Les cyberconflits et la sécurité nationale

Lors des débats sur la politique nationale en matière de cybersécurité, les mêmes arguments sont avancés. Les actes de cyberguerre, de cyberespionnage, de piratage informatique ou de cyberterrorisme portent atteinte à l’intérêt national et appellent donc à une cyberdéfense nationale.

Malheureusement, dans le cyberespace, il est très difficile d’identifier les auteurs de piratage et leurs motivations. Les nations considèrent donc que les cyberattaques constituent un acte de cyberguerre. Cela a des conséquences sur la politique nationale et incite à la course au cyberarsenal, ce qui accroît l’instabilité et l’insécurité pour tous. Nous devons assouplir notre discours sur la cyberguerre, alors même que nous adoptons des politiques d’application de la loi en matière de cybersécurité, et devons chercher à délimitariser le cyberespace.

Considérons trois cas spécifiques :

En Estonie, en 2007, lors de tensions politiques avec la Fédération de Russie, une vague d’attaques a été déclenchée qui a mis hors service de nombreux sites Web estoniens, dont les sites du Parlement, des ministères, des banques, de quotidiens et de stations de télévision. Bien que la Russie ait été montrée du doigt et qu’il existe des présomptions permettant de dire qu’elle était impliquée, elle n’a jamais admis sa responsabilité dans ces attaques. Un Russe de Tallinn, en désaccord avec les actions de l’Estonie et ayant agi seul, a été condamné par un tribunal estonien pour avoir participé à ces attaques.

À Dharamsala, en Inde, des chercheurs en  sécurité ont découvert  en 2009 un réseau d’espionnage ciblant le système informatique du Dalaï Lama.

Une recherche plus approfondie a établi que ce réseau, appelé Ghostnet, avait infiltré des cibles politiques, économiques et médiatiques dans 103 pays.

La Chine en est probablement à l’origine, mais ne l’a jamais admis, malgré les présomptions. De plus, on ne sait pas vraiment si ce réseau relève d’une organisation gouvernementale chinoise ou de citoyens chinois motivés par des gains financiers ou des raisons nationalistes.

En Iran, en 2010, le virus informatique Stuxnet a gravement endommagé, et peut-être détruit, les centrifugeuses dans l’usine d’enrichissement d’uranium de Natanz afin de retarder le programme nucléaire iranien. Une analyse ultérieure a indiqué que ce virus était une cyberarme sophistiquée nécessitant une collaboration en matière de génie qui aurait été commanditée par un État. Des enquêtes plus approfondies ont indiqué que le virus aurait été mis au point par les États-Unis et Israël, bien qu’aucun des deux pays ne l’ait officiellement admis.

On peut généralement déterminer l’auteur de l’attaque par l’arme utilisée. Lorsqu’un tank passe devant nous, on sait que l’armée est impliquée parce qu’elle seule a les moyens de se doter de tanks. Le cyberespace est différent. Dans le cyberespace, les capacités de la technologie sont connues d’un vaste public et chacun utilise les mêmes armes : hackers, criminels, pirates informatiques motivés par des raisons politiques, espions nationaux, militaires et même le cyberterroriste potentiel. Tous exploitent les mêmes vulnérabilités, utilisent le même genre d’outils de piratage, les mêmes tactiques d’attaque et laissent les mêmes traces derrière eux. Ils écoutent les communications ou volent des données. Ils lancent des attaques qui paralysent les systèmes informatiques. Ils cherchent à percer les cyberdéfenses et font leur possible pour faire disparaître leurs traces.

Il est toutefois d’une importance vitale de connaître l’auteur des attaques. En tant que membres de la société, différents types d’organisations nous défendent contre une attaque. Nous pouvons appeler la police ou l’armée. Nous pouvons faire appel à notre agence anti-terroriste et à nos avocats d’entreprise ou nous pouvons nous défendre au moyen de différents produits commercialisés et de services. Selon la situation, tous ces choix sont bons.

Le système juridique dans lequel une défense fonctionne dépend de deux choses : qui vous attaque et pourquoi. Malheureusement, lorsque vous êtes attaqué dans le cybersespace, les deux choses que vous ignorez sont souvent qui vous attaque et pourquoi. Il ne s’agit pas de tout définir comme un acte de cyberguerre; les tactiques militaires sont de plus en plus utilisées dans des cyberconflits plus vastes. Cela complique la politique de défense et celle de cyberdéfense nationale.

