La cyberguerre est un mythe
Ne craignez pas le grand méchant loup numérique. La cyberguerre tient pour l’instant plus du battage médiatique que de la réalité.
- Unplugged / photosteve101 via FlickrCC License by -
«La cyber-guerre a déjà commencé.» Non, Monsieur. «La cyber-guerre arrive!» prévenait John Arquilla et David Ronfeldt dans un célèbre article de Rand en 1993. Depuis, elle semble effectivement être déjà là –du moins, si l’on en croit les déclarations de l’armée américaine, très affairée à se demander à qui devrait revenir quelle partie du combat. Le cyberespace est «un domaine dans lequel l’US Air Force vole et combat,» a affirmé en 2006 Michael Wynne, secrétaire d’État américain en charge de l’armée de l’air. Avant 2012, William J. Lynn III, lorsqu’il était sous-secrétaire d’État à la défense, avait écrit que le cyberespace est «aussi essentiel aux opérations militaires que la terre, la mer, l’air et l’espace». En janvier dernier, le ministère américain de la défense a émis le souhait d’équiper les forces armées U.S. pour leur permettre «de mener des campagnes armées combinées dans tous les domaines: terre, air, mer, espace et cyberespace.» Pendant ce temps, des quantités astronomiques de livres et d’articles analysent les menaces que représentent la cyber-guerre ou le cyber-terrorisme, ainsi que les moyens d’y survivre.
Battage médiatique
Il est temps de remettre les pendules à l’heure: aujourd’hui, la cyber-guerre tient plus du battage médiatique que du risque véritable. Prenez la définition d’un acte de guerre: il faut que cela soit potentiellement violent, qu’il y ait un objectif et que cela soit politique. De l’Estonie au virus Stuxnet, les cyber-attaques auxquelles nous avons pu assister jusqu’à présent ne remplissent tout simplement pas ces critères.
Prenons par exemple l’histoire louche de l’explosion d’un gazoduc soviétique en 1982, souvent citée comme l’attaque la plus destructrice du type par ceux qui croient en la cyber-guerre. L’histoire en question veut que, en juin 1982, un gazoduc sibérien que la CIA avait virtuellement piégé avec une prétendue «bombe logique» ait été détruit lors d’une explosion monumentale qui s’était vue depuis l’espace. L’U.S. Air Force avait estimé l’explosion à trois kilotonnes, soit l’équivalent d’un petit engin nucléaire. Visant un gazoduc soviétique qui reliait les gisements sibériens aux marchés européens, l’opération avait saboté les systèmes de contrôle des gazoducs avec un logiciel provenant d’une société canadienne, dans lequel la CIA avait introduit un code malveillant. Il n’y eut aucun mort, à en croire Thomas Reed, alors consultant du Conseil de sécurité national, qui révéla l’incident dans son livre de 2004, At the Abyss. L’économie soviétique fut la seule victime.
Mais cela a-t-il vraiment eu lieu? Après la parution du récit de Reed, Vassili Ptchelintsev, ancien responsable du KGB dans la région de Tioumen, où l’explosion aurait supposément eut lieu, nia toute l’histoire. On ne trouve en outre aucun document médiatique datant de 1982 confirmant une telle explosion, alors que les accidents et les explosions de gazoducs en Union soviétique étaient régulièrement signalés au début des années 1980. Il s’est sans doute passé quelque chose, mais le livre de Reed est la seule mention publique de l’incident et son récit repose sur un seul document. Même après le déclassage d’une version rédigée de la source de Reed (une note sur le célèbre Dossier Farewell rendant compte de la volonté des Américains de fournir à l’Union soviétique des technologies défectueuses), la CIA ne confirma pas l’existence d’une telle explosion. Les preuves témoignant de l’explosion du gazoduc sibérien sont si minces que cette dernière ne peut être considérée comme un cas avéré de cyber-attaque réussie.
