Tech & internetFrance

Comment relever les défis de la «cyberguerre froide»

Gérard Peliks, mis à jour le 07.09.2017 à 16 h 58

Les cyberattaques entre États sont pour l'heure furtives et indirectes. Toutefois, leurs dommages potentiels sont si importants qu'elles posent de graves problèmes à résoudre.

Au Centre d’excellence de cyberdéfense de l’OTAN, installé en Estonie | SHAPE NATO via Flickr CC License by

Au Centre d’excellence de cyberdéfense de l’OTAN, installé en Estonie | SHAPE NATO via Flickr CC License by

Le monde marche à pas rapides vers le tout numérique, ce qui occasionne plus de vitesse dans les démarches vers les administrations, plus de communications entre employés, partenaires, clients d’une entreprise, un accès facilité à la culture. Mais pour que cela apporte les avantages espérés, il faut que la confiance dans le numérique soit établie. La disponibilité, l’intégrité, la confidentialité et la traçabilité de l’information sensible qu’on utilise, que l’on stocke et que l’on transmet doivent être assurées. Tels sont les enjeux de la cybersécurité.

Or, cette information est menacée par les cyberattaques redoutables et répétées qui viennent du cyberespace. Diminuer les risques est devenu un enjeu incontournable pour les pays, pour les organisations et pour les citoyens. Nombreux sont les événements qui traitent des cyberattaques et de leurs conséquences parfois désastreuses, parfois même à l’échelle d’un pays.

Jean‑Yves Le Drian, ministre de l’Europe et des Affaires étrangères, a inauguré le 29 août dernier, dans son ministère, un événement «Je rencontre un ambassadeur». Une des tables rondes portait sur le sujet «La cyberguerre aura-t-elle-lieu?» réunissant autour de l’animateur, Alain Barluet (correspondant défense au Figaro), David Martinon, ambassadeur chargé de la cyberdiplomatie et de l’économie numérique, Claudia Delmas-Scherer, ambassadrice de France en Estonie, Isabelle Dumont, ambassadrice de France en Ukraine et Éric Rochant, grand témoin chargé de mettre quelques grains de sel dans la conversation. Éric Rochant est le réalisateur de série télévisée Le Bureau des légendes, autour des actions de la DGSE.

L’Ukraine, une cible de choix

Les citoyens de tous les pays sont concernés par le sujet de la cyberguerre et pas seulement les politiques, les militaires et les diplomates. Isabelle Dumont, ambassadrice en Ukraine, rappelle ainsi que bien avant la cyberattaque qui a visé cette année 95% des entreprises et des administrations ukrainiennes par le virus «NotPetya», le pays avait déjà été la cible de nombreuses cyberattaques. Sous couvert d’une action de rançongiciel pour égarer les contre-mesures, «NotPetya» était en réalité un maliciel destructeur de fichiers.

Vue du centre de Kiev. Juanedc/Flickr, CC BY

En août 2014, une cyberattaque avait visé le réseau ferré ukrainien et, la même année, une autre cyberattaque avait perturbé ses élections présidentielles. Puis est survenue l’attaque sur le réseau électrique à l’ouest du pays, privant d’électricité les Ukrainiens durant plusieurs heures. En 2016, une attaque similaire avait déjà privé d’électricité tout un quartier de Kiev.

L’année 2017 a donc connu la cyberattaque NotPetya au cours de laquelle un virus, présent sur un logiciel russe de comptabilité, s’est répandu via un logiciel de déclaration à l’administration fiscale ukrainienne. Impossible d’y échapper, les dégâts causés par ce maliciel qui détruisait tous les fichiers à sa portée ont été considérables. Quand un ministre voit sur l’écran de son poste de travail un message qui l’avertit que ses fichiers sont en train d’être détruits, et qu’il se rend compte que c’est la même chose pour ses collègues, même s’il n’y a pas de dégâts physiques apparents, la situation est forcément très grave, surtout si des milliards d’euros sont en jeux. Nous voici replongé à l’époque de la Guerre froide.

Isabelle Dumont distingue trois buts à ces cyberattaques: montrer que le territoire de l’Ukraine est à la portée d’une cyberattaque dévastatrice; décrédibiliser le pays sur le plan international et faire fuir les investisseurs; utiliser le territoire de l’Ukraine comme terrain d’attaque pour rebondir vers l’extérieur.

