Article

N°8 mai 2016 : Géographie historique et questions militaires (1):

Cyberguerre et géographie

Francois PernotPhilippe Wolf


Par François Pernot, Professeur des Universités en histoire (Université de Cergy-Pontoise – Laboratoire AGORA) et Philippe Wolf (ingénieur général de l’armement (Institut de Recherche Technologique SystemX, Paris-Saclay)



Résumé : Depuis les années 2000, le « cyber » est partout et tout ce qui est accessible à distance relève du « cyber » et d’un espace à la géographie complexe, le cyberespace, qui constitue à la fois un objectif et une arme en cas de guerre. Si la cyberguerre est un nouveau type de guerre où les hommes ne se rencontrent plus physiquement, le cyberespace échappe-t-il à toute référence géographique ? La cyberguerre peut-elle faire abstraction complète de la géographie et de toute dimension spatiale ?



Mots-clefs : cyberespace, cyberguerre, renseignement, Wikileaks, guerre, conflit armé.



Abstract : Since the 2000s "cyber" is everywhere and all that is accessible online is a matter of "cyber" and of a space characterized by a complex geography: the cyberspace, which is both a target and a weapon in case of war. If the cyberwar is a new kind of war where fighters do not meet physically any more, does the cyberspace escape from any geographical reference? Can the cyberwar disregard geography and any spatial dimension?



Keywords : Cyberespace, cyberwar, Intelligence, War, Armed Conflict.



À l’heure de la cyberguerre (1), la géographie représente-t-elle encore un facteur-clé à prendre en compte dans la guerre ? La question mérite d’être posée, même si, de prime abord, il apparaît qu’au XXIe siècle les États développent des cyberstratégies (2) dessinant un contexte géostratégique finalement peu différent du contexte diplomatico-militaire du siècle précédent. Une étude plus poussée amène cependant à relativiser ce constat initial. En effet, le degré de maîtrise technologique des États, notamment dans le domaine de la cryptologie, permet de mieux qualifier les cyber-forces mondiales et d’établir ainsi une géographie des pays capables de mener une cyberguerre à plus ou moins grande échelle, ce facteur devant lui-même être encore relativisé en fonction du degré de vulnérabilité des pays les plus cyberdépendants aux effets « boomerang » d’une cyberattaque et à la prolifération naturelle des armes informatiques.



Pour mieux comprendre le milieu où se déroulent les cyberguerres, guerres de forme sinon de nature nouvelle, nous disposons depuis peu de sources d’une richesse extrême, les documents qu’Edward Snowden a rendus publics et qui ont mis à jour des pratiques massives de captation de l’information numérisée grâce à des techniques, souvent offensives, très diverses. En réalité, ces faits étaient sinon connus, du moins fortement soupçonnés par les spécialistes, mais ceux-ci n’imaginaient pas l’ampleur des moyens utilisés et l’ingéniosité des techniques employées. Les documents dits « Snowden » sont donc des sources (3) très précieuses car la plupart n’auraient certainement été mis à la disposition des chercheurs que dans 25 ans au moins — et encore partiellement entre destructions et caviardage. Certes, ils ne donnent qu’une vision fragmentaire de la réalité de la cyberguerre car d’autres sources du même genre font défaut, en particulier dans des pays non démocratiques, mais on peut émettre l’hypothèse qu’elles montreraient probablement des faits très proches de ceux révélés par Snowden car le milieu attaqué — le cyberespace — est le même (4). En tous cas, ces documents nous amènent tout d’abord à proposer de partir d’une représentation nouvelle de la géographie du cyberespace qui serait à la fois humaine et physique, c’est-à-dire d’une géographie d’un espace-temps à sept dimensions, tenant compte aussi des principales interfaces de ce cyberespace avec le monde « dit réel » et mettant en lumière ses caractéristiques les prédisposant aux cyberattaques — agressions numériques à effets réels.



Nous illustrerons ensuite la validité de ce nouveau cadre conceptuel avec deux exemples, d’une part, la dimension « cyber » de la guerre opposant la Géorgie à la Russie en août 2008, d’autre part, un épisode de la « guerre du chiffre » contemporaine, choix forcément subjectif et réducteur de deux situations d’affrontements entre États, en s’interrogeant à chaque fois sur l’identité de l’attaquant — et nous verrons que dans cette nouvelle forme de guerre l’attaquant est toujours « dans l’obscurité » —, l’objectif direct et particulier visé par lui — et là également, la cible et les dommages souhaités restent souvent obscurs ou très flous —, ses moyens — eux aussi classiquement gardés secrets ou du moins discrets —, et enfin son objectif global, autrement dit la finalité politique et stratégique de l’attaque — et là encore elle est généralement très ambigüe (5).



Enfin, cette approche nous permettra de dégager quelques perspectives et hypothèses quant aux guerres actuelles et futures qui, toutes, ont et auront une dimension numérique. Et nous reviendrons sur le constat initial que nous faisions sur l’omniprésence de la cyberguerre aujourd’hui, dans les grands affrontements géopolitiques et géostratégiques, sans pourtant qu’elle ne remette fondamentalement en cause ceux-ci, afin de comprendre pourquoi ce constat pourrait très vite être dépassé : la cyberguerre a en effet sa dynamique propre et, par exemple, l’autonomie des robots-tueurs pourrait, certes à un horizon difficilement prévisible, bouleverser totalement l’art et la géographie de la guerre.



I.    Une géographie classique du cyberespace et une géographie classique de la cyberguerre ?



Existe-t-il une géographie du cyberespace et peut-on donner une définition géographique du cyberespace ? Classiquement, ce dernier est défini comme un espace virtuel contenant des sociétés artificielles ; toutefois, dans cette définition, si le terme « espace » ne pose pas de problème, le terme « virtuel » lui est très imprécis car il masque la matérialité des composantes très géographiques de cet espace. Pis ! Il semble même laisser sous-entendre que cet espace est synonyme d’impunité ou d’inefficience. En réalité, la meilleure définition du cyberespace est moins géographique que sociotechnique : il est plus pertinent en effet de le définir comme un espace d’interaction entre une technologie et un ensemble d’êtres humains et c’est en cela qu’il représente une véritable construction sociotechnique, c’est-à-dire qu’il procède d’une alliance entre, d’une part, les processus communicationnels agissant dans les interactions sociales ainsi que dans les relations interpersonnelles et, d’autre part, les avancées techniques et technologiques qui les facilitent. Ses représentations évoluent d’ailleurs au rythme des innovations majeures (6) : « toutefois, écrit Daniel Ventre, aucune définition ne fait aujourd’hui consensus : s’agit-il d’un lieu, d’un territoire, d’un espace ? Est-il possible de le cartographier, d’y délimiter des zones de souveraineté nationale (7)? » Le double enjeu du contrôle et de la maîtrise de cet espace est donc un défi et subir une nouvelle géopolitique du cyberespace menace ceux qui ne parviendront pas à remporter ce défi que l’on pourrait transcrire par cette formule démarquée d’Yves Lacoste : si la géographie sert à faire la guerre, la géographie sert-elle à faire aussi la cyberguerre ?...



Premier constat, « cyberwar is storytelling » (8)… Et en effet, la cyberguerre fait l’objet depuis quelques années de nombreuses publications, études, colloques, discours et mêmes ou surtout fictions, sous toutes ses formes (9). En France, des publications (10) ont apporté sur le sujet un regard neuf, débarrassé de la subjectivité de l’« information dominance » et les travaux des deux chaires (11) créées depuis peu en France ont permis d’entamer et de développer nombre de réflexions que nous souhaitons prolonger ici.



Deuxième constat, dans une stricte approche géographique, la cyberguerre ne se résume pas à un affrontement entre États depuis que deux colonels de l’armée de l’air chinoise, les auteurs d’un ouvrage devenu un best-seller mondial, La guerre hors limite (12), ont revisité en 1999 le très classique Art de la guerre de Sun Zu en élargissant le concept de guerre et en révélant une nouvelle grille d’analyse de la géostratégie mondiale vue par leur pays dans laquelle la cyberguerre transcende tous les types d’affrontements : « À notre avis, écrivent-ils, les trois types de guerre décrits ici [militaire (nucléaire, conventionnelle, biochimique, écologique, spatiale, électronique, de partisans et terroriste), supramilitaire (diplomatique, de réseau, du renseignement, psychologique, technologique, de contrebande, de la drogue et virtuelle-dissuasion), non militaire (financière, commerciale, des ressources, d’aide économique, réglementaire, de sanctions, médiatique, idéologique)] sont des guerres bien réelles et non des métaphores ou des descriptions. Les guerres de type militaire sont toujours des guerres traditionnelles et classiques qui font appel aux armes. Les divers types de guerre appartenant à la catégorie non militaire n’ont rien d’exceptionnel en tant qu’affrontement, mais en tant que guerres, elles sont une nouveauté. Les guerres supramilitaires se situent entre les deux. Elles comportent certaines méthodes anciennes telles que la guerre psychologique et la guerre du renseignement. Elles en comportent d’autres tout à fait nouvelles comme la guerre des réseaux, la guerre virtuelle, à savoir le virtuel électronique. La méthode par laquelle Mozi met Gonshu Ban en échec relève partiellement de la guerre virtuelle. Voir La Stratégie des royaumes combattants (ouvrage du 3ème siècle avant notre ère) (13) ». Bref, pour les deux auteurs, aujourd’hui tout est guerre, la guerre est omniprésente, concerne tous les secteurs des sociétés, et aussi bien les milieux civil que militaire, et la nouvelle pensée stratégique chinoise(14) affirme que nous sommes entrés dans l’ère de ce que l’on appelle déjà « l’ultraguerre » et que celle-ci ce ne saurait s’envisager sans cyberguerre (15).



Cette cyberguerre, les pays « anglo-saxons » l’imaginent depuis longtemps : dès 1993 en effet, les États-Unis — le Department of Defense (DOD) - Joint Chiefs of Staff — définissent le concept de guerre de l’information (information warfare (16) puis Martin C. Libicki (Institute for national strategic studies, 1995), distingue et définit sept domaines dans la guerre de l’information (17) tout en introduisant le terme d’« information dominance » (18) qui marque profondément la première étape de la politique numérique (19) et les réflexions stratégiques américaines :



1.     Command and control warfare (C2W) : attaque des capacités de commandement et de communication de l’adversaire.



2.     Intelligence-based warfare (IBW) : guerre du renseignement par des moyens techniques et informatiques (recherche et protection).



3.     Electronic warfare (EW) : guerre électronique ; interception, dégradation, intrusion ou protection des systèmes d’information (cryptographie, chiffre).



4.     Psychological warfare (PSYOPS) : guerre psychologique, manipulation de l’information, désinformation, intoxication et influence.



5.     Hackerwar : attaques logicielles des systèmes d’information civils et militaires pour les détruire, les dégrader, les exploiter ou les compromettre.



6.     Information economic warfare (IEW) : guerre de l’information via le contrôle de l’information économique et financière.



7.     Cyberwar (20): utilisation des systèmes d’information contre des personnes virtuelles individuelles ou des groupes, combat sur Internet et traque du terrorisme ou des organisations criminelles.



Dans une deuxième étape, au cours des années 2000, plusieurs directives stratégiques publiques paraissent aux États-Unis : l’État fédéral a en effet compris que la guerre menée dans le cyberespace concerne à la fois le domaine militaire et le domaine civil privé, la cyberguerre n’est en effet ni strictement militaire, ni civile et privée, mais elle marque au contraire la consécration d’une industrie duale. Pour l’État fédéral, il devient donc vital, pour éviter d’être vulnérable, de protéger les entreprises privées — c’est le volet défensif de la cyberguerre —, mais aussi de négocier avec ces entreprises pour mener la guerre dans ce monde dual — c’est le volet agressif. Cependant, l’application de ces directives stratégiques publiques pour la mise en œuvre coordonnée de mesures de cyberprotection concernant, notamment, les « Critical Infrastructures » (« infrastructures vitales »), ne va pas sans difficulté entre l’État fédéral américain et les entreprises, à tel point que, par exemple, « The National Strategy to Secure Cyberspace » de 2012 connaît deux versions (21), une première très ambitieuse et une seconde, moins contraignante et élaborée après le recueil des commentaires des industriels américains (22) lesquels sont peu désireux de voir l’État régulateur intervenir dans leurs activités sous prétexte de les protéger de toute cyberagression.



