Prononcez le mot cyberguerre. Attendez un peu. Un débat enflammé ne devrait pas tarder. La dernière couverture de L’Express (à l’iconographie soignée) n’a pas manqué de souffler sur les cybertisons, jamais vraiment éteints.

Révélant le modus operandi de l’attaque qui a touché l’Élysée en mai dernier, l’hebdomadaire surtitrait sa première page “CYBERGUERRE” en lettres capitales. L’Express affirme aussi que l’attaque a été menée par les États-Unis. Depuis les réactions ont fusé. Sur les faits décrits et sur le fond : est-ce là “le futur des conflits” comme l’affirme Christophe Barbier, le directeur du journal ?

Thomas Rid, chercheur au King’s College de Londres, a décortiqué tous les exemples de la prétendue cyberguerre. Aucun ne passe à l’examen des faits selon lui. D’autres adressent une critique structurelle au concept. Puisqu’elle est cyber, elle ne peut être guerre. Pour l’instant ou pour toujours.

Les observateurs sont pour le moins clivés, et la rédaction d’Owni n’échappe pas à la règle. Pour y voir plus clair, nous avons voulu laisser le “cyber” de côté pour se concentrer sur l’objet du litige : la “guerre”.

Cybermorts

Dans son édito vidéo, Christophe Barbier reconnaît le caractère spécifique de la cyberguerre : “une guerre qui fait peu ou pas de dégâts humains”. Un oxymore selon plusieurs politologues que nous avons interrogés.

Jean-Vincent Holeindre, maître de conférence en sciences politiques à Paris II, travaille sur la pensée militaire. Il rappelle que chez Clausewitz, la guerre est d’abord “un duel des volontés”. C’est la définition minimaliste. Deux piliers viennent l’enrichir : l’usage de la violence et le motif politique.

Régis Lanno, doctorant en sociologie à l’université de Strasbourg, précise :

Même s’il est difficile de définir de façon essentialiste la guerre, en raison des changements de moyens et d’outils dans l’histoire, des invariants demeurent. La guerre correspond à l’administration de la mort à l’extérieur d’un groupe (famille, communauté, clan et plus tard la Nation).

Point de guerre sans mort violente : deux volontés contradictoires s’opposent en mobilisant la violence armée. Mais l’administration de la mort doit répondre à une volonté politique. La criminalité, même violente, n’est pas la guerre. “La guerre consister à utiliser la violence ou la menace de la violence pour contraindre l’ennemi à se plier à sa volonté. Pour reprendre la définition de Clausewitz, la guerre est un acte de violence politique pour faire triompher sa volonté” ajoute Régis Lanno.

La définition restrictive utilisée en sciences sociales se distingue de l’emploi familier, de l’imaginaire collectif. Jean-Vincent Holeindre rappelle que “la perception de la guerre selon le sens commun est façonnée par la mémoire des guerres du XXe siècle, surtout les deux guerres mondiales.” Des guerres entre des États, entre des puissances industrielles, utilisant des armes sophistiquées. D’autres formes de guerre existent, nuance Jean-Vincent Holeindre. Les guerres asymétriques par exemple, qui opposent un groupe (des insurgés) à un pouvoir central.

Cyberconflit

“La guerre est le paroxysme du conflit” précise le chercheur. Le conflit comprend des gradations : de la dispute familiale à la grève de salariés. C’est plutôt quelque part dans ce panel que devrait figurer la cyberguerre, le cyberconflit donc.

Pour Régis Lanno, les victimes physiques sont cruciales pour employer le terme guerre : “En l’absence de mort dans le camp ennemi, la cyberguerre relève du conflit. L’objectif est plus de neutraliser l’ennemi que de l’anéantir physiquement.”

Du sabotage. Jean-Vincent Holeindre insiste :

Le sabotage est une stratégie militaire, un élément particulier d’un ensemble plus large qui relève du renseignement. Tout en se protégeant des attaques de l’adversaire, la partie au combat essaie de saboter l’arsenal ennemi pour le désorganiser et faciliter l’usage de la force.

Les exemples sont légions de cybersabotage et d’utilisations tactiques de cyberattaques : contre la Géorgie en 2008, la Russie a ciblé des sites internet officiels avant de mener sa campagne au sol. Stuxnet, le logiciel malveillant fabriqué par les États-Unis et Israël dans le cadre du programme “Olympic Games”, a permis de retarder le programme nucléaire iranien. Mais l’acte de sabotage ne suffit pas à lui seul pour qualifier l’acte de “cyberguerre”. Sauf si la cible de l’attaque s’estime victime d’une agression.

Cyber Lex, Sed Lex

On quitte alors l’univers théorique de la pensée politique pour entrer dans le domaine du droit. Yves Sandoz est professeur retraité de droit international humanitaire à Genève et Fribourg. Il rappelle “[qu']une définition a contrario de la guerre est posée dans la charte des Nations Unies adoptée en 1947″. La charte proscrit le recours à la violence pour régler des différends : fini les guerres d’agression (en principe), fini les déclarations de guerre en bonne et due forme.

À côté de l’évolution normative, Yves Sandoz note un changement de la nature des guerres aujourd’hui :

Les conflits internes de très haute intensité augmentent, comme au Mexique par exemple. Il s’agit d’un conflit criminel très violent. L’utilisation du terme “guerre” a aussi été dévoyée dans des expressions comme la “guerre contre la terreur” ou “la guerre contre la pauvreté”.

Juridiquement, une cyberattaque peut être considérée comme un acte d’hostilité, donc enclencher les mécanismes de légitime défense encadrés par la charte des Nations unies. “Mais il faut respecter le principe de proportionnalité” modère Yves Sandoz.

En somme, le piratage d’un site officiel peut difficilement entraîner un bombardement aérien en riposte… Les États-Unis l’ont annoncé l’année dernière : ils se réservent le droit de considérer une cyberattaque comme un acte de guerre, et d’y répondre par des moyens conventionnels.

Cyberrégulation

La cyberguerre froide

Les États-Unis gardent aujourd'hui la main sur certaines fonctions essentielles du Net. Au grand dam de quelques nations, ...

L’idée d’un traité sur la cyberguerre progresse. La Russie plaide depuis 1998 en faveur d’un traité international interdisant l’utilisation du cyberespace à des fins militaires. Mais obéissant à une logique de rapport de force. Moscou ne pense pas pouvoir rivaliser avec les autres États dans le cyberespace, dès lors mieux vaut que le cyberespace soit pacifié…

Champ de bataille, le cyberespace ne peut échapper aux garanties prévues par le droit. Caractériser une cyberattaque entraîne l’application du droit international humanitaire, plaide le Comité international de la Croix Rouge. La question n’est alors plus de savoir si la cyberguerre est possible, mais d’admettre qu’elle l’est pour éviter une zone grise non-codifiée, dans laquelle les belligérants pourraient nier l’existence de toutes règles et inventer un cyber-far-west.

