Les réseaux, nouveau théâtre des opérations

Les États-Unis ne sont absolument pas préparés à l'éventualité d'une cyberguerre.

Cyber War, de Richard Clarke, est peut-être le livre traitant de politique de sécurité nationale le plus important de ces dernières années. Il évoque une menace dont presque tout le monde a entendu parler, que presque personne ne comprend, et dont le gouvernement américain n'a pas encore commencé à s'occuper vraiment sérieusement.

La menace, comme le suggère le titre, est celle d'une cyberguerre, que Clarke-responsable du contre-terrorisme à la maison blanche sous les présidents Bill Clinton et George W. Bush-définit comme des «actions menées par un État-nation visant à pénétrer dans les ordinateurs ou les réseaux d'un autre pays dans le but d'y provoquer des dégâts ou des perturbations».

Les armées de plus de 20 pays, notamment les États-Unis, la Russie et la Chine, ont mis sur pied des unités spéciales de lutte contre la cyberguerre. Les conséquences d'une telle guerre, soutiennent Clarke et son co-auteur Robert Knake, pourraient «changer l'équilibre militaire mondial» et «transformer fondamentalement les relations politiques et économiques».

Et pourtant, ils expliquent de façon convaincante que les États-Unis-qui possèdent, de loin, les moyens les plus sophistiqués de livrer une cyberguerre offensive-perdraient cette guerre presque à coup sûr, à cause de la grande dépendance de nos infrastructures économiques et militaires aux réseaux informatiques et parce que nous avons pris trop peu de précautions pour protéger ces réseaux d'une cyberattaque.

Climat post-Guerre froide

Cette situation rappelle les premières années de l'ère atomique, lorsque les scientifiques exploitaient une technologie innovante pour construire une arme nouvelle de destruction massive, mais avant qu'un nouveau genre de stratège militaire n'ait trouvé le moyen de penser cette arme de manière rationnelle-c'est-à-dire comment empêcher le déclenchement d'une guerre nucléaire, et comment en limiter les dégâts si elle ne pouvait être évitée.

L'intention de Clarke est de faire jouer à son livre, à l'ère de l'informatique, le même rôle que les œuvres de ces stratèges - The Absolute Weapon [l'arme absolue] de Bernard Brodie, The Delicate Balance of Terror [le fragile équilibre de la terreur] d'Albert Wohlstetter, De la guerre thermonucléaire d'Herman Kahn, La stratégie du conflit de Thomas Schelling et les briefings «Counterforce» de William Kaufmann (toujours classés secrets mais très discutés) -  à l'ère nucléaire.

Clarke le dit très explicitement. L'idée d'écrire ce livre lui est venue en février 2009, alors qu'il assistait à un dîner commémoratif en mémoire de l'un de ces stratèges, Bill Kaufmann, qu'il avait eu comme professeur de troisième cycle au MIT (à qui il a dédié l'ouvrage). Plusieurs dizaines d'anciens étudiants de Kaufmann assistaient à ce dîner, et en vinrent à s'interroger sur la meilleure manière d'honorer sa mémoire. Clarke décida alors qu'il essaierait d'appliquer les principes de sa réflexion à l'âge des cybermenaces.

Il convient de signaler que j'ai également assisté à ce dîner. Clarke et moi avons tous deux été des étudiants de Kaufmann au milieu des années 1970. Pour éviter que mes lecteurs ne me soupçonnent de conflit d'intérêts, je dois préciser que, si nous avons été en contact de manière sporadique, nous n'avons jamais été amis (je ne connais pas son numéro de téléphone, je ne sais pas où il habite ni rien de sa vie personnelle). D'ailleurs, Clarke-auteur de best-sellers à juste titre (pour son étude-révélation Contre tous les ennemis), improbable héros populaire (pour la franchise de son témoignage devant la commission du 11 Septembre), et consultant en sécurité probablement nanti-n'a pas besoin de moi pour vendre ses livres.

En 1983, j'ai écrit un livre intitulé The Wizards of Armageddon [les sorciers de l'Armageddon] sur les stratèges militaires, leurs idées et leur influence. Clarke et moi partageons donc bien un «intérêt» à explorer si leurs concepts et héritages intellectuels ont une quelconque pertinence dans un conflit post-Guerre froide (cyber ou autre). Pour Clarke, elles en ont, et pas des moindres.

