James Thew - Fotolia
Général Watin-Augouard : dans l’attribution, « je reste très prudent »
Les récentes accusations américaines d’immiscions russes dans la campagne présidentielle outre-Atlantique ont laissé entrevoir une privatisation du renseignement cyber. De quoi inviter à la circonspection.
Fin décembre, le ministère américain de l’Intérieur et le FBI ont présenté un rapport d’analyse conjoint sur « les activités cyber malicieuses russes » durant la récente campagne présidentielle aux Etats-Unis. Evoquant une opération baptisée Grizzly Steppe, ce rapport apparaît s’appuyer largement sur les travaux d’entreprises privées spécialistes de la sécurité informatique. D’aucuns déplorant d’ailleurs qu’aucun élément ne soit fourni pour distinguer les données issues de ces sources de celles propres à l’administration américaine. De quoi alimenter le sentiment de privatisation du renseignement cyber et de soulever des questions de souveraineté.
LeMagIT : Partagez-vous le sentiment selon lequel le renseignement cyber est aujourd’hui privatisé ?
Général d’armée (2S) Marc Watin-Augouard : Je le partage complètement, et pour raison très simple. Dans le monde physique, c’est la puissance publique, l’état, qui reste majoritaire dans l’offre de sécurité et du renseignement.
En revanche, dans l’espace numérique, comment voulez-vous que la puissance publique rivalise avec des offreurs de sécurité qui ont des milliers de sondes déployées à travers le monde et qui sont capables, à un instant donné, de produire, par exemple, une cartographique précise de toutes les cyberattaques dont ils sont eux les témoins ?
On n’est pas là sur du renseignement, on est sur la connaissance du phénomène. Mais rien que sur cette connaissance, la puissance publique n’a pas les mêmes outils et se trouve obligée de prendre acte de ce que disent ces entreprises privées. C’est un premier élément.
On verra la même chose avec les assureurs qui, demain, auront une connaissance de la sinistralité très intéressante. Rien pour tout cela, si l’on ne s’allie pas avec le secteur privé pour comprendre les phénomènes de cybersécurité – ou de cyber insécurité –, on n’y arrivera pas.
Au-delà, pour le renseignement au sens strict, nous sommes appelés à avoir de plus en plus de sources qui seront extérieures aux services publics et qui pourront être, le cas échéant, récupérées par ces services. Le problème, c’est de savoir finalement quelle est la qualité de ces sources.
Dans un service de renseignement, la première chose que l’on fait, c’est qualifier le renseignement : est-il de rang 1, comme on dit, c’est-à-dire absolument sûr, ou alors est-il à prendre sous réserves ?
Justement, la présomption de lien entre APT 28 et APT 29 est exprimée de longue date par plusieurs grands acteurs de la sécurité informatique. Mais elle ne semble pas avoir été formellement confirmée autrement…
Souvenez-vous de l’Estonie. Tout le monde a dit « ce sont les russes ». Mais qui a été capable d’en apporter la preuve ? Alors on pense à la Russie en estimant que c’est elle qui en retirer les bénéfices. Mais regardez l’attaque contre TV5 Monde. On est remonté à du code avec du texte en cyrillique, mais est-ce que ce sont des officines russes qui ont fait ça pour la Russie, ou plutôt pour Daesh, simplement pour de l’argent ?
Je pense qu’aujourd’hui, il faut être extrêmement prudent dans l’attribution. Parce que cela fait aussi partie d’un jeu potentiellement dangereux consistant à se faire peur pour pouvoir renforcer ses propres moyens. Personnellement, je reste très prudent.
Toutes les puissances qui ont des capacités de cyberdéfense ont aussi des capacités d’attaque. C’est une évidence. Et si ce n’était pas le cas, je ne le comprendrais même pas. De mon point de vue, à ce jour, nous devons éviter de rentrer dans ce débat américano-russe. J’ai tendance à dire « faites la preuve – une preuve judiciaire – et après, on verra ». En attendant, je reste circonspect.
Cette privatisation du renseignement dans le domaine cyber ne soulève-t-elle pas en outre des questions de souveraineté ?
Bien sûr ! Mais la première difficulté à laquelle nous sommes confrontés consiste à savoir ce qu’est la souveraineté dans le cyber. Ne serait-ce que parce qu’il dépasse le territoire national. On sait très bien que l’on ne peut pas résoudre les questions cyber à notre seul niveau français et qu’il faut, au minimum, des réponses à l’échelle européenne.
Au-delà, si la source du renseignement est un acteur privé, dont on ne connaît pas les affinités – nationales ou capitalistiques, notamment –, on rentre dans une espèce de Cloud du renseignement qui n’a pas forcément d’enracinement sur un territoire qui permettrait de se dire « ceux-là, on les connaît bien ». C’est une vraie difficulté : qu’est-ce qui est derrière ces acteurs qui ne sont pas des services nationaux ? Quelles sont leurs pensées, leurs arrières-pensées ? Qui, finalement, est susceptible de les diriger voire de les manipuler ?
C’est pourquoi il faut aujourd’hui, en matière de renseignement, prendre beaucoup de recul. Et c’est aussi vrai pour toutes les informations véhiculées sur Internet. Parce que si l’on ne prend pas ce recul, on va tuer les réseaux sociaux, tout ce qu’il y avait d’intéressant en communication, liberté d’expression. Dès lors qu’il n’y a plus de discernement, que l’on prend n’importe quoi pour une vérité vraie, on tue cet Internet des contenus qui a une vertu extraordinaire : permettre à tout le monde d’accéder à la connaissance, à la communication avec d’autres.
Les auteurs de l’édition 2017 du rapport du Forum économique mondial sur les risques mondiaux vont plus loin, évoquant des risques pour les démocraties…
Evidemment ! Lorsque l’on voit toutes les inepties qui ont été véhiculées par des supports complètement orientés et manipulés, sur les candidats aux Etats-Unis, puis diffusées sur les réseaux sociaux… il faut dire à nos concitoyens « gardez votre discernement, ne prenez pas pour argent comptant tout ce que vous allez trouver ».
Et c’est ça qui est dommage : à partir du moment où l’on commence à dire « attention, il y a un risque de trouver n’importe quoi sur les réseaux sociaux », on commence en quelque sorte à en pervertir l’approche très libre, très ouverte. Ces outils formidables risquent de nous exploser dans les doigts parce qu’on en aura fait un mauvais usage.