Responsable des recherches sur les question cyber au CICR, Cordula Droege considère les cyberattaques comme “des moyens et des méthodes de guerre qui reposent sur les technologies de l’information et sont utilisées dans un contexte de conflit armé au sens du droit humanitaire”.

Cordula Droege émet des réserves sur la possibilité d’attribuer une cyberattaque et sur la nature des objectifs visés, qui ne doivent pas être civils conformément au droit international humanitaire. Ces nuances posées, elle écrit :

Si les moyens et les méthodes de la cyberguerre produisent les mêmes effets dans le monde réel que les armes conventionnelles (destruction, perturbation, dégâts/dommages, blessé, morts), ils doivent être gouvernés par les mêmes règles que les armes conventionnelles.

C’est une histoire tirée d’un roman d’espionnage, plutôt à la mode OSS 117. Un État fabrique un logiciel espion, le lance sur sa cible, un autre État. Celui-ci s’en rend compte, dissèque ledit logiciel dans le plus grand secret. Il décide ensuite de piéger l’attaquant, y parvient. À la fin, il publie un rapport avec les photos du pirate ennemi, obtenues en entrant dans son ordinateur.

Fin de la fiction. L’histoire est réelle. Le rapport a été publié en anglais la semaine dernière par l’agence d’échange de données géorgienne. Il pointe la main de la Russie dans une cyberattaque importante contre la Géorgie découverte en mars 2011. “Un acte de cyberespionnage” écrit l’agence dans son rapport qui détaille le modus operandi sophistiqué de l’attaque.

Informations confidentielles

Première étape : des sites d’informations géorgiens sont piratés. Le script malveillant placé sur ces pages infecte les ordinateurs des visiteurs. La pêche aux “informations confidentielles et sensibles” peut commencer. Étape deux : les ordinateurs piratés sont criblés pour dénicher les précieuses informations qui sont renvoyées (c’est l’étape trois) vers un serveur distant. Malins, les artisans de l’attaque changent régulièrement l’adresse du serveur.

Un jour sous surveillance

Les documents révélés par WikiLeaks laissent entrevoir le paysage de la surveillance. Un téléphone portable devient un ...

Non content d’obtenir ces documents – principalement word, powerpoint et pdf à propos des questions des relations avec les États-Unis ou l’Otan – les pirates peuvent avoir accès aux micros et caméra de l’ordinateur infecté. Des fonctionnalités sophistiquées, mais pas hors du commun à en croire le catalogue de certains marchands d’armes de surveillance…

390 ordinateurs ont été infectés détaille le rapport de l’agence géorgienne. Une immense majorité en Géorgie, et quelques 5% en Europe et en Amérique du Nord. Les autorités géorgiennes affirment avoir reçu l’aide de services étrangers (américains et allemands) ainsi que l’assistance de grandes entreprises comme la division cybersécurité de Microsoft. Une fois disséqué, le logiciel malveillant a permis de remonter à la source. Les autorités géorgiennes sont parvenues à identifier le pirate, et le prendre en photo avec sa webcam.

La moustache de Moscou

Pas peu fière, l’organisation chargée de la cybersécurité géorgienne raconte :

Nous avons trouvé un PC infecté dans notre lab, avons envoyé une fausse archive ZIP, intitulée “Georgian-Nato agreement’, qui contenait le virus. L’attaquant a dérobé cette archive et a exécuté le fichier malveillant. Nous avons maintenu le contrôle sur son PC, puis capturé une vidéo de lui, personnellement.

La prise est évidemment jointe au dossier : deux photos d’un homme moustachu, sans uniforme, dans ce qui ressemble à un appartement.

Pour la Géorgie, l’origine de l’attaque ne fait aucun doute : Moscou est derrière. Ce ne serait pas une première. Lors de la guerre entre les deux pays à l’été 2008, le Russie avait mené des cyberattaques concomitamment aux attaques sur le terrain. Le rapport ne manque pas de le rappeler, citant “deux organisations indépendantes américaines”. Les cyberattaquants avaient alors pu compter sur “certaines ressources” appartenant à l’Institut de recherche du ministère de la défense russe.

En dire un peu, mais pas trop. L’exercice avait des airs de numéro impressionniste. Le sénateur Jean-Marie Bockel a présenté ce 19 juillet son rapport sur la cyberdéfense. En tête des priorités et en bonne place des recommandations figurent les capacités offensives :

Priorité n°1 : (…) : S’interroger sur la pertinence de formuler une doctrine publique sur les capacités offensives. (…)
Recommandation n° 10 : poursuivre le développement de capacités offensives au sein des armées et des services spécialisés.

Le sujet n’est pas nouveau ; il n’est plus du tout tabou. Ces dernières années, les grands-messes ont régulièrement évoqué ce “cinquième champ de bataille” qu’est le cyberespace. En premier lieu parce que les États entendent se protéger contre cette nouvelle menace, mais pas seulement. Le Livre blanc sur la Défense et la sécurité nationale, rédigé en 2008, notait que “dans le domaine informatique plus que dans tout autre milieu, il faudra, pour se défendre, savoir attaquer.”

Doctrine

La même année, un rapport du Sénat reprenait cet argument “technique” et en ajoutait deux autres en faveur du développement des capacités offensives à “des fins spécifiquement militaires” :

(…) Une telle capacité est très certainement de nature à jouer un rôle dissuasif vis-à-vis d’agresseurs potentiels ;
(…) Enfin, le cyberespace paraît inévitablement voué à devenir un domaine de lutte, au même type que les autres milieux dans lesquels interviennent nos forces armées ; il est légitime d’en tirer les conséquences.

Jean-Marie Bockel les reprend dans son rapport et s’interroge sur la nécessité de rendre public l’utilisation de ces capacités. “Le silence des autorités française sur cette questions depuis (…) 2008 paraît quelque peu en décalage avec l’évolution de la menace (…), et il pourrait même être de nature à entretenir des fantasmes dans l’opinion publique” écrit-il.

Lors de la présentation, il a invité le nouveau président de la République à prendre officiellement position. Les incantations de Nicolas Sarkozy de 2008 pour que la France se dote de “capacités défensives et offensives” doivent maintenant être formalisée sous la forme d’une doctrine :

Il faut progresser sur le plan doctrinal d’emploi de cette force. Des discussions théoriques doivent être conduites, la défense nationale est toujours le fruit de débats doctrinaux.

Et d’ajouter sur-le-champ : “Tout ne doit pas être sur la place publique”. Par allusions sibyllines, Jean-Marc Bockel a évoqué ces fameuses capacités, dont l’étendue et la nature ne sont pas connue. “La France n’est pas manchot dans ce domaine” a-t-il répété.