Troisième constat, le cyberespace et la cyberguerre qui s’y déroule se caractérisent non seulement par un continuum des actes agressifs allant, de manière graduée, du cyber-vandalisme jusqu’à la cyberguerre en passant par le cyber-crime et le cyber-terrorisme — d’où l’usage commode et élargi du vocable fédérateur « cyberguerre » —, mais aussi par le très haut degré d’« obscurité » régnant dans cet espace et sur cette forme de guerre. Cette opacité se nourrit de caractéristiques singularisant la donnée numérisée — comme le clonage parfait propice aux fuites discrètes d’informations — et ses traitements — comme le théorème du virus propice aux attaques indétectables (23). La cyberguerre se prépare en effet dans l’ombre par du renseignement électromagnétique permanent et par un recensement, le plus discret possible, des vulnérabilités de l’adversaire ; ce qui compte alors c’est, outre la nature des cibles, l’ampleur des dégâts et la résilience des systèmes visés ainsi que la rhétorique, parfois fictive, qui accompagne certaines cyber-attaques (24) ; puis vient l’attaque qui elle aussi doit être synonyme d’« obscurité » pour avoir une chance de réussir, d’ailleurs les opérations réussies sont celles qui parviennent à effacer toutes traces (25).



Contrairement à la guerre traditionnelle où les alliances se nouent dans la durée, ces ambiguïtés favorisent des coopérations parcellaires et mouvantes. Ainsi, un document de l’agence américaine National Security Agency, révélé par Edward Snowden, illustre une triple alliance de circonstance dans le cadre de la cyberguerre avec l’Iran : « (TS//SI//REL TO USA, GBR) NSA-GCHQ-ISNU (26)Trilateral Discussions: In January 2013, during an NSA-ISNU analytic workshop on Iranian Leadership, the first ever unilateral VTC on an Iranian issue was held with NSA, GCHQ and ISNU participants. […] The trilateral relationship is limited to the topic of xxx and will serve as a proof of concept of this kind of engagement (27) ». Encore une fois, on voit ici toute la prudence, le flou, « l’obscurité » qui accompagnent le montage de ces cyber-opérations entre partenaires de circonstances.



Quatrième constat : se pose également très tôt aux États-Unis, la question du rattachement du cyberespace aux quatre espaces traditionnels du combat (Air, Terre, Mer et Espace) ; certains responsables de la Défense américains pensent alors possible de raccrocher la « cinquième dimension cyber » à l’Espace et imaginent même la possibilité de conclure un traité de cyber-paix analogue au traité de l’espace (28). Cependant, les caractéristiques comparées des cinq espaces de conflit (29) amènent finalement non pas à distinguer le cyberespace, mais plutôt à le rattacher de façon transversale aux quatre espaces géographiques classiques qu’il irrigue. Et la création le 21 mai 2010 du Cyber-Command américain (30) — sous-commandement interarmées de combat, subordonné à l’United States Strategic Command et dirigé par le directeur de la NSA — marque une nouvelle ère de la cyberguerre, cette création d’une entité transversale étant suivie par d’autres pays : en décembre 2009, la Corée du Sud annonce la création d’un cyber warfare command en réponse à la création d’une cyber warfare unit en Corée du Nord ; en 2013, le GCHQ britannique fait savoir qu’une cyber force est créée ; et, en 2010, la Chine met en place son premier « department dedicated to defensive cyber war and information security ».



Il est à noter que la Russie s’active à l’ONU depuis 1998 pour promouvoir des cyber-lois internationales touchant la diffusion de l’information (31). Récemment, elle a même haussé le ton et développé une nouvelle stratégie qui considère toute action de communication et d’influence comme une potentielle agression : « Domestically, Russia faces threats of actions aimed at violent change of the Russian constitutional order, destabilization of the political and social environment, disorganization of the functioning of governmental bodies, crucial civilian and military facilities and informational infrastructure of Russia (32) ». C’est une étape importante dans le passage à l’ère de l’ultraguerre : « Il s’agit de la prise en compte du passage de l’ère géopolitique à l’ère psychopolitique. […] Une action de communication et d’influence en vient par conséquent de plus en plus à être considérée comme un acte d’agression, voire une guerre dans son acception la plus large, – à la limite, une guerre total (33) ». Cette position russe relance les débats autour de la riposte possible à des cyberattaques majeures entre la Russie, la Chine et les États-Unis (34) par des armes allant du feu conventionnel jusqu’au feu nucléaire, mais il apparaît aussi très clairement que, même si les Russes déclarent vouloir répondre violemment à toute cyberattaque, la dissuasion numérique n’est pas d’une grande efficacité et ne saurait en tous cas remplacer la dissuasion nucléaire (35).



Aujourd’hui, une soixantaine de pays affirment posséder une capacité offensive dans le cyberespace, mais une analyse comparée(36) de ces déclarations montre là encore une certaine volonté de rester dans l’obscurité car elles ne transparaissent souvent que très discrètement dans quelques lignes d’un document public de stratégie nationale (37) où chaque pays détaille ses priorités en matière de cyberdéfense (38).



Enfin, dans le domaine cyber, la France présente une organisation singulière par rapport aux autres nations. Le choix a été fait de séparer les acteurs de la défense et de l’attaque — cette dernière relève de « personnels identifiés et rassemblés, dans une logique de métier, au sein de cellules spécialisées » (39) — et donc de ne pas créer un cyber-command, mais un commandement opérationnel de cyberdéfense(40) transversal au sein de l’État-major des Armées (41), alors que l’ANSSI (42), autorité de défense des systèmes d’information, est créée à la suite de la publication, le 17 juin 2008, du Livre blanc sur la défense et la sécurité nationale (43). L’article 21 de la loi du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 définit le cadre légal du recours à des cyberopérations : « Pour répondre à une attaque informatique qui vise les systèmes d’information affectant le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation, les services de l’État peuvent, dans les conditions fixées par le Premier ministre, procéder aux opérations techniques nécessaires à la caractérisation de l’attaque et à la neutralisation de ses effets en accédant aux systèmes d’information qui sont à l’origine de l’attaque ».



 



II.    Géographie et cyberforces : une technologie-clé, la cryptologie



Pour dépasser le « storytelling » capacitaire, la capacité de maîtriser des technologies-clés au premier rang desquelles la science cryptologique permet d’affiner la géographie des cyberforces en présence. En effet, aujourd’hui, la géostratégie du cyberespace est totalement dépendante de la science des moyens du secret qu’est la cryptologie, un domaine de recherche où les mathématiques sont reines.



Quelques définitions tout d’abord : la cryptographie et la cryptanalyse sont les deux composantes, indissociablement liées, de la cryptologie, laquelle comprend l’étude et la conception de procédés et de systèmes permettant de garantir l’intégrité et la confidentialité de données numérisées souvent à l’aide de clés réduisant considérablement la taille des éléments à garder secrets. La cryptanalyse, elle, peut être définie comme le cassage des procédés et des systèmes cryptographiques afin d’obtenir un message clair à partir d’un message chiffré et sans avoir a priori connaissance de la clé de chiffrement. L’art de la cryptanalyse consiste donc à trouver des raccourcis pour atteindre la solution avec un minimum d’effort ; alors que l’art de la cryptographie consiste lui à imaginer et spécifier des algorithmes sans court-circuit, c’est-à-dire dont la seule méthode d’attaque connue est la recherche exhaustive dans l’espace des clés (44).



Or, et c’est notre hypothèse, il est remarquable de constater que la situation géostratégique actuelle de la cryptologie dite gouvernementale — celle qui protège les secrets stratégiques — répond à une théorie des cercles autour des États-Unis.



En effet, il existe un premier cercle dominé par les États-Unis et regroupant les États participant au réseau d’écoute ECHELON/PRISM, à savoir la Grande-Bretagne, le Canada, l’Australie, la Nouvelle-Zélande, qui, à la suite d’accords remontant à plusieurs décennies — l’accord secret sur le SIGINT ou renseignement d’origine électromagnétique “United Kingdom - United States Communications Intelligence Agreement”, souvent appelé traité UKUSA, est signé le 5 mars 1946 et rejoint par les trois autres pays en 1947 — utilisent des produits ou au moins des circuits cryptographiques américains. Force est ici de constater que la puissance financière considérable de la NSA — laquelle, en 2015, est le principal employeur de plusieurs grands mathématiciens mondiaux — et l’effort soutenu par les États-Unis depuis un demi-siècle, assurent toujours à ceux-ci un réel contrôle de la science cryptologique, contrôle qui s’étend au monde civil — citons, par exemple, l’instrumentation et les piégeages quasi-généralisés des circuits ou des logiciels commerciaux, ce qui a été confirmé par les documents Snowden — et permet déjà en 1994 à la NSA de regarder les capacités des cryptologues européens participants au congrès Eurocrypt’92 avec une certaine condescendance et un réel sentiment de supériorité, comme le prouve l’édition d’avril 1994, récemment déclassifiée, de son journal interne Cryptolog (45)



On a pu supposer pendant un temps que les États-Unis et la NSA ne parviendraient pas à conserver leur hégémonie en terme de science cryptologique : dans un article de 1999, Seymour M. Hersh déclare en effet que « les fibres optiques et la cryptographie (qui ne peut plus être stoppée) poussent Fort Meade (siège de la NSA) dans les choux », que « les signaux sont de plus en plus complexes et difficiles à analyser car de plus en plus chiffrés » et que « la bataille de la cryptologie c’est du passé » (46). À cette époque, Seymour M. Hersh a à la fois raison et tort : les États-Unis prennent en effet très vite conscience de cette situation et adoptent plusieurs mesure d’urgence dont le recrutement massif par la NSA et de la CIA de scientifiques expérimentés en informatique (quelques milliers) et l’engagement dès l’année 2000 d’un budget annuel de 200 millions de dollars pour des recherches à long terme dans le domaine du renseignement d’origine électromagnétique. La NSA se donne alors dix ans pour changer radicalement ses systèmes d’écoutes traditionnels et les adapter techniquement à cette nouvelle donne, et elle y parvient, comme le prouvent les documents d’Edward Snowden.



Un deuxième cercle comprend des États comme la France, l’Allemagne, les Pays-Bas, le Japon, Israël ou la Suisse qui ont la capacité de développer industriellement des produits cryptologiques et qui mettent en œuvre une cryptographie gouvernementale indépendante. Signalons d’ailleurs que cette volonté se traduit aussi, en Allemagne par exemple, par la volonté de développer des logiciels ouverts — à code source publié — dans le domaine de la cryptographie civile — initiative gnu-pg. Il faut également noter la situation singulière d’Israël, dont l’unité de cyber-renseignement 8200 irrigue une industrie civile de l’interception ou de la cyberdéfense très innovante : « Gadi Mazor, le PDG d’Onset, entreprise spécialisée dans la reconnaissance vocale, écrivent Éric Denécé et David Elkaïm, ne cache pas qu’il a passé plusieurs années dans la très secrète unité de Tsahal. C’est de cette même université du renseignement que sont sortis Shlomo Dovra et Ehud Weinstein, les fondateurs de Nice Systems – société spécialisée dans la numérisation de données – et les créateurs des sociétés CheckPoint (Gill Shwed), Kela (Ygal Naveh et Nir Barak), ICQ, AudioCodes, Gilat et EZchip. Ainsi, en Israël, comme aux États-Unis, les liens entre les industries militaires et civiles sont particulièrement étroits, si bien qu’il n’est pas rare que les technologies d’abord développées à des fins militaires soient déclinées ou adaptées pour des usages civils et fassent la fortune des militaires, ou en l’occurrence des anciens du renseignement, reconvertis dans le business et qui ont créé des sociétés high-tech (47) ».



Un troisième cercle d’États tels la Belgique, l’Italie ou la Turquie s’en remettent quant à eux à l’OTAN pour leurs cyberéquipements, même s’ils disposent souvent de capacités technologiques propres de bonne qualité.



Enfin, il existe un quatrième et dernier cercle d’États — les pays de l’ancien bloc de l’Est, l’Iran, l’Irak, etc. — qui se fournissent sur un marché qui ne cesse de s’étendre mais à propos duquel on ne peut pas parler de maîtrise nationale faute d’industries informatiques et électroniques locales suffisantes.



Reste à évoquer le cas de la Chine, dont la situation est très différente en raison de ses importantes capacités industrielles — même s’il est difficile de les évaluer pleinement. Non seulement elle est de plus en plus active — ainsi, au sein de l’Union Internationale des Télécommunications, institution spécialisée des Nations Unies, à Genève — en matière de définition de normes de télécommunication, notamment sur la normalisation de la téléphonie mobile — 4G et bientôt 5G —, mais elle possède également des cryptologues de très haut niveau scientifique, comme on peut s’en rendre compte en fréquentant les congrès internationaux : citons seulement la collision de la fonction de hachage MD5, longtemps utilisée pour la signature électronique, présentée par Mme Wang Xiaoyun et son équipe durant la « rump session de CRYPTO 2004 » qui a fait sensation.