Des exemples contestables
Les autres cas généralement mentionnés pour évoquer la cyber-guerre sont, pour la plupart, encore plus contestables. Prenez les attaques menées contre l’Estonie en avril 2007, en réponse au déplacement controversé d’un monument à la mémoire des soldats soviétiques, le Soldat de bronze. Le pays, bien entré dans l’ère numérique, fut victime d’une attaque par déni de service distribué massive, émanant de quelque 85 000 ordinateurs piratés, qui dura trois semaines. L’offensive atteignit son comble le 9 mai, avec l’attaque simultanée de 58 sites Web estoniens et le blocage des services de la plus grande banque d’Estonie. «Quelle différence y a-t-il entre le blocus de ports ou d’aéroports d’États souverains et le blocus d’institutions gouvernementales et de sites Web de journaux?» avait alors demandé le premier ministre estonien, Andrus Ansip.
En dépit de ces analogies, l’attaque dont fut victime l’Estonie n’était pas un acte de guerre. Ce fut sans aucun doute une gêne importante et un coup au cœur pour le pays, mais aucun pirate ne rentra à l’intérieur même du réseau de la banque; il fut juste paralysé durant une heure et demie un jour et deux heures le lendemain. Il ne s’agissait pas d’une attaque violente, elle n’avait pas pour but déclaré de modifier le comportement de l’Estonie et elle ne fut revendiquée par aucune entité politique. Il en va de même pour la grande majorité des cyber-attaques recensées.
À vrai dire, on ne recense pour le moment aucune cyber-attaque qui ait entraîné la perte de vies humaines. Aucune cyber-agression n’a jamais blessé personne ni endommagé de bâtiment. Et si un acte n’est pas au moins potentiellement violent, ce n’est pas un acte de guerre. Séparer la guerre de la violence physique en fait une notion métaphorique; cela signifierait, par exemple, qu’il n’existe rien pour différencier la Seconde Guerre mondiale des «guerres» menées contre l’obésité ou le cancer. Encore que, à l’inverse des exemples connus de cyber-«guerre», il s’agit de maladies qui tuent vraiment des gens.
«Ce n’est qu’une question de temps avant que nous ayons un Pearl Harbor numérique.»
Wait and see… Le ministre américain de la défense, Leon Panetta, a lancé un avertissement clair l’été dernier: «Nous pourrions faire face à une cyber-attaque qui serait l’équivalent de Pearl Harbor». Cela fait vingt ans que l’on entend ces menaces. Les plus alarmistes évoquent même la possibilité d’un cyber-11 septembre. Dans son ouvrage de 2010, Cyber War, l’ancien pape du contre-terrorisme à la Maison Blanche Richard Clarke évoque le spectre d’une coupure de courant nationale, les avions qui tombent du ciel, les trains qui déraillent, les raffineries qui brûlent, les pipelines qui explosent, les nuages de gaz toxiques qui se promènent, les satellites qui quittent leur orbite… une suite d’évènements à côté de laquelle les attentats du 11 septembre font pâle figure.
Les faits s’avèrent beaucoup moins effrayants, même si l’on prend le plus impressionnant des exemples disponibles. Le général Keith Alexander, à la tête de l’U.S. Cyber Command (sous-commandement en charge de la sécurité de l’information, établi en 2010 et désormais doté d’un budget de plus de 3 milliards de dollars), a fait part de ses pires cauchemars lors d’un discours à l’université de Rhode Island en avril 2011: «J’ai surtout peur des attaques destructrices, avait déclaré Alexander, celles qui sont à venir». Il a alors évoqué un grave accident dans la centrale hydroélectrique russe de Sayano-Shushenskaya pour illustrer le type de dégâts qu’une cyber-attaque serait susceptible de causer. Le 17 août 2009, un peu après minuit, une turbine de 900 tonnes est sortie de son emplacement sous la pression d’un «marteau d’eau», comme on a appelé cette hausse soudaine de la pression hydraulique qui a ensuite entraîné l’explosion du transformateur. Les vibrations inhabituellement élevées de la turbine avaient usé les boulons qui tenaient en place sa protection, et l’un des capteurs étant débranché, l’avarie n’avait pas été détectée. Soixante quinze personnes moururent dans l’accident et les prix de l’électricité en Russie s’envolèrent. La reconstruction de la centrale devrait coûter 1,3 milliard de dollars.
