François-Bernard Huyghe, directeur de l’Observatoire géostratégique de l’information, et Olivier Kempf, maitre de conférence à Sciences Po Paris ont animé une conférence sur le sujet « Le cyberespace, nouvel enjeu stratégique, le mardi 18 septembre à l’IRIS.
Bernard Huyghe précise d’abord que la cyberstratégie va bien au-delà de la cybersécurité. La cyberstratégie ne se conçoit pas seulement par élévation de hautes murailles, avec comme obsession, la sécurité informatique, mais essaie de comprendre les raisons d’une attaque que l’on subit et de déterminer la conduite à tenir pour y faire face. La cyberstratégie ne pose pas la question de la liberté dans le cyberespace, en se demandant, par exemple si Twitter peut censurer ses utilisateurs ou si Facebook peut tout savoir sur nous. Les Etats sont engagés dans une course aux cyberarmes, mais il serait erroné de réduire la cyberstratégie à la construction d’une ligne Maginot infranchissable ou à un désert des Tartares derrière lequel les cyberdéfenseurs attendraient un éventuel agresseur. La cyberstratégie introduit une dimension nouvelle entre les acteurs étatiques et d’autres acteurs.
L’Inde et le Japon se dotent de cyberarmes offensives. En France, le rapport du sénateur Jean-Marie Bockel recommande de se préparer à une contre-offensive en se dotant de capacités de riposte, ou au moins de laisser planer l’incertitude sur nos capacités de lutte informatique offensive. La Russie et la Chine sont souvent accusées d’être à l’origine de très nombreuses attaques. Les Etats-Unis, par leur politique de lutte informatique offensive, portée par les présidents Bush, puis Obama, portent la coresponsabilité, avec la participation Israël, par exemple, de l’attaque des infrastructures d’enrichissement d’uranium de l’Iran par le virus Stuxnet qui, en perturbant le fonctionnement d’un millier de centrifugeuses dans la centrale nucléaire iranienne de Natanz, ont causé un retard estimé à deux ans dans son programme nucléaire.
Le cyberespace est un cinquième espace, après la terre, la mer, l’air et la stratosphère popularisée par la guerre des étoiles, où peuvent se déployer une force et une pensée stratégique.
Olivier Kempf décrit sa vision du déploiement d’une cyberstratégie dans un cyberespace à la sauce Internet peuplé de cyberavocats et utilisant des outils de cyberdéfense. Il est difficile de donner une définition concrète du cyberespace et il faut se méfier de ce que cachent les mots qui le définissent.
L’ANSSI propose une définition technique du cyberespace. C’est l’intersection de réseaux de transport des données numériques. Cette définition d’ingénieurs occulte cependant un aspect important : L’Information transportée dans l’Internet qui n’est pas neutre. Cette Information a bien évidemment une signification dont il faut tenir compte dans la définition. Le cyberespace n’est pas constitué des seuls tuyaux virtuels mais aussi de ce qui passe dans ces tuyaux. La notion de cyberespace est donc plus étendue que celle de l’Internet, espace public constitué de réseaux reliés entre eux et espaces privés constitués par les Intranets, qui sont des systèmes de réseaux privatifs plus ou moins connectés à l’Internet.
Le cyberespace ne peut non plus être réduit aux applications telles que Twitter ou Facebook, aux mouvements contestataires tels que Wikileaks ou les Anonymous. Il ne peut non plus être réduit aux ordinateurs fixes ou nomades et aux Smartphones connectés à l’Internet, et à l’Information qu’ils peuvent ainsi traiter. Le cyberespace est aussi plus que la fusion entre l’informatique et les télécommunications. Ordinateurs, téléviseurs connectés, magnétophones, objets « intelligents », tous ces moyens d’accès et de traitement de l’Information font également partie du cyberespace. Cette année, et c’est une grande nouveauté, les Jeux Olympiques de Londres ont été autant suivis par la télévision que par l’Internet. Les cartes de paiements, les cartes vitales sont des outils du cyberespace, et même les réseaux bancaires isolés de l’Internet en font aussi partie.
