« La Russie doit mettre un terme à ses agissements irresponsables ». C’est en ces termes que le Secrétaire Général de l’OTAN, Jens Stolenberg, a apporté son soutien aux gouvernements britannique et néerlandais début octobre 2018 après leurs accusations. Après les États-Unis et le Canada, ce sont deux pays d’Europe qui mettent en cause la Russie dans plusieurs cyberattaques majeures. Après la terre, la mer, l'air puis l'espace, le climat international se tend désormais dans le cyberespace ; mais jusqu’à quel point ?
Quatre chapitres de la cyberguerre
« Plus j’en discute, plus mes interlocuteurs pensent que le prochain Pearl Harbor sera une cyberattaque », déclarait Tarah Wheeler, experte en cybersécurité lors d’une rencontre de l’OCDE, en juin 2018, à Paris. Effectivement, certains événements laissent à penser qu’une attaque d’ampleur, dévastatrice et très marquante touchera une grande puissance, un jour. Plusieurs chapitres récents permettent en effet de retracer le mouvement de l’Histoire.
Premier chapitre : Estonie, 2007. À la suite du déplacement d’un mémorial de guerre issu de la période soviétique, des émeutes pro-russes éclatent dans la capitale estonienne. Peu après, des cyberattaques sans précédent, supposément d’origine russe, frappent le pays : sites gouvernementaux, banques, médias, urgences et services de police ont été les cibles de « déni de service distribué » (DDoS, pour Distributed Denial of Service attack). Pour certains experts, cette attaque à l’échelle d’un pays marquait les débuts de la cyberguerre mondiale.
Deuxième chapitre : Iran, 2010. Première attaque industrielle de cette ampleur, le ver informatique Stuxnet va s’en prendre au programme nucléaire iranien en falsifiant les informations émises vers les centrifugeuses des usines d’enrichissement d’uranium et les messages d’alerte qu’elles communiquaient au centre de contrôle. Attribué par la suite aux États-Unis et à Israël, le virus marquait un nouveau tournant dans les affrontements interétatiques.
Troisième chapitre : Ukraine, 2017. Avant de se répandre dans le monde entier, le ransomware NotPetya infecte, en quelques heures et dans tout le pays, les terminaux des banques, des magasins et des infrastructures de transports. Son objectif est simple : détruire le plus de données possible. Un nouvel épisode dans l’opposition frontale de l’Ukraine avec son voisin russe.
Et le quatrième chapitre semble en train de s’écrire. Le cyberespace est donc plus que jamais devenu source de tensions internationales, à tel point que l'OTAN l’a officiellement reconnu comme champ de bataille possible. « Cela signifie qu'ils peuvent répondre à une cyberattaque avec des armes conventionnelles et inversement, traduit Marco Genovese, Product Manager Network Security chez Stormshield. Il n'y a virtuellement aucune différence entre une cyberattaque contre une centrale nucléaire et une bombe sur la même zone. » Gérard Peliks, Président de l’Association CyberEdu, ajoute : « Les pays modernes se dotent d'une structure spécifique pour faire la guerre dans le cyberespace. En Chine, par exemple, il y a un immeuble de douze étages dans la banlieue de Shanghai qui abrite 2000 combattants de l'armée nationale de Chine dont le but est d'espionner les réseaux d'Amérique et d'Europe. »
Il n'y a virtuellement aucune différence entre une cyberattaque contre une centrale nucléaire et une bombe sur la même zone.
Marco Genovese, Product Manager Network Security chez Stormshield
En attendant, « il est très facile de tomber dans les doutes, l’incertitude et la peur, mais pour moi, l’important est de discuter posément des risques », objecte Markus Braendle, directeur des activités Airbus CyberSecurity. Et penser les cyber-risques exige également de se libérer des modèles militaires du passé ; si l’humain est presque toujours la faille la plus vulnérable à l’échelle d’un système d’information, il l’est peut-être aussi à l’échelle d’un pays.
Au-delà des infrastructures, la démocratie en danger ?
Dans un rapport du 17 avril 2018, l’Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) identifiait deux nouvelles finalités des cyberattaques : la déstabilisation des processus démocratiques et celle des processus économiques. Les élections – et surtout les électeurs – deviennent alors des cibles de choix, face à des campagnes de propagande ou de fake news grandissantes. Pour s’en convaincre, il suffit de s’intéresser aux dernières élections américaines et françaises, ou d’aller discuter avec Andres Sepulveda, un pirate colombien qui a admis avoir truqué plusieurs élections présidentielles d’Amérique Latine.
