En 1983 le film américain Wargames met en scène un lycéen hacker surdoué qui infiltre les réseaux de surveillance des missiles nucléaires des États-Unis et manque de déclencher un troisième conflit mondial. Trente ans plus tard, détourner des missiles et hacker des services de sécurité ne relève plus de la science-fiction. Dans un article intitulé “Ce projet du Pentagone pour rendre la cyber-guerre aussi facile que de jouer à Angry Birds”[1] la revue Wired détaille les intentions du ministère de la défense américain. Le Plan X est un projet à 110 millions de dollars sur cinq ans entamé à l’été 2012, qui réunit une centaine d’ingénieurs, militaires, programmeurs de jeux vidéos et même des concepteurs du film Transformers dans le but de construire les meilleurs hardware (composants) et software (logiciels) de cyber-guerre.
La cyber-guerre désigne un conflit mené par le biais de systèmes informatiques sur le réseau Internet en usant de logiciels malveillants (malware). Les attaques informatiques permettent de saboter des infrastructures et d’espionner une cible donnée. Le terme cyber-guerre apparaît avec la démocratisation de l’internet dans les années 1990. Aujourd’hui près de 2,5 milliards de personnes ont une connexion internet et la masse de données (data) croissante sur la toile font du web la principale plateforme d’échange au monde. En effet la maîtrise des données est une ressource stratégique majeure notamment dans le cadre de la « guerre commerciale » que se livrent les Etats. De plus, le cyberespace étant un terrain nouveau, sans législation claire et dans lequel l’accès à l’information est relativement simple, il est devenu un enjeu de puissance considérable.
Enjeu de puissance, la cyber-guerre est devenue une priorité stratégique dans le système de défense de certains pays que nous avons choisi de nommer nommer les “États connectés”. Ces pays disposent des infrastructures et des techniciens conséquents pour développer une politique ambitieuse en terme de cyber-guerre. Ces « Etats connectés » ont une chronologie, des approches et des capacités différentes de la cyber-guerre. Il s’agit maintenant d’établir une liste non exhaustive de ces principaux pays engagés dans le cyberespace avec des moyens défensifs et/ou offensifs.
Tour d’horizon des Etats connectés.
Parmi ces Etats connectés on trouve en premier lieu les Etats-Unis, berceau de l’internet disposant d’un leadership incontestable grâce à leurs atouts stratégiques évidents : les Etats-Unis hébergent les principaux codes sources et les plus grandes entreprises du secteur ainsi que les infrastructures essentielles au fonctionnement de l’internet mondial (serveurs, câbles informatiques). Les révélations d’Edward Snowden sur les écoutes de la NSA ont démontré la capacité d’action des Etats-Unis dans le domaine, étant donné que l’agence intercepte la quasi-totalité du trafic internet dans le monde. Les Etats-Unis ont mis la cyber-guerre au sommet de leur agenda stratégique et ont créé en 2010 un sous-commandement spécifique : l’US cyber command. En 2011, Washington prévient qu’il répondrait “à des actes hostiles dans le cyberespace comme il le ferait pour n’importe quelle menace contre leur pays”[2], comprendre par des moyens conventionnels. Aussi l’ex-patron de la CIA Léon Panetta déclarait au cours de l’été 2012 : « Nous pourrions faire face à une cyber-attaque qui serait l’équivalent de Pearl Harbor ». Les Etats-Unis prennent donc très au sérieux les cyber-menaces. Certains dirigeants américains considèrent aujourd’hui le risque cyber comme plus important que le risque terroriste.
Si les Etats-Unis sont les premiers à avoir investi le cyberespace, la Chine a elle aussi pris la mesure de l’enjeu que constitue la maîtrise du cyberespace. Premier fournisseur de composants électroniques, la Chine investit massivement dans les technologies informatiques et a développé une « muraille du Net » visant au contrôle (et à la censure) de son cyberespace national. Les Etats-Unis l’accusent régulièrement de mettre en œuvre une cyber-politique agressive. Le rapport Mandiant (publié au début de l’année 2013), révèle l’existence de l’Unité 61398 de l’Armée populaire de Chine spécialisée dans la cyber-guerre. La diffusion, lors d’une conférence de presse par le gouvernement américain, d’une photo satellite d’un building à Shanghai qui abriterait la fameuse Unité 61398 n’était pas sans rappeler John F. Kennedy et les missiles soviétiques à Cuba en 1962. Ainsi les Etats-Unis analysent (voire exagèrent) les cyber-capacités de nuisance de la Chine avec beaucoup d’attention, car elles tendent à remettre en cause la suprématie américaine dans le domaine. Les Etats-Unis et la Chine se distinguent donc par leur avance en matière de cyber-guerre, mais ils ne sont pas les seules grandes puissances à avoir investi le cyberespace. La Russie dispose d’un potentiel de cyber-guerre important et a engagé les cyber-armes comme soutien logistique lors de la guerre russo-géorgienne de 2008, ou encore comme moyen d’intervention en Estonie en avril 2007, sans que l’implication du Kremlin ne soit pour autant clairement établie. L’Estonie était alors l’un des pays les plus connectés du monde, face à ce que certains ont surnommé la « première cyber-guerre », le petit Etat balte a développé ses capacités en matière de cyber-défense. On pourrait parler d’un « syndrome de la cyber-guerre » pour ces pays victimes de cyber-attaques de grande ampleur. Ils ont compris à leurs dépends le caractère stratégique du cyberespace et ont en réaction investi dans la sécurisation de leurs systèmes informatiques.
