Cyberguerre : une menace radicalement nouvelle… mais surestimée ?
Depuis la publication du libre blanc sur la défense française, en juin 2008, la cyberguerre a pris des airs de sujet d’actualité. Les événements géorgiens ont pu renforcer cette perception. Pour certains experts, il est encore néanmoins trop tôt pour parler de cyberdéfense « offensive. » Mais les questions et les enjeux n’en sont pas moins nombreux.
« Le cyberespace est un nouvel espace de bataille », explique Guillaume Tissier, directeur des risques opérationnels au CEIS (société spécialisée dans l'intelligence économique). Le décor est planté. Et de rappeler que le Darpa (agence américaine pour les projets de recherche avancée de défense) a lancé un programmer pour tester des technologies opérationnelles de cyberguerre ; l’armée de l’air américaine réfléchit à botnet légitime exploitant ses propres ordinateurs, etc. « Il y a une véritable effervescence doctrinale », constate-t-il.
Pour autant, la guerre informatique n’en serait encore aujourd’hui qu’au stade « de l’utilisation de l’information et de ses supports de transport pour prendre un avantage sur l’adversaire, ajoute Guillaume Tissier. La rupture stratégique liée à l’usage de l’informatique n’est pas encore établie. L’objectif est aujourd’hui avant tout défensif. Les doctrines sont en cours d’établissement, mais dès que l’on aura réussi le défi de la défense active de nos réseaux, on aura fait un grand pas. »
Et Christian Aghroum, commissaire divisionnaire, chef de l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication, d’ajouter un bémol : « si jamais il devient possible de conduire une cyberattaque, cela doit relever exclusivement de la compétence de l’Etat, de l’armée. Sûrement pas d’une entreprise privée. » Et, justement, en devenant Agence Nationale de la Securité des Systèmes d’Information, la Direction Centrale de la Sécurité des Systèmes d’Information devrait, d’ici à 15 ans, être dotée du doit de conduire de telles opérations.
Le défi des botnets
Les botnets présentent, dans ce contexte, un intérêt tout particulier. Guillaume Tissier le rappelle : « on a parlé de millions de machines avec l’Estonie [pays victime d'une attaque par déni de service en 2007, ndlr]. Nous, on en a vu environ 2000. Ca peut paraître peu, mais on n’a pas besoin de plus pour faire une attaque par déni de service. Ce qu’il faut retenir, c’est que chacun – particulier, administration, entreprise – est responsable de la sécurité de son système et acteur de la sécurité du réseau. »
Mais Mike Haring, sergent d’état major de la gendarmerie royale du Québec, relève : « si un pays se déclare équipé, les autres devront réagir. Personne n’a intérêt à se déclarer… » Surtout, les botnet pose la question de la réponse politique et militaire à apporter à une attaque déclenchée par un ou des individus officiellement indépendants du gouvernement du pays dans lequel ils résident, mais bénéficiant d’une certaine complaisance. Pour le Colonel Stanislas Maupéou, chef du centre d’expertise gouvernemental de réponse et de traitement des attaques informatiques, « le risque est grand, en cas de contre-attaque ouverte, de conduire à un conflit conventionnel. » La cyberguerre peut donc déboucher sun un conflit des plus conventionnels...
Une analyse partagée par Laurence Ifrah, chercheur au département de recherche sur les menaces criminelles contemporaines à l’Institut de criminologie de l’Université Paris II : « Internet est un espace de combat qui touche aussi aux civils, avec de fortes interférences avec les activistes, etc. C’est une bonne raison pour se limiter à la cyberdéfense » et ne pas passer à l’offensive. Pourtant, selon certains intervenants, les offensives de ce genre, effectuées avec la bénédiction officieuse de gouvernements, sont appelées à se multiplier.
Quel risque pour les infrastructures vitales ?
Pour l’heure, les attaques menacent des systèmes d’information. Quand passeront-elles la barrière du monde réel ? On pense notamment aux infrastructures dites vitales telles que les centrales de production et les réseaux d’énergie, par exemple. Outre Atlantique, le cabinet GigaOm s’en inquiète déjà, en pointant les lacunes des projets de Smart Grid - réseau d’électricité intelligent - en matière de sécurité. Idem pour la société de conseil IOActive. Lors de la manifestion de hacker BlackHat 2009 d’Amsterdam, mi-avril, les chercheurs Enno Rey et Daniel Mende prévoient de démontrer la vulnérabilité des réseaux d’infrastructure des opérateurs télécoms, renouvelant un exercice déjà présenté au ShmooCon V, en février.
Mais le gros des inquiétudes porte sur les infrastructures SCADA, à savoir, des infrastructures industrielles télégérées comme celles de distribution des fluides et des services essentiels : eau, gaz, chimie, électricité, etc. Pour Guillaume Tissier, « heureusement, on a encore très très peu d’exemples de ce genre d’attaque. » Ce qui implique qu’il y en a déjà : « en Pologne, il y a quelques mois, un étudiant a développé sa propre télécommande pour les aiguillages d’un tramway. » Certes, certaines lois internationales prohibent les attaques sur certaines installations civiles comme les centrales nucléaires ou les digues, dans le cadre des conflits armés, mais « tous les pays ne les reconnaissent pas. » Et l’on peut douter que des groupuscules officiellement incontrôlés s'y soumettent. Reste que, pour l’heure, l’essentiel de la menace n’est pas encore là.
La menace, en 2009… le vol de données
Alarmiste ou simplement lucide, le colonel Stanislas Maupéou estime que « un déni de service, c’est visible, donc on en parle, mais c’est surtout facile à conduire compte tenu du niveau de maturité de nos réseaux en matière de sécurité. » Et de prendre le virus Conficker en exemple, pour mettre le doigt là où ça fait mal : « le point de départ de sa propagation, c’est tout de même un correctif disponible depuis le mois d’octobre 2008. » Mais, pour lui, la vraie menace n’est pas dans les attaques par déni de service massif : « ce que je crains, c’est plus ce que l’on ne voit pas, les attaques furtives, les vols d’informations stratégiques, etc. Est-ce qu’on en est loin ? En tout cas, c’est possible. Alors, avant d’élaborer des plans pour la cyberguerre, commençons par adopter des bonnes pratiques, ne serait-ce qu’au niveau des mots de passe. »
Pour le colonel Stanislas Maupéou, le quotidien des entreprises, c’est effectivement « la guerre de l’information. L’information qui est l’actif des entreprises. » Un actif qu’il convient de protéger, « ce qui passe par une analyse des risques. […] Il y a des organisations qui utilisent des moyens illégaux pour conquérir de l’information » sur un concurrent, etc.
Christian Aghroum insiste : « il n’y a pas que la cyberguerre au sens militaire ; elle existe aussi au sens économique, mais aussi culturel, voire social. » Et de pousser en faveur des partenariats public-privé : « la défense des intérêts des entreprises peut, en la matière, converger avec ceux de l’Etat. » Derrière entreprise, il faut penser richesse, emploi, etc. Et le colonel Stanislas Maupéou de lancer un appel à la mise en place de plans de reprise et de continuité de l’activité : « Pouvez-vous fonctionner en mode dégradé ? Pouvez-vous travailler sans connexion à Internet ? Quand vous serez confrontés [à l’attaque], il sera trop tard pour répondre à ces questions. » Une entreprise avertie…