À l’ère de la «cyberguerre froide»

Claudia Delmas-Scherer, ambassadrice en Estonie, décrit quant à elle l’histoire récente de ce petit pays qui a acquis son indépendance en 1991 et qui a misé dès le début sur le passage de son administration vers le tout numérique. Chaque Estonien possède ainsi une carte à puce qui lui sert non seulement dans ses démarches administratives et de santé mais aussi dans ses transactions commerciales.

En 2007, l’impensable s’est produit: l’Estonie a subi une cyberattaque en déni de services distribué sur ses infrastructures numériques. Le pays a été paralysé. Le gouvernement s’est alors posé la question d’arrêter le tout numérique mais a finalement opté, en sa grande sagesse, pour un renforcement de ses compétences en cybersécurité et pour un durcissement de ses infrastructures.

Pour David Martinon, ambassadeur chargé de la cyberdiplomatie et de l’économie numérique, malgré les cyberattaques qui se multiplient, malgré les ravages qu’elles causent sur l’économie et même sur la souveraineté des pays, on ne peut pas encore affirmer que la guerre numérique a vraiment commencé. Nous vivons, aujourd’hui, une période de «cyberguerre froide» caractérisée par la furtivité des attaques et par l’absence d’affrontement direct.

Les participants à la table ronde organisée par le ministère des Affaires étrangères, le 29 août dernier. Gérard Peliks/DR

Pour utiliser une image, les cyberattaques subtilisent ce que vous avez dans votre portefeuille mais vous ne vous en apercevez pas sur le moment. Vous n’en connaissez les effets qu’au moment de payer. Le but de l’attaquant peut être de montrer que c’est bien lui qui vous a attaqué pour prouver à quel point il est redoutable, ou alors de laisser entendre que c’est –peut-être, peut-être pas– lui qui vous a attaqué mais que vous ne pourrez rien prouver.

Pour un investissement faible, le résultat obtenu peut être très important. Par exemple, la cyberattaque contre la banque du Bangladesh, en mars 2016, a rapporté 80 millions de dollars pour un travail de six mois.

Le défi de l’attribution

Ces attaques sont complexes à cerner car elles peuvent faire intervenir à la fois des acteurs étatiques et non étatiques. Des pirates ou corsaires font le plus souvent le boulot, et sont financés par des États qui les emploient.

L’attribution et l’identification des coupables sont très difficiles, voire impossibles. Aucun pays, ni la Chine, ni la Russie, ni d’autres pays auxquels on pense généralement n’ont été pris la main dans le sac. Et même si de sérieux doutes demeurent, comme dans le cas de NotPetya qui a visé l’Ukraine ou de l’attaque en déni de service qui a paralysé l’Estonie, ou encore l’attaque par le virus Stuxnet qui a détruit une partie des centrifugeuses de l’usine d’enrichissement d’uranium de Natanz en Iran, l’extrême difficulté à tracer ces attaques rend l’établissement de preuves quasi impossible. Même si on peut, par exemple prouver qu’une adresse IP d’où est partie l’attaque se situe sur le territoire russe, cela ne prouve pas pour autant que la Russie est le pays qui attaque.

Avec les cyberguerres, peut-on alors parler de guerre? Pas encore, pas tant qu’il n’y a pas de preuves indiscutables qui puissent établir que des militaires ou des civils ont été tués par les cyberattaques. Les coupures de courant qui ont affecté l’Ukraine, privant les hôpitaux d’électricité, ont-elles causé des décès avérés? Comment prouver que des morts sont directement liés à l’absence de courant dans un hôpital et n’ont pas eu d’autres causes? De plus, une guerre est en général bipolaire: un pays en attaque un autre. La cyberguerre est multipolaire, tout le monde peut attaquer tout le monde, alors comment déterminer les attaquants réels dans un monde furtif et virtuel?

Soigner le mal par le mal?

La cyberguerre, guerre de l’ombre par excellence, avec une attribution presque impossible, inspire-t-elle le législateur? C’est une question «très grains de sel» posée par le réalisateur de la série télévisée Le Bureau des légendes, autour des actions de la DGSE, Éric Rochant. Pour David Martinon, d’un point de vue juridique, le passage de la paix à la guerre est établi quand il y a des victimes.

Les terroristes ont la compétence et les outils pour prendre le contrôle d’un port, d’un aéroport ou d’un satellite. La cyberguerre n’est pas seulement une guerre de l’information mais aussi une guerre contre l’information et contre la régulation des infrastructures sensibles. Un jour viendra où sera commis un cyber-attentat et alors il faudra effectivement se poser la question: «Ai-je le droit de répliquer? Dans quelle mesure? Et surtout contre qui?»