La tendance évidente est d’assumer le pire. Si chaque attaque est potentiellement un acte de guerre perpétré par une armée étrangère, on peut donc supposer que l’armée doit se charger de l’ensemble de la cyberdéfense et que les problèmes militaires demandent des solutions militaires. C’est le discours que tiennent de nombreux dirigeants mondiaux qui considèrent que la cyberguerre est déclarée. Ce n’est pas vraiment le cas. Il n’y a pas de guerre dans le cyberespace. Les activités criminelles y sont nombreuses, certaines sont organisées, et la plupart sont internationales. Le piratage est motivé par des raisons politiques – le hacktivisme – contre des pays, des entreprises, des organisations et des personnes. L’espionnage est une activité courante, pratiquée parfois par des acteurs solitaires et parfois par des organisations d’espionnage nationales. Des attaques sont aussi perpétrées par des organisations nationales, qu’il s’agisse de chercher à percer les cyberdéfenses des autres pays ou de recourir à des cyberarmes infligeant de réels dégâts comme Stuxnet.

De fait, le terme « guerre » a deux définitions : la définition littérale de la guerre, qui implique des fusils, des tanks et des armées qui avancent, et la définition rhétorique, comme la guerre contre la criminalité, contre la pauvreté, contre la drogue et contre le terrorisme. Le terme « cyberguerre » comporte des éléments de la guerre littérale et de la guerre rhétorique, ce qui en fait un terme très connoté lorsque l’on débat de la cybersécurité et des cyberattaques.

Les termes sont importants. Pour la police, nous sommes des citoyens qu’il faut protéger. Pour l’armée, nous sommes une population qu’il faut gérer. Formuler la cybersécurité en termes de guerre renforce la notion selon laquelle nous sommes sans défense face à la menace et que nous avons besoin d’un gouvernement—certainement des militaires—pour nous protéger.

La formulation de la question en tant que guerre a un effet sur les débats politiques dans le monde. Du contrôle du gouvernement sur le Web à la surveillance généralisée et des pratiques d’écoutes en passant par la désactivation de l’Internet et par les appels à éliminer l’anonymat—de nombreuses mesures proposées par différents pays pourraient paraître logiques en temps de guerre, mais pas en temps de paix. (Sauf qu’à l’instar de la guerre contre la drogue ou contre le terrorisme, il n’existe pas de conditions gagnantes, ce qui signifie qu’une population est mise dans un état d’urgence permanent.) Dans le monde entier, nous constatons que les opérations militaires sont de plus en plus présentes dans le cyberespace. Nous vivons les premières années de la course au cyberarsenal.

La course aux armements résulte de l’ignorance et de la peur : l’ignorance des capacités de l’autre camp et la peur que ses capacités soient supérieures aux nôtres. Une fois que les cyberarmes existent, la tentation de s’en servir est grande. Stuxnet a endommagé d’autres réseaux que ceux qui étaient visés. Toute petite porte installée par l’armée dans les systèmes Internet nous rend vulnérables aux criminels et aux pirates informatiques.

La course au cyberarsenal est déstabilisatrice. Ce n’est qu’une question de temps avant qu’une catastrophe ne se produise, peut-être à cause d’actions imprudentes d’un simple soldat, d’un pirate informatique enthousiaste qui pense œuvrer dans l’intérêt de son pays, ou bien par accident. Si la nation visée riposte, nous pourrions nous retrouver dans une vraie cyberguerre.

Je ne pense pas que la cyberguerre soit entièrement fictive. La guerre s’étend à tous les théâtres possibles et toute guerre future inclura la guerre dans le cyberespace. Il paraît logique que les pays établissent un commandement militaire responsable du cyberespace et se préparent à la cyberguerre. De même, le cyberespionnage n’est pas près de disparaître. L’espionnage est vieux comme le monde et les informations pertinentes sont simplement trop nombreuses dans le cyberespace pour que les pays n’utilisent pas d’outils de piratage pour se les procurer.

Nous devons assouplir le discours sur la guerre et accroître la coopération internationale en matière de cybersécurité. Nous devons continuer à plaider en faveur de traités relatifs au cyberespace. Nous devons établir des règles d’engagement dans le cyberespace, y compris des moyens d’identifier d’où viennent les attaques, et définir clairement ce qui constitue une opération offensive. Nous devons comprendre le rôle des cybermercenaires et celui des acteurs non étatiques. Le cyberterrorisme est encore un mythe médiatique et politique, mais le moment viendra où cela ne sera plus le cas. Enfin, nous devons renforcer la résilience dans notre infrastructure. De nombreuses cyberattaques, quelles que soient leur origine, exploitent les vulnérabilités de l’Internet. Plus nous les réduirons, plus nous serons en sécurité.

Les menaces du cyberespace sont réelles, mais sa militarisation fera plus de mal que de bien. Un Internet libre et ouvert est trop important pour succomber à nos peurs.