Il est ici intéressant de souligner que cette théorie des cercles géographiques — qui ne répondent pas à une logique de contiguïté géographique — est pleinement confirmée par les documents Snowden, lesquels permettent de tracer, d’une manière très proche de l’hypothèse et de l’analyse développées ci-dessus, des espaces concentriques d’États autour des États-Unis en matière de renseignement, même si les coopérations effectives sont difficiles à atteste (48). Le premier espace est l’alliance majeure des 5-eyes — États-Unis, Royaume-Uni, Canada, Australie, Nouvelle-Zélande — ; puis vient l’espace des 9-eyes — les 5 précédents plus le Danemark, la France, les Pays-Bas et la Norvège — ; suivi de celui des 14-eyes ou “SIGINT Seniors Europe” (les 9 précédents plus l’Allemagne, l’Espagne, l’Italie, la Belgique et la Suède. À noter le cas très singulier de l’Allemagne (49) à la fois terre d’accueil de sites de la NSA et en première ligne dans les protestations diplomatiques à la suite de la publication des documents Snowden. Enfin, on peut définir un quatrième espace, celui des pays ayant des accords avec la NSA, une trentaine dont l’Autriche, la Pologne la Grèce, la Turquie, la Thaïlande, la Malaisie, Singapour, le Japon, la Corée du Sud, Taiwan, Israël et l’Afrique du Sud.



 



III.    Un nouveau modèle de géographie du cyberespace ?



Le modèle géographique du cyberespace actuel ne permet pas de penser et de comprendre la cyberguerre d’aujourd’hui et surtout de demain, c’est ce que montrent Jérémy Robine et Kavé Salamatian dans un article récent et fondateur qu’ils concluent ainsi : « vers une cybergéographie ? Penser une cybergéographie impliquerait d’aller beaucoup plus loin que l’analogie de la géographie des infrastructures de l’Internet. […] De nombreuses questions abstraites et théoriques émergent, auxquelles seules des analyses de cas pourront apporter des réponses. Au sein du cyberespace, existe-t-il l’équivalent de distance, d’obstacles « naturels » ou non, ou encore de détroits ? Le cyberespace possède-t-il quelque chose comme une forme physique, que pourraient décrire des disciplines analogues à la géologie ou à la géomorphologie ? […] »(50).



Pour parvenir à saisir ce qu’est déjà et sera la cyberguerre d’aujourd’hui et du futur, nous proposons un modèle géographique élargi du cyberespace permettant d’en mieux saisir les complexités, et faisant intervenir deux nouveaux facteurs, le temps et la cybersécurité elle-même. La validité de ce modèle tient d’abord au fait qu’il faut se représenter le cyberespace comme un modèle en couches : en 1986 déjà, la définition française de la sécurité des systèmes d’information distingue trois niveaux d’actions : les hommes, les procédures et l’informatique ; comme on le voit, aucun de ces trois niveaux n’a de « résonnance géographique ». Une dizaine d’années plus tard, en 1995, Martin C. Libicki définit l’espace informatique selon trois niveaux conceptuels analogues : physique, logique et de la connaissance ; ce modèle ne présente pas non plus de référence à l’espace et, pour Libicki, d’un strict point de vue opérationnel, les systèmes civils peuvent être attaqués sur ces trois niveaux que l’on peut caractériser plus précisément comme physique, syntaxique et sémantique — soulignons que, dans ce même article, il propose aussi sept domaines dans la guerre de l’information.



Nous faisons ici le choix d’une modélisation en sept couches ou niveaux plus fins pour mieux appréhender la complexification croissante du cyberespace (51) et de sa géographie, et comprendre l’importance du secret entourant nombre de composants de l’espace numérique car, champ privilégié du renseignement actuel, le cyberespace renferme de nombreuses chausse-trappes (52) entretenant une « obscurité numérique » propice aux affrontements discrets. Comme base de ce modèle, nous reprenons ici celui en couches retenu par la National Security Agency dans une présentation de son outil en temps réel de visualisation, d’exploration et d’analyse de l’état des réseaux numériques mondiaux appelé “TreasureMap”. Cet outil, qui se veut le pendant de la cartographie “Google Maps” n’était accessible qu’aux “Five Eyes”, mais, lorsque « l’affaire Snowden » a éclaté, le grand magazine allemand Der Spiegel a publié et mis en ligne ce document (53).



Ce « modèle NSA » de géographie du cyberespace structure le Net en cinq couches ou niveaux dont nous ne pouvons donner qu’une interprétation, le document disponible ne permettant que de formuler des hypothèses :



- le niveau « Persona Layer » ou « Niveau des Personnes non connectées » (PNC) : il s’agit ici probablement de l’ensemble des individus exclus du monde des internautes car ne disposant pas d’équipements électroniques. Si l’on estime à 3 milliards le nombre d’internautes (54), cela représente une majorité de 4,2 milliards de personnes (55) non connectées, ce qui illustre la fracture numérique mondiale. Pourtant, ces personnes sont également touchées par le cyberespace et en sont des acteurs involontaires parce qu’elles peuvent être en contact avec des personnes qui elles, sont connectées ou sont la cible de technologies invasives ;



- le niveau « Cyber-Persona Layer » ou « Niveau des Personnes connectées » (PCO) : désignés sous le terme de « cyber-personnes » ou « cybernautes », ce sont les 3 milliards d’internautes dont la plupart accèdent au Net par des ordiphones, et si les acteurs de ce niveau « humain » sont aujourd’hui, d’une part, les sociétés privées qui construisent le cyberespace, d’autre part, les usagers, il est évident, sans faire d’anticipation fantasmée, que se posera bientôt la question de la place dans cette catégorie des robots humanoïdes ou animaloïdes ;



- le niveau « Logical Network Layer » ou « niveau logique » (LOG) : ce sont les programmes, codes, microcodes composant les langages du cyberespace et qui sont traduits en « code machine » par des compilateurs. C’est à ce niveau logique que sont construits les protocoles de communications, les logiciels et les outils des quatre piliers du futur cyberespace que sont « l’infonuagique » ou cloud, la mobilité, les réseaux sociaux et le Big Data (traitement de données massives) ;



- le niveau « Physical Network Layer » ou « niveau physique » (PHY) : il s’agit de l’ensemble des machines (ordinateurs, routeurs, commutateurs, disques), des terminaux, des composants matériels « hardware », des baies dans les centres de calculs, etc. On y rajoute les liens physiques filaires — fibre optique et cuivre — et les liens radio avec leurs équipements spécifiques opérant dans le spectre électromagnétique. Pour des raisons de coûts et de consommation, une convergence matérielle vers des cartes électroniques programmables « à tout faire » — calcul, stockage et routage — a déjà commencé et les limites de ce niveau avec la couche logique sont floues et mouvantes ;



- le niveau « Geographical Layer » ou « niveau géographique » (GEO) : l’idée qui sous-tend l’existence de cette couche est que tous les équipements électroniques sont géo localisables et qu’une concentration s’amorce déjà dans les datacenters ou centres de données. Par ailleurs, comme la propagation des rayonnements électromagnétiques obéit à des lois physiques, ceux-ci peuvent être modélisés et une cartographie peut en être effectuée.



Cependant, il nous semble que ces cinq niveaux sont insuffisants pour décrire et expliquer la géographie du cyberespace et qu’il faut en ajouter encore deux. Le sixième, le « niveau temps » (TPS), est un facteur transversal décisif de compréhension de la cybergéographie car toute mesure de distance dans le cyberespace comprend désormais la variable temps, la vitesse étant le facteur-clé de la cyberguerre : l’attaque doit être foudroyante pour surprendre le défenseur — mais l’exploitation de cette attaque peut au contraire être volontairement très lente pour la rendre invisible, « obscure »…



Enfin, dernier niveau, le « niveau cybersécurité » (CYS) constitue une septième dimension « verticale » dont l’objectif est de transcender l’ensemble des couches. Il s’agit d’une dimension très sémantique car ce qui est important dans les cyberaffrontements, c’est l’insécurité, laquelle tire profit des protections insuffisantes et d’un risque zéro inatteignable comme le prouvent certains théorèmes mathématiques, comme celui du virus (56).



 



IV.    Quelles sont les caractéristiques du modèle de géographie du cyberespace qui favorisent les affrontements et la cyberguerre ?



Cette géographie d’un espace-temps à sept dimensions que nous avons définie comme un nouveau modèle de géographie du « cyberespace élargi » permet de mieux comprendre ce que sera la cyberguerre dans le futur. Il suffit pour cela d’identifier les caractéristiques de ces sept dimensions les prédisposant aux cyberattaques.



PNC (Personnes non connectées)



Premier constat, aujourd’hui, où que l’homme se trouve, il est intégré au cyberespace et peut donc être concerné par n’importe quelle action de cyberguerre : ne pas être connecté n’est plus suffisant pour échapper aux effets des technologies numériques (57) car les techniques intrusives — vidéosurveillance, drones, biométrie, capteurs divers, satellites d’observation, etc. — se développent très rapidement pour permettre un contrôle plus étroit de la société et se miniaturisent de plus en plus — bientôt on en sera aux smart dust, ou « poussières intelligentes ». Par ailleurs, les traitements massifs du Big Data — reconnaissance faciale et apprentissage automatique, par exemple — rendent possible une identification des personnes hors d’un « état civil » dûment contrôlé, à partir d’un nombre très réduit de captations : sur le Net l’image est reine (58) !



PCO (Personnes connectées)



Bien sûr, la deuxième strate de notre modèle est certainement une des plus sensibles aux actions de cyberattaques, que celles-ci soient ou non intégrées dans des activités plus larges de cyberguerre. L’homo numericus évolue en effet, parfois sans en mesurer les conséquences, dans un « marécage » où les géants du Web — peu nombreux : les GAFA : Google, Amazon, Facebook et Apple, auxquels il faut ajouter Microsoft — ont acquis une puissance formidable — mais la concentration des acteurs est aussi devenu un facteur de risque supplémentaire. Les fournisseurs de contenu ont d’ailleurs supplanté financièrement ceux de tuyaux et autres équipementiers de télécommunications grâce aux traitements informatiques massifs du Big Data (59) et aux revenus de la publicité ciblée : « Ces multinationales constituent une puissance économique redoutable, écrit Louis Pouzin. Elles détiennent un pouvoir politique grâce aux internautes qu’elles représentent. Et n’hésitent pas à brandir les pertes financières qu’elles subiraient si demain les gens n’avaient plus confiance en elles et s’en détournaient. Les États-Unis contrôlent déjà tous les verrous d’Internet et proposent leurs services dans le monde entier. C’est un système de colonisation bien connu depuis le XVIIIème siècle : on utilise les ressources du pays occupé pour les lui revendre après traitement. […] Il s’agit d’une colonisation informationnelle. Aujourd’hui, la richesse ne provient plus de l’industrie textile, des machines-outils ou même de l’exploitation du pétrole, mais bien de l’information, un domaine dans lequel ces acteurs détiennent un avantage déterminant (60) ».



Les États-Unis exercent donc un quasi-monopole sur le cyberespace et, dans une déclaration du 13 février 2015 (61) qui a scandalisé plusieurs acteurs européens (62) le président Barack Obama a dénoncé la multiplication des enquêtes contre Google et Facebook sur le respect de la vie privée et les pratiques anticoncurrentielles comme une forme de protectionnisme européen : « Parfois, les réponses européennes sont davantage dictées par des intérêts commerciaux [...]. Leurs fournisseurs de services qui, comme vous le savez, ne peuvent pas lutter contre les nôtres, essaient seulement d’empêcher nos entreprises d’opérer là-bas. Nous avons possédé Internet. Nos entreprises l’ont créé, l’ont développé et l’ont amélioré de telle manière que l’Europe ne peut pas lutter  ». Autrement dit, pour le président américain, l’Europe n’a pas la main, elle ne la prendra pas et ne peut rivaliser avec l’Amérique !