Comment prépare-t-on une cyberoffensive? Voilà une autre question «grain de sel» posée par Éric Rochant. Doit-on utiliser des pirates pour lutter contre des pirates, et soigner le mal par le mal? Pour David Martinon, c’est bien comme cela qu’il faut faire, et d’ailleurs c’est déjà ainsi que les ripostes se font. En France, nous avons des experts de très haut niveau, par exemple à l’ANSSI (Agence nationale de la sécurité des systèmes d’information), qui protègent l’appareil d’état et les Opérateurs d’importance vitale (OIV).

Il existe aussi de très bons experts en cybersécurité dans certaines entreprises, mais globalement, ils sont trop peu nombreux sur le marché alors que l’État et les entreprises subissent des cyberattaques qui vont en nombre et en amplitude croissants. À souligner que si l’État peut intervenir par des contre-attaques, et réalisées seulement par certains organismes, en aucun cas une entreprise a le droit de contre-attaquer.

La cyberguerre est-elle la continuation de la cyberpolitique par d’autres moyens? La course à l’armement dans le cyber est devenue indispensable. L’injection de fausses informations vers le cyberespace, l’utilisation de la cyberpropagande sont de tels moyens. La cyberguerre, nous y sommes et nous devons nous défendre.

Une menace mondiale

À propos de moyens de défense, Claudia Delmas-Scherer, ambassadrice en Estonie, affirme que ce pays a su tirer les leçons des cybermenaces auxquelles il est confronté. Le centre d’excellence de cyberdéfense de l’Otan se trouve à Tallin et les systèmes d’information de l’Estonie sont aujourd’hui très sécurisés.

L’Estonie compte sur les technologies des Blockchains pour bloquer les attaques et protéger l’authentification des citoyens. Isabelle Dumont, ambassadrice en Ukraine, explique de son côté que ce pays possède aussi de très bons experts mais que ses systèmes d’information sont attaqués en permanence et les réseaux sociaux sont très utilisés pour faire passer des messages nocifs.

Changeons de continent. Les États africains, qui accusent un certain retard dans le numérique, courent-ils moins de risques que les pays des continents plus avancés dans le numérique ? David Martinon assure que non. Aucun pays n’est invulnérable aux cyberattaques, que le pays soit avancé dans la maîtrise du numérique ou pas. Les compétences et les produits à disposition des cyberattaquants peuvent être acquis dans les marchés noirs de la cybercriminalité et sont très efficaces. Donc tous les pays courent des risques et peuvent faire courir des risques aux autres pays.

La nécessité d’une formation

Autre question: les pays développent-ils une doctrine sur la cybersécurité? Qui prend les sanctions? David Martinon indique que, par exemple, les Russes ont bien une doctrine qui consiste à brouiller les frontières entre la guerre et la paix. Mais le droit international doit s’appliquer et réguler le cyberespace. Même si on admet que le cyberespace ne connaît pas de frontières, les États attaqués peuvent engager des contre-mesures de rétorsion et pas seulement des ripostes uniquement numériques. Riposter est une décision souveraine qui est à prendre par chaque pays.

David Martinon pense que la charte des Nations unies, dont l’article 51 établit la légitime défense, doit s’appliquer aussi dans le cyberespace, sinon on se condamne à être complètement inopérants. En France, le combat numérique fait partie de la doctrine d’emploi des forces armées, et les combats peuvent être défensifs mais aussi offensifs. Les mesures de rétorsion peuvent être économiques, numériques ou militaires. Le plus grand danger, dit-on, vient de l’utilisateur. Il faut l’inciter à observer une hygiène numérique, certes, mais c’est loin d’être suffisant pour bloquer des cyberattaques comme l’attaque NotPetya. La marche vers le numérique a été menée loin des considérations de protection des informations, et aujourd’hui on en paie le prix.

The ConversationTout ceci souligne l’impérative nécessité de former des experts qui pourront apporter des solutions à ces problèmes qui peuvent entraîner des conséquences très graves et qui intéressent chacun d’entre nous. Des formations existent et devraient intéresser le plus grand nombre d’entre nous.

La version originale de cet article a été publiée sur The Conversation.

The Conversation

Gérard Peliks
Gérard Peliks (1 article)
Expert sécurité
En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour réaliser des statistiques de visites, vous proposer des publicités adaptées à vos centres d’intérêt et nous suivre sur les réseaux sociaux. > Paramétrer > J'accepte