Ce fut un coup dur pour les Russes, certes, mais le général Alexander a toutefois omis de préciser un détail: cela faisait déjà quelques temps que la turbine en question fonctionnait mal et la gestion de la centrale était notoirement mauvaise. En outre, l’évènement clé qui déclencha en fin de compte la catastrophe semble avoir été un incendie à la centrale électrique de Bratsk, à 800 km environ. La centrale de Bratsk ayant cessé d’approvisionner le réseau, les autorités augmentèrent à distance la pression sur la centrale de Sayano-Shushenskaya. Cette hausse soudaine de régime fut fatale à la turbine, qui était à deux mois de la retraite après trente ans de bons et loyaux services, ce qui déclencha la catastrophe.
Si l’incident de la centrale de Sayano-Shushenskaya prouve bien quelque chose, c’est à quel point une attaque dévastatrice serait difficile à organiser. La destruction de la centrale était un accident résultant d’une suite d’évènements complexe et unique. Il serait extraordinairement difficile, même pour une personne de l’intérieur, de prévoir à l’avance de telles vulnérabilités; créer des coïncidences comparables depuis le cyberespace serait, au mieux, un défi gigantesque pour quelqu’un de l’extérieur. S’il s’agit de l’incident le plus représentatif de la menace auquel puisse penser le Cyber Command, il est peut-être temps pour tous de pousser un grand ouf de soulagement.
«Les cyber-attaques sont de plus en plus faciles à mener»
C’est tout le contraire. James R. Clapper, le directeur du renseignement américain, a averti le public l’année dernière que le volume de logiciels malveillants sur les réseaux américains avait plus que triplé depuis 2009 et que l’on en découvrait aujourd’hui plus de 60 000 par jour. Les États-Unis connaissent, selon lui, «un phénomène baptisé “convergence”, qui multiplie les risques de cyber-attaques problématiques, y compris contre des infrastructures physiques» (la “convergence numérique” est un terme un peu ronflant qui désigne tout simplement le fait que de plus en plus d’appareils sont capables de communiquer entre eux et que des secteurs et activités auparavant séparés peuvent désormais travailler ensemble).
Cependant, la multiplication des logiciels malveillants ne veut pas dire que les attaques sont plus faciles à réaliser. À vrai dire, les cyber-attaques potentiellement dangereuses pour les infrastructures physiques ou les personnes devraient même être, au contraire, plus difficiles à mettre en œuvre. Pourquoi? Les systèmes sensibles sont généralement dotés de routines internes et de systèmes de sécurité qui font que les attaquants ne se contenteront vraisemblablement pas de viser le simple arrêt d’un système de contrôle, par exemple d’une centrale électrique, puisqu’un tel arrêt mettrait en route un système de sauvegarde qui pousserait les contrôleurs à tenter d’identifier le problème. Pour être efficace, un logiciel malveillant devrait donc exercer une influence sur un processus actif plutôt que de le forcer à s’arrêter de manière retentissante. Mais si l’activité malveillante doit s’exercer sur une période longue, elle doit rester cachée. C’est une opération beaucoup plus complexe que celle d’éteindre un interrupteur virtuel.
Prenez Stuxnet, le ver qui a sapé le programme nucléaire iranien en 2010. Il n’a pas bêtement arrêté les centrifugeuses du site de Natanz, mais a subtilement manipulé le système. Comme l’ont expliqué les chercheurs qui ont enquêté sur le ver, Stuxnet a discrètement infiltré les réseaux du site avant de s’attaquer aux systèmes de contrôle, d’intercepter les valeurs transmises par les capteurs, de les enregistrer puis de transmettre au système de contrôle de faux signaux préenregistrés. Son objectif n’était pas seulement de tromper les opérateurs de la salle de contrôle, mais aussi de prendre de cours les systèmes informatiques de sécurité et de contrôle afin de manipuler en secret les données sensibles.
