Dans leur stratégie de cybersécurité, les Etats-Unis considèrent le piratage d’une infrastructure vitale ou d’un système d’information critique (centrale électrique, télécommunications, gouvernement, réseaux bancaires, etc) comme un acte de guerre… et envisagent, le cas échéant, de riposter avec leur armement conventionnel ou nucléaire. C’est ici que le bellicisme l’emporte sur la prudence.

Vers une esthétique de la « cyberpuissance » ?

Le 16 mai 2011, la Maison Blanche a publié le document (format PDF, 30 pages) International Strategy for Cyberspace: Prosperity, Security, and Openness in a Networked World. Cette stratégie américaine de cybersécurité a l’immense mérite de sa clarté et de sa concision :

« The cyberspace environment that we seek rewards innovation and empowers entrepreneurs; it connects individuals and strengthens communities; it builds better governments and expands accountability; it safeguards fundamental freedoms and enhances personal privacy; it builds understanding, clarifies norms of behavior, and enhances national and international security. This cyberspace is defined by four key characteristics: 1/ Open to innovation, 2/ Interoperable the world over, 3/ Secure enough to earn people’s trust, 4/ Reliable enough to support their work. »

En outre, elle articule habilement recherche & développement, diplomatie, défense et libertés électroniques dans un seul et même continuum, et peut presque se lire comme un mode d’emploi pour les multiples agences et départements fédéraux (Défense, Justice, Sécurité Intérieure, FEMA, etc). Dans ce même document (p.18), un paragraphe a particulièrement attiré l’attention des amateurs et des professionnels de la cybersécurité :

« When warranted, the United States will respond to hostile acts in cyberspace as we would to any other threat to our country. All states possess an inherent right to self-defense, and we recognize that certain hostile acts conducted through cyberspace could compel actions under the commitments we have with our military treaty partners.We reserve the right to use all necessary means—diplomatic, informational, military, and economic—as appropriate and consistent with applicable international law, in order to defend our Nation, our allies, our partners, and our interests.In so doing, we will exhaust all options before military force whenever we can; will carefully weigh the costs and risks of action against the costs of inaction; and will act in a way that reflects our values and strengthens our legitimacy, seeking broad international support whenever possible. »

En plus clair, tout acte malveillant contre une infrastructure vitale ou un système d’information critique basé sur le sol américain sera considéré comme une acte de guerre par le gouvernement fédéral qui, faisant valoir la notion « d’équivalence » (au cas où une cyberattaque causerait autant de nuisances/dégâts qu’une frappe conventionnelle ou nucléaire), se réserve le droit de recourir à toute forme de représailles.

« Si vous stoppez notre réseau électrique, peut-être que nous vous enverrons un de nos missiles », avait alors déclaré un responsable du Pentagone sous couvert de l’anonymat lors de l’informelle campagne de communication accompagant la publication de la stratégie américaine de cybersécurité.

L‘International Cyberspace Strategy a été habilement décrypté par les blogs amis CIDRIS Cyberwarfare et Si Vis Pacem Para Bellum. Malheureusement, leurs analyses manquent cruellement de crocs et de venin. En effet, si la stratégie américaine de cybersécurité s’inscrit pleinement dans les règles du droit international (en matière de conflit armé), elle omet gravement plusieurs réalités propres au théâtre cybersécuritaire.

La cyberguerre improbable

Dans mon article « Peut-on dissuader dans le cyberespace ? » (version française ou anglaise), j’évoquais la possibilité qu’une cyberattaque d’ampleur causent des nuisances/dégâts équivalents à ceux de bombardements aériens mais insistait également sur leur caractère temporaire. Entretemps, le malware Stuxnet a révélé comment quelques lignes de code peuvent endommager une infrastructure physique.

Infectées par le ver Stuxnet, des usines iraniennes d’enrichissement de l’uranium ont certes subi de sérieuses nuisances – ralentissant quelque peu le programme nucléaire iranien – mais n’ont point été détruites par une frappe aérienne… comme ce fut le cas pour la centrale nucléaire irakienne d’Osirak après un raid de l’aviation israélienne en 1981. Le cyberpiratage d’une centrale hydroélectrique au Brésil – qui priva des centaines de villes d’électricité – ne dura que trois jours, le temps que les opérateurs de cette infrastructure vitale rétablissent son fonctionnement normal. Nul doute qu’ils auraient eu beaucoup plus de mal en cas d’attentat terroriste.

Cyberattaquer une infrastructure vitale est une chose, détruire physiquement cette même infrastructure en est une autre. Pertes humaines en sus. La notion d’équivalence brandie par le Pentagone ne résiste donc pas à une comparaison poussée et révèle aussitôt de profondes lacunes.

À ce jour, l’attribution d’une attaque, d’une intrusion ou d’un « cybotage » demeure l’épineux problème du théâtre cybersécuritaire. L’incessante sophistication des technologies de l’information et le communication n’arrange pas les choses. De l’offensive en ligne au sabotage par clé USB, « l’esprit cybercriminel » ou « le chien de cyberguerre » veille autant que possible à brouiller les pistes, profitant astucieusement de configurations inhérentes aux technologies numériques qui favorisent d’abord et surtout l’intrus ou l’attaquant, et interdisent de facto son identification rapide et sa localisation précise.

Stuxnet serait-il l’oeuvre conjointe des Etats-Unis et d’Israël contre l’Iran nucléaire ou d’un concurrent de Siemens dans le secteur des systèmes de contrôle industriels ? Peut-être. Mais comment le prouver ? Le gouvernement russe fut-il le commanditaire de la cyberattaque d’ampleur dont fut victime l’Estonie après le déboulonnage d’une statue de l’ère soviétique ? Les autorités estoniennes en sont persuadées mais ne disposent d’aucune preuve solide et irréfutable.

Les Etats-Unis oseront-ils – conformément à leur stratégie de cybersécurité – bombarder un territoire à l’arme conventionnelle ou nucléaire sur la seule base de fortes suspicions ? Comment différencier instantanément acte cybercriminel, acte « cyberterroriste » et « acte de cyberguerre » ? Quelles pays devront-ils cibler en cas de cyberattaques menées par plusieurs hackers internationaux via des myriades de serveurs et d’automates logiciels de par le monde ? Même dans le cas de représailles en ligne, le risque de dommages colatéraux n’est-il pas incroyablement élevé du fait de la « pervasivité » des protocoles et de l’interconnexion croissante des sociétés modernes ?

Lors de la seconde guerre du Golfe, le Pentagone envisagea de cyberattaquer les réseaux télécoms et le système bancaire irakiens. L’administration Bush s’y opposa fermement pour une simple et bonne raison : une telle action aurait eu des conséquences néfastes pour tous les pays voisins de l’Irak… ainsi que pour la France, l’Allemagne et le Royaume-Uni ! Leurs gouvernements auraient-ils pu distinguer – sur le vif – une cyberattaque d’un effet domino ?

Washington serait-il capable d’établir illico presto cette distinction en cas d’acte malveillant ou de bogue en cascade au sein du réseau américano-canadien d’électricité ou de la bourse de New York ? Et si cet éventuel acte de guerre était plutôt le