La cyberattaque, nouvelle arme de guerre des Etats ?

Ces derniers mois, les cas d'attaques informatiques semblent
se multiplier. Dernière en date : mercredi, la Corée du Sud s'est dite victime d'une vaste cyberattaque, paralysant les réseaux informatiques de chaînes de télévision et de banques. L'origine de l'agression reste pour l'instant indéterminée, la première localisation en Chine ayant été démentie.

Les précédentes cyberattaques contre des intérêts sud-coréens avaient été imputées à la Corée du Nord, qui elle-même soupçonne régulièrement Séoul et Washington de ce type de provocations. Les Etats-Unis quant à eux accusaient en février la Chine d'attaques dans des entreprises américaines. Et les histoires de ce type sont nombreuses, en juillet dernier par exemple, les systèmes informatiques de l'Elysée étaient touchés et les Etats-Unis étaient pointés du doigt. 

Autant d'attaques informatiques où les Etats sont donc directement mis en cause. Pour résumer : la Corée du Sud accuse la Corée
du Nord, qui elle-même accuse la Corée du Sud et les Etats-Unis, qui eux-mêmes
accusent la Chine, Israël, la Russie et la France, qui elle-même accuse les
Etats-Unis et la Chine. Tout ça ! La planète entière serait-elle en fait en guerre sans
qu'on le sache ? Le cyberespace serait-il en phase de
militarisation ?

"Guerre", "guérilla", "guerre
froide" ?

Oubliez
les chars, les bottes et les casques. Le terme de "guerre" évoque
un imaginaire collectif fait de batailles et de morts qui n'est pas d'actualité
ici. "La guerre correspond à un cadre juridique
bien spécifique, qu'on appelle le droit des conflits armés, donc l'état de
guerre c'est quelque chose que la société internationale a désormais codifié,
ici cela n'a rien à voir avec le soldat qui meurt au Mali ", explique
Nicolas Arpagian, directeur scientifique sur la sécurité numérique à l'Institut
national des hautes études de la sécurité et de la justice (INHESJ), et auteur de La cyberguerre  (Ed. Vuibert).

"On peut davantage parler de cyberguérilla,
ou d'atteinte à la cybersécurité ", ajoute-t-il. "Aujourd'hui on
peut parler de cyberconflit, mais il est trop tôt pour parler de cyberguerre ,
indique également Jean-Marie Bockel, sénateur du Haut-Rhin, et auteur d'un
rapport en 2012 sur la cyberdéfense. "Un jour cela viendra j'en suis sûr, la réalité
dépasse toujours la fiction ", ajoute-t-il.

La cybermenace, prise très au sérieux

Plus proche de la guerre froide donc, les conflits en ligne
semblent de plus en plus inquiéter les Etats. "Pendant des années on a
développé l'informatique et les télécoms sur toute la planète, sans
véritablement se préoccuper de sécurité, en caricaturant un peu, et aujourd'hui
on se rend compte de notre degré de vulnérabilité ", indique Patrick
Pailloux, directeur général de l' Agence nationale de la sécurité des systèmes d'information (Anssi). 

Aux Etats-Unis, le programme consacré aux cyberattaques au
Pentagone (dit "cyber command"), qui fait travailler actuellement
900 personnes, doit voir ses effectifs grimper à 4.900 militaires et civils, a indiqué en février le Washington Post. Cette semaine, des sources au sein du renseignement sud-coréen, citées par la presse, ont estimé à 3.000 le nombre d'informaticiens nord-coréens mobilisés pour la guerre cybernétique.

Le cyber défenseur français : l'Anssi

En France, le Centre d'analyse stratégique a indiqué cette
semaine, dans une note, l'urgence d'élargir les missions de l'Anssi, rattachée au ministère de la
Défense et chargée de prévenir les cyberattaques contre l'Etat. Cette agence a
été créée en 2009 suite à la publication du Livre blanc de la défense et de la
sécurité nationale,
qui identifiait les cyberattaques comme une "menace majeure " pour
le pays, et dont une nouvelle version est attendue a priori début avril.