Industriels

L’État travaille-t-il d’ores et déjà avec des industriels ? Pour la rédaction de son rapport, le sénateur a consulté deux poids lourds du secteur : Thalès et Cassidian, la filiale défense d’EADS. Devant les journalistes, il n’a pas démenti leur participation :

Dans la pratique, oui, il jouent un rôle. Sur le papier, non.

Au sein de l’édifice militaire français, c’est le chef de l’État major particulier, le général Benoît Puga, qui “pilote” le volet offensif. Des attaques ? Prudent, Jean-Marie Bockel n’a pas répondu. Sollicités par Owni, ni l’État major particulier, intégré à l’Élysée, ni le ministère de la Défense n’ont souhaité commenter.

[Mise à jour, le 20 juillet à 12h : L’État major des armées nous a répondu dans la soirée et renvoyé vers le Secrétariat général de la défense et sécurité nationale (SGDSN), sous l'autorité du Premier ministre. L'Élysée nous a rappelé en fin de matinée le 20 juillet, affirmant que "les conclusions et propositions du Livre blanc étaient prises en compte" , y compris dans le domaine offensif, même si aucun "détail" ne pouvait être fourni sur ce point. "La phase de décision finale est un sujet présidentiel" dans le domaine des cyberattaques comme "dans les autres domaines, surtout offensifs" a précisé la présidence par téléphone :

La mise en œuvre revient au SGDSN et à l'Agence nationale de la sécurité des systèmes d'informations (ANSSI).

Sur la doctrine, l'Élysée explique qu'un "travail en continu a été mené depuis le Livre blanc" et qu'elle doit faire la part belle à "l'anticipation".]

État de l’art mondial

Le sénateur et ancien secrétaire d’État à la Défense et aux Anciens combattants fait un état du monde, citant notamment un rapport de Center for Strategic and International Studies. 35 pays seraient dotés “d’une doctrine militaire en matière de ‘cyberguerre’” à l’instar d’Israël où le ministère de la défense l’a rendue publique. Jean-Marie Bockel a pris ses distances avec l’expression cyberguerre, reconnaissant que ces attaques, “déstabilisatrices”, pouvaient constituer “un élément des conflits, comme lors de la guerre entre la Géorgie et la Russie”. En tout cas pour l’heure.

Les États-Unis précisent de plus en plus les conditions d’emploi de la force dans le cyberespace. L’année dernière, le plan de lutte contre la cybercriminalité publié par la Maison Blanche laissait la porte ouverte à des représailles conventionnelles après une cyberattaque. Cette année, les révélations du New York Times sur Olympic Games, le programme secret qui a permis le développement des virus Stuxnet et Flame, ont achevé de convaincre de l’intérêt de Washington pour les dispositifs offensifs, et mordants. Ces deux logiciels malveillants ont ralenti le programme nucléaire iranien en endommageant physiquement les centrifugeuses.

Jean-Marie Bockel était aux États-Unis juste après ces révélations. Une seule question demeurait en suspens : au-delà de la véracité des faits, qui avait intérêt à diffuser ce genre d’informations quelques mois avant l’élection présidentielle, a-t-il rappelé jeudi matin ? Washington a sorti ses muscles. Et il invite la France à faire de même.

Seconde journée du festival Pas Sage En Seine, l’évènement qui réunit hackers, geeks de tous poils et partisans de l’Internet polisson, du côté de la Cantine, à Paris. Après une journée en forme de rappel des fondamentaux, les intervenants sont entrés dans le dur. Ou plutôt, dans le faire.

Pour un Internet polisson !

Contre un Internet policé, choisissons l'Internet polisson ! C'est en gros le message de Pas sage en Seine, festival de ...

Car si l’intérêt d’un Internet libre et ouvert a été décliné sous toutes les formes au cours de la journée d’introduction, il s’agit de démontrer comment, concrètement, l’application des théories pouvait contribuer à créer de multiples projets. De l’inévitable encyclopédie collaborative en ligne Wikipédia aux monnaies alternatives, en passant par de petits robots dirigés par des lignes de code.

La palme du do it yourself le plus ardu du jour revenant sans doute à l’atelier “reverse engeneering” : un cours interactif pour apprendre à dépecer un malware, ce genre de petit programme qui peut pourrir votre ordinateur de bien des manières, afin de le comprendre et, éventuellement, de l’anéantir. Une conférence d’utilité publique, à destination d’un auditoire averti, susceptible de décrypter (pardon, déchiffrer) des phrases telles que “voilà un snapshot de la machine” ou “on a des batchs qui tournent.”

La carte et le territoire

C’est Gaël Musquet, d’Open Street Map, qui a inauguré cette journée travaux pratiques. Afin d’indiquer aux enfants terribles de Pas sage en Seine comment participer au mieux à ce projet d’envergure internationale, qui ambitionne depuis 2004 “de créer une carte libre du monde.” Une initiative rendue possible par le pouvoir du Net :

Longtemps réservée aux élites, la cartographie s’est vulgarisée grâce à Internet. Google a révolutionné, il y a quelques années, avec ses logiciels, la possibilité de voir des photos aériennes de son quartier, de sa maison… Open Street Map et sa communauté permet de prolonger l’expérience de ces utilisateurs, qui ne sont plus des consommateurs, mais qui deviennent des producteurs.

Gael Musquet (Open Street Map) // Pas sage en Seine 2012 (avec Bluetouff en guest) from Owni on Vimeo.

Une appropriation du territoire par les cartes qui a visiblement séduit les trublions de Pas sage, qui n’ont tout de même pas manqué de demander si on pouvait “repérer les putes sur une carte”. En s’inquiétant au passage de voir Gaël Musquet porter une chemise : ”c’est la DCRI ?”

Okhin pendant la séance de questions à la fin de son intervention sur le MEATSPACE - (cc) Ophelia Noor

La DCRI, ou direction centrale du renseignement intérieure, qui a récemment pris langue avec un certain Okhin, membre de Telecomix et intervenant survolté autour des questions de meatspace, cyberspace et autres questions d’identité, d’intimité et de territorialité. Questions qui résonnent avec les pratiques des habitants d’Internet. Et qu’il développe ici pour nous :

Okhin (Telecomix) et le “meatspace” // Pas sage en Seine 2012 from Owni on Vimeo.

Fin de journée sous le signe du hack appliqué au journalisme. Premier volet, Kitetoa et Bluetouff de Reflets.info, ainsi que Jean-Marc Manach sont revenus en longueur sur la cybersurveillance et les fameuses barbouzeries d’Amesys en Libye. Second exemple, Alexandre Léchenet, du Monde.fr, a rejoint les trois intervenants précédents pour montrer les apports du hacking au journalisme. Illustration à l’appui avec l’enquête sur les dépassements d’honoraires des médecins en Ile-en-France. Alexandre Léchenet a aspiré la base de donnée Ameli. Le résultat est assez surprenant. Et ne nécessitait pas d’intrusion, ni talents de hacking hors du commun.

