A l’instar de la mer, le cyberespace est un espace de liberté et d’échange pour ceux toujours plus nombreux qui y évoluent de façon plus ou moins protégée. Milieu infini dont les richesses attirent l’attention des uns et les convoitises des autres, l’espace numérique apparaît souvent abstrait et il est nécessaire de le rendre concret afin que les décideurs puissent en saisir les enjeux. Liées aux priorités stratégiques (commerce, finance, transports, culture, sécurité, défense…), les données qui circulent dans cet espace font en effet l’objet de convoitises. Milieu infini dans les deux cas, propice à l’anonymat et accessible de façon aisée à tous, le cyberespace ressemble finalement au milieu maritime. Comme lui, il est espace d’échanges, d’influence, où l’on s’affronte pour maîtriser, de façon légale ou non, les richesses qui s’y trouvent.

Comme le monde maritime, c’est un espace d’affrontements entre nations et il fait face à la présence de pirates, qui émergent en particulier dans les espaces profonds du web.

Enfin, ces présences violentes sont susceptibles de s’attaquer autant aux institutions qu’aux économies ou aux individus.

 

Les forces armées en première ligne, mais pas forcément comme cible potentielle

Si sur les mers les pirates agissent de façon traditionnelle avec des armements classiques et rustiques, les systèmes connectés du cyberespace et leurs supports d’échange d’informations offrent une exposition bien plus grande et une accessibilité plus importante.

Cette vulnérabilité est aussi observée sur les systèmes de défense, qui restent toutefois moins exposés en temps de paix. Les attaques sur les navires de guerre par des pirates sont restées exceptionnelles au cours des siècles passés en raison du risque que représentaient de telles actions et du peu de valeur marchande d’une telle cible.

Un système de défense, bien que connecté, peut représenter une cible parmi d’autres pour un pirate ; ni plus, ni moins exposée, mais plutôt mieux défendue et bien moins intéressante sur le plan mercantile De tels systèmes peuvent de façon ponctuelle faire l’objet d’attaques et être victime d’incidents, mais ceux-ci restent mesurés et répondent au besoin des nations d’acquérir du renseignement dans le cadre de la préparation d’un potentiel conflit.

La connaissance au cœur de la cyber

La préparation d’une attaque, ou plus généralement, celle d’un conflit, commence toujours par une collecte de renseignements basée sur l’exploitation des failles de sécurité de la cible potentielle. Celle-ci s’avère indispensable dans le milieu de la cyber pour :

  • cartographier les infrastructures adverses et les protections dont elles bénéficient, de manière aussi discrète que possible pour ne pas être détecté, mais de manière continue pour rester informé des évolutions des infrastructures et environnements ;
  • identifier les vulnérabilités et les lacunes, ce qui suppose d’engager des actions un peu intrusives au risque, et pour le coup, de laisser des traces, donc de mettre une cible avisée sur ses gardes ;
  • tenter d’établir :
    • le profil des expertises adverses afin d’aligner des compétences similaires voire supérieures à elles, avant d’engager l’offensive ;
    • l’aversion aux cyber-risques des échelons de décision adverses pour identifier le niveau de cyberdépendance du management et sa capacité à s’affranchir de ses systèmes ;
  • dans le cas d’une attaque peu ciblée, des outils peu sophistiqués suffisent pour atteindre de nombreuses cibles, causant des perturbations visibles ;
  • dans le cas d’une attaque très ciblée, il s’agit de créer des modes d’action offensifs pour perturber les communications adverses, paralyser ses infrastructures, détruire ses supports, voler/copier des contenus, etc. Chaque moyen doit être défini, dimensionné, conçu et testé pour une cible donnée : chaque serveur, chaque dispositif réseau, chaque mot de passe représente un obstacle qu’il faudra surmonter de façon adaptative et itérative.

 

Dans le domaine militaire, les délais incontournables de la collecte d’informations ou de renseignement sur les installations adverses rendent l’hypothèse d’une attaque en soutien d’une attaque conventionnelle de plus en plus inconfortable. Une telle situation supposerait en effet que l’ennemi soit identifié des mois, voire des années à l’avance, les cibles déjà prédéfinies, les moyens d’intervention pré-affectés et mobilisés. Sur un plan plus global, cette étape de collecte d’informations offre parfois la possibilité d’accéder à des données mal protégées concernant les installations stratégiques de l’adversaire.