La création et le déploiement de Stuxnet nécessitait une connaissance détaillée des systèmes à compromettre. Il en sera de même pour toute cyber-arme efficace. Alors certes, la «convergence», la standardisation et la mauvaise défense des systèmes logiciels de défense pourraient accroître le risque d’attaques génériques, mais c’est la même tendance qui a également entraîné l’amélioration des défenses des sites les plus sensibles et a rendu beaucoup plus complexe la reprogrammation d’installations hautement spécifiques sur des systèmes hérités.
«Les cyber-armes peuvent faire d’importants dommages collatéraux»
C’est très peu probable. Lorsque la nouvelle du virus Stuxnet est apparue, le New York Times a affirmé que l’aspect le plus frappant de cette nouvelle arme était l’envergure des «dégâts collatéraux» qu’il engendrait. Le programme malveillant se propagea, en effet, «sur des milliers d’ordinateurs de par le monde. Et ce fut sur ces ordinateurs, plutôt que sur sa cible supposée, à savoir le matériel nucléaire iranien, qu’il eut le plus d’impact», reporta le Times. De telles descriptions ne font que répandre l’idée selon laquelle les virus informatiques sont semblables à des virus biologiques très contagieux qui, une fois sortis du laboratoire, s’attaquent à tous les systèmes vulnérables et non pas uniquement à leur cible première.
Toutefois, cette métaphore est profondément biaisée. À mesure que le potentiel de destruction d’une cyber-arme s’accroît, la probabilité qu’il puisse faire des dégâts importants dans de nombreux systèmes diminue. Stuxnet a effectivement infecté plus de 100 000 ordinateurs –principalement en Iran, en Indonésie et en Inde, mais aussi en Europe et aux États-Unis. Mais le programme était si spécifique qu’il ne les a en fait pas endommagés et n’a causé de préjudice qu’aux centrifugeuses iraniennes de Natanz. La stratégie infectieuse agressive du ver était conçue de manière à maximiser ses chances d’atteindre sa cible. Cette cible finale n’étant pas en réseau, «Toutes les fonctionnalités nécessaires au sabotage d’un système étaient directement embarquées dans le programme Stuxnet» observa la société d’antivirus Symantec en analysant le code du ver. Donc, certes, Stuxnet se «propagea» beaucoup, mais il ne fit de dégâts qu’à l’endroit où il était destiné à le faire.
Une infection collatérale, en bref, n’est pas nécessairement un dommage collatéral. Un logiciel malveillant sophistiqué peut infecter un grand nombre de systèmes, mais s’il ne vise qu’une cible bien précise, l’infection sera sans risque pour la plupart des ordinateurs. En particulier dans le contexte de cyber-armes plus sophistiquées, l’image de dommages collatéraux commis par inadvertance ne tient pas la route. Ils ressemblent plus à une grippe qui ne rendrait malade qu’une seule famille.
«Dans le Cyberespace, l’attaque domine la défense»
Encore faux. L’ère de l’informatique a une «dominante offensive», ont écrit Arquilla et Ronfeldt dans leur très influent ouvrage de 1996, The Advent of Netwar. Cette idée s’est répandue à travers l’establishment de la défense américaine comme… un virus. Un rapport de 2011 du Pentagone sur le cyberespace a souligné «les avantages de l’attaque sur la défense dans la cyber-guerre». L’intelligence community a mis en avant le même point dans son rapport annuel au Congrès l’année dernière, en arguant que les tactiques offensives –qualifiées de «découverte et exploitation des vulnérabilités»– évoluent plus rapidement que les meilleures réponses défensives auxquelles pourraient prétendre le gouvernement fédéral et les industriels. La conclusion semble donc évidente: les cyber-attaquants ont l’avantage sur les cyber-défenseurs, «et c’est une tendance qui devrait empirer au cours des cinq prochaines années».