- le live de Silicon Maniacs

- les vidéos des conférences sur le site de la Cantine

- merci à Maël des Maniacs pour le matériel /-)

Complexité jugée sans pareille, nom flamboyant, attaques ciblées contre certains intérêts gouvernementaux, Flame a tout d’une cyberarme nouvelle génération. Mais à y regarder de plus près, Flame pourrait ne pas être aussi révolutionnaire que certains médias et entreprises voudraient bien le laisser entendre.

L’alerte a été donnée par Kaspersky, un éditeur d’antivirus à la réputation extrêmement solide. Flame serait le logiciel malveillant le plus complexe découvert à ce jour. L’éditeur affirme :

Sa taille est importante, et il est incroyablement sophistiqué. Il redéfinit jusqu’à la notion même de cyberguerre et de cyberespionnage.

Ses caractéristiques si exceptionnelles… ne le sont cependant pas tant que ça. Flame est un cheval de Troie, à savoir un logiciel permettant à un attaquant de contrôler un système à l’insu de son utilisateur légitime via l’exécution d’un code malveillant. Quelles sont les fonctionnalités de Flame, selon Kaspersky ? Tout de ce qu’il y a de plus commun pour un malware que l’on trouve habituellement dans les milieux cybercriminels.

Dissection d’une nouvelle cyberarme

En 2010, la découverte de Stuxnet changeait la donne en matière de cyberarme. Son perfectionnement dépassait les attentes. ...

A savoir : la lecture, écriture et suppression de données ; l’exécution de binaires ; la possibilité de prendre des captures d’écran ; l’enregistrement des frappes de clavier (keylogging) et la récupération et l’envoi de fichiers. D’autres fonctionnalités sont un peu plus recherchées telles que l’enregistrement de données audio (si microphone présent) ou la possibilité d’utiliser le bluetooth et le trafic réseau pour récupérer certaines informations sur l’environnement dans lequel est présent l’ordinateur infecté.

Des fonctionnalités, surprenantes et inquiétantes pour un utilisateur lambda, en réalité extrêmement répandues depuis plus d’une dizaine d’années. A titre d’exemple, le troyen Poison Ivy, dont la première version date de 2005 et qui est toujours librement accessible sur Internet, offre la plupart des fonctionnalités de Flame, décrites par Kaspersky comme constitutives de son originalité ; et bien d’autres encore.

A nos yeux, la seule originalité de Flame, outre l’utilisation du Lua [Un langage de script, NDLR] restreinte à une micro partie du corps du programme, concerne sa capacité à utiliser le Bluetooth, bien qu’il ne soit fait mention nulle part de la possibilité de se répandre via ce protocole. Même ce qui est présenté par Kaspersky comme la grande spécificité de Flame, à savoir son fonctionnement en modules, n’est pas novatrice.

De très vieux troyens comme MiniMo, NuclearRAT, et bien sûr Poison Ivy fonctionnaient déjà à partir d’un module principal d’infection auquel il était possible, une fois l’accès au système effectif, d’ajouter différents plug-ins selon l’utilisation que l’attaquant souhaitait faire de celui-ci (scanner distant, attaques DDoS, enregistrement de webcam, keylogging, etc.)… Flame, un pétard mouillé ?

Dans un article publié sur le site Atlantico, l’expert en sécurité informatique Eric Filiol dénonce le comportement de Kaspersky, et des éditeurs d’antivirus en général, coupables à ses yeux de grossir certaines menaces dans le seul but de faire gonfler leur chiffre d’affaires.

En soi, cette thèse est recevable, et d’autant plus d’actualité que les antivirus ont la très mauvaise habitude de ne pas mettre à disposition les sources de leurs analyses. Cependant, trop occupé à éviter d’avaler la couleuvre de ce très bel exemple d’utilisation marketing de la peur, M. Filiol tombe dans l’excès inverse, celui de la sous-estimation d’une menace peut-être réelle. Les fonctionnalités de Flame que présente Kaspersky ne sont pas nouvelles, et l’éditeur d’antivirus instrumentalise manifestement à son profit la faible connaissance qu’a l’utilisateur lambda de ce qui le menace sur Internet.

Vieilles recettes

Que les fonctionnalités supposées de Flame soient classiques ne remet pas en question leur efficacité ; les États utilisent des espions depuis la nuit des temps. Ce même schéma se retrouve dans le domaine du cyber-espionnage, des recettes identiques sont utilisées depuis des années (emails piégés, récole d’information, pivot etc.) sans qu’il y ait de véritable révolution. La société de sécurité RSA avait été piratée en 2011 à l’aide de Poison Ivy, un RAT disponible sur Internet depuis plus d’une demi-décennie.

Par ailleurs, nombreux ont été les experts informatiques à se gausser de la menace Flame en raison de sa taille importante (environ 20 Mo, tous plug-ins compris) ; même les plus vieux troyens généraient des modules d’infection de quelques centaines de kilo-octets maximum, certains se contentant même avoisiner quelques Ko. Les développeurs de Flame seraient-il donc des “amateurs” ?

Pas nécessairement. Tout d’abord, car rien n’est dit de la possibilité – très probable – que Flame dispose, si ce n’est à la base, au moins d’un module rootkit. Les rootkits ont la particularité de pouvoir cacher à peu près tout ce qui se trouve sur un système, des fichiers/dossiers aux processus, clés de registre et même le trafic passant par certains ports, qui pourrait indiquer à un observateur avisé que l’ordinateur se comporte d’une façon étrange. Or, si Flame est si complexe, et si, comme Kaspersky en fait mention, il a été capable d’infecter des systèmes Windows 7 entièrement patchés, il est très probable qu’il embarque des fonctionnalités de type Rootkit ou d’élévation de privilèges non-connues publiquement. De plus, comme le dit très justement Félix Aimé, expert en sécurité de l’information [Également auteur sur Intel Strat, NDLR] :

Qui donc vérifie la taille des fichiers sur son disque dur pour en déduire la présence de virus ? La taille d’un virus n’a jamais été un indice de poids dans sa détection, c’est un mythe.

[Vidéo] Stuxnet en trois minutes chrono

Qui a tout compris à Stuxnet? Pour ceux qui ont encore besoin d'explications, une petite vidéo en motion design devrait ...

