Etats ciblés, course aux armements, raids cybernétiques : la cyberguerre a-t-elle déjà commencé ?
Pour McAfee, la cyberguerre n'est plus un fantasme mais bien une réalité. Du moins est-ce la conclusion que tire l’éditeur d’une étude réalisée pour son compte par le cabinet Good Harbor Consulting et préparée par Paul B. Kurtz, ancien conseiller à la Maison Blanche. Mais, à l’heure où plusieurs pays, dont les Etats-Unis, le Royaume-Uni ou encore la France, se préparent à la lutte informatique offensive, l’éditeur dénonce le manque de débat public sur le sujet, et même de définition claire de la notion de cyberguerre.
Pour McAfee, la situation est claire : le monde est entrée dans l’ère de la cyberguerre. Pour étayer son propos, l’éditeur s’appuie sur une étude réalisée pour son compte par le cabinet de conseil Good Harbor Consulting et préparée par Paul B. Kurtz, ancien conseiller à la Maison Blanche. Et les auteurs de l’étude de revenir sur des exemples bien connus tels que l’offensive informatique sur la Géorgie en août 2008, ou encore sur l’Estonie, en 2007. Des exemples qui ont été suivis de nombreux autres incidents comme, par exemple, une cyber attaque par déni de service contre les Etats-Unis ou la Corée du Sud en juillet 2009, mais aussi contre la France, à la même époque. Patrick Pailloux, directeur de la toute nouvelle Agence nationale de sécurité des systèmes d’information, expliquait alors au MagIT qu'une administration française avait été visée.
Une affaire d’états…
Outre ces épisodes déjà significatifs, l’étude commandée par McAfee relève la préparation croissante des états en matière de lutte informatique défensive, mais aussi offensive. De fait, la France aurait récemment franchi une étape importante dans l’élaboration de sa doctrine militaire en matière de cyberdéfense. Le centre de cyberdefense du Royaume-Uni doit, de son côté, ouvrir en mars prochain. Le gouvernement britannique a indiqué, en juin dernier, qu’il serait doté de capacités offensives. Aux Etats-Unis, la lutte informatique offensive est déjà une réalité : en 2007, la NSA a attaqué électroniquement les réseaux de télécommunications irakiens sur ordre du président George W. Bush. Selon les auteurs de l’étude de McAfee, il faut aussi compter, dans les rangs des cyber-puissances, Israël, la Chine et la Russie.
Cyber-escarmouches quotidiennes entre Inde et Pakistan |
En novembre 2008, Mumbai était victime de plusieurs attentats de grande envergure. Des incidents précurseurs avaient été identifiés, sur Internet, à commencer par des escarmouches entre groupes de hackers indiens et pakistanais. Aujourd'hui, la cyber-guérilla entre groupuscules d’activistes se poursuivrait quotidiennement. Selon Anit Fadia, expert indien en cyber sécurité et hacker éthique, interrogé par nos confrères de l’Hindustan Times, les pirates pakistanais pirateraient quelque 50 à 60 sites Web indiens par jour, contre 10 à 15 pour la riposte. Comme pour la plupart des attaques transfrontalières, la question de la responsabilité des pouvoirs politiques en place reste posée. |
Cliquez pour dérouler |
Mais deux préoccupations, au moins, occupent les auteurs de l’étude. La première touche à la problématique de l’identification des actes de guerre électronique. Comme d’autres, ils relèvent avec prudence que « l’application des concepts [de guerre] au cyberespace est difficile. Identifier la source, définir le préjudice et comprendre les motivations dans un cyberconflit peut relever davantage de l’art que de la science. » En clair, qui est réellement aux commandes ? La question s’était posée, outre-Atlantique, de manière très concrète, en avril dernier, alors que le réseau électrique américain s’est trouvé compromis par des pirates chinois et russes. Mike Haro, analyste sécurité senior chez Sophos, soulignait alors toute la difficulté qu’il peut y avoir à identifier clairement les responsabilités au-delà de la chaine technologique.
De leur côté, les auteurs de l’étude de McAfee rappelle, en revenant sur l’épisode géorgien, que « la synchronisation entre les cyberattaques et les opérations militaires était telle qu’il a fallu pour cela une coopération étroite entre certains membres de l’armée russe et les pirates informatiques civils. » A l’époque, la Russie a officiellement nié toute implication dans le volet cybernétique du conflit. Plus généralement, derrière ces interrogations, se cache la question des liens entre cybercriminalité et cyberguerre, voire cyberterrorisme. Avec, en trame de fond, les botnet. En mars dernier, Mike Haring, sergent d’état major de la gendarmerie royale du Québec, soulignait à ce propos que « si un pays se déclare équipé, les autres devront réagir. Personne n’a intérêt à se déclarer comme tel. »
…qui place les civils en première ligne
Mais les auteurs de l’étude de McAfee s’inquiètent surtout du fait que les débats et réflexions sur la cyberguerre se tiennent à l’écart du public – tant à l’échelle des nations concernées que du monde entier. Un public qui serait pourtant, en cas de cyberconflit, en première ligne. Via l’accès à ses services numériques, d’une part, mais aussi via sa capacité à profiter de services d’utilité publique – eau, gaz, électricité – que l’informatisation croissante rend toujours plus vulnérables. On parle là bien sûr des systèmes dits SCADA sur la fragilité desquels Leif Kremkow, directeur technique de Qualys, avait voulu alerter, en mars dernier, dans les colonnes du MagIT. Sans trop s’étendre sur le sujet, IBM, via sa division sécurité ISS, a récemment indiqué « travailler beaucoup dans ce domaine », notamment en proposant ses services d’audit de menaces et de vulnérabilités. Privatisation généralisée oblige, des entreprises privées risquent donc de se trouver en première ligne sur le front. Une analyse que ne démentirait pas Patrick Pailloux, lequel a appelé, tout récemment, à des partenariats public-privé plus étroits en matière de cyberdéfense.
Mais, pour certains experts cités dans l’étude de McAfee, il faut aller plus loin et réviser en profondeur les lois actuelles sur les conflits armés.
Paul B. Kurtz, déjà vétéran de la cyberguerre |
Certes, on pourrait s’interroger sur l’objectivité du rapport du cabinet Good Harbor Consulting : Paul B. Kurtz fait preuve, depuis plusieurs années, d’une constance certaine dans l’alarmisme de ses propos quant à la cyber sécurité des états et, en particulier, des Etats-Unis. En septembre 2008, devant la commission permanente du parlement américain pour le renseignement, Paul B. Kurtz affirmait par exemple, que « notre infrastructure actuelle de l’information est parsemée de trous, de backdoors inconnues, et s’avèrerait très difficile à protéger face à des adversités toujours plus sophistiquées. Contrairement au bug de l’an 2000, il n’y a pas une unique rustine. […] La bataille du cyberespace ne fait que commencer. » Mais le fait est que Paul B. Kurtz n’en est pas moins un expert reconnu. Il est ainsi membre de l’actuelle commission dédiée à la cyber sécurité, la CSIS, aux côtés notamment de Scott Charney, vice-président corporate de Microsoft en charge de l’initiative Trustworthy Computing. |