Tech & internetFrance

La cyberguerre ne ressemble pas à ce que vous pouvez imaginer

Pierre Alonso, mis à jour le 19.02.2014 à 10 h 49

Des pirates malveillants qui attaquent une centrale électrique, ou pire nucléaire, dans un pays occidental et plonge le pays dans le chaos... Ce n'est pas du tout le scénario qui inquiète les militaires, beaucoup plus «terre à terre».

Soldats français arrivent à Tessalit, une base du nord du Mali, en mars 2013. REUTERS/Francois Rihouay

Soldats français arrivent à Tessalit, une base du nord du Mali, en mars 2013. REUTERS/Francois Rihouay

Si jeune et déjà si galvaudé. Le terme «cyberguerre» charrie son lot de fantasmes et de clichés. Des pirates malveillants, probablement situés en Chine ou cachés dans une cave, attaquent une centrale électrique, ou pire nucléaire, dans un pays occidental et plonge le pays dans le chaos. Cette apocalypse a même un nom (et une série éponyme): cybergeddon. Mais dans les rangs des armées et de la défense, c’est un tout autre scénario qui inquiète les hauts-gradés.

«La Défense développe et opère des systèmes d'information et de communication particulièrement complexes sur les théâtres d'opérations extérieures», déclarait le ministre de la Défense Jean-Yves Le Drian lors du Forum international de la cybersécurité (FIC), qui s'est tenu à Lille les 21 et 22 janvier. «Le ministère est responsable des systèmes les plus stratégiques, liés à la dissuasion nucléaire, mais aussi des systèmes d'attaque et de défense les plus sophistiqués des sous-marins, avions de combats, missiles...» Ces systèmes embarqués dans les véhicules, du plus léger (tout-terrain) au plus lourd (frégate), constituent autant de cibles potentielles.

Le centre d'expertise Maîtrise de l'Information de la direction généralement de l'armement (DGA), situé à Bruz en Bretagne, concentre ses activités sur la prévention de ces risques. Au FIC, leur stand présente une maquette d'un char d'assaut relié à un système de commande rudimentaire. «Un automate industriel, soit un véritable ordinateur avec un processeur, des logiciels, des puces...», explique Frédéric Valette, chef de la division sécurité des systèmes d'information. Les véhicules terrestres, maritimes ou aériens, communiquent aussi vers l'extérieur, par exemple pour obtenir des informations météo, et deviennent dès lors des points d'entrée possibles, «une plus grande surface d'attaque» selon la terminologie militaro-industrielle.

La DGA a imaginé un scénario. Lors de la phase de maintenance en métropole, «la phase la plus critique», un logiciel malveillant est introduit dans le char d'assaut. Le programme reste en veille, aucune anomalie n'est constatée. Il attend un signal, par exemple un positionnement géographique précis. A ce moment-là, le malware se réveille. Il peut alors paralyser entièrement le véhicule ou le système d'arme. Il peut aussi modifier simplement de quelques degrés l'axe de tir (sur un char d'assaut), suffisant pour perturber gravement le déroulement des opérations. Dans ce cas, les équipes à bord ne détecteront pas forcément l'intrusion qui ressemblera à une panne.

Voilà pour le docufiction. Une attaque aussi sophistiquée nécessite énormément de moyens. «C'est encore de la science-fiction, mais il faut prendre en compte cette fiction», relativise l'ingénieur en chef de la DGA Guillaume Poupard, lors d'une de ses interventions. Frédéric Valette assure que la France n'y a encore jamais été confrontée, ou du moins n'en a jamais détectée.

Un enjeu économique et de souveraineté nationale

Mais Stuxnet (le sabotage de centrifugeuses iraniennes par les services américains et israéliens) a changé la donne en prouvant la faisabilité de ce genre d'attaques, un véritable changement de paradigme.

«Au Mali et en République centrafricaine, nous n'avons pas de craintes particulières sur ce genre d'attaques très sophistiquées», pondère Frédéric Valette mais, comme y enjoint Guillaume Poupard, «il faut se défendre face aux meilleurs, pas seulement contre la cybercriminalité».

Les systèmes d'information les plus sensibles n'utilisent pas des logiciels grand public. Frédéric Valette constate néanmoins «une convergence technologique avec de plus en plus de systèmes civils dans les systèmes militaires». En somme, un lanceur de missiles ne tourne pas sous Windows, mais peut communiquer avec un système qui, lui, en est équipé. Ces systèmes embarqués, critiques, relèvent des «technologies de souveraineté», que la France développait «avant même que le terme cybersécurité existe, notamment avec les systèmes souverains de chiffrement», rappelle Guillaume Poupard.

Le développement d'un «tissu industriel français» devient dès lors une question de sécurité, de souveraineté, répètent de concert gradés, hauts dirigeants d'entreprises et responsables politiques. Au FIC, Jean-Yves Le Drian s'est engagé à «aider à structurer une base industrielle encore fragile».

Il s’agit d’un enjeu à la fois économique et de souveraineté nationale, comme le répète les autorités françaises. Notamment l'Anssi, chargée de la cybersécurité sous la tutelle de Matignon, dont un représentant au FIC, Christian Daviot, a rendu hommage aux «grands acteurs français déjà existants (Thales, Cassidian, Bull...)» tout en exhortant l'Etat à «aider les PME à se développer en achetant leur produit». Selon lui, un article du code des marchés publics sur les produits de défense et de sécurité permet aux administrations de choisir des produits qualifiés, français ou européens.

Une batterie de mesures a déjà été prise pour pousser à la formation de ce complexe militaro-cyber-industriel. Le ministère du Redressement productif a introduit un volet cybersécurité dans son plan «La nouvelle France industrielle» définissant les domaines prioritaires. Un comité de la filière industrielle de sécurité a été mis en place en octobre 2013 pour rapprocher les acteurs privés et publics. Le ministre de la Défense a présenté un plan «défense cyber» au FIC qui contribuera, entre autres, à augmenter les effectifs du centre de Bruz de la DGA de 250 à 450. Des emplois pour la plupart très qualifiés. Pour ce nouveau champ de bataille, «il ne faut pas aligner des bipèdes, mais construire une capacité», selon l'ingénieur en chef de l'armement Guillaume Poupard.

Pierre Alonso

Pierre Alonso
Pierre Alonso (14 articles)
Journaliste
En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour réaliser des statistiques de visites, vous proposer des publicités adaptées à vos centres d’intérêt et nous suivre sur les réseaux sociaux. > Paramétrer > J'accepte