Enfin, le dernier argument des experts sceptiques sur le cas Flame concerne la soi-disante violation d’un principe de base : “un code, une cible”. Bien évidemment, la réussite d’une attaque dépend de sa planification et des informations qu’il a été possible de recueillir sur le système-cible. Mais il est faux de penser qu’un attaquant va coder de A à Z un programme unique, exclusivement adapté à une cible. S’il est vrai qu’un code malveillant se doit d’être adapté aux spécificités du système qu’il vise, un attaquant se contente généralement de moduler un code déjà existant.

Coder à usage unique n’est pas une pratique réaliste et encore moins financièrement viable. En fait, la structure en modules de Flame serait plutôt un argument appuyant sa dangerosité ; peut-être même certains modules ont-ils été codés, à la base, pour une cible en particulier, et ont-ils été au fur et à mesure intégrés au fonctionnement global du malware.

Flame ne rédéfinit pas la notion de cyberguerre, comme cela avait été pompeusement annoncé. La menace, en admettant qu’elle soit réelle, n’en est pas pour autant dangereuse pour l’internaute lambda ; il est ici question d’un cheval de Troie, à la diffusion localisée, et qui ne cible que des systèmes appartenant à des personnalités stratégiques. Cependant, la multiplication de malwares si complexes qu’ils peuvent être considérés comme de véritables cyberarmes confirme bien que les États investissent de plus en plus le cyberespace. Et prennent la mesure de son importance stratégique.

Ces deux dernières années, deux malwares se sont illustrés dans le cyberespace par leur complexité, mais aussi par leur utilité stratégique. Stuxnet et Duqu visaient tous deux le programme nucléaire iranien. Que peut-on savoir d’eux dans un cyberespace où l’anonymat, le secret défense et l’absence de frontières règnent en maître ? Essai d’analyse.

Plus d’un an après la découverte de Stuxnet, un autre logiciel malveillant fait son apparition dans le cyberespace. Dénommé par les occidentaux “Duqu”, en raison des fichiers qu’il laissait sur les systèmes infectés, ce Remote Administration Tool (RAT) a été recensé dans plusieurs pays, principalement l’Iran. Contrairement à Stuxnet, Duqu était cette fois-ci dédié à une campagne d’espionnage, envoyant vers des serveurs distants des informations extraites à partir des ordinateurs infectés. Il n’avait pas de mode de propagation autonome en tant que tel, mais était déployé sur les ordinateurs grâce à une charge utile contenue dans un document Word envoyé par mail aux acteurs ciblés.

Vulnérabilité non connue

Sa méthode de déploiement était triviale, mais son code diffère des autres trojans habituellement rencontrés dans ce type de campagne d’espionnage. Tout comme Stuxnet, ce dernier utilisait une vulnérabilité non connue propre à Windows (CVE-2011-3402) permettant d’élever ses privilèges pour ensuite se rendre persistant sur le système ciblé ; et donc silencieux auprès des possibles antivirus installés sur la machine. Une autre particularité était frappante chez Duqu : il utilisait des certificats (chose non commune pour ce genre d’attaques) et deux clés de chiffrement identiques au célèbre Stuxnet (0xAE790509 et 0xAE1979DD). Mais les similitudes ne s’arrêtent pas là. Une simple comparaison des deux codes sources à l’aide du logiciel BinDiff révèle d’étranges correspondances entre les deux logiciels malveillants :

Comparaison d’un extrait du code entre Stuxnet et Duqu, laissant penser que les deux sont l’oeuvre d’un seul et même groupe

Duqu a été repéré la première fois en octobre 2011 par un laboratoire hongrois de sécurité informatique dénommé Crysys. Nous ne savons pas d’où vient l’exemplaire qu’ils ont eu entre les mains. L’existence de Duqu serait antérieure à octobre 2011. En effet, en début d’année, l’Iran se disait, par l’intermédiaire de son agence de presse nationale, victime d’un malware appelé “Stars”. Cela devient intéressant quand on est au courant que Duqu utilise une image représentant deux galaxies comme vecteur de communication entre les ordinateurs infectés et les serveurs de contrôle… Duqu serait-il donc le malware Stars ? Cette hypothèse est plus que probable.

Mais alors, depuis combien de temps Duqu est présent dans les réseaux informatiques iraniens ? Personne ne le sait vraiment. La politique en la matière, que ce soit en Iran, en France ou dans d’autres pays, est de disséminer le moins d’informations possibles concernant une attaque. Ainsi, après la découverte tardive du malware Stars, l’Iran a préféré garder le malware bien au chaud dans ses laboratoires de recherche afin d’en étudier la complexité et prévoir une désinfection de son parc informatique gouvernemental. Il pourrait alors faire partie d’une attaque antérieure à Stuxnet ou parallèle à ce dernier, même si sa découverte officielle demeure récente.

Stuxnet, la première cyberarme

Juin 2010, un nouveau ver pour Windows fait son apparition dans les laboratoires de recherche de la société biélorusse VirusBlokAda spécialisée en sécurité informatique. Utilisant quatre failles non connues de Windows et profitant d’une mauvaise configuration dans le système de gestion (PLC) Siemens des centrifugeuses, ce ver, dénommé rapidement Stuxnet, allait devenir aux yeux des experts du monde entier la première cyberarme, car sans doute réalisée uniquement dans le but de détruire ou paralyser tout ou partie du système industriel d’un pays.

Outre les multiples craintes qu’ont fait naître Stuxnet, ce logiciel malveillant avait une cible précise : les centrifugeuses permettant la réalisation d’un uranium hautement enrichi, et donc à visées militaires. Ce n’est qu’à la rentrée 2010 que l’Iran, pris dans la tourmente médiatique, a du avouer son impuissance concernant l’attaque dont il a fait l’objet, ayant selon certains experts, reculé de cinq ans le programme de la bombe iranienne. Stuxnet était bel et bien une arme, composée comme telle, avec un système de propulsion : des vulnérabilités permettant sa diffusion dans les réseaux informatiques, mais également une charge utile, c’est à dire un code d’exploitation permettant de saboter le système de contrôle (PLC) des centrifugeuses d’enrichissement.

Le petit monde des experts en sécurité n’avait jamais rien vu de tel, quatre vulnérabilités non connues affectant uniquement le système Windows présentes dans un seul et même ver informatique. Ce dernier utilisait de plus des certificats permettant de signer son code source devenant à terme un logiciel légitime aux yeux du système ciblé. Cela devenait une évidence pour tous, du fait de son ingéniosité et de ces nombreux codes d’exploitation embarqués, Stuxnet était l’œuvre d’un État, indéniablement en possession de capacités avancées en Lutte Informatique Offensive (LIO).