Pis encore ! L’approbation, à une majorité de 3 contre 2, par la Federal Communications Commission (63) de la neutralité de l’Internet (64) consacre cet « impérialisme numérique » des États-Unis et empêche toute réaction européenne sur ce sujet : cette neutralité force l’Europe en effet à laisser passer tous les contenus…



Certains acteurs européens souhaiteraient bien s’affranchir du contrôle américain sur l’Internet et la pseudo émancipation de ce contrôle américain de l’organisme pour l’attribution des noms de domaine ICANN participe de ce mouvement. Mais, comme cela a été particulièrement discuté lors de la conférence mondiale sur les télécommunications à Dubaï en 2012 (65), cela revient à une sorte de balkanisation de l’Internet, elle-même dénoncée par l’un de ses concepteurs français, Louis Pouzin. Cette tentation de la balkanisation est bien illustrée par la carte du nouveau traité signé par les pays en noir, alors que les pays en rouge suivent les consignes étatsuniennes de non-ratification.



Dans le monde connecté, le risque majeur est celui de la manipulation et les documents Snowden apportent un éclairage cru sur les possibilités de manipulation des personnes connectées. Tout d’abord, par le biais des réseaux dits sociaux — Facebook, LinkedIn, Twitter, blogs, etc. — qui dessine une nouvelle géographie humaine : les documents Snowden montrent par exemple que le programme Synapse de la NSA vise à collecter et conserver, pour chaque internaute, 94 critères d’identité — numéro de téléphone, emails, adresse IP, etc. — afin d’y corréler 164 types de relations — profilage par les réseaux sociaux, paiements électroniques, profils d’intérêt, déplacements, géolocalisation, etc. C’est ce que la NSA définit comme « l’identité numérique » et un cours dispensé par le GCHQ (66) (et disponible en ligne…) réinvente le concept du MICE (67) autour de cette « identité numérique étendue » détaillant les techniques de cyber manipulation, de discréditation d’une cible, de tromperies, de ciblages sur les réseaux, etc. pour aller jusqu’à expliquer comment pousser un homme d’affaires vers un hôtel « sigint friendly » (68)… Ce monde est déjà là et Thomas Drake, ingénieur en sécurité à la NSA de 2001 à 2008, annonce les prémices d’un état de surveillance panoptique (69) où la phrase du philosophe Michel Foucault prend un relief particulier : « En somme, on inverse le principe du cachot ; ou plutôt de ses trois fonctions — enfermer, priver de lumière et cacher — on ne garde que la première et on supprime les deux autres. La pleine lumière et le regard d’un surveillant captent mieux que l’ombre, qui finalement protégeait. La visibilité est un piège (70) ».



LOG (Logique)



La strate « logique », autrement dit les programmes informatiques, comporte elle aussi des caractéristiques la prédisposant aux cyberattaques et donc à une vulnérabilité dans une cyberguerre. Ainsi, dans le célèbre article de Lawrence Lessig « Code is Law » (71), la nature régulatrice du code est mise en exergue : « Nous sommes à l’âge du cyberespace. Il possède lui aussi son propre régulateur, qui lui aussi menace les libertés. […] Ce régulateur, c’est le code : le logiciel et le matériel qui font du cyberespace ce qu’il est. Ce code, ou cette architecture, définit la manière dont nous vivons le cyberespace. Il détermine s’il est facile ou non de protéger sa vie privée, ou de censurer la parole. Il détermine si l’accès à l’information est global ou sectorisé. Il a un impact sur qui peut voir quoi, ou sur ce qui est surveillé. Lorsqu’on commence à comprendre la nature de ce code, on se rend compte que, d’une myriade de manières, le code du cyberespace régule. »



Dans le cadre d’opérations militaires, il devient donc crucial de protéger cette « strate logique » de toute attaque et, au préalable, d’avoir ramené à zéro tout risque de vulnérabilité car, dans le monde militaire du XXIe siècle, l’ensemble des systèmes d’armes conventionnels dépend fortement de l’électronique et de programmes logiciels embarqués de plus en plus complexes, d’autant plus que les armements sont robotisés jusqu’à être bientôt autonomes (72). Les systèmes d’armes sont donc des cibles privilégiées pour des cyberattaques qui en visent les maillons faibles ; un exemple représentatif de ce risque est la prise en compte, tardive, des vulnérabilités des systèmes industriels — présentés sous le terme réducteur de systèmes SCADA — d’un navire de guerre (73), concernant, au-delà des systèmes classiques de navigation, la propulsion, l’énergie ou la gestion des systèmes auxiliaires.



Plus précisément, l’arsenal offensif de la cyberguerre consiste en une combinaison de logiciels malveillants de toutes natures, et nombreux sont les documents et rapports donnant une vision catastrophiste de leur prolifération (74). Ces documents émanent, pour la plupart, des géants de la lutte antivirale — quatre sociétés américaines, une britannique et une russe — qui disposent de capteurs efficaces à savoir leurs suites logicielles, et même si les scenarii catastrophes de Hollywood relèvent encore de la fiction, les documents Snowden, mais aussi ceux de Wikileaks permettent de mesurer l’ampleur des défis futurs pour endiguer les effets néfastes de programmes malveillants dans un monde qui, avec l’Internet des objets et la robotisation croissante des activités humaines — santé connectée, villes intelligentes, usines 4.0, véhicules connectés, smartgrids… —, est de plus en plus vulnérable à leurs charges actives, comme on peut le constater à travers deux exemples.



Le premier, dévoilé par Wikileaks (75), concerne une suite logicielle complète de cyber-surveillance appelée Finfisher et commercialisée par Gamma International, filiale allemande de la société britannique Gamma Group, à destination des agences gouvernementales, forces de l’ordre et services de renseignement — 36 pays sont cités. L’existence de ce logiciel est révélée le 5 août 2014, lorsqu’un pirate met en ligne une archive de 40 Go contenant à la fois le code source de certains logiciels de la gamme Finfisher, des listes de clients, des factures — l’une d’elles indique un montant total de 2 930 959,46 euros — et de la documentation en lien avec les logiciels. Pourtant, en avril 2014, une batterie de tests effectuée par 35 logiciels antivirus les plus utilisés par les particuliers ou les entreprises n’avait été capable de détecter le logiciel Finfisher(76) qui, en partie, avait déjà proliféré.



Le second exemple est un code malveillant désigné sous le nom de Flame (77) qui aurait agi dans le cadre de l’opération « Olympic Games » (78)attribuée à la NSA, opération visant le programme nucléaire iranien. Cette « trousse à outils modulaire de cyberespionnage (79) », découverte en 2012 suite à une attaque de type « effacement de données », exploitait une vulnérabilité de conception Microsoft et était en activité depuis au moins 2008 sans avoir été détectée par aucun produit de sécurité — elle s’intéressait tout particulièrement aux fichiers de conception automatisée par ordinateur… Son mode opératoire consistait en un simulacre de mise à jour Windows — d’où sa taille inhabituelle — et exploitait également une attaque cryptographique avancée à base de « collisions MD5 » nécessitant expertise et ressources de haut niveau pour la détecter… Les budgets de développement des cyber-armes, au sein de la seule NSA, dépassent le milliard de dollars (80) !...



Mais là où la géographie classique est bouleversée, c’est lorsque l’on comprend que celle du cyberespace de demain est mobile, mouvante, que ses acteurs, les lieux et les flux se déplacent sans cesse en quelques millisecondes. En effet, pour amplifier l’effet des programmes malveillants et les diriger dans des affrontements plus globaux, il faut une puissance de frappe informatique, de préférence délocalisée mais à capacité de contrôle centralisé : ce sont les botnets ou réseaux de machines infectées qui ont réellement débuté leurs méfaits en 2002 — en 2007, Vint Cerf, l’un des pères d’Internet, considérait qu’un ordinateur sur quatre faisait partie d’un botnet — tels Storm, entre 250 000 et 1 million de systèmes contaminés (81) ; Zeus 3,6 millions ; Koobface 2,9 millions ; TidServ 1,5 millions et Conficker plus de 10 millions… ; la NSA elle-même possède son propre Botnet et cherche aussi à infiltrer ceux des acteurs du cybercrime (82). De fait, ces botnets dessinent une nouvelle géographie que l’on pourrait qualifier de « fractale » qu’il est bien difficile de représenter sur la carte du monde car, aujourd’hui, même les machines de contrôle et de commande sont nomades !



Enfin, de nouvelles classes d’attaques se développent, à cheval sur les couches physique et logique (83), ce qui rend de plus en plus complexe leur éradication.



PHY (Physique)



Les caractéristiques prédisposant la strate « physique », celle des composants informatiques et des fabricants d’équipements informatiques — très liée à la précédente — aux cyberattaques et à la vulnérabilité dans une cyberguerre sont plus difficiles à cerner.



Il existe tout d’abord une géographie des fournisseurs de base d’équipements numériques se caractérisant à la fois par le fait que les petites entreprises ont quasiment disparu en raison de la complexité croissante des équipements et d’un approvisionnement de moins en moins diversifié. Pour ne prendre qu’un exemple, seules IBM (USA) et TSMC (Taïwan) détiennent les savoir-faire physico-chimiques dans le secteur des fonderies électroniques « silicium ». Certes, des changements majeurs et des révolutions technologiques affecteront cette couche dans les prochaines années avec l’arrivée, après le silicium, d’une électronique à base de nouveaux matériaux comme le graphène, le silicène, le germanène, le stanène et le phosphorène, sans parler de l’apport des nanotechnologies, mais si ces technologies ne sont maîtrisées que par un nombre très réduit d’États comme on peut le supposer, la vulnérabilité des autres en cas de guerre et de cyberguerre augmentera d’autant.



Autre géographie du cyberespace, celle des grands équipementiers, des grands fabricants d’équipements, ordinateurs, ordiphones, etc. Là encore, la vulnérabilité de ces produits est importante car il existe désormais des « pièges électroniques » franchissant presque tous les obstacles physiques. Ainsi, dans le catalogue des « pièges électroniques » de la NSA dévoilé le 30 décembre 2013 (84), on trouve une technique radar apte à franchir l’« air gap » des systèmes d’informations non connectés gérant des secrets relevant de la défense nationale dans de nombreux pays. Et, d’après le document (85), elle permet aux techniques d’interceptions liées aux rayonnements parasites compromettants — souvent désignées sous le vocable Tempest — de bénéficier d’un rayon d’action plus important — jusqu’à 8 miles ; et un autre document, de juin 2010 celui-ci, intitulé Stealthy Techniques Can Crack Somme of SIGINT’s Hardest Targets, montre des photos d’un atelier de piégeage de matériels interceptés durant leur chaîne logistique de livraison.



GEO (Géographique)



La strate géographique du nouveau modèle de cyberespace que nous proposons fait apparaître elle-aussi des vulnérabilités en cas de cyberguerre car, même si la géolocalisation des constituants principaux de l’Internet — tuyaux de communication, datacenters, nœuds d’interconnexions — est une donnée souvent protégée, la localisation des antennes relais en revanche est publiée (86) ainsi que l’allocation des bandes de fréquence, enjeu d’une compétition mondialisée car les bonnes fréquences — celles qui pénètrent dans les bâtiments — sont des ressources rares et seules quelques assignations au profit de la Défense (87) sont couvertes par le secret.



Dans le même ordre d’idée, la liste ainsi qu’une géographie approximative des câbles optiques sous-marins — deux ou trois sociétés au monde maîtrisent la technique de leur pose — sont librement disponibles (88), mais ne permettent pas la localisation précise de leurs parcours afin de ne pas faciliter les attaques et leur destruction (89). Quant aux stations d’atterrage, elles peuvent constituer des points de vulnérabilité, même s’elles ne constituent pas des points privilégiés de recueil d’information de renseignement Sigint (90). Force est donc de constater que la possession et le contrôle de réseaux sous-marins devient aujourd’hui un enjeu majeur de géostratégie, d’ailleurs, une des premières décisions de l’alliance BRICS a été de construire un câble reliant la Russie, la Chine, l’Inde, l’Afrique du Sud et le Brésil dont l’achèvement est prévu fin 2015 (91).