Il est/serait vain d’attendre des certitudes quant aux délais qui lui sera nécessaire pour mener à bien une offensive cyber et quels effets celle-ci causera chez l’adversaire, compte tenu du niveau de résilience de ses infrastructures face à une attaque.

Plusieurs types d’offensives doivent être envisagés :

  • des actions discrètes de type injection de code (SQL), de virus ou de malware (Stuxnet, Wiper, Flame, miniFlame, Gauss, etc.) avec pour objectifs de perturber/fausser le fonctionnement d’installations, de dérober, de fausser, voire de détruire des informations ;
  • une attaque visible, de type hacking, réalisée le cas échéant par interposition, dans une optique de paralysie des équipements (perturbations des systèmes de positionnement ou d’aide à la navigation), de son fonctionnement économique (blocage des transactions bancaires), voire de manipulation de l’opinion publique sur l’incapacité de ses dirigeants (sites gouvernementaux en déni de services ou en « defacing », blocage de l’Internet, etc.) ;
  • le vol plus ou moins visible de données dans le but de les monnayer. (Ransomware)

 

Les objectifs visés

Le plus souvent une cyberattaque ne cherchera pas à détruire[1] l’adversaire en tant que tel, mais à lui porter préjudice ainsi qu’à ses systèmes ou à ses données, dans un but de vengeance souvent ou afin de pouvoir bénéficier des effets dans un autre domaine (économie, réputation, etc.). La destruction de sociétés du Web pourrait cependant se développer du fait de l’augmentation de la dépendance de certains modèles économiques aux technologies de l’information et de la communication.

Lorsque l’objectif est de nuire durablement, trois axes d’attaque sont à envisager :

  • l’attaque simultanée sur plusieurs fronts pour disperser les défenses adverses, dans l’optique de toucher un maximum de cibles dans un minimum de temps ;
  • la suspension des attaques après quelques heures pour donner l’impression à l’adversaire qu’il reprend le contrôle de la situation ;
  • l’alternance de techniques pour attaquer de nouvelles cibles, dans l’optique d’épuiser psychologiquement l’adversaire et de réduire ses capacités de cyber défense.

 

Les modes d’action et objectifs

Les modes d’action offensifs (hacking) se distinguent avant tout par leur planification dans le long terme et leur ubiquité, à partir de compétences pointues peu nombreuses, aptes cependant à opérer dans la durée.

En conséquence, l’assaillant pourra être en mesure d’aligner des équipes de techniciens, qui sont à même de se relayer pendant toute la durée de l’attaque. À savoir-faire technique équivalent, c’est la résistance au stress, dans la durée, et le niveau de tension nerveuse des équipes d’attaquants qui permet de prendre l’avantage dans une offensive numérique. Il est illusoire d’imaginer qu’une seule victoire numérique pourra terrasser un adversaire. En effet, les installations informatiques militaires sont résilientes, font l’objet de plans de continuité d’activité et leurs données sont protégées. Par conséquent, lorsque l’attaque prendra fin, l’essentiel des dispositifs pourra être remis en route et reprendre ses activités.

Nota : une cyberattaque à base de tromperie en soutien d’une attaque conventionnelle sans moyens appropriés pourra un temps « aveugler » l’adversaire mais, s’il l’interprète correctement comme une diversion et s’il a conservé ses moyens de commandement, elle est vouée à l’échec.

Ce qui importe donc, ce n’est pas la recherche d’une destruction, mais l’instauration d’une perturbation qui, notamment :

  • crée une indisponibilité prolongée des accès aux services et aux données, de manière à pouvoir perturber durablement le management ;
  • fasse planer un doute de corruption sur l’intégrité des données ;
  • bloque les réseaux de communications adverses, l’Internet et la téléphonie pour isoler les centres de décisions et rompre les chaînes de commandement ;
  • influe sur les populations, et sur les réseaux sociaux en particulier, en menant de réelles[2] campagnes de guerre psychologiques.