Un examen plus approfondi du rapport révèle toutefois trois facteurs qui mettent l’attaque en position de faiblesse. Tout d’abord, il faut prendre en compte le coût engendré par le développement d’une cyber-arme en termes de temps, de talent et de ciblage des besoins. Les experts pensent que Stuxnet a bénéficié du travail d’une équipe extraordinaire et a nécessité beaucoup de temps. Ensuite, le potentiel d’armes offensives génériques serait bien plus faible qu’on ne le pense pour exactement les mêmes raisons et il ne serait possible d’investir de manière conséquente dans des programmes très spécifiques que contre un nombre de cibles très limité. Troisièmement, une fois développé, un outil offensif risque d’avoir une durée de vie beaucoup plus courte que les mesures défensives mises en place contre lui. Pire encore, ce type d’arme ne pourrait frapper qu’une seule fois, car dès que les méfaits d’un logiciel malveillant sont découverts, les systèmes les plus critiques sont généralement réparés et «patchés» rapidement. Et une arme, aussi puissante soit-elle, n’est plus vraiment une arme si l’attaque ne peut être réitérée. Toute menace politique repose sur la menace crédible d’une attaque ou de la répétition d’une attaque réussie. Si la menace était mise en doute, le pouvoir coercitif de l’attaque serait considérablement réduit.
«Il faut un accord de contrôle des cyber-armes»
Que nenni. Les alarmistes de la cyber-guerre veulent que les États-Unis considèrent la cyber-sécurité comme un nouveau défi à l’échelle géopolitique. Ils imaginent le cyberespace devenir de plus en plus une zone de rivalité militaire avec des adversaires comme la Russie et la Chine. Ils pensent aussi que des accords de non-prolifération des nouvelles cyber-armes sont nécessaires. Mais établir des normes internationales à ce sujet n’est pas chose aisée: le gouvernement britannique a convenu d’une grande conférence à Londres à la fin 2011, à l’origine pour faire d’Internet un lieu plus sûr en convenant d’une sorte de nouveau «code de la route». La Russie et la Chine ont quant à elles proposé à l’assemblé générale des Nations Unies en septembre dernier la mise en place d’un «code de conduite international pour la sécurité du monde informatique». Désormais, les diplomates se demandent si les Nations Unies ne devraient pas tenter de mettre en place une sorte d’équivalent au traité sur la non-prolifération des armes nucléaires pour le cyberespace.
Doit-on le faire? La réponse est non. Les tentatives de limiter les cyber-armes au travers d’accords internationaux posent trois problèmes principaux. Le premier est qu’il est difficile de tracer une ligne claire entre cybercriminalité et activités potentiellement politiques dans le cyberespace. En janvier, par exemple, un pirate saoudien a volé sur un site de commerce en ligne près de 20 000 numéros de cartes bancaires israélienness avant de les révéler au public. En représailles, un groupe de pirates israéliens s’est introduit dans plusieurs sites de commerce en ligne saoudiens et a menacé de dévoiler les numéros des cartes bancaires trouvés dessus.
Où est la frontière? Même s’il était possible de faire la distinction entre cybercriminalité et activité politique soutenue par un État, les deux emploient souvent les mêmes moyens. Le deuxième problème est d’ordre pratique: les vérifications seraient impossibles. Si mesurer précisément la taille d’arsenaux nucléaires et surveiller les activités d’enrichissement est déjà une tâche énorme, installer une caméra derrière chaque programmeur pour «vérifier» qu’ils ne sont pas en train d’élaborer un programme malveillant tient du doux rêve.