Tout aussi vulnérables sont les fibres suivant des parcours terrestres souvent le long de mini-frontières ou de tracés géographiques facilement identifiables : routes, canaux, chemins de fer, câbles aériens, canalisations…



Mais la principale vulnérabilité de la « couche géographique » réside dans les points d’échange Internet. Pour le comprendre, il faut se représenter « l’Internet (…), [comme] un réseau de réseaux, écrivent Jérémy Robine et Kavé Salamatian. Si l’on comparait l’Internet au globe, il serait peuplé d’« autonomous systems », les AS, qui en seraient les pays, séparés par des frontières, avec chacun sa législation, c’est-à-dire sa politique de routage et d’accès. L’Internet est constitué d’environ 42 000 AS, chacun identifié par un numéro. Chaque AS est constitué d’un ensemble de routeurs gérés par une seule autorité administrative qui décide des politiques de routage à appliquer. […] Pour s’échanger des paquets, les AS utilisent des machines spécialisées, des routeurs, qui utilisent le protocole BGP, “border gateway protocol”, signifiant en français protocole de passerelle ou de frontière (92) ». Et ces principaux points d’échange Internet — Internet eXchange Point IXP, également appelés Global Internet eXchange GIX — constituent une infrastructure physique permettant aux différents fournisseurs d’accès d’échanger du trafic Internet entre leurs réseaux de systèmes autonomes grâce à des accords mutuels dits de peering. Or, la liste des principaux IXP est disponible en ligne même si leur implantation géographique exacte — souvent dans des datacenters urbains — reste floue (93), mais si l’on tente une anamorphose cartographique à partir des interconnexions de ces AS, on peut redessiner les vraies frontières du cyberespace et aller encore plus loin dans cette représentation géographique en y incluant le facteur temps, à savoir les capacités de transmissions ou de traitements.



Il resterait encore à évoquer la géographie du renseignement d’origine électromagnétique (Sigint) qui s’intéresse aussi historiquement aux communications satellitaires ainsi que ses vulnérabilités en cas de cyberguerre. Dans ce domaine, celui des satellites de télécommunications ayant un cône limité de couverture, seuls quelques pays, dont la France (94), disposent de stations d’écoute à couverture mondiale et leur localisation géographique est un atout majeur en cas de cyberguerre. Ainsi, dans les années 1960, l’archipel des Chagos a été acheté aux Mauriciens par les Britanniques pour 3 millions de livres et une promesse d’indépendance, puis l’archipel est devenu le British Indian Ocean Territory (BIOT) et l’un des principaux centres d’écoutes de la NSA, dirigé vers l’Asie (95).



TPS (Temps)



La sixième strate de ce modèle géographique du cyberespace, celle du « temps », possède elle aussi des caractéristiques la rendant vulnérable. En matière de cyberguerre, le temps est en effet une arme, notamment dans le domaine de la bourse et de la finance — et aujourd’hui, toute attaque d’un État contre un autre, débute par des attaques boursières — et la première guerre entre robots logiciels a démarré en 1999 après l’autorisation donnée l’année précédente par la U.S. Securities and Exchange Commission pour que les transactions boursières puissent se faire de manière électronique.



En bourse, le temps moyen d’exécution d’un ordre est d’une seconde. Grâce au système du high-frequency trading (HFT) une transaction, peut se faire en 5 microsecondes, le record actuel est de 740 nanosecondes. Or, près de 95% des ordres boursiers transitent par les robots du high-frequency trading — une formule veut que, dans le HFT, une milliseconde gagnée, c’est 100 millions de dollars gagnés. Face à cette « arme temps », la seule parade est d’aller plus vite encore ! Aussi, des spécialistes mettent-ils maintenant en équation « l’éconophysique » (96), une nouvelle branche de la physique visant à localiser physiquement les machines et routeurs du HFT au plus près des salles de marché qui elles sont virtuelles, afin de gagner du temps sur le temps (97) ! Bref, après le temps contre la géographie, la géographie contre le temps…



Et, dans cette lutte, les machines sont de plus en plus autonomes comme le montrent les suites d’un faux tweet de l’Associated Press, reçu par ses 2,5 millions abonnés le 23 avril 2013, à 13 h 07 et 50 secondes, et annonçant un attentat à la Maison Blanche, dix jours après ceux de Boston. Or, entre 13 h 08 et 13 h 10, le Dow Jones perd 147 points, soit 136 milliards de dollars de capitalisation et, à la fin de la journée, il finit en hausse de 1,5% : l’argent a donc changé de main, il n’a pas été détruit. Deux hypothèses : soit il s’agit d’un emballement algorithmique autonome d’un robot réagissant de lui-même à la fausse annonce de l’attentat à la Maison Blanche, soit d’une décision humaine survenue en 10 s (!) après la fausse annonce. À n’en pas douter, même s’il ne s’agit que d’une hypothèse, un robot a certainement pu aller plus vite qu’une intervention humaine — ce qui est encore plus angoissant…



Le temps est bien devenu le facteur-clé de toute attaque dans le cyberespace, car une arme informatique est hypersonique : en 2003 déjà, le ver Slammer a failli infecter tout l’Internet en moins de 15 minutes et seule une erreur de programmation en a limité les dommages !



La cyberguerre ne fait plus seulement intervenir l’homme, le robot intervient également et son temps d’action et de réaction est inhumain. Et face à ce cyberguerrier, seul un cyberdéfenseur peut agir.



CYS (Cybersécurité)



Dernière strate du nouveau modèle géographique du cyberespace, la « couche cybersécurité » possède elle également ses caractéristiques qui la rende vulnérable en cas de cyberguerre.



Clairement, les protections périmétriques et la surveillance interne des traces ou des comportements sont nécessaires afin de protéger les systèmes d’information — les efforts et les budgets de sécurisation devront se concentrer sur les données les plus sensibles —, mais elles sont insuffisantes : d’une part, les vieux modèles de sécurité statique ont désormais 40 ans et sont obsolètes, d’autre part, le nomadisme, ou le fait que les salariés ont tout sur leur ordiphone dans les entreprises, oblige toutes les autres données à une transparence forcée.



Surtout, la défense des systèmes d’information ne se réduit pas au durcissement des architectures et l’assemblage de composants sécurisés ne garantit pas la solidité du tout. En réalité, la complexité facilite le travail de l’attaquant, parce qu’il doit chercher un « chemin d’attaque » et il trouvera toujours une porte d’entrée. A contrario, la monoculture technologique favorise et fragilise tout à la fois le contrôle centralisé. Il faut donc protéger la cyber diversité malmenée par beaucoup d’écosystèmes numériques fermés, dont aucun n’est européen. Par analogie avec la diversité des espèces, le plus grand rempart immunitaire contre la perte d’un écosystème, la cyberdiversité est le constituant principal d’une véritable défense en profondeur.



Reste la question de l’obscurité car la cybergéographie devra toujours composer avec cette dernière qui est une construction technique (98) : il n’y a pas sur les réseaux d’anonymat intrinsèque, tous les paquets qui font circuler l’information ont, au minimum, une adresse source et une adresse destination. Pour répondre au risque pesant sur la vie privée traquée sur les réseaux numériques, les critères communs de sécurité ont introduit, dès 1999, quatre fonctions pour la protection des données personnelles : l’anonymat, le pseudonymat, l’impossibilité d’établir un lien et la non-observabilité. Le pseudonymat, par exemple, est impératif dans tous les traitements massifs concernant la santé humaine. Ces fonctions servent d’abord l’honnête homme ; elles sont utilisées pour protéger l’intimité, respecter les droits fondamentaux de l’homme à communiquer librement et rendre le cyberespace vivable. La contrepartie, c’est leur usage par le criminel pour masquer ses méfaits parfois en usurpant l’identité d’autrui.



 



V.    Validité du concept : la guerre de Géorgie



La cyber-attaque qui fournit la doxa originelle du concept de cyberguerre (99), est l’attaque contre les sites gouvernementaux estoniens en 2007. Cette attaque, contre un pays qui a fait le choix politique d’être le plus connecté d’Europe jusqu’au vote par Internet, est d’une grande banalité technologique si on la compare aux agressions plus récentes et elle a donné lieu à une littérature aussi abondante que peu technique. Il s’agit d’une attaque combinée en déni de service distribué, avec défiguration de sites, attaques de serveurs de noms de domaines et envoi de pourriels dont les effets ont dépassé le cadre habituel à cause d’une résilience très faible d’un système et d’un réseau national insuffisamment redondant et protégé. Il n’est pas utile de revenir sur l’ensemble des faits largement commentés, l’implication des autorités russes n’ayant d’ailleurs pas été formellement démontrée et les enquêtes journalistiques étant souvent dans l’exagération : « Pour y parvenir, les hackers ont dirigé des bataillons d’ordinateurs zombis, les botnets, pilotés à distance, qui se sont connectés simultanément sur un même site. “Lors de l’attaque estonienne, ces ordinateurs provenaient de soixante-dix pays différents”, précise le militaire (100) ». Selon une source fiable (101), la localisation des ordinateurs zombis était la suivante : « Top 10 “hostile” countries by attacker IP : Egypt 6082; United States 5231; Vietnam 1601; Turkey 988; Peru 789; Poland 620; Germany 587; Russia 527; India 521; Brazil 510 ». On est très loin des attaques massives ultérieures…



Plus instructive, la guerre de Géorgie fournit un exemple, certes controversé (102), d’accompagnement d’opérations de guerre classiques par des affrontements cyber. Elle est présentée comme le premier conflit armé dans l’ensemble des espaces (terre, air, mer, espace et cyberespace) et depuis, toutes les guerres possèdent un pendant cybernétique (relayé sur les réseaux sociaux par les mots-dièses #OpUkrain, #OpSyria, #OpFrance, etc). Notre analyse porte uniquement sur sa dimension cyber, à partir de sources principalement occidentales. Pour une description plus classique, nous renvoyons à l’article détaillé de Jacques Sapir, directeur d’études à l’EHESS dont la conclusion aborde la guerre de l’information : « Globalement, ce conflit aura apporté la démonstration que les États-Unis ne sont plus en mesure d’exercer leur hégémonie, que ce soit à travers le hard power ou le soft power (103) ».



PNC (Personnes non connectées)



Le taux de connexion de la Géorgie est de 50% et il est un peu inférieur à celui de ses voisins. Les attaques en déni de service ont ciblé prioritairement les sites opérés depuis Gori ainsi que des sites d’actualités locales dans les zones de combat de façon à dégrader les relais de communication du gouvernement central de Tbilissi et à démontrer son incapacité à rester souverain dans son cyberespace et son impossibilité d’informer en temps-réel les populations touchées par les tirs et bombardements. Cela a affecté, par ricochet, les personnes non connectées dépendantes des nouvelles relayées par leurs proches.



PCO (Personnes connectées)



Le “blackout” du cyberespace, qui a dominé durant la courte période des combats, a participé à la panique et au désarroi parmi la population (104), mais a eu moins d’effets que les armes traditionnelles.



L’analyse des acteurs présumés de la cyberbataille permet, en revanche, de tracer quelques caractéristiques valables pour les cyberguerres à venir. Ainsi, la porosité entre des acteurs dont les objectifs sont principalement lucratifs (cybergangs, cybermercenaires, officines), d’autres à but politique (hacktivistes, cyberpatriotes) et d’autres enfin étatiques (services spécialisés) apparaît dans un rapport de 2009 de la société de consultants Greylogic (105). Des indices, concernant notamment l’adresse réseau du site de propagande stopgeorgia.ru et des proximités physiques dans Moscou de quelques acteurs identifiés, impliqueraient les services russes (GRU/FSB) et certains groupuscules. Sont nommément cités : Nashi (http://nashi.su), Molodezhnoye demokraticheskoye antifashistskoye dvizhenye (Jeunes démocrates antifascistes), et le “Russian Business Network”, organisation étudiée en 2007 par un expert français dans un rapport (106) dont la conclusion est : “This nefarious organisation has become very convenient for hosting cybercrime activities and it may continue for a long time”.



LOG (Logique)



La nature des attaques (déni de service distribué, défiguration, attaque de serveurs de noms de domaine, prise de contrôle avec exfiltration de données) n’appelle pas de commentaires particuliers. Lors du pic des attaques, jusqu’à six Botnets ont été repérés, chacun ayant son propre serveur de contrôle (107). En revanche, la coordination des salves successives avec les événements « réels » laisse peu de doute sur le pilotage par les états-majors russes. Différentes phases ont pu être constatées : attaques en déni de service de 54 sites géorgiens (communications, finance, gouvernement) ; exfiltration d’informations pour le renseignement ; défiguration de sites pour la propagande (108). Ainsi, le site stopgeorgia.ru a servi de relai médiatique aux actions et proposé, en téléchargement, un logiciel (intitulé DoSHTTP) permettant d’associer les sympathisants aux actions de saturation : les frontières de la guerre traditionnelle sont ainsi abolies.



PHY (Physique)



Dès le 8 août 2008, des mesures de guerre électronique habituelles sont utilisées par les forces russes afin de détecter, par goniométrie, les centres de commandement géorgien, de caler leur destruction et brouiller les transmissions tactiques. Quelques bombardements d’antennes mobiles sont signalés, mais sans la volonté de détruire physiquement les infrastructures de télécommunications(109) utiles pour l’après-guerre.