L’Iran est un bon exemple, face aux nombreuses cyber-attaques visant son programme nucléaire, Téhéran ayant entrepris de sanctuariser son internet (créer un intranet local déconnecté de l’internet mondial). Toutefois ses effets sont limités (les virus ne se transmettant pas uniquement par le réseau internet, Stuxnet par exemple fut transmis via une clé USB), cette entreprise de sanctuarisation est également motivée par un autre « type » de cyber-guerre : la censure et la répression du « mouvement vert » de 2009.
D’autres pays ont vite compris l’intérêt d’investir ce terrain, leur permettant d’ajouter à leur panoplie militaire un outil très efficace. La Corée du Nord figure ainsi au troisième rang mondial en termes d’effectifs de « hackers-soldats », ce nombre de 3000 hackers est cependant fourni par la Corée du Sud qui a intérêt à grossir une menace pourtant bien réelle. Ainsi la Corée du Nord a développé des objectifs militaires stratégiques dignes des plus grandes puissances tant au point de vue nucléaire que de la guerre informatique.
Israël a trouvé un grand intérêt dans les cyber-armes, notamment depuis le succès du virus Stuxnet sur le programme nucléaire iranien. L’Etat hébreux bénéficie d’une industrie informatique de pointe et d’un savoir-faire de renom. Surtout il jouit de liens privilégiés avec le leader dans le domaine : les Etats-Unis avec lesquels il travaille en collaboration pour l’élaboration de nouveaux virus (ce fut le cas de Stuxnet dont la paternité aurait été reconnue par le général Ashkenazi).
Enfin, l’Union Européenne est à la traîne et fait face à des difficultés à élaborer une approche communautaire de la cyber-guerre. L’Union Européenne ne dispose pas d’une politique de cyber-défense à la hauteur des enjeux qu’elle implique et n’a pas entrepris de projet ni alloué de moyens conséquents qui permettrait d’en faire une véritable « cyber-puissance ». Toutefois certains de ses Etats-membres n’ont pas attendu la mise en place d’une politique commune pour prendre la mesure des enjeux.
La France, bien qu’en retard, commence à s’intéresser de très près au sujet. Le Livre Blanc de la défense de 2013 inscrit les cyber-menaces au rang d’attaques et s’en protéger serait aujourd’hui “un des éléments de la souveraineté nationale”. Les révélations sur les cyber-attaques américaines visant l’Elysée en mai 2012, ont rappelé l’urgence de développer les infrastructures françaises de cyber-guerre. Ainsi l’ANSSI (Agence Nationale de la Sécurité des Systèmes Informatiques) créée en 2008 avec une centaine de personnes, regroupe aujourd’hui environ 360 employés. Selon Patrick Pailloux, le directeur de l’ANSSI, ce serait une preuve de l’engagement de l’Etat car ce n’est pas « la mode de faire croître l’administration ».
Le cyberespace nouveau champ d’affrontement.
Après ce rapide tour de table des principaux « Etats connectés », penchons-nous davantage sur la cyber-guerre en elle-même. Ne doit-on pas considérer le terme de cyber-guerre comme un oxymore ? D’un côté internet, ensemble de réseaux interconnectés, autorégulé par des instances privées, une sorte de gouvernance transnationale sans chef et sans frontières. De l’autre, la culture westphalienne de la guerre dans les relations internationales qui suit les principes d’équilibre des puissances, de non-ingérence et de souveraineté territoriale. Aussi, si la géopolitique est l’étude des rivalités de pouvoirs et d’influence sur un territoire donné, alors, citant le journaliste Pierre Alonso dans Puissance d’hier et de demain : “Comment concilier le principe établi de la souveraineté nationale avec la réalité transfrontalière de l’internet ?”[3]. Quelle est la nature des cyber-guerres ? L’aspect moderne du numérique induit-il forcément une guerre d’un genre nouveau, ou s’agit-il seulement de méthodes nouvelles au service d’objectifs classiques ? Toujours selon Pierre Alonso, “internet est un système régulé à l’échelle mondiale, avec des institutions et une culture propre. ascendant, décentralisé, collaboratif, son fonctionnement diffère du système international traditionnel”[4]. Un article de Katherine Maher publié dans la revue Foreign Policy intitulé “the new westphalian web”[5] démontre alors le problème que l’internet pose aux États : faut-il imposer une souveraineté du net, l’encadrer à l’échelle mondiale ou continuer le laissez-faire ? Si à l’échelle diplomatique, les États défendent la neutralité du net, c’est bien souvent parce que sur le terrain de la défense, l’absence de règle profite aux mieux équipés.
