la menace, c’est une bonne manière de faire peur.» Et d’obtenir les budgets que l’on veut... Dès lors, la notion de cyberguerre n’est-elle que vent, propagande ? Pas complètement. Et s’il semble penser ainsi - malgré une approche résolument critique d’une certaine rhétorique martiale -, il n’est pas seul : une large partie de l’audience de cette table ronde considère par exemple Stuxnet comment un véritable acte de guerre. Mais ces considérations sémantiques sont-elles si importantes ? Peut-être pas. De fait, pour le ministère américain de la défense, la cyberguerre semble au-delà du fantasme : l’espace numérique est un domaine de la défense, le cinquième après la terre, la mer, l’air et l’espace.
Le numérique, un nouveau domaine militaire
Et il y a au moins une bonne raison à cela. Comme l’indique William Lynn III, vice-secrétaire à la Défense, «les technologies de l’information sont au coeur de nos plus importantes capacités militaires» : communications, localisation, etc. Des technologies néanmoins faillibles : «nous l’avons durement appris en 2008 lorsque nos systèmes informatiques les plus confidentiels ont été compromis; une chose que nous pensions jusque là impossible.» Pour lui, la principale menace est l’exploitation des réseaux, que l’on parle de systèmes relevant des administrations ou des entreprises. Une menace «qui n’a pas l’impact immédiat d’une attaque conventionnelle mais qui, sur le terme, a un impact corrosif profond» avec, notamment, la compétitivité. Mais William Lynn n’oublie pas, non plus, la menace des dénis de service, sur les systèmes des administrations publiques comme sur ceux des entreprises. Et de faire référence notamment au groupe des Anonymous visant récemment eBay et Paypal. Avec une crainte : des attaques au périmètre plus large et à la durée plus longue.
Enfin, le vice-secrétaire fait implicitement référence à Stuxnet, la menace de «destruction» sur des infrastructures physiques - une menace «émergente» qui marque un «tournant.» Bref, pour lui, quels que soient les acteurs malicieux, la préparation est nécessaire. Et elle doit être plus poussée qu’elle ne l’est actuellement et s’étendre notamment au domaine civile, là où des ressources sont utilisées par les militaires.
Un «interrupteur» pour Internet ?
Le débat fait rage aux Etat-Unis. En cas d’attaque informatique majeure, le pays doit-il pouvoir se couper d’Internet en un claquement de doigt ? Les experts se rejoignent autour de l’idée selon laquelle un tel interrupteur risquerait d’être employé par une personne mal intentionnée. L’arroseur à arrosé, en somme. Mais la réflexion du ministère américain de la Défense ne se limite pas à cela. Sa doctrine défensive s’appuie principalement sur une approche «dynamique» faite de sondes comme celles des systèmes de prévention d’intrusion. Un chantier qui reste largement ouvert : «nous devons développer des défenses plus fortes,» explique William Lynn. Des défenses s’appuyant des technologies issues du secteur privé ainsi que sur la coopération internationale et des partenariats public-privé. L’idée développée par le vice-secrétaire porte même sur des échanges de personnels qualifiés entre le gouvernement et l’industrie; sur la développement de groupes de réservistes dédiées aux technologies de l’information; et sur la recherche. William Lynn promet ainsi un budget de 500 M$ - sans préciser sur combien de temps - pour financer la recherche sur la sécurité du Cloud Computing, des infrastructures virtualisées et du chiffrement. Un ensemble de mesure regroupées au sein d’une stratégie appelée Cyber 3.0. Mais qui sera peut-être dépassée avant d’entrer en vigueur... C’est probablement le principal regret de William Lynn : «l’iPhone a été développé par Apple en moins de temps qu’il n’en faut pour faire voter un budget au parlement.» Une façon de rappeler que la technologie - et son cortège de menaces - avancent vite, plus vite que le monde politique. Reste que cette approche ne manque de poser nombre de questions outre-Atlantique à commencer par une, soulevée par les participants de la table ronde sur la cyberguerre : qui paie pour garantir la résilience ? Le secteur public ou le secteur privé ? Quel est le rôle de chacun ? Comment forcer le secteur privé à faire des investissements sans rentabilité immédiate ?