Les réfractaires au monde moderne, ceux qui ne veulent encore utiliser que l’Information écrite sur du papier, font aussi partie du cyberespace car ils utilisent des numéros de référence, des codes, autant de paramètres qui sont régis par le cyberespace.
Le cyberespace est un espace créé artificiellement, en expansion et dont on ne peut plus sortir aujourd’hui. Il y a trente ans, les ordinateurs étaient marginaux ; aujourd’hui nous ne pouvons plus vivre sans eux.
Le cyberespace est constitué de trois couches :
1. La couche matérielle est constituée par tous les périphériques d’accès et par les infrastructures nécessaires à leur fonctionnement chez les fournisseurs de connexion. On y ajoute les grands points d’interconnexions des réseaux, gérés par des grossistes, les câbles sous-marins, les satellites, et les fermes de données où résident les informations. Facebook, Google et d’autres ont des fermes de serveurs considérables qui hébergent leurs ordinateurs sur plusieurs étages en hauteur et sur plusieurs hectares en superficie. Bien sûr, suivant qu’une infrastructure physique est située au Guatemala ou au Massachussetts, cela peut présenter une importance stratégique différente. Et sans oublier les stations au sol qui recueillent les données envoyées par les satellites. Cette couche basse du cyberespace est parfois négligée, voire même oubliée dans les mécanismes qui le définissent mais elle garde toute son importance.
2. La couche logique ou logicielle qui ne peut être réduite à des suites de « 0 et de 1 ». Cette couche est constituée de strates, qui sont autant de langages et de protocoles qui se superposent et qui transmettent à partir de la strate de plus haut niveau, une pensée qui est traduite, en langage machine interprétable par la strate de plus bas niveau qui assure l’interface avec le silicium. La plupart des attaques prennent pour cible cette couche. Bien sûr pour organiser les échanges entre ces strates, il faut des règles et obéir à une sorte de code de la route. Par exemple quand un ordinateur envoie sur l’Internet une photo de 3 méga octets pour être imprimée peut être sur un autre continent, pour éviter que le fichier ne constitue un gros bouchon dans le cyberespace, ce fichier est découpé en tous petits paquets, les datagrammes, qui chacun doit apprendre sa route et comment il devra se recombiner avec les autres datagrammes une fois arrivé à destination, pour reconstituer le message envoyé. Il est ainsi nécessaire d’avoir des règles de codage et des protocoles d’échanges. Règles et protocoles font aussi partie de cette couche logicielle.
3. La couche sémantique ou informationnelle qui s’attache au sens contenu dans l’information. Ce n’est pas un hasard si la Chine a développé un moteur de recherche national Baidu, équivalent de Google, et a de même développé des équivalents de Facebook, Twitter… La Chine peut ainsi garder la souveraineté sur son Information. Si un dirigeant chinois a par exemple mal au dos, les autorités chinoises ont la possibilité de bannir, pendant quelques jours, de leur moteur de recherche, les réponses aux requêtes « mal de dos ». Cette couche a beaucoup d’importance pour les stratèges.
Ayant définit le cyberespace par ce modèle en trois couches, voyons maintenant quelles sont ses caractéristiques par rapport aux autres espaces.
• Le cyberespace est relativement intangible, on dit parfois qu’il est virtuel, mais le mot intangible traduit mieux la réalité.
• Il est opaque même si en apparence, c’est un espace public. Cette opacité est d’ailleurs un de ses principaux avantages stratégiques, parce qu’il rend possible des actions cachées et anonymes.
• Il est artificiel car il est une création de l’humain. Un autre espace qui présente quelques caractéristiques analogues au cyberespace est celui de l’arme nucléaire.
Pour agir dans les différents espaces (terre, mer, air, stratosphère, cyber) dans les conflits sont utilisés des armes spécifiques dont la complexité va en croissant. Il faut des pierres ou des obus sur l’espace terre, des bateaux sur la mer, des avions dans les airs, des fusées et des satellites dans la stratosphère, et dans le cyberespace, les outils sont encore plus complexes.