En 2012, l’Union internationale des télécoms (UIT), agence des Nations Unies, a organisé à Dubaï une conférence cherchant la révision du Règlement des télécommunications internationales, sans y parvenir. Les États-Unis, la Grande-Bretagne, le Canada et la France rejetèrent un volet sécurité au règlement, estimant qu’une telle évolution justifierait un “contrôle renforcé d’internet par les Gouvernements”. Derrière la parabole libertaire, il faut bien comprendre qu’une partie des “États connectés” profitent de la dimension anarchique et autogérée du net pour pratiquer des actions qui, sur le terrain traditionnel, pourraient être considérées comme illicites, mais qui, dans un net sans législation internationale, sont pratiquées tous les jours. Internet en 2013, est aussi un terrain de guerre profitable, où les États connectés agissent en toute impunité, dans la mesure où il est encore aujourd’hui très difficile d’imputer des attaques aux États. Il est aussi facile d’agir anonymement sur le web qu’il est difficile de remonter l’origine d’une cyber-attaque car les hackers passent par des serveurs de pays en pays. De plus établir l’origine géographique d’une attaque n’est pas une preuve suffisante pour accuser le gouvernement du pays en question. Il est donc très difficile de savoir qui est in fine le responsable de l’attaque. En somme l’aisance avec laquelle on peut brouiller les pistes et l’absence de régulation permettent aux Etats d’user de cyber-armes sans être repéré et évitent de déclencher des conflits ouverts avec leurs cibles.
Le cyberespace, un espace impossible à réglementer ?
La seule législation internationale le concernant est la Convention de Budapest (2001) du Conseil de l’Europe visant la cybercriminalité et la pédopornographie. Ce traité rencontra d’ailleurs de fortes réticences de la part de certains pays lors de la ratification. Les traités internationaux concernant les « espaces » juridiques vierges comme ceux relatifs à la mer ou l’espace ont mis des années avant d’être négociés, établis puis ratifiés, en ce qui concerne la cybernétique « on en est au début des réflexions » selon M. Pailloux, directeur de l’ANSSI.
Parmi ces pistes de réflexion, un document a tenté d’établir un cadre juridique à la cyber-guerre : The Tallinn Manuel on the International Law Applicable to Cyber Warfare. C’est un document informel, écris à l’initiative du CCD COE (NATO Cooperative Cyber Defense Center Of Excellence) basé à Tallinn. Il est le fruit d’un groupe d’experts indépendants et n’a pas valeur de doctrine officielle de l’OTAN[6]. Le « Manuel de Tallinn », publié lors d’une réunion dans la capitale estonienne cinq ans après les cyber-attaques russes, tente de combler ce vide juridique. Il vise à déterminer dans quelle mesure un Etat peut user de cyber-attaques. Deux principes sont établis : un premier de souveraineté aux contours flous, l’Etat a le droit à la défense et à la riposte si sa souveraineté est compromise, c’est-à-dire lorsqu’une vie humaine ou des infrastructures militaires sont en jeu. Mais le manuel ne précise pas le cas des attaques contre les biens et la monnaie. Le second principe est celui de la proportionnalité, les attaques préventives et contre-attaques devant être proportionnées à la menace. Ces travaux académiques associés à des organisations militaires, comme ce manuel prouvent que le cyberespace est un sujet de préoccupation majeur impliquant des réflexions dans les milieux universitaires, juridiques, militaires, politiques et économiques. Le cyberespace est un terrain juridique vierge qui de par à sa dimension transnationale exige une approche multilatérale. Le droit de la guerre connaît une genèse longue et laborieuse, ainsi l’analyse le cabinet d’expertise et d’audit français KPMG « Des Traités de Westphalie (1648) aux Conventions de La Haye (1907) et de Genève (1949), trois siècles ont été nécessaires pour établir les règles internationales en matière de conflits armés. Le droit de la cyber-guerre se fixera-t-il plus vite ? »[7].
Des investissements variables dans le cyberespace.