 

Lorsque le doute et l’incompréhension prennent le dessus, de nouvelles priorités sont à considérer : en complément des actes du domaine cyber, des attaques physiques contre les infrastructures critiques de l’adversaire peuvent être menées par des forces conventionnelles, afin d’en prendre le contrôle sans les détruire, profitant de la désorganisation des chaînes de commandement adverses, ce qui limite de facto ses capacités de réaction.  Les principales cibles à considérer sont les « Datacenters », les artères et les nœuds réseaux, et dans une moindre mesure, les capteurs et les opérateurs chargés des infrastructures et de la maintenance.

Sur un autre plan, une action cyber ciblée visant à détruire tout ou partie des infrastructures stratégiques d’une nation doit faire partie des scénarios plus que probables. L’interruption des alimentations vitales (électricité, eau, gaz, moyens de communication) est un genre d’attaque contre lequel il faut continuer à se prémunir de façon plus efficace (solutions résilientes). Les attaques comme « Stuxnet » ou « Red October » ont nécessité la mobilisation de spécialistes, travaillant pendant des mois à les mettre au point et à les tester avant d’en faire usage. Il s’agit d’un investissement élevé qui ne peut aujourd’hui être soutenu que par une poignée de nations dans le monde.  La grande sophistication de ces armes leur a permis de subsister pendant de longues périodes dans des systèmes vitaux. Leur détection par un cocktail qui mêle expertise, hasard et chance pose plus de questions qu’elle n’apporte de solutions.

Combien d’autres armes insidieuses sont-elles à ce jour déjà implantées ? Quelles conditions faut-il réunir pour qu’elles s’activent ? Avec quels effets ? Et enfin, comment s’en prémunir ?

Il est aujourd’hui vital de disposer d’une expertise avisée, à même de prévenir et de contourner les effets de telles armes à défaut de pouvoir les détecter et les démembrer dans une compétition où, à l’instar des blancs aux échecs, les attaquants auront toujours un coup d’avance.

Pour prévenir et le cas échéant faire face, les opérations militaires comprennent aujourd’hui systématiquement un domaine de lutte cyber en plus des domaines classiques de lutte en extension du domaine électromagnétique. En effet, le niveau d’interconnexion des systèmes est aujourd’hui tel que les forfaits qu’il est possible de perpétrer dans le cyberespace peuvent toucher à tous les domaines des opérations à partir de réseaux filaires et radioélectriques toujours plus interconnectés.

Force est de constater que la guerre cyber sera sous peu, si elle ne l’est déjà, une arme de première frappe : les événements vécus par l’OTAN et les USA en ex-Yougoslavie (1999), par l’Estonie (2007) et surtout la Géorgie (2008) donnent une simple idée des dégâts que pourraient occasionner une attaque massive menée, dans un monde hyper connecté, avec des cyber moyens techniques suffisants.

Les attaques mentionnées ci-dessus étaient orientées vers le déni de services (DDoS) et n’étaient pas multiformes. Les cyberconflits auxquels il faut se préparer le seront  ; prendre des mesures pour se prémunir contre les dommages occasionnés par plusieurs attaques de types différents menées simultanément va donc devenir une priorité pour les armées.

 

Les objets connectés

Les objets connectés sont raccordés par liaison sans fil à un ordinateur, une tablette ou un smartphone. Leur champ d’application concerne tant le monde professionnel que la sphère privée. Compte tenu de leur vocation d’objets utilitaires, leur conception n’a pas intégré suffisamment les impératifs de sécurité nécessaires. Or il est plus simple et plus profitable de pirater un objet connecté qu’un ordinateur, car sa connexion n’est pas sécurisée et donne de facto accès à l’ordinateur. Les objets connectés sont les instruments idéaux pour constituer des « botnets ».