L’Iran en ligne de mire

Un faible nombre de pays est actuellement en mesure de déployer des projets de LIO et de réaliser des programmes informatiques malveillants d’une grande complexité (les attaques dites “chinoises” (APT) utilisant le plus souvent des versions modifiées de programmes connus du grand public, telles que le célèbre Poison Ivy). Ainsi, on retrouve principalement sur le banc des suspects liés à Duqu deux pays ayant fait parler d’eux avec l’affaire Stuxnet, les États-Unis et Israël, ayant tous deux des programmes de LIO développés.

Il est plus que probable que ces attaques soient le fruit des mêmes auteurs, le tout avec une coopération forte entre des services secrets de différents pays, alimentant le renseignement sur les cibles. Toutefois, rien ne fait pencher la balance en faveur d’un pays particulier, même si certaines pistes, présentes dans le code peuvent laisser présager une implication réelle d’Israël. Cette piste demeure à prendre avec des pincettes, cependant. En effet, dans le cyberespace il est toujours possible de mener des attaques informatiques lançant de fausses pistes, inscrites dans le code même du logiciel malveillant (compilation avec une version chinoise de compilateur, par exemple) ou dans la prétendue origine d’une attaque. A ce jour, connaître les auteurs de ces attaques s’avère impossible car le secret défense est de mise, tant chez l’attaquant que chez la cible. Cependant, des fuites d’informations ou des attaques à venir pourraient nous permettre d’y voir plus clair.

Les deux cyberarmes, Duqu et Stuxnet ont étonné une grande partie des chercheurs dans ce domaine. Au-delà de la simple question de la complexité de la réalisation de ces cyberarmes, l’existence même des deux malwares pose la question de la difficulté d’attribution des attaques dans le cyberespace.

Photos et illustrations via les galeries Flickr de Julia Manzerova [cc-byncsa] ; Campra [cc-byncnd] ; Dynamosquito [cc-bysa] ;

Mise au jour par l’éditeur de logiciels de sécurité américain McAfee, l’opération “Shady RAT” (“outil louche de contrôle à distance” en bon français, ou “Mouchard Ténébreux”, dixit RFI) aurait pillé les informations de plus de 70 gouvernements, entreprises ou organisations pendant cinq ans. Pourtant, Dmitri Alperovitch, le directeur de recherche qui a identifié la cellule souche et la décrypte sur son blog et dans un rapport de 15 pages (PDF, en), se garde bien d’accuser ouvertement Pékin. En revanche, il dédouane “les mouvements activistes vaguement organisés” (des Anonymous à LulzSec), pour évoquer un commanditaire autrement plus coordonné:

Même si l’ampleur et la durée de Shady RAT peuvent choquer ceux qui n’ont pas été intimement impliqués dans les investigations sur ces opérations précises d’espionnage, j’aimerais vous prévenir que ce que je décris ici a été une opération spécifique conduite par un seul acteur.

La muleta chinoise

Parmi les victimes de ce grand détroussage dont les conséquences immédiates restent assez floues, les États-Unis sont les plus touchés: sur 72 cibles, 49 sont américaines. Et pas n’importe lesquelles, puisque 13 entreprises d’armement et plusieurs agences gouvernementales figurent dans la liste. Concomitance ou signe avant-coureur, plusieurs mastodontes du complexe militaro-industriel avaient été dépouillés il y a quelques semaines. Parmi eux, Lockheed Martin, L-3 Communications et Northrop Grumman, tous pesant des dizaines de milliards de dollars.

Aux côtés des États-Unis, on retrouve une douzaine d’autres pays, dont le Canada, le Japon, la Corée du Sud, l’Allemagne, le Royaume-Uni ou l’Inde. La présence de Taïwan serait quant à elle la preuve formelle de l’implication chinoise. C’est en tout cas l’avis de James Lewis, un analyste du Center for Strategic and International Studies (CSIS), un think tank bipartisan de Washington D.C. :

Tous les signes pointent vers la Chine… Qui d’autre espionne Taïwan?

La conclusion peut sembler hâtive, toujours est-il qu’elle a été relayée par bon nombre d’experts, y compris chez Microsoft. Toujours prompts à pointer du doigt un Empire du milieu décidément bien encombrant, ceux-ci s’en donnent à cœur joie. Très à la mode dans les milieux de l’intelligence économique – le précédent Renault suffit pour s’en convaincre – le chiffon rouge chinois n’est pas non plus une muleta créée ex nihilo et agitée par des pays occidentaux empêtrés dans une révolution numérique qui les submerge. En 2010 aux Etats-Unis, 11 citoyens chinois ont été poursuivis pour espionnage. Dix d’entre eux s’intéressaient à des objectifs de haute technologie.

Course aux cyber-armements

Même si les autorités chinoises passent leur temps à disqualifier les accusations américaines en réclamant des preuves que le camp d’en face est incapable de fournir, les bataillons de honkers (ces hackers patriotes formés aux frais du Parti) et l’attaque surmédiatisée contre Google début 2010 ont définitivement changé la donne géopolitique.

Désormais, selon une rhétorique post-Guerre froide largement alimentée par les deux discours d’Hillary Clinton sur la liberté d’Internet, les éditorialistes évoquent une “course aux cyber-armements” où les capacités de réactions aux virus remplacent la bombe H et les fusées. S’adressant à un parterre de spécialistes de la sécurité informatique lors de la conférence Black Hat à Las Vegas, un vétéran de la CIA, Cofer Black, a affirmé que “la guerre des codes” était sur le point d’éclater (une terminologie que nous utilisions déjà début juin, avec une lecture sensiblement différente).

Auditer le matériel

Problème, ce nouveau terrain de jeu, doublé d’un paradigme stratégique aux contours pas très nets, vient se juxtaposer à une réalité quelque peu déconcertante. Faites donc le test: regardez derrière vos unités centrales, sous vos ordinateurs portables, et comptez le nombre de produits estampillés “Made in China” (en réalité, le bout de la chaîne, comme l’expliquait le New York Times dès 2006). Tant et si bien que le Congrès américain commence à auditionner des spécialistes inquiets. L’un d’entre eux, Kevin Coleman, estime qu’il vaudrait mieux auditer le matériel du Pentagone ou des agences fédérales avant de jouer les vierges effarouchées:

Si nous ne décidons pas de tout fabriquer chez nous, alors il faut améliorer les outils et les techniques de validation.

Si demain, Foxconn, le sous-traitant chinois d’Apple, décide de programmer ses robots pour qu’ils implémentent des malwares dans des iPhone destinés à la vente mondiale, les États-Unis risquent fort d’être pris au dépourvu. Et ce n’est pas tout. Il y a un peu plus d’un an, 600 responsables de la sécurité informatique de grandes entreprises répondaient à un sondage et établissaient le palmarès des pays les plus perméables aux attaques informatiques. Les États-Unis arrivaient en tête, avec 36% des suffrages, devant la Chine. L’étude était commissionnée par… McAfee.