Pendant que les institutions peinent à établir des règles de la cyber-guerre, deux États s’affrontent principalement dans le cyberespace : les États-Unis et la Chine. Les Etats-Unis auraient alloué en 2013 4,7 milliards de dollars à la cyber-guerre, soit 20% de plus que l’année précédente[8]. Le gouvernement américain entreprend la construction du plus grand centre de collecte et d’analyse de données informatiques au monde dans l’Utah pour un coût de 2,5 milliards de dollars. Ce gigantesque ensemble de 8 hectares de bâtiments autosuffisants en eau, en air et en énergie devrait participer à maintenir la supériorité américaine dans le domaine de l’espionnage. Mais le gouvernement américain craint la montée en puissance de son concurrent chinois, la Chine fait donc l’objet d’une attention renforcée. Le rapport Northrop Grumman de la commission du Congrès américain sur les relations économiques et sécuritaires entre la Chine et les Etats-Unis dresse un sombre tableau de la situation. Ces rapports parlementaires comme le rapport Mandiant (début 2013) pointent les risques d’infiltration par des systèmes d’espionnage chinois via les puces et les circuits intégrés importés ; des virus seraient ainsi intégrés au firmware et formeraient des « backdoors », des « portes dérobées » permettant d’espionner l’utilisateur.
La Chine est un adversaire potentiellement supérieur aux États-Unis, au moins sur deux plans : la population et la maîtrise des composants électroniques. Selon l’entreprise spécialisée Akamai, très proche du gouvernement américain, 39% des attaques informatiques viendraient aujourd’hui de Chine[9]. Dans cette guerre asymétrique, un pays comme la France accuse un retard considérable. Obligé de collaborer avec les services de renseignements en acceptant la surveillance des moyens de télécommunications, elle n’est pas dans une position offensive, mais défensive. L’ensemble des budgets alloués à la cyber-guerre dans la prochaine Loi de Programmation militaire 2014-2019 devrait aller en ce sens : construire des boucliers plutôt que des lances. Toutefois on constate que les aspects défensifs et offensifs sont intimement liés. Comme l’explique Jean Marie Bockel, sénateur du Haut-Rhin ayant participé à un rapport sur la cyber-défense en 2012, développer son potentiel offensif est un moyen de dissuasion, « le meilleur moyen de se défendre est d’attaquer ». La politique française en la matière reste donc assez vague et Mr Bockel ajoute qu’à propos de la cyber-guerre « moins on en parle, mieux on se porte ». En effet, les orientations stratégiques concernant des secteurs aussi sensibles en matière de défense sont rarement très précises, d’autant plus que la cyber-guerre touche à l’espionnage et évolue dans un cadre para-législatif qui requiert une certaine discrétion.
La transnationalité du web profite bien aux grandes puissances ayant anticipées l’importance de la cyberguerre. Tant que le cyberespace demeure une terre dépourvue de barrières et de limites, les États-Unis et la Chine, principales puissances engagées, peuvent se livrer un conflit où règne l’anarchie, la liberté d’action et surtout l’asymétrie. Mais quel type de guerre est exactement la cyber-guerre ? Est-ce la guerre qui est nouvelle, ou la façon dont nous la pratiquons ?
BORONINE Attilio
SAUVAIN – HOVNANIAN Nicolas
[1] SCHATCHMAN, Noah, “this pentagon project makes cyberwar as easy as Angry Birds”, publié dans Wired, le 28 mai 2013, disponible sur http://www.wired.com/dangerroom/2013/05/pentagoncyberwarangrybirds, consulté le 09 novembre 2013
[2] Clara Beaudoux « La cyberattaque nouvelle arme des Etats ? », France Info 22/03/2013 http://www.franceinfo.fr/high-tech/en-temps-de-paix-la-guerre-est-elle-cyber-928045-2013-03-22
[3] ALONSO, Pierre “internet, les réseaux et la puissance sur la scène internationale” dans Puissance d’hier et de demain : l’état du monde en 2014, Paris, La découverte, 2013, p.84
[4] ALONSO, Pierre “internet, les réseaux et la puissance sur la scène internationale” dans Puissance d’hier et de demain : l’état du monde en 2014, Paris, La découverte, 2013, p90.
[5] MAHER, Katherine, “the new westphalian web”, publié dans foreign policy, le 25 février 2013, disponible sur http://www.foreignpolicy.com/articles/2013/02/25/the_new_westphalian_web?page=0,3 , consulté le 09 novembre 2013
[6] CCD COE “The Tallinn Manual” disponible sur http://www.ccdcoe.org/249.html
[7] KPMG : 1er groupe français d’audit, de conseil et d’expertise comptable. Publié le 05/03/2013 disponible sur http://www.kpmg.com/fr/fr/issuesandinsights/decryptages/pages/manuel-de-tallin.aspx
[8] PONTZ Zach, “US inscreases cyberwarfare budget by 20%”, publié dans Algemeiner, le 23 avril 2013, disponible sur http://www.algemeiner.com/2013/04/23/usincreasescyberwarfarebudgetby20/ consulté le 11 novembre 2013
[9] The State of the internet, Akamai, deuxième semestre 2013.
No Comment