Bernard Huyghe en exemple d’action utilisée dans le cyberespace cite la coupure par les Etats Unis d’un câble télégraphique sous-marin qui a isolé les Philippines. Si on ne peut casser la couche matérielle, on sait au moins l’altérer. S’attaquer à la couche logicielle est un peu plus compliqué. On peut s’arranger pour qu’un moteur de recherche donne toujours le résultat qu’on souhaite, à la place de celui que ses algorithmes auraient naturellement fourni. Le virus Stuxnet a attaqué, par la couche logicielle, des automates programmables qui contrôlaient la vitesse de rotation des centrifugeuses de l’usine de Natanz, en Iran. S’attaquer à la couche sémantique peut provoquer une panique, par exemple dans les transactions bancaires en jouant sur le sens des informations et sur les sentiments du public. On peut par exemple défigurer un site Web. Les attaques sur la couche sémantique peuvent être l’œuvre de saboteurs ou être utilisés à des fins de propagande, ou de désinformation.
La stratégie dans les espaces terre, mer, air, stratosphère repose sur les notions de distance et de territoires. On connait la distance utile pour une flèche ou un missile. Une frontière terrestre établit les limites de son territoire. Au-delà de la frontière, ce ne sont pas les mêmes lois, la même souveraineté, à moins qu’on envahisse le territoire d’à côté. Dans le cyberespace, cette notion de distance est abolie ; de même que la notion de territoire car un virus informatique, par exemple, qui attaque un système bancaire peut très bien dépasser les limites du système agressé, et revenir attaquer l’agresseur.
Olivier Kempf précise que la cyberstratégie s’intéresse aux facteurs sur lesquels elle peut agir pour obtenir un avantage sur l’adversaire :
• Le lieu et l’espace
• Le temps
• Les forces en présence dans le théâtre d’opérations
Dans sa couche physique, le cyberespace peut être territorialisé et cela emmène une notion politique et une dimension stratégique. Par définition un territoire est un espace habité, limité, gouverné par un pouvoir légal. Un territoire dépasse la simple notion de géographie pour une notion de géopolitique. L’état va chercher à territorialiser le cyberespace en plaçant des fermes de serveurs sur son territoire. Citons le cas de l’Inde qui exige que RIM, le constructeur du BlackBerry, implante un centre de transit des informations sur son territoire, condition pour autoriser les BlackBerry en Inde. De même un pays va vouloir qu’un maximum de points de passage, comme les câbles sous-marins, résident près de son territoire pour assoir sa souveraineté dans le cyberespace. Il y a peu de câbles sous-marins autour de l’Afrique, ce continent ne peut donc prétendre exercer une souveraineté dans le cybermonde.
La territorialité montre toutefois ses limites. La révolution arabe a incité l’Egypte à faire preuve d’autorité en isolant le pays de l’Internet. Les quatre opérateurs égyptiens, proches du pouvoir ont coupé les connexions mais des petits malins, aidés par les Etats Unis ont réussi à faire sortir des vidéos compromettantes sur l’ampleur et la répression des manifestations. Donc même un régime dictatorial avec une infrastructure réseau limitée ne peut exercer un contrôle total sur l’information. Les frontières installées dans le cybermonde restent poreuses.
Dans le modèle en trois couches, la couche logicielle est très intimement mêlée à la couche matérielle. Les gravures sont tellement fines qu’on ne peut démonter la puce pour reconstituer ses circuits intégrés. Il est ainsi difficile d’introduire des portes dérobées dans les circuits. Jean-Marie Bockel, dans son rapport au Sénat recommande toutefois de bannir les routeurs de ZTE et de Huaweï, constructeurs chinois, des cœurs de réseaux, et de promouvoir le développement de routeurs européens.
Au niveau sémantique les pays sont en droit de se méfier des grands logiciels avec l’omniprésence de Microsoft et de Google. Microsoft en refusant de publier ses codes sources entrave la concurrence. Les organisations étatiques ne peuvent aussi savoir si Microsoft ne fait pas de l’espionnage en amont. Les Russe développent un système d’exploitation national basé sur le noyau de Linux.
La territorialisation lie les dimensions stratégiques et les dimensions économiques. Les grandes firmes sont des acteurs importants du cyberespace et les grands états développent des capacités de cyberdéfense.