La diffusion instantanée et massive de l’information, en particulier sur les réseaux sociaux, octroie à ces attaques des potentiels de dommages considérables. Des dommages, ironiquement, souvent assez simples à provoquer. Le directeur de campagne d’Hillary Clinton s’est fait pirater son compte par un vulgaire e-mail de phishing… En France, du côté de Bercy, au moins 20% des fonctionnaires ne semblent pas beaucoup plus préparés à ces offensives étrangères. Des offensives qui, en terme de dégâts, n’ont rien à envier à des virus comme Stuxnet. « Si quelqu’un attaque une infrastructure, vous le saurez immédiatement, observe Markus Braendle. Mais sur la question de l’influence, une offensive peut être beaucoup plus difficile à détecter. Et, dans une certaine mesure, il est aussi énormément plus difficile de faire revenir la situation à la normale. »
Sur la question de l’influence, une offensive peut être beaucoup plus difficile à détecter.
Markus Braendle, Directeur des activités Airbus Cybersecurity
L’art de la cyberguerre et ses risques
En se multipliant, ces attaques informatiques sur les citoyens et les infrastructures étatiques risquent-elles de mener à une escalade dans la cyberguerre ? Potentiellement. Dans un projet de loi datant d’automne 2017, les États-Unis envisagent d’autoriser le hack-back, c’est-à-dire la possibilité pour les entreprises de tenter d’identifier l’attaquant et de se faire justice elles-mêmes… Avec les risques d’erreurs que cela suppose. « C’est l’énorme différence avec la guerre classique, tranche Markus Braendle. L’attribution des attaques est très compliquée. On pourrait chercher des signes dans le code, faire du reverse engineering... Mais de toute façon, ces minces faisceaux d’indices seraient eux-mêmes facilement imitables. » Dans un article dédié à la légitime défense numérique, Pierre-Yves Hentzen, Président de Stormshield, explique : « le problème de la légitime défense numérique est que, contrairement au monde physique, elle n’en respecte pas les règles. À savoir, la simultanéité, la proportionnalité et la riposte à l’attaquant. »
Outre les risques d’erreurs d’attributions des attaques, le risque de débordement des attaques est quasi-systématique. Après l’attaque du virus Stuxnet, l’Iran a renforcé ses défenses nationales et aurait même récupéré le code de Stuxnet pour fabriquer Shamoon, un virus envoyé en Arabie Saoudite pour paralyser la production de pétrole...
Et comme si cela ne suffisait pas, le gouvernement américain envisagerait de légitimer des cyberattaques préventives. D’une doctrine défensive à une doctrine offensive, l’objectif étant d’anéantir les capacités ennemies avant qu’elles ne les attaquent.
Devant cette escalade dans les cyberattaques, à quand une régulation du cyberespace ? Dès novembre 2017, Brad Smith, président et directeur juridique de Microsoft, se prononçait en faveur d’une Convention de Genève numérique, pour l’instant restée à l’état théorique… Si les discussions multipartites n’aboutissent pas, la régulation ne pourrait-elle par se faire d’elle-même, si un État parvenait à maîtriser une technologie qui écraserait les autres ? « C’est l’innovation qui pourrait tout changer sur notre manière de concevoir la sécurité informatique… », confirme Markus Braendle, en citant l’ordinateur quantique et ses puissances de calcul astronomiques, qui pourraient être employées dans le décryptage de messages chiffrés. Rendant ainsi les méthodes de chiffrement d’aujourd’hui en partie obsolètes.
Ceci étant dit, les cyberattaques préventives ne sont pas aussi nouvelles qu'elles en ont l'air : tous les services secrets du monde exploitent les vulnérabilités Zero-Day pour s'espionner mutuellement. De telles infiltrations sont légion et n'ont rien d'exceptionnel, même si elles font du bruit lorsqu'elles sont révélées au public. « Un certain équilibre des forces semble pourtant persister, » conclut Pierre-Yves Hentzen ; « et si les cyberattaques étaient devenues une nouvelle forme d’arme de dissuasion, à l’instar de la possession de l'arme atomique ? ».
Et si les cyberattaques étaient devenues une nouvelle forme d’arme de dissuasion, à l’instar de la possession de l'arme atomique ?
Pierre-Yves Hentzen, Président de Stormshield