A sa
création, l'agence comptait une centaine de personnes, et en comptera 360 à la
fin de l'année. "Ce qui vous donne une idée de l'importance que l'Etat
apporte à ce sujet, parce que ce n'est pas trop la mode en ce moment de faire
croître les administrations ", remarque Patrick Pailloux, directeur
général de l'Anssi.

Difficile en tous cas de mesurer l'ampleur du phénomène, puisqu'aucune comptabilité indépendante n'est effectuée. Le ministère de l'Intérieur travaillerait sur la question. Les seuls chiffres existants en France sont ceux fournis par des éditeurs de logiciels, qui peuvent avoir un intérêt à diffuser des chiffres amplifiant le nombre d'attaques.

Les cyberennemis : mal identifiés

Qui est l'ennemi ? Où se cache-t-il ? Quand des chars franchissent une frontière et
rentrent dans un pays, de multiples moyens permettent de les repérer, des
images satellites aux photos postées sur les réseaux sociaux. "Quand la
Corée du Nord fait un tir de missile, la moitié de la planète est capable de le
suivre étape par étape ", ajoute Nicolas Arpagian, directeur scientifique
sur la sécurité numérique à l'Institut national des hautes études de la
sécurité et de la justice .

Mais sur le web, l'ennemi est invisible, et les preuves
bien minces, voire inexistantes. Quand il s'agit d'une cyberattaque, "il
est très difficile, voire impossible, d'établir avec certitude l'origine
géographique de l'attaque, et même l'origine géographique de l'attaque ne
suffirait pas à imputer à l'Etat du pays en question la responsabilité ",
ajoute Nicolas Arpagian.

Y-a-t-il en France des attaques menées par d'autres Etats ? "Je ne repondrai pas à cette question ", réagit Patrick Pailloux, avant
d'ajouter "mais on ne peut
pas l'exclure, en tous cas en matière d'espionnage ". L'Agence classe les cyberattaques en trois grands types : la cybercriminalité
(vol d'identité, etc.),
l'espionnage et le sabotage (comme ce que vient de connaître la Corée).

Le cyberterrain : surtout économique

En temps de paix, quel est le meilleur moyen pour déstabiliser un pays ? "Toucher ses grands acteurs économiques,
créer des pertes et du chômage ", répond Nicolas Arpagian. De fait, la majorité des attaques d'Etat à Etat semble se jouer sur le terrain économique, pour s'accaparer des
renseignements, des secrets de fabrication ou des éléments de recherche et
développement. En période de paix, sur Internet, "les frontières
deviennent de plus en plus poreuses entre les mondes civil et militaire ",
note le chercheur.

"L'arme numérique peut être utilisée entre alliés"

"Le cyberespionnage est la vie quotidienne de nos
sociétés modernes ", poursuit Jean-Marie Bockel. "Ce sont des millions
d'intrusions tous les jours ", poursuit-il. Pour lui, comme pour Nicolas
Arpagian, ce type d'attaques d'espionnage industriel est aussi une réalité
entre alliés. "Lorsque des attaques visent la présidence de la République
française, ou des acteurs majeurs comme Areva en France - qui s'est fait piller son système informatique pendant plusieurs mois -, il n'y a pas de revendication,
pourquoi ? Parce que l'arme numérique peut être utilisée entre alliés,
entre partenaires politiques. Et souvent quand on est partenaire politique on
est concurrent économique ", indique le chercheur de l'INHESJ.

Les cyberarmes : des virus ou des vers

Pour faire face à cette réalité, "tous les grands pays ont développé un arsenal d'attaque et de
défense ", explique Nicolas Arpagian. Les cyberarmes sont en fait des
virus ou des vers, chargés de pénétrer au cœur d'un système pour en donner le
contrôle aux pirates. Ils portent de doux noms tels que Flame ou Stuxnet.