Le troisième problème est politique et encore plus fondamental: les cyber-agresseurs peuvent agir à des fins politiques, mais contrairement à ce qui se passe dans la guerre «classique», il est probable qu’ils aient tout intérêt à éviter de revendiquer leurs actions. La subversion a toujours prospéré dans le cyberespace parce qu’il est plus facile d’y préserver son anonymat qu’avec des actes de guerre classiques. C’est le nœud du problème politique: demander à des États de se mettre d’accord sur la limitation des cyber-armes est à peu près aussi réaliste que de demander un traité interdisant l’espionnage et à peu près aussi pratique que d’interdire la subversion à l’ordre établi en général.
«L’Occident est en retard par rapport à la Russie et la Chine»
Oui, mais pas comme vous le pensez. Actuellement affairées à affûter leurs cyber-armes, la Russie et la Chine sont déjà habituées à les utiliser. L’armée russe a ainsi clandestinement sapé l’économie estonienne en 2007 et attaqué les banques et les institutions géorgiennes en 2008. Les nombreux cyber-guerriers de l’armée populaire de libération chinoise ont depuis longtemps placé des «bombes logiques» et des «portes dérobées» au sein des infrastructures critiques américaines et pourront les activer pour semer le chaos sur le réseau et la bourse des États-Unis en cas de crise. Ces deux pays disposent de la technologie, de l’argent et des talents nécessaires (ils ont en outre plus d’espace pour manœuvrer que les démocraties occidentales et leur lois qui les condamnent à combattre dans le cyberespace avec une main attachée dans le dos).
C’est du moins ce que disent les alarmistes. La réalité est assez différente. Stuxnet, qui est, de loin, la cyberattaque la plus sophistiquée que l’on ait vue à ce jour, était très probablement une opération américano-israélienne. Certes, la Russie et la Chine ont prouvé leurs talents dans le cyber-espionnage, mais la dangerosité des cyber-guerriers de l’Est et de leurs codes est très probablement exagérée. Lorsqu’il s’agit de mener des attaques d’envergure militaire, les États-Unis et Israël semblent avoir une belle longueur d’avance.
Ironiquement, c’est sans doute une autre forme de «cyber-sécurité» qui inquiète surtout la Russie et la Chine. Pourquoi ces deux pays, associés à des pays phares de la démocratie tels que l’Ouzbékistan, ont-ils demandé aux Nations Unies d’établir un «code de conduite international» sur la cyber-sécurité? Le cyber-espionnage a été élégamment ignoré dans le texte suggéré pour la convention, car les intrusions virtuelles au Pentagone et dans Google restent des passe-temps fort prisés des administrations et entreprises des deux pays. Ce que les démocraties occidentales considèrent comme une liberté d’expression protégée constitutionnellement dans le cyberespace est considéré par Moscou et Pékin comme une menace pesant sur leur capacité à contrôler leurs citoyens. La cyber-sécurité a un sens plus vaste dans les non-démocraties: pour elles, la pire explosion redoutée n’est pas celle d’une centrale électrique mais celle du pouvoir politique.
Alimenté par les réseaux sociaux, le Printemps arabe a fourni aux dictateurs un cas d’école leur prouvant la nécessité de surveiller le cyberespace, non seulement contre les codes subversifs, mais aussi contre les idées subversives. La chute d’Hosni Moubarak en Égypte et de Kadhafi en Libye ont sans doute fait frissonner les dirigeants russe et chinois. Il n’est pas étonnant que ces deux pays aient réclamé un code de conduite leur permettant de combattre les activités faisant appel aux technologies de la communication –«réseaux compris» (comprenez: les réseaux sociaux)– pour mettre en péril «la stabilité politique, économique et sociale».
La Russie et la Chine sont donc bien en avance par rapport aux États-Unis, mais principalement si l’on définit la cyber-sécurité comme un combat contre les comportements subversifs. C’est là leur véritable cyber-guerre.
Thomas Rid
Traduit par Yann Champion
(http://www.slate.fr/story/52107/cyberguerre-est-un-mythe)
Aucun commentaire:
Enregistrer un commentaire