Un chiffre comme celui-ci, aussi rond qu’énorme (aujourd’hui, c’est à partir de plusieurs centaines de milliards de dollars qu’un problème devient important : ça n’arrange pas les affaires du Dr Evil) suscite les soupçons. Il est totalement incohérent avec les autres évaluations données dans l’article : si les cyberattaques coûtent 560 millions de dollars en 2009 aux USA, comment atteindre les 1000 milliards de dollars dans le monde en 2008?

J’avais montré, il y a quelques temps, que le coût mondial de la contrefaçon était estimé d’une manière absurde, avec un chiffre totalement faux qui subsistait obstinément dans toutes les évaluations, avec untel qui cite le chiffre en faisant référence à machin, lequel le tient de bidule, qui le tient lui-même d’untel. Ce chiffre de 1.000 milliards de dollars pour le coût des cyberattaques est en train de suivre le même processus. L’article indique ainsi que le chiffre a été cité lors d’un forum des Nations Unies sur la cybersécurité [pdf], qui fait référence à des données d’Europol, qui elle-même fait référence… à l’étude de McAfee. C’est comme cela qu’un chiffre finit par “faire autorité”, pour reprendre les mots de l’auteur. Mais comment ce chiffre a-t-il été déterminé ?

Montant totalement inventé

Je suis donc allé voir cette fameuse étude commanditée par McAfee en 2008, sur le coût du cybercrime. Vous pouvez aller consulter le rapport ici [en, pdf]. Et surprise : le chiffre de 1.000 milliards de dollars n’y figure nulle part. Ce chiffre a été en fait cité pour la première fois par le président de McAfee, au forum de Davos [en]. Il déclare que le rapport “montre que le coût du cybercrime est de 1.000 milliards de dollars par an, ou plus”. Alors que jamais le rapport n’évoque ce chiffre !

Le premier surpris par ce chiffre est d’ailleurs… un contributeur du rapport [en] qui se demande d’où il peut venir. Une façon d’expliquer comment ce chiffre peut être tiré du rapport est la suivante [en] : ce rapport a été établi à partir d’entretiens auprès de 1.000 cadres dirigeants d’entreprises (environ 500 entreprises interrogées), qui estiment en moyenne avoir perdu 4.6 millions de dollars de propriété intellectuelle en moyenne au cours de l’année 2008. On peut alors peut-être supposer que les 1.000 milliards sont établis en considérant que cet échantillon est représentatif (ce qui est parfaitement absurde) et en l’appliquant à l’économie mondiale. Mais impossible d’en être certain : jamais la moindre méthodologie n’est indiquée, nulle part. Ce chiffre est donc totalement inventé, et légitimé en citant un rapport qui n’y fait jamais allusion.

Et ça ne l’empêche pas d’être cité comme “faisant autorité”, repris par toutes sortes d’organismes. Certains même, voulant sans doute avoir l’air sérieux, affirment que “le vrai chiffre doit être plus élevé” parce que l’évaluation date de 2008… On attend impatiemment les calculs qui montreront triomphalement qu’étant donné que le cybercrime “coûtait 1.000 milliards de dollars en 2008″ et que la croissance économique a depuis été de tant, il faut réévaluer ce chiffre à 2.000 milliards… Ne riez pas, ça sera certainement fait.

On pourrait se demander pourquoi un chiffre aussi bidon se retrouve cité et repris partout, au point de “faire autorité”. Le facteur principal est bien connu : citer des nombres est en soi un argument d’autorité. La phrase “la criminalité a augmenté depuis l’année dernière” a beaucoup moins de poids que “la criminalité a augmenté de 4.5% depuis l’année dernière”. Je viens d’inventer ce chiffre : pourtant, convenez que la seconde phrase a l’air beaucoup plus crédible. Elle donne l’impression que je sais de quoi je parle, qu’une mesure a été effectuée, alors que mon chiffre n’a strictement aucune signification.

Le grand problème global

On pourrait certainement faire le même genre de décryptage avec la déclaration de L. Wauquiez, selon lequel “un internaute sur 30 a perdu de l’argent à cause d’un pirate informatique en Europe au cours des 12 derniers mois“. Comme toujours dans ces cas-là, le chiffre est repris et cité, sans la moindre façon de savoir d’où il est sorti (l’article cite encore d’autres chiffres sur le revenu issu des cyberattaques, bien évidemment, toujours aussi invérifiables). On constate aussi que la “guerre au cybercrime” consiste surtout à mélanger des choses qui n’ont rien à voir les unes avec les autres, pour faire de questions différentes un grand problème global exigeant des solutions (et des ressources) importantes.

Le but n’est pas de dire que les cyberattaques n’ont aucune importance, ni aucun coût, qu’il ne faut pas y prêter attention. Simplement de rappeler que les coûts, en la matière, sont très difficiles à évaluer. Et que ceux qui multiplient les chiffres sans signification le font soit comme argument commercial (comme le fait McAfee) soit pour légitimer leur action et mettre en œuvre le théâtre sécuritaire [en] (comme les politiques ou administrations qui multiplient la citation de ce genre de chiffres pour montrer que le gouvernement travaille).

Hystérie collective

Il s’agit simplement de rappeler que l’exagération des menaces, à l’aide de chiffres sans signification, finit par avoir des conséquences lourdes. Si je me fais voler 100 euros, le vrai coût social de ce vol n’est pas 100 euros qui ont simplement été transférés d’une personne à une autre : il vient parce que je vais changer de comportement, consacrer plus de ressources à ma protection au lieu de les consacrer à des usages plus utiles. Si un pirate informatique obtient mon numéro de carte bancaire, c’est énervant, mais pas dramatique (il suffit de changer la carte prématurément). Si un hacker révèle les caractéristiques du prochain iPad et sa date de sortie, conduisant de nombreux acheteurs potentiels à attendre ce nouveau modèle plutôt que d’acheter l’existant, cela représente évidemment un préjudice pour Apple, mais plutôt un avantage pour les consommateurs. Si des hackers avaient vraiment réussi à obtenir les documents de Bercy consacrés au G20, ils auraient surtout constaté et révélé la vacuité de la chose. Pour les États-Unis, le coût du 11 septembre n’est pas tant le coût direct (morts, destructions) que l’ensemble des mesures qui ont été prises en réaction (deux guerres, sécurité des aéroports, morts sur les routes de gens qui ont renoncé à prendre l’avion, etc).