Les « botnets » (réseaux zombies) sont constitués de terminaux manipulables à distance par un pirate. Ces réseaux regroupent de nombreux appareils configurés pour lancer en même temps, sur ordre du pirate, une attaque généralement en déni de service (DDoS). La quantité d’appareils connectés est infinie. Pour être plus performants, de tels botnets sont fréquemment transnationaux, ce qui rend difficile l’action des autorités, qui doivent agir de concert pour les démanteler. La puissance qu’atteindront sous peu ces réseaux zombies est telle qu’ils seront à même de servir d’armes de saturation ou de blocage des réseaux de communication.  Les compétences informatiques nécessaires à la constitution de botnets sont accessibles à un adversaire ne disposant pas d’experts de haut niveau. C’est donc une arme facile à créer, d’un emploi relativement simple et à la portée de tous, mais dont il n’est pas simple de se prémunir ni de se débarrasser.

 

La guerre de course cyber

Dans ce contexte, les enjeux cybernétiques sont à prendre en compte à chaque instant dans toute démarche systémique. Les nouvelles technologies de l’information et de la communication nous simplifient la vie au quotidien et ont profondément modifié les métiers et les compétences, comme ce fut le cas après chaque nouvelle révolution technologique. Après que la voile ait soulagé le galérien, la vapeur puis le pétrole ont sacrifié les gréements sur l’autel du monde industriel. Aujourd’hui, la révolution numérique réduit l’emprise humaine, connecte les systèmes que les prochaines révolutions (robotique et intelligence artificielle) exposeront encore un peu plus. De ce fait, l’importance de l’espace cybernétique sera telle que celui qui le maîtrisera sera aussi capable d’imposer sa domination sur les autres secteurs d’activité. Face à cela les gouvernements et les agences de sécurité ont investi dans ce milieu, mais ils sont encore largement sous-dimensionnés en termes de ressources et de compétences.

Les états agissent également de façon discrète et couverte dans ce milieu. Ils y mènent une véritable guerre de course, principalement à des fins de renseignement, mais également dans le but de s’y approprier certaines richesses (données). L’utilisateur évolue donc dans l’espace cyber à côté des grandes flottes de pirates et de « cyber-corsaires », en cherchant la protection des uns et en évitant les autres.

 

La donnée au centre des enjeux

La collecte massive de données par des opérateurs publics ou privés à des fins de surveillance, commerciales (marketing) ou illicites s’est généralisée et continue de croître en dépit de la parution de textes réglementaires pour protéger la vie privée. En effet, ceux-ci n’ont qu’une portée limitée géographiquement, ce qui rend aisé leur contournement par des états, au motif de la lutte contre le terrorisme, et par des entreprises commerciales dont le siège se situe dans un territoire où la loi n’a pas d’application. En conséquence, un marché du courtage de données personnelles s’est rapidement mis en place et prolifère, auquel tout un chacun peut s’adresser, pour acquérir des données personnelles que les textes en vigueur empêchent de collecter de manière licite. Les opérateurs du Web ont ainsi été pris à partie par les autorités de plusieurs pays aux motifs de l’illégalité des données collectées, de leur détention dans des bases situées à l’étranger, de leur communication à des tiers sans l’accord de leur légitime propriétaire. Mais dans cet espace, l’homme, utilisateur des systèmes, reste le maillon faible de la chaîne.

Les institutions, pour préparer l’avenir, ont mis en place une démarche qui place l’expertise au centre des enjeux, en sensibilisant les forces vives, en formant des techniciens et en se dotant d’installations capables de faire face au principaux risques encourus. Les enjeux dans ce domaine sont gigantesques. En effet, au-delà des systèmes autonomes qui équipent les entreprises, de plus en plus de systèmes sont connectés. À terme, avec l’avènement de l’internet des objets connectés, ce sont des milliards de connections qui multiplieront les vulnérabilités.  L’enjeu de leur maîtrise est immense si l’on néglige d’en réduire le risque face à de nouvelles menaces.

La manœuvre en eaux troubles exige plus que jamais de naviguer sur l’avant, de prévoir et d’anticiper. Les pouvoirs publics en général et les forces armées en particulier ont pris en compte cette menace et elles tentent de se donner chaque jour les moyens d’y faire face un peu plus, mais elles ne peuvent ni protéger l’ensemble des acteurs, ni sécuriser l’immensité du cyberespace face aux pirates et aux corsaires qui y évoluent.

[1] La destruction de systèmes par attaque reste exceptionnelle à ce jour.

[2] Handbook of Russian Information Warfare – Collège de Défense de l’OTAN (2016)