Prise probablement dès 2005 dans les plans russes de reconquête militaire de l’Abkhazie et de l’Ossétie du Sud, la décision de ne pas toucher aux infrastructures énergétiques s’est aussi manifestée dans le cyberespace, tout en laissant planer la menace d’une possible prise de contrôle informatique de certaines infrastructures critiques comme l’oléoduc Bakou-Tbilissi-Ceyhan. Pour ce dernier, cette cybermenace s’accompagnait de bombardements de proximité bien réels (110). À ce sujet, un fait est à noter : l’attaque le 5 août 2008 de l’oléoduc à proximité de Refahiye en Turquie, attribuée originellement au PKK (Parti des travailleurs du Kurdistan), même si aucune trace de bombe n’a pu être relevée. En réalité, elle aurait été provoquée par une attaque informatique sophistiquée sur les systèmes de contrôle et de sécurité de l’oléoduc d’où une surpression et une explosion, comme l’affirment quatre témoins anonymes six ans plus tard (111). Ce fait se serait donc produit deux ans avant l’attaque Stuxnet conçue par la NSA contre les centrifugeuses iraniennes d’enrichissement d’uranium, attaque souvent présentée comme la première opération d’ampleur contre des systèmes industriels (112). Le chemin d’attaque est tout à fait remarquable : pénétration informatique par les caméras de surveillance connectées ; exploitation de leurs vulnérabilités afin de se déplacer en profondeur dans le réseau interne ; une fois à l’intérieur, prise de contrôle d’un ordinateur sous système d’exploitation Windows gérant le réseau d’alarme-gestion ; injection d’un programme malveillant pour accéder aux contrôles opérationnels ; augmentation de la pression sans déclencher d’alarmes par reprogrammation d’automates industriels. Soulignons ici que la présence des pirates sur le site peut signifier que le sabotage est une attaque mixte sur les couches physiques et logiques.



GEO (Géographique)



La strate géographique est impactée de deux façons : dans un premier temps, les serveurs hébergés en Géorgie sont agressés par plusieurs dizaines de milliers de machines et les contremesures de blocage périmétriques des adresses russes s’avèrent inefficaces devant les capacités d’usurpation des attaquants et le choix, côté géorgien, de ne pas isoler complètement le pays des communications avec ses alliés occidentaux. Dans un deuxième temps, quelques sites (president.gov.ge, rustavi2.com) sont transférés aux États-Unis (113), mais trop tard et, par la suite, l’OTAN propose — selon un télégramme diplomatique confidentiel daté du 19 août 2008, rendu public par Wikileaks (114) — une assistance en cyberdéfense.



TPS (Temps)



La chronologie des événements (115) montre qu’une cyberguerre se peaufine dans des escarmouches variées pour à la fois brouiller les pistes et recueillir la cartographie des faiblesses des systèmes de l’adversaire. Ainsi, l’institut de recherche U.S. Cyber Consequences Unit a découvert que les graphiques de propagande utilisés pour les défigurations de sites avaient été préparés deux ans avant les attaques réelles (116). Le temps du renseignement et de la planification n’est pas celui de l’action cybernétique qui s’est calé, dans l’exemple géorgien, sur les actes de guerre classique.



CYS (Cybersécurité)



La résilience des systèmes d’information de la Géorgie s’est avérée trop faible pour résister à des attaques considérées aujourd’hui comme de moyenne intensité. Pis ! Le 28 mars 2011, une femme de 75 ans, qui cherchait à récupérer du cuivre pour le revendre, a malencontreusement coupé avec sa bêche un câble sous-terrain près de Tbilissi, la capitale géorgienne, causant une panne majeure de l’Internet en Arménie, pays limitrophe (117) ! Cette anecdote matérialise bien les fragilités intrinsèques des réseaux de télécommunications dans cette région.



 



VI.    Validité du concept : la guerre du chiffre



Les États-Unis utilisent la maîtrise de la cryptographie comme facteur démultiplicateur de leur hégémonie sur les systèmes d’information mondiaux comme cela a été mis en lumière par les documents Snowden qui apportent un éclairage singulier à cette guerre du chiffre (118), guerre mondiale et permanente, plus active que jamais. Elle utilise tous les ressorts possibles comme par exemple, le piégeage sémantique ou mathématique d’une brique cryptographique qui peut s’avérer redoutable car l’illusion de la protection fragilise les comportements. Ainsi, la NSA a réussi, en mars 2007, à faire normaliser, par l’organisme NIST de standardisation américain, un générateur aléatoire, utilisé en cryptographie et contenant une porte dérobée mathématique. Ce piège, exploitable par ses seuls concepteurs, facilite le décryptage des communications sécurisées utilisant ce générateur dans ses bibliothèques logicielles (119). Michael Wertheimer, le directeur de la recherche de la NSA en retraite depuis peu, s’est livré à un début de mea culpa inhabituel : « Rétrospectivement, la NSA aurait dû cesser de promouvoir l’algorithme dual EC_DRBG dès que les chercheurs en sécurité ont découvert la possibilité d’une porte dérobée. […] La décision de continuer à soutenir l’usage de ce générateur faussement aléatoire était regrettable. […] Pour l’avenir, nous serons plus ouverts et plus transparents à propos de nos contributions à l’élaboration de normes cryptographiques » (119).



Or, on assiste depuis l’an 2000 à un « raidissement américain » dans tous les domaines touchant aux intérêts vitaux des États-Unis ; et la politique d’acquisition active de sociétés françaises et européennes du secteur de la cryptographie ou dans les secteurs connexes de la sécurité informatique et des composants électroniques par des sociétés américaines souvent partenaires de la NSA est révélatrice de cette politique. Ainsi, depuis les années 2000, marquées par la libéralisation de la cryptographie, le savoir-faire français dans la fabrication des cartes à puce intéresse les États-Unis. Ainsi, Texas Pacific Group (TPG) puis le fond In-Q-Tel — créé et géré par la CIA (121) — entrent dans le capital de la société Gemplus, premier fabricant mondial de cartes à puce, et renouvellent sa direction en 2002, avant que, le 2 juin 2006, Gemplus, devenu international, fusionne avec Axalto pour former le groupe Gemalto, leader mondial de la sécurité numérique, l’État français en redevenant l’actionnaire principal (8%) en 2009.



L’exemple traité ici concerne des vols (122) massifs de clés cryptographiques par la NSA et le GCHQ, en particulier chez Gemalto, rendus publics le 19 février 2015 (123)et nous exploiterons ici, comme unique source, les documents accompagnant l’article de The Intercept cité ci-dessus (124) Cette opération peut être qualifié de « guerre », non seulement à cause de ses protagonistes, mais aussi et surtout parce que ces attaques touchent à la souveraineté de plusieurs États dans le secteur des télécommunications. Et certains spécialistes y voient l’une des plus importantes affaires révélées par les documents Snowden, notamment en raison de ses conséquences sur la liberté de communiquer (125).



PNC (Personnes non connectées)



L’impact sur cette couche ne peut être directement relié à cette attaque particulière. Cependant, dans la lutte contre le trafic de drogues en Afghanistan qui finance les talibans, un document (126) annonce que le SIGINT (renseignement d’origine électromagnétique) a remplacé le HUMINT (renseignement d’origine humaine) comme source primaire des opérations contre les narcotrafiquants : “80% of all counternarcotics operations were now SIGINT-driven”. Et la Joint Prioritized Effects List recense ainsi, sur 36 pages, les cibles à viser dans le cadre de la guerre en Afghanistan, liste partagée par les “14-eyes” (127) de la coalition et qui a été constituée en écoutant les téléphones mobiles grâce à la plate-forme technique CENTER ICE (128) au point que les dirigeants talibans ont donné à leurs combattants l’ordre de cesser d’en faire usage, en faisant ainsi des « Personnes non connectées »…



PCO (Personnes connectées)



Un constat : les transmissions sans-fil sont chiffrées dans leur parcours aérien, entre le mobile et la station de base ou antenne-relais la plus proche (129), et les clés Ki cités dans les documents sont associées au numéro unique identifiant la carte à puce SIM d’un abonné (IMSI), et partagées avec le centre d’authentification (AuC - Authentication Center) associé à chaque base de données HLR (Home Location Register), laquelle gère les abonnés d’un réseau mobile donné en mémorisant les caractéristiques de chacun. Il y a donc des échanges informatiques réguliers de fichiers de clés entre encarteurs et opérateurs téléphoniques, et une attaque peut se porter sur ces échanges. Comme ces clés d’authentification servent aussi à dériver les clés de chiffrement de la partie hertzienne, leur connaissance permet, sans effort calculatoire important (130), la mise au clair de l’ensemble des communications interceptées (ici de manière passive). Un document Snowden (131) cite explicitement des récoltes massives de clés, de janvier à mars 2010 avec les volumes associés, pour plusieurs opérateurs : Mobtel en Serbie, Nova en Islande, Ideacl en Inde, Awcc et Tdca en Afghanistan, Sabafn et Mtn au Yémen, Irncel en Iran, Babln au Tadjikistan et Teles en Somalie. Et c’est la connaissance de ces clés qui aurait pu être utilisée pour de l’espionnage politique — interception du GSM de Mme Angela Merkel ou de Mme Dilma Roussef.



LOG (Logique)



La vulnérabilité de cette strate est illustrée par un document très complet intitulé PCS Harvesting at Scale (132) qui décrit, en creux, l’attaque informatique classique utilisée par le GCHQ : connaissance des cibles par les réseaux sociaux (Facebook, LinkedIn), interception des messageries privées des cadres (gmail, huawei, msn, etc.), hameçonnage et intrusion dans les serveurs bureautiques de la société ; ce document propose même d’automatiser la récolte en développant une plateforme d’interception dédiée.



PHY (Physique)



Au niveau de la strate physique, une page datée de 2011(133) explique une solution de partage avec clé usb chiffrante (yuuwaa.com), mais la vulnérabilité potentielle de cet élément physique n’est pas révélée. Dans le document qui fait mention de l’atelier de piégeage de la NSA, l’exemple d’un implant dans un matériel, cœur de réseau, à destination du Syrian Telecommunications Establishment est relaté avec une réussite opérationnelle inattendue : « but what we did not know was that STE’s GSM (cellular) network was also using this backbone. Since the STE GSM network was never before been exploited, this new access represented a real coup ».



GEO (Géographique)



Beaucoup de données géographiques apparaissent dans les documents décrivant cette attaque fortement décentralisée — Somalie, Koweït, Arabie Saoudite, Iran, Bahreïn(134) Ainsi, des cadres et consultants de Gemalto, société multinationale implantée dans 46 pays et ayant des employés de 116 nationalités différentes, auraient été ciblés à Prague, à Singapour, à La Ciotat, à Dubaï, en Thaïlande (135), et une liste d’une trentaine d’implantation sur quatre des cinq continents (136) précise également les centres à cibler en priorité.



TPS (Temps)



Dans l’attaque dont Gemalto est victime, le facteur temps est très important, notamment quand cette attaque est rendue publique car il faut limiter les effets de l’emballement médiatique. Soulignons ici que l’attaque n’est sans doute pas exempte d’une volonté de déstabilisation économique — l’action Gemalto a chuté de 7,7% après la divulgation retrouvant son cours du 1er janvier 2015 à 67 euros — car, dans son traitement par certains médias étrangers, les révélations sont partielles — seule Gemalto est citée — et les extraits caviardés par les journalistes montrent à la fois leur propre sensibilité, voire leur nationalité. Cependant, la communication de crise de Gemalto a été rapide et efficace (137) : dès le 25 février 2015, un communiqué détaille une réponse appropriée : reconnaissance de la probabilité de l’événement ; minimisation des attaques (périmètre limité à la bureautique, vol massif écarté) ; relativisation des conséquences (réseaux 3G et 4G non touchés, produits autres non concernés par l’attaque) ; et propositions de solutions (durcissement de la confidentialité des échanges).



CYS (Cybersécurité)



Une des planches du GCHQ (138) ne semble pas laisser de doutes sur l’ampleur de l’attaque : « GEMALTO – successfully implanted several machines and believe we have their entire network ». Cependant, il est impossible d’aller plus loin avec les documents disponibles et il est à craindre que des éléments encore plus critiques aient été ciblés depuis, comme les HLR de certains opérateurs dont certaines vulnérabilités ont été diffusées (139).