Dissuasion nucléaire

Cyber War est en fait deux livres en un, comme le montre son sous-titre The Next Threat to National Security and What To Do About It [Ce qui menace aujourd'hui la sécurité nationale, et comment réagir]. Il est en partie consacré à une effrayante description de ce à quoi pourrait ressembler une cyberguerre et aux démarches potentiellement salutaires qu'une vingtaine de pays entreprennent pour s'y préparer dès à présent (certains l'accusent d'exagérer; c'est possible, un tantinet, mais je ne vois pour autant aucune raison d'en mettre en doute l'idée générale, et il vaut la peine de souligner que beaucoup de membres de la Maison Blanche de Bush avaient préféré ignorer ses avertissements au sujet d'al-Qaida au cours des huit premiers mois de 2001). L'autre partie est une analyse froide et méthodique de la manière d'empêcher le déclenchement de la cyberguerre et de celle de limiter ses dégâts si on ne peut l'empêcher-en bref, c'est une tentative de faire un parallèle avec ce que Kaufmann, Kahn et les autres pensaient lorsqu'ils scrutaient les abysses de la guerre nucléaire.

Un peu d'histoire. À la fin des années 1940 et pendant toutes les années 1950, la politique militaire officielle des États-Unis était la suivante: si l'Union Soviétique envahissait l'Europe de l'ouest, même sans utiliser d'arme atomique, les États-Unis lanceraient tout leur arsenal de bombardiers et de missiles nucléaires contre l'URSS, ses alliés d'Europe de l'Est, et la Chine communiste. En 1960, quand le Strategic Air Command (SAC) officialisa son premier plan d'utilisation systématique des armes nucléaires-le Single Integrated Operational Plan, ou SIOP- une telle attaque aurait signifié le lancement de 3.423 bombes et ogives nucléaires, pour une puissance totale de 7.847 mégatonnes, contre 654 cibles (mélange de bases militaires et d'usines urbaines), tuant environ 285 millions de personnes et en blessant 40 millions d'autres rien qu'en Union Soviétique.

Même si un président avait voulu lancer une attaque nucléaire d'ampleur plus réduite, les procédures de commandement et de contrôle de l'époque lui auraient rendu la tâche quasiment impossible (ces chiffres proviennent d'un document autrefois top secret que j'ai obtenu en faisant mes recherches pour Wizards, protégé par la Freedom of Information Act, [la loi sur la liberté d'information] active à l'époque.)

Les stratèges civils, dont beaucoup travaillaient au RAND Corp. (qui était alors un think tank financé par l'Air Force), étaient consternés. À un groupe de généraux du SAC qui venaient de le briefer sur le SIOP, Herman Kahn asséna: «Messieurs, ce n'est pas un plan de guerre, c'est un orgasme de guerre». Le problème ne tenait pas seulement à son immoralité, mais aussi à son irrationalité.

À cette époque, les Soviétiques construisaient leurs propres arsenaux nucléaires (pas aussi rapidement que le croyaient les agences de renseignements amécaines cependant). Si nous avions lancé une attaque totale, tué des centaines de millions de civils et détruit leurs usines, ils auraient riposté en lançant à leur tour leur propre attaque totale avec toutes les armes qui leur seraient restées; ou, peut-être, anticipant l'agression, auraient-ils attaqué de manière préventive.

Comment neutraliser l'avantage?

De même aujourd'hui, le U.S. Cyber Command (mis en place l'automne dernier) propose une «Stratégie militaire nationale pour les cyberopérations» qui met l'accent sur la «prédominance» des «capacités offensives» afin de «maintenir l'initiative» (en d'autres termes, de «frapper en premier») et d'assurer «une supériorité stratégique».

Clarke pose aujourd'hui la même question que les stratèges du nucléaire dans les années 1950: et si le pays que nous attaquons dans le cyberespace lance des représailles ou attaque en premier de façon préventive? Nous serions touchés au moins aussi gravement. De quelle alternative disposons-nous pour éviter le choix cauchemardesque entre reddition et suicide?

L'inquiétude, selon Clarke, n'est pas que les Chinois ou quiconque, un jour, sans crier gare, ne déclenchent des «bombes logiques» infiltrées dans tout nos réseaux électriques, financiers, et dans le système de communications militaires tous dépendants de l'informatique, nous détrônant ainsi de notre position d'économie moderne et de superpuissance - pas plus que les stratèges des années 1950 et 1960 ne pensaient que les Russes pourraient, d'un seul coup, lancer une première attaque nucléaire.

La vraie question est de savoir comment des ennemis potentiels pourraient tourner la situation à leur avantage en cas de crise — et ce que les États-Unis doivent faire, en avance, pour neutraliser cet avantage et empêcher qu'une cyberguerre ne cause de graves dégâts à notre économie ou ne dégénère en guerre conventionnelle.

Imaginons par exemple que la Chine envoie son armée à Taïwan. Clarke pose la question: «Quel président enverrait la marine dans le détroit de Taïwan...s'il ou elle pense que la panne d'électricité qui vient de frapper Chicago est un signal et que toutes les grandes villes américaines pourraient être privées d'électricité si nous nous en mêlions?» Dans cette sorte de crise, le concept basique de «force de dissuasion» de l'ère nucléaire — la menace de représailles de même nature — n'aurait que peu d'effets, car le réseau électrique de l'Amérique (comme tout ce qui est électronique) est bien plus dépendant du cyberespace et par conséquent, plus vulnérable à une cyberattaque.