Le coût principal de la criminalité tend à survenir lorsqu’on décide d’y accorder trop d’importance, en négligeant la résilience sociale, et en y consacrant des ressources qui auraient été bien plus utiles ailleurs. Multiplier les évaluations fantaisistes et alarmistes du coût des cyberattaques remplace la question raisonnable : “quelles ressources, qui pourraient être utilisées à autre chose, faut-il consacrer à ce problème ?” par une hystérie collective dans laquelle jamais rien ne sera suffisant pour calmer les inquiétudes, parce que la sécurité absolue ne saurait être atteinte. Cette hystérie en enrichit quelques-uns, au détriment de l’ensemble.

—

Article initialement publié sur Econoclaste

Crédits photo: Flickr CC kmichiels, Curtis Gregory Perry, bartb_pt

En septembre, nous évoquions l’agitation autour de ce virus d’un nouveau genre:

Stuxnet ou le mythe de la cyberguerre mondiale

Cliquer ici pour voir la vidéo.

Si vous éteignez notre réseau électrique, nous nous réservons le droit d’envoyer un missile sur l’une de vos cheminées.

Dix ans après Code is Law (“le code fait loi”, traduit ici par Framasoft) de Lawrence Lessig, formulons une nouvelle hypothèse: et si le code faisait la guerre? En 2000, sur le campus d’Harvard, l’éminent professeur de droit planche sur un article universitaire qui fera date chez les penseurs d’Internet. En définissant le code informatique comme nouvelle architecture de nos sociétés démocratiques, il interpelle tout un chacun sur la nature éminemment modifiable de cette norme.

Ce code, ou cette architecture, définit la manière dont nous vivons le cyberespace. Il détermine s’il est facile ou non de protéger sa vie privée, ou de censurer la parole. Il détermine si l’accès à l’information est global ou sectorisé. Il a un impact sur qui peut voir quoi, ou sur ce qui est surveillé. Lorsqu’on commence à comprendre la nature de ce code, on se rend compte que, d’une myriade de manières, le code du cyberespace régule.

Pris au dépourvu par les attaques DDoS des Anonymous, traumatisés par le mystérieux virus Stuxnet, exposés à un risque toujours plus important d’espionnage industriel, les pays du G8 – les premiers concernés – sont à la recherche d’un cadre légal (un code) aujourd’hui inexistant. A tel point que Lord Jopling, le rapporteur général de l’OTAN, a commencé à rédiger un rapport sur cette nouvelle guerre de l’information, qui brasse WikiLeaks, hacktivisme et coopération internationale. Soumis à la lecture, ce document pourrait être approuvé avant la fin de l’année.

"La plupart des lois ont été conçues dans et pour un monde d'atomes, pas de bits". N. Negroponte, informaticien au MIT

Nouvelle doctrine

Ce coup de grisou en accompagne bien d’autres. En moins d’un mois, plusieurs puissances mondiales sont sorties du bois. La Chine a reconnu l’existence d’une cellule de guerre électronique, tandis que le Royaume-Uni a annoncé son intention de se doter d’un arsenal offensif pour défendre ses infrastructures critiques. C’est un secret de Polichinelle, certains gouvernements se sont déjà livrés à des attaques qui n’étaient pas des ripostes pour sauvegarder leurs intérêts. En septembre 2007, lors de l’opération Orchard, Israël n’a pas hésité à court-circuiter les défenses aériennes syriennes pour mener un raid contre la centrale nucléaire d’Al-Kibar.

Dans le monde militaire “ouvert”, la cyberguerre n’était jusqu’à présent qu’un levier à crédits actionné par les acteurs du complexe militaro-industriel américain. Des poids lourds comme Raytheon, Northtrop Grumman ou Lockheed Martin, directement affectés par l’arrêt programmé de la production de certains appareils comme le chasseur F-22, ont tous développé une gamme de conseil technologique, jusqu’à en tapisser les couloirs du métro de Washington D.C.

Désormais, non seulement d’autres pays placent leurs pions sur l’échiquier, mais c’est un véritable changement de doctrine qui se dessine à l’horizon. Dans une tribune pour le Guardian, Lord John Reid, ancien secrétaire à la Défense de Tony Blair, appelle de ses voeux une véritable révolution, en insistant sur le fait que les structures d’aujourd’hui ne sont pas suffisamment résilientes pour absorber les chocs du réseau:

Il y a toujours un certain degré de continuité dans le changement, même radical. Mais la nature du cyberespace signifie que nos vieilles doctrines de défense ne marcheront pas. Tant que nous n’aurons pas reconnu ça, nous risquons de succomber à une dangereuse cyber-complaisance.

Sur qui tire-t-on?

De la bulle économique, la “cyberguerre” est en train de glisser vers la gouvernance, un ajustement politique qui n’est pas sans risque. Derek E. Bambauer, de la Brooklyn Law School, s’est récemment penché sur les défis posés aux Etats par la cybersécurité, qu’il considère comme une “énigme” (conundrum en anglais). A ses yeux, les recommandations de l’administration Obama – fondées sur l’identification de l’agresseur pourraient “mettre en péril l’architecture générative d’Internet mais aussi des engagements clés par rapport à la liberté d’expression”.

Bambauer touche ici un point critique: les attaques informatiques ne disent presque jamais leur nom. Leurs commanditaires choisissent cette méthode précisément parce qu’elle offre le triple confort de la rapidité, de la volatilité et de l’anonymat. Dès lors, selon la rhétorique américaine, à qui déclarer la guerre? Au botnet russe par lequel a transité le virus? Au serveur chinois identifié par le Cyber Command?

Le G8 s’intéresse depuis de nombreuses années à ces questions. Elles ont longtemps été traitées – de façon très confidentielle – au sein du Groupe de Lyon (après le G8 de Lyon de 1996) consacré aux échanges informels sur la grande criminalité organisée. À l’intérieur du Groupe de Lyon, un Sous-groupe lié aux risques technologiques s’était créé en réunissant notamment le SGDSN (France), le GCHQ (UK) la NSA (US) où en réalité les uns et les autres discutaient beaucoup de façon informelle des armes de la cyberguerre et de leurs “partenariats” avec les industriels et les réseaux de logiciels libres afin d’harmoniser ces moyens, pour qu’un jour ils répondent aux impératifs normatifs de l’OTAN.

Le Pentagone prépare depuis près de 8 ans ces évolutions. En 2002, le US Space Command a été intégré au US Strategic Command car, précisément, le Space Command, en raison de son importance sur la gestion de la guerre de l’information avait vocation à devenir un centre de décision stratégique.

En France, lors du piratage de Bercy – qui constitue difficilement un casus belli - le patron de l’Agence nationale de sécurité des systèmes d’information (ANSSI), Patrick Pailloux a lourdement insisté sur la difficulté de l’attribution des attaques. Dès lors, on imagine mal un Etat s’affranchir des conventions de Genève pour riposter de manière conventionnelle et aveugle à un hacker dont il ignore tout. Dans la dialectique de Lessig, le code est une loi, il ne s’en affranchit pas.