Stuxnet est pour l'heure l'épisode le plus célèbre de cyberattaque d'Etat à Etat. En 2010, ce virus, a priori confectionné par les Américains et les Israéliens, avait permis de retarder le programme nucléaire iranien.

Une capacité offensive ? "Moins on en parle, mieux on se porte"

"Mener une attaque informatique ce
n'est pas compliqué, c'est à la portée d' un très grand nombre d'acteurs, ça ne
se limite pas du tout aux Etats dotés de moyens considérables ", explique
le directeur général de l'Anssi. Et même, cette arme peut être
particulièrement importante pour des Etats justement peu dotés militairement. "Le terrorisme est très asymétrique, ce sont des
tout petits groupes qui s'attaquent à des pays, dans les cyberattaques c'est la
même chose avec des tout petits moyens vous pouvez vous attaquer à des monstres ",
ajoute Patrick Pailloux.

Et
comme la meilleure défense est parfois l'attaque, "la France dispose
d'une capacité offensive en matière de cyberdéfense, et c'est un moyen de dissuasion que tout le monde a bien compris ", indique Jean-Marie
Bockel. Concrètement ? "Moins on en parle mieux on se porte " répond le sénateur. 

Le livre blanc de 2008 l'indiquait également : "Dans le domaine informatique plus que dans tout autre milieu, il faudra, pour se défendre, savoir attaquer ". "Les actions cybernétiques tendent à devenir la norme ", "la France doit s'investir dans le développement d'outils spécialisés (armes numériques de réseaux, ...) ", mentionne également ce Libre blanc (p.207).

En février aux Etats-Unis, le New York Times révélait aussi que Barack Obama avait érigé des principes permettant de conduire des "cyberattaques préventives", en conformité avec la Constitution, en cas de menace venant de l'étranger. 

Une cyberimpunité ?

Les
Etats mèneraient donc cette guérilla quotidienne en toute impunité ? "Ma conviction c'est que les Etats n'ont pas intérêt à la clarification, parce qu'ils se trouvent avec Internet dans un domaine où ils peuvent agir avec une relative impunité ", considère Nicolas Arpagian. 

Aucune législation européenne ou internationale n'existe d'ailleurs
en la matière. Le seul texte en vigueur est une
Convention du conseil de l'Europe de novembre 2001, la Convention de Budapest,
essentiellement liée à la cyber-criminalité et conçue à la base pour lutter
contre la pédopornographie. La plupart des Etats ont d'ailleurs traîné des
pieds pour le ratifier.

Des discussions seraient également menées sur le sujet
à l'ONU, mais "des sujets comme ça, si vous
regardez les traités autour de la mer ou de l'espace, ça prend des années à être
négocié, donc on est au début de ces réflexions ", indique Patrick Pailloux, directeur de l'Anssi.

Le cybercatastrophisme

Au-delà des risques d'espionnage économique, que
risque-t-on vraiment ? Quels pourraient être les effets d'une cyberattaque
en temps de guerre par exemple ? Les risques sont en fait à la hauteur de
ce qu'une société confie à son système informatique. Soit à peu près tout. L'été dernier, le ministre américain de la défense,
Leon Panetta, a lancé un avertissement : "Nous pourrions faire face à une
cyberattaque qui serait l'équivalent de Pearl Harbor" .

"On peut imaginer tous
les scénarios possibles, des gens qui voudraient s'attaquer à nos
infrastructures critiques, qu'elles soient financière, de télécoms,
industrielles, bancaires, de santé, de transports, de production
d'énergie... ", indique Patrick Pailloux. L'Agence gouvernementale chargée de la sécurité des systèmes
informatiques de l'Etat français privilégie donc la surveillance de ce qu'elle
appelle des "opérateurs nationaux d'importance vitale " comme EDF,
la SNCF, Orange, SFR, Bouygues, Free, etc.

La limite de la menace ? "L'imagination " répond Nicolas Arpagian. Et ça le cinéma l'a compris depuis bien longtemps...