Ce dont nous avons besoin, écrit Clarke, est d'une «défense crédible» conçue pour faire douter de potentiels agresseurs que leur cyberattaque nous mettrait ko ou terroriserait notre président au point de le paralyser-les faire douter suffisamment pour les dissuader de nous attaquer.

Il est impossible d'envisager de déconnecter du réseau informatique notre infrastructure la plus essentielle, mais Clarke appelle à entreprendre quelques démarches raisonnables. Entre autres: demander à la demi-douzaine de plus gros fournisseurs d'accès à Internet de surveiller le trafic, de rester à l'affût de bombes logiques et d'autres signes d'intrusions, restreindre l'accès au réseau électrique et isoler les réseaux du département de la Défense. Ces procédures impliqueraient des régulations au niveau fédéral, auxquelles les fournisseurs d'accès à Internet résistent et qu'ont fui tous les présidents (y compris Barack Obama à ce jour).

Obama doit comprendre les implications

Il soulève d'autres fascinantes possibilités: un accord de non-cyberagression (au moins tant qu'une guerre conventionnelle n'est pas déclenchée); une extension des accords de Genève pour interdire les attaques de cibles purement civiles (comme les réseaux électriques); et un forum international, similaire aux négociations de contrôle des armes nucléaires, conçu pour réduire la méfiance, proscrire certains types de cyberattaques et requérir des «obligations d'aider» à trouver et à sanctionner les pays ou hackers qui violeraient le code.

En attendant, Clarke appelle le président Obama à découvrir ce que préparent ses généraux du Cyber Command. Dans les premiers jours de la Guerre Froide, le général Curtis LeMay, chef du Strategic Air Command, avait la ferme intention d'attaquer en premier s'il voyait les Soviétiques adopter un comportement suspect, quelle que soit la politique du président. Si le Cyber Command est en train de «préparer le champ de bataille» en disséminant des pièges dans tout le réseau électrique chinois, démarche qui, selon Clarke, ne fera qu'accélérer l'escalade jusqu'à la cyberguerre en cas de tensions (un peu comme les programmes de mobilisation allemands et français ont mis de l'huile sur le feu de la surenchère militaire en 1914), Obama devrait au moins être renseigné à ce sujet, en comprendre les implications et faire cesser cette pratique s'il le souhaite.

Quand John F. Kennedy entra à la Maison Blanche en 1961, son secrétaire à la Défense, Robert McNamara, prit comme assistants plusieurs stratèges du RAND et leur fit préparer un mémo à l'intention des chefs d'état-major, comprenant 96 questions sur le projet de guerre nucléaire (cette liste devint connue sous le nom des «96 trombones»).

En se basant sur les réponses obtenues, il réécrivit le SIOP de façon à renforcer les procédures de commande et de contrôle et, au moins théoriquement, à permettre au président d'éviter de frapper les villes et de faire des «pauses» afin d'envisager des négociations pour mettre un terme à la guerre (d'un point de vue pratique, ces tentatives étaient probablement chimériques, comme finirent par le comprendre McNamara et d'autres. Les armes nucléaires sont si destructrices qu'il est un peu loufoque d'imaginer des dirigeants calmement occupés à «contrôler la surenchère» pendant qu'explosent les mégatonnes, que les retombées se dispersent et que les liaisons de communications sont ravagées par une impulsion électromagnétique. Avec la cyberguerre, voire la guerre conventionnelle d'ailleurs, l'idée de contrôle est moins démente).

Clarke, qui connaît parfaitement l'existence des 96 trombones, a lui aussi posé 20 questions sur la cyberguerre, notamment: «Que faisons-nous si, en nous réveillant un matin, nous découvrons que toute la moitié ouest des États-Unis est privée d'électricité à la suite d'une cyberattaque?» et «N'envisageons-nous d'utiliser des cyberarmes qu'en réponse à l'utilisation de ces mêmes armes contre nous?» et encore: «Comment signaler nos intentions concernant les cyberarmes en temps de paix et en temps de crise? Est-il possible d'utiliser notre arsenal de cyberarmes pour décourager un adversaire?»

Il s'agit là, comme il le souligne, de questions «assez évidentes» mais, comme il l'admet aussi volontiers, il n'est «pas facile d'y répondre» ce qui explique peut-être pourquoi aucun Américain en position de pouvoir ne s'y est encore attelé. Le message principal de Cyber War est que le temps est venu de commencer à se les poser.

Fred Kaplan

Traduit par Bérengère Viennot

Photo: Barack Obama en réunion dans la Situation Room de la Maison-Blanche / REUTERS, Ho New

A lire aussi: La cyberguerre en 24 heures chrono

Partager cet article