Dans cette même couche sémantique, le moteur de recherche Baidu montre la volonté de la Chine de conserver sa souveraineté sur le plan des moteurs de recherche. Les Russes ont obtenu que les caractères cyrilliques soient admis dans l’Internet. Les pays créent dans le cyberespace un espace culturel puissant.
Bernard Huyghe renchérit en faisant remarquer que dire que l’ »Internet ne connait pas de frontières » est faux.
Question de la salle : Le cyberespace est-il réellement un espace stratégique ou seulement une manière d’utiliser des outils existants d’une manière différente ? Parler d’espace dans le cyber est-il une métaphore vraiment utile ?
Olivier Kempf répond que le cyberespace est quelque chose de nouveau dans lequel nous baignons tous et qui n’est pas naturel puisque créé par l’humain. L’homme a toujours fait la guerre. Une belle image est dans le film 2001, l’odyssée de l’espace de Stanley Kubrick où on voir un singe découvrir l’usage de l’outil et s’en servir pour combattre les autres singes. C’est de cet acte qu’il fait naître l’humanité. La stratégie est globale et s’exerce sur tous les espaces, y compris dans le cyberespace qui bouscule les représentations du monde réel. Dans le cyberespace, les pylônes sont devenus par exemple des cyberpylônes. Le cyberespace est la rencontre entre le sens des informations et l’information.
Question : Qu’est-ce que le cyberespace change en pratique dans la stratégie ?
Olivier Kempf : Donnons un exemple. Avant, l’acheminement d’un message vers l’adversaire était une opération physique. Avec le cyberespace, on peut modifier le message en cours de transmission, et en exploitant une faille, on peut prendre possession du poste de travail de l’adversaire et dénaturer son information.
Question : Utiliser le cyberespace dans un conflit, n’est-ce pas comme utiliser des gaz de combat qui peuvent revenir sur celui qui les envoie et qui ne connaissent pas de limites géographiques ?
Olivier Kempf : Si on veut faire des comparaisons, l’utilisation du cyberespace pourrait se rapprocher plutôt de l’utilisation du nucléaire, avec toutefois une grande différence : Il est difficile d’attribuer une attaque venue du cyberespace qui est opaque et où on peut agir masqué. Une volonté d’action offensive peut être gelée par l’arme nucléaire mais avec l’inattribution d’une attaque venue du cyberespace, on peut oser plus facilement tenter une offensive.
Les Américains et les Israéliens ont reconnu récemment, par une fuite organisée dans le New York Time, être les auteurs du virus Stuxnet, qui a attaqué la couche logique des centrifugeuses de l’usine de Natanz en Iran, ajoutant ainsi, à une attaque sur la couche logique, une attaque sur la couche sémantique en jouant sur l’intimidation de l’adversaire.
Dans le cyberespace, il n’y a pas d’arme universelle, les attaques sont toujours ciblées. Les armes obéissent à des cycles de vie particuliers. Stuxnet a été conçu en 2006, lancé en 2009 et les auteurs se sont révélés en 2012.
Question : Peut-on prévoir à l’avance les effets d’une cyberattaque ?
Bernard Huyghe : C’est difficile et ce qu’on raconte pour les cyberattaques connues n’est pas toujours la réalité. L’Estonie en 2007 n’a pas été totalement paralysée comme on l’a lu partout. Les dommages ont été assez légers parce que ce pays possédait sur son territoire un nœud réseau qui lui a permis de rétablir très vite les accès.
On peut prévoir que les agressions à venir auront une composante cyber pour désorganiser les défenses de l’adversaire. Les systèmes d’armes sont bourrés de cyber, et communiquent les uns avec les autres. Si on réussit à compromettre le cœur de ces systèmes, on peut mettre à plat les capacités de l’ennemi d’attaquer et de se défendre. Ainsi la force de l’adversaire peut se retourner contre lui. On peut contrôler le cyberespace pour que les dommages soient maitrisés. En associant Israël au développement de Stuxnet, les Américains ont obtenu d’une part qu’Israël n’attaque pas directement l’Iran et ont fait reculer de deux ans le développement de capacités nucléaires de l’Iran.
Compte-rendu réalisé par Gérard Peliks