Pour conclure, cette attaque appelle des réponses techniques pour le futur : utilisation de téléphones sécurisés chiffrant les communications de bout en bout (140) ; refonte des nouvelles normes cryptographiques des communications avec, par exemple, des mécanismes de confidentialité persistante afin d’éviter qu’une capture de clés ne mette au clair l’ensemble des conversations passées d’une personne.



 



VII.    La cyberguerre au XXIe siècle



La cyberguerre est désormais la phase préalable de toute guerre, elle pourrait même devenir la guerre elle-même et la lutte contre le terrorisme a sans doute fait entrer le monde dans une cyberguerre permanente. Un cours de la NSA sur les opérations offensives (141) affirme d’ailleurs que le prochain conflit majeur débutera dans le cyberespace en avançant comme argument : « est-il pensable que la Chine attaque Taiwan sans détruire ses réseaux de communication ? » La cyberguerre concerne également les guerres asymétriques : « Al-Qaida est devenu obsolète, et c’est le modèle Daech qui l’a emporté, écrit Gilles Kepel. […] En raison de leur dextérité dans le maniement des réseaux sociaux (Facebook, Twitter) et de leur maîtrise des systèmes de fishing, à partir des consultations de YouTube, ce sont les combattants de Daech qui, pour reprendre votre formule, mondialisent l’épouvante. Or le Net a pour particularité d’abolir entièrement les frontières et de foudroyer tous les repères spatio-temporels. Cette abolition du temps (déjà portée par l’immense régression wahhabite) peut produire des effets sidérants […] Des combattants comme ceux de Daech, capables à la fois de prendre au mot des fatwas du VIIIe siècle et de recourir aux technologies les plus sophistiquées, font exploser tous les cadres d’analyse (142) ».



La permanence d’une cyberguerre d’intensité moyenne se manifeste dans la surveillance de masse dont il faut bien mesurer les effets. Ainsi son efficacité présentée, dans le cadre du renseignement, comme un préalable indispensable des cyberguerres, est à relativiser : « Mass surveillance does not appear to have contributed to the prevention of terrorist attacks, contrary to earlier assertions made by senior intelligence officials. Instead, resources that might prevent attacks are diverted to mass surveillance, leaving potentially dangerous persons free to act. […] It also called for: the collection of personal data without consent only following a “court order granted on the basis of reasonable suspicion” ; “credible, effective protection” for whistle-blowers exposing unlawful surveillance ; better judicial and parliamentary control of intelligence services ; an “intelligence codex” defining mutual obligations that secret services could opt into ; an inquiry into member states’ use of mass surveillance using powers under the European Convention on Human Rights (143) ». « These programs were never about terrorism : they’re about economic spying, social control, and diplomatic manipulation. They’re about power » écrit Edward Snowden dans une lettre ouverte au peuple du Brésil (144). Il fixe ainsi les objectifs des systèmes d’interceptions massifs ainsi que leurs limites.



Enfin, de nouvelles formes d’affrontements cybernétiques sont prévisibles. Des robots logiciels s’affrontent dans le domaine de la finance. Des drones, robots télé pilotés aujourd’hui, projettent de la puissance sans projeter de la vulnérabilité létale. Peut-on extrapoler une cyberguerre dont l’humain ne serait que le marionnettiste ou même la victime ultime ? Un exercice prospectif récent (145) recense 12 risques qui menacent l’existence de l’homme sur terre dans un horizon d’une centaine d’années. Parmi ceux-ci, on retrouve les nanotechnologies et l’intelligence artificielle. Ce dernier domaine est considéré comme le plus incertain et le plus imprédictible. Avec l’intervention remarquée de Stephen Hawking en 2014 (146), le sujet mérite assurément de nouvelles investigations : « Les formes primitives d’intelligence artificielle que nous avons déjà se sont montrées très utiles. Mais je pense que le développement d’une intelligence artificielle complète pourrait mettre fin à l’humanité. […] Une fois que les hommes auraient développé l’intelligence artificielle, celle-ci décollerait seule, et se redéfinirait de plus en plus vite. Les humains, limités par une lente évolution biologique, ne pourraient pas rivaliser et seraient dépassés ».






Notes : 




(1) Le concept de cyberguerre (affrontements sur le champ numérique) est à définir car il fait plus que jamais l’objet de débats sur sa singularité et d’approches parfois contradictoires.





(2) Le mot « cyber » a tout envahi. Nous l’utilisons comme préfixe dans des mots-valises et en dépit d’usages grammaticaux souvent incorrects.





(3) 929 pages étaient visibles au 23 mars 2015, cf. : http://cryptome.org/2013/11/snowden-tally.htm. Comme toute source « secrète » d’un ancien employé de la CIA, des manipulations ne peuvent être exclues.





(4) La dualité entre l’informatique militaire et civile s’est mise en place progressivement. L’usage de matériels et logiciels civils s’est imposée principalement pour des raisons budgétaires. Pour une analyse historique, voir : https://halshs.archives-ouvertes.fr/sic_00954303/file/article_2.pdf





(5) Luc Vallée, Philippe Wolf, « Cyber-conflits, quelques clés de compréhension », voir http://www.ssi.gouv.fr/uploads/IMG/pdf/Cyber_conflits_quelques_cles_de_comprehension.pdf



(6) Cf. Daniel Ventre, Cyberespace et acteurs du cyberconflit, Paris, Éditions Hermès Lavoisier, 2011, pour une synthèse des multiples définitions et représentations du cyberespace proposées depuis un quart de siècle.





(7) Daniel Ventre, « Luttes et enjeux de gouvernance dans le cyberespace mondial », Diplomatie, Les grands dossiers n°23 « Géopolitique du cyberespace », octobre-novembre 2014.





(8) Martin C. Libicki, “Cyberwar is storytelling” in Crisis and Escalation in Cyberspace, http://www.rand.org/pubs/monographs/MG1215.html





(9) Dans le film Skyfall (2012), l’ennemi de James Bond est un ancien agent du MI6 devenu cyber-terroriste.





(10) Il faut ici saluer le numéro en tous points remarquable de la revue Hérodote consacré au cyberespace et ses articles de grande qualité et de haut niveau scientifique : Hérodote, revue de géographie et de géopolitique, « Cyberespace : enjeux géopolitiques », n°152-153, 1er-2e trimestre 2014, 313 pages, numéro préparé et édité avec la chaire Castex de cyberstratégie, dont la titulaire est la professeure Frédérick Douzet, professeure à l’Institut français de géopolitique de l’université Paris VIII (Cercle des partenaires de l’IHEDN, avec le soutien de la fondation Airbus Group).





(11) La chaire « Castex de cyberstratégie » (Cercle des partenaires de I’IHEDN, avec le soutien de la fondation Airbus Group), voir le numéro « Cyberespace : enjeux géopolitiques », revue Hérodote n° 152-153, 1er et 2e trimestre 2014 ; et la chaire « Cyberdéfense et cybersécurité » (Saint-Cyr/Sogeti/Thales), voir Diplomatie, Les grands dossiers n°23, « Géopolitique du cyberespace », octobre-novembre 2014.





(12) Qiao Liang, Wang Xiangsui, La Guerre hors limites, 1999, traduit du chinois par Hervé Denès, Editions Payot, Rivages poche, 2006.





(13) Idem, p. 206.





(14) Pour une analyse détaillée : Pascal Cohet, « Cindyniques et Art de la guerre, Infocindynique et Ultraguerre : La convergence cachée des sciences du danger et de la pensée stratégique chinoise », http://ifrei.org/tiki-download_file.php?fileId=32 .





(15) L’emploi du terme générique de cyber-conflits pour caractériser tout type d’attaque dans le cyberespace n’est pas partagé par les membres du conseil d’orientation de la Direction générale de la gendarmerie nationale : « les réseaux numériques ne constituent pas des zones de cyber-conflits sauf si l’on considère les attaques perpétrées contre l’Estonie ou la Géorgie », Rapport 2011 de l’Observatoire national de la délinquance et des réponses pénales, Dossier sur la cybercriminalité, p. 805, http://www.inhesj.fr/sites/default/files/rapport_2011_0.pdf





(16) La typologie est détaillée dans le livre d’E. Waltz, Information Warfare-Principles and Operations, Artech House Publishers, 1998.





(17) Martin C. Libicki, “What Is Information Warfare?”, Strategic Forum Number 28, May 1995, voir http://www.dodccrp.org/files/Libicki_What_Is.pdf






(19) Comme la métaphore des « autoroutes de l’information » forgée par Al Gore vice-président des États-Unis en 1992.





(20) Richard Clarke, Cyber War: The Next Threat to National Security and What to Do About It, Harper Collins, 2010. Richard Clarke est le coordinateur national pour la sécurité, la protection des infrastructures et le contre-terrorisme au sein du Conseil de sécurité nationale des États-Unis de 1998 à 2003.





(21) The President’s Critical Infrastructure Protection Board, version pour commentaires de septembre 2002 archivée ici : http://web.archive.org/web/20020925025605/http://www.whitehouse.gov/pcipb/cyberstrategy-draft.pdf et version définitive de février 2003 disponible ici : https://www.us-cert.gov/sites/default/files/publications/cyberspace_strategy.pdf



(22) Voir le livre-programme de Richard Clarke, Cyberwar…, op. cit. publié en 2010 qui marque déjà alors le hiatus entre volontés et réalités.





(23) Philippe Wolf, « Trois théorèmes pour caractériser le cyberespace », La Jaune et la Rouge, n°640, 2008.





(24) Cf. Martin C. Libicki, “Cyberwar is storytelling” in Crisis and Escalation in Cyberspace, http://www.rand.org/pubs/monographs/MG1215.html





(25) Les programmes informatiques sont singuliers : ils amplifient naturellement les erreurs (bogues) mais peuvent également s’autodétruire.





(26) Government Communications Headquarters, service de renseignements électronique du gouvernement britannique et Israeli SIGINT National Unit, aussi connue sous le nom d’unité 8200.






(28) Ratifié par les États-Unis, le Royaume-Uni et l’Union soviétique le 27 janvier 1967, par la France en 1970. Voir : http://www.unoosa.org/oosa/fr/SpaceLaw/gares/html/gares_21_2222.html





(29) Aymeric Bonnemaison, Stéphane Dossé, Attention : Cyber ! Vers le combat cyber-électronique, Economica, Collection cyberstratégie, 2014.





(30) La montée en puissance du Cyber-Command américain s’est faite en trois phases : « simple exploitation » (milieu des années 90) ; « disruption and targeted attacks » (depuis 2000) et « kinetic disruption » (à partir de 2010). À n’en pas douter, les documents Snowden les plus récents montrent que la troisième phase, phase offensive affirmée, est bien activée.





(31) La différence, facile à comprendre, entre sécurité des systèmes d’information — terme introduit en France en 1986 — et sécurité de l’information est le point d’achoppement de toutes les négociations internationales dont il serait fastidieux de faire l’énumération : ONU, IUT, OCDE, etc.








(36) Tim Grant, Ivan Burke, Renier van Heerden, “Comparing Models of Offensive Cyber Operations”, http://researchspace.csir.co.za/dspace/bitstream/10204/6619/1/Burke_2012.pdf





(37) Eric Luiijf and Kim Besseling, “Nineteen national cyber security strategies”, http://inderscience.metapress.com/content/c76007176206246m/fulltext.pdf





(38) Ainsi le document du Royaume-Uni (voir https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/60961/uk-cyber-security-strategy-final.pdf ) privilégie “five business sectors: defence, finance, telecommunication, pharmaceuticals, and energy”.





(39à Livre blanc sur la défense et la sécurité nationale 2008, « Lutte Informatique Offensive », p. 207.









(44) Alfred J. Menezes, Paul C. van Oorschot et Scott A. Vanstone, Handbook of Applied Cryptography, http://cacr.uwaterloo.ca/hac/ ; voir aussi http://www.ssi.gouv.fr/uploads/2014/11/RGS_v-2-0_B1.pdf






(46) Seymour M. Hersh, “The Intelligence Gap, How the digital age left our spies out in the cold”, The New Yorker, December 6, 1999, p. 58-76, disponible ici: http://cryptome.org/nsa-hersh.htm





(47) Éric Denécé et David Elkaïm, Les services secrets israéliens Mossad - Aman - Sin Beth, Tallandier, 2014, chap. 4.







(50) Jérémy Robine, Kavé Salamatian, « Peut-on penser une cybergéographie ? », Hérodote, n°152-153, 2014, p. 139.





(51) On retrouve cette structuration dans la construction des réseaux informatiques à travers les fameuses sept couches protocolaires du modèle OSI conçu dans les années 1970 en France et dont l’Internet a retenu un modèle simplifié à quatre couches (TCP/IP).





(52) Bruce Schneier, « Des chausses-trappes de sécurité en cryptologie », 1998, traduit en français ici : https://www.schneier.com/essays/archives/1998/01/des_chausses-trappes.html





(53) Andy Müller-Maguhn, Laura Poitras, Marcel Rosenbach, Michael Sontheimer and Christian Grothoff, “Treasure Map: The NSA Breach of Telekom and Other German Firms”, Der Spiegel, 14 septembre 2014, http://www.spiegel.de/international/world/snowden-documents-indicate-nsa-has-breached-deutsche-telekom-a-991503.html. Le document exploité est disponible ici : http://www.spiegel.de/media/media-34757.pdf (schéma page 6).





(54) Voir http://www.internetlivestats.com/internet-users/ (3 085 729 854 internautes dans le monde le lundi 16 mars 2015 !).





(55) Voir http://www.populationmondiale.com (7 286 375 758 personnes le lundi 16 mars 2015 à 11 h 12 min et 29 s !).





(56) Ce théorème, exposé en 1984 par Fred Cohen qui a réalisé la première étude in vivo sur les virus informatiques au sein de la NSA, affirme que la détection d’un virus est indécidable à la fois par une analyse a priori ou par une analyse dynamique. Il y aura donc toujours des programmes malveillants capables de franchir les barrières de protection mises en place. Voir : http://all.net/books/virus/index.html





(57) Après la publication des documents Snowden, certains ont préconisé le retour à la machine à écrire mécanique pour traiter des secrets : http://www.theguardian.com/world/2013/jul/11/russia-reverts-paper-nsa-leaks





(58) Jean Baudrillard, Car l’illusion ne s’oppose pas à la réalité, Descartes & Cie, 1998 : « La photographie, c’est notre exorcisme. La société primitive avait ses masques, la société bourgeoise ses miroirs, nous avons nos images ».





(59) Philippe Wolf, « Les trois paradoxes de la sécurité, Garantir la disponibilité, l’intégrité et la confidentialité des données », La Jaune et la Rouge, n°693, mars 2014.





(60) Louis Pouzin, « Internet est bâti sur un marécage », http://lexpansion.lexpress.fr/high-tech/louis-pouzin-internet-est-bati-sur-un-marecage_1650342.html











(67) Le renseignement humain (humint) traditionnel exploite quatre « leviers » : Money (argent) : achat des renseignements ; Ideology (idéologie) : profiter des convictions, notamment politiques, d’un individu ; Compromise/Coercion (compromission/coercition) : contraindre la personne (chantage, sexe, torture, etc.) ; Ego : exploiter les frustrations et la vanité des personnes.





(68) L’opération “Royal Concierge” décrite dans une présentation du GCHQ de 2010 consiste, par manipulation de la chaîne informatique de réservation, à orienter des diplomates étrangers cibles vers des chambres d’hôtel équipés pour la surveillance électronique. Voir : https://edwardsnowden.com/fr/2013/11/17/royal-concierge/





(69) Emmanuelle de Champs, « La prison panoptique de Jeremy Bentham : les paradoxes de la captivité », p. 15, http://www.univ-brest.fr/digitalAssets/11/11553_c6_DeChamps.pdf





(70) Michel Foucault, Surveiller et punir : Naissance de la prison, Poche, 1993, p. 233-234.





(71) Lawrence Lessig, Harvard Magazine, janvier 2000 (pour la traduction française http://framablog.org/2010/05/22/code-is-law-lessig).





(72) Unmanned Systems Integrated Roadmap, FY2013-2038, http://www.defense.gov/pubs/DOD-USRM-2013.pdf





(73) Création d’une chaire de « cyberdéfense des systèmes navals », voir: http://www.ecole-navale.fr/-Chaire-de-cyberdefense-des-547-.html





(74) Comme, par exemple, le rapport annuel de la société Sophos : http://www.sophos.com/en-us/medialibrary/PDFs/other/sophos-security-threat-report-2014.pdf






(76) Pour quelques techniques mises en œuvre dans ces chevaux de Troie et autres rootkits ou maliciels furtifs : Filiol Eric, Les virus informatiques : théorie, pratique et applications, Collection IRIS, 2e éd., 2009.








(80) Le document budgétaire révélé par E. Snowden est disponible ici : http://cryptome.org/2013/08/spy-budget-fy13.pdf





(81) Measurements and Mitigation of Peer-to-Peer-based Botnets : Voir Thorsten Holz, Moritz Steiner, Frederic Dahl, Ernst Biersack, Felix Freiling, “A Case Study on Storm Worm” : http://ei.ruhr-uni-bochum.de/media/emma/veroeffentlichungen/2012/08/21/storm-worm-LEET08.pdf









(86) Par exemple ici pour la France : http://www.mobile-users.net/antennes_mobiles/



(87) Voir pour la France : http://www.anfr.fr/fr/planification-international/tnrbf.html






(89) Comment détruire Internet ? : http://gizmodo.com/5912383/how-to-destroy-the-internet





(90) Contrairement à ce qu’affirme un article du journal Le Monde, « Paris, précieux partenaire de l’espionnage de la NSA », Le Monde, samedi 30 novembre 2013.






(92) Jérémy Robine, Kavé Salamatian, « Peut-on penser une cybergéographie ? », Hérodote, n°152-153, 2014, pages 136-137.





(93) Le site http://www.datacentermap.com/ recense les 212 “Internet Exchange Points principaux”. Après le Royaume-Uni, l’Allemagne est le principal centre d’hébergement de la NSA en Europe. Cela lui permet de pénétrer des entreprises de télécommunications à travers des points d’interconnexion particulièrement intéressants (Cologne, par exemple), comme le révèle un document révélé par der Spiegel : http://www.spiegel.de/international/world/snowden-documents-indicate-nsa-has-breached-deutsche-telekom-a-991503.html






(95) James Bamford, Body of Secrets, anatomy of the ultra-secret NSA, Random House N.Y., 2001, p. 144-145.





(96) A. D. Wissner-Gross, C. E. Freer, “Relativistic statistical arbitrage”, Physical Review, E 82, 056104, 2010, http://www.alexwg.org/publications/PhysRevE_82-056104.pdf





(97) Jean-François Gayraud, Le Nouveau Capitalisme criminel, Odile Jacob, 2014, voir trois chapitres consacrés au high frequency trading.





(98) À l’exemple du réseau d’anonymisation Tor, https://www.torproject.org/





(99) La communication du ministère de la Défense les illustre ici : http://www.defense.gouv.fr/content/download/135220/1336475/Dicod-Cyber-Attaque.swf






(101) Col Ilmar Tamm, “Emerging Cyber Threats and Trends”, directeur du “NATO Cooperative Cyber Defense Centre of Excellence (NATO CCD COE)”, Conférence “Cyber Security : Challenges and Policies”, 2 mai 2011, Budapest.





(102) Robert Graham, “There was no Georgia cyber-war”, blog errata security; cf. http://blog.erratasec.com/2012/09/there-was-no-georgia-cyber-war.html#.VQdaOI7ESZg



(103) Jacques Sapir, La Guerre d’Ossétie du Sud et ses conséquences. Réflexions sur une crise du XXIe siècle, cf. http://www.iris-france.org/docs/pdf/forum/2008_09_29_ossetie.pdf





(104) David Hollis, “Cyberwar Case Study: Georgia 2008”, Small Wars Journal, http://smallwarsjournal.com/blog/journal/docs-temp/639-hollis.pdf





(105) Greylogic, “Project Grey Goose Phase II Report: The evolving state of cyber warfare”, 20 mars 2009, cf. http://fserror.com/pdf/GreyGoose2.pdf





(106) David Bizeul, “Russian Business Network study”, 20 novembre 2007, http://www.bizeul.org/files/RBN_study.pdf









(112) Il est fait parfois mention, dans des documents controversés, d’un sabotage informatique en 1982 de l’oléoduc sibérien Ourengoï-Surgut-Chelyabinsk par la CIA pour contrer le vol par les soviétiques d’une technologie canadienne, cf. http://en.wikipedia.org/wiki/Siberian_pipeline_sabotage



(113) Cf. http://archive.11alive.com/news/local/story.aspx?storyid=119687






(115) Détaillée ici : http://en.wikipedia.org/wiki/Cyberattacks_during_the_Russo-Georgian_War



(116) “Overview by the US-CCU of the cyber campaign against Georgia in august of 2008, Août 2009”, http://www.registan.net/wp-content/uploads/2009/08/US-CCU-Georgia-Cyber-Campaign-Overview.pdf






(118) Pour la France, le site de l’ARCSI (Association des Réservistes du Chiffre et de la Sécurité de l’Information) est une mine d’informations, https://www.arcsi.fr/





(119) La NSA, selon Reuters, a passé, avant la normalisation, un contrat secret de dix millions de dollars avec la société RSA Security pour qu’elle l’utilise de manière préférentielle dans sa suite logicielle Bsafe. Voir : http://www.reuters.com/article/2013/12/20/us-usa-security-rsa-idUSBRE9BJ1C220131220







(122) Les documents « fuités » parlent de récolte (harvesting). Le 11 mars 2010, par exemple, cela concerne 84 937 clés. Cf : https://firstlook.org/theintercept/document/2015/02/19/pcs-harvesting-scale/ Un autre document cite 300 000 clés pour la Somalie, cf. https://firstlook.org/theintercept/document/2015/02/19/ccne-successes-jan10-mar10-trial/






(124) Il est très peu probable que les documents TOP SECRET dévoilés aient fait l’objet de désinformation, d’où leur intérêt.







(127) CFBLNet members: USA, GBR, CAN, AUS, NZL, FRA, DEU, NLD, NOR, ESP, ITA, SWE ou The Guardian: USA, GBR, CAN, AUS, NZL, FRA, DEU, DNK, NLD, NOR, ESP, ITA, BEL, SWE. Voir http://electrospaces.blogspot.fr/2013/11/five-eyes-9-eyes-and-many-more.html#14-eyes pour la controverse.





(128) Dans http://www.spiegel.de/international/world/secret-docs-reveal-dubious-details-of-targeted-killings-in-afghanistan-a-1010358.html le document media-35553.pdf détaille, en particulier, son impact sur les troupes allemandes.





(129) La proximité est fonction de divers paramètres (distance, puissance, etc.) qui peuvent être mis à profit par de fausses stations d’écoute de type IMSI-Catcher.





(130) Le chiffrement du GSM est vulnérable à des attaques en force brute à la portée des fermes de calculateurs des services de renseignement mais aussi d’universitaires comme démontré ici : http://events.ccc.de/congress/2010/Fahrplan/attachments/1783_101228.27C3.GSM-Sniffing.Nohl_Munaut.pdf













(140) Mais la NSA tente de s’opposer au développement de ces appareils.






(142) Gilles Kepel, « Les terroristes cherchent à provoquer une guerre civile en Europe », Marianne, n°926, 16-22 janvier 2015.





(143) Rapport provisoire, Committee on Legal Affairs and Human Rights Mass surveillance Report, Rapporteur : Mr Pieter Omtzigt, Netherlands, Group of the European People’s Party, http://website-pace.net/documents/19838/1085720/20150126-MassSurveillance-EN.pdf/df5aae25-6cfe-450a-92a6-e903af10b7a2





(144) Edward Snowden, “An Open Letter to the People of Brazil”, 16 décembre 2013, Folha de S. Paulo, http://www1.folha.uol.com.br/internacional/en/world/2013/12/1386296-an-open-letter-to-the-people-of-brazil.shtml



(145) Global Challenges Foundation, Global Challenges – Twelve risks that threaten human civilisation – The case for a new category of risks, février 2015, http://globalchallenges.org/publications/globalrisks/about-the-project/





(146) Stephen Hawking, Stephen Hawking warns artificial intelligence could end mankind, BBC News, cf. http://www.bbc.com/news/technology-30290540.





 


Informations

  • Mentions légales
    • Editeur
      RGH
    • Responsable
      Philippe Boulanger et Nicola Todorov
    • Politique d'édition électronique
      Publication gratuite
    • Périodicité
      Bi-annuelle
    • Année de création
      0000-00-00 00:00:00
    • ISSN électronique
      2264-2617
    • Adresse postale de la revue
      Université de Paris VIII (IFG), 2, rue de la Liberté 93526 Saint-Denis Cedex
    • Courriel
  • Versions
    Version Française
    English Version
    1.0
  • Réalisation
    Projet Annuel - Master Informatique Génie Logiciel
    Université de Rouen 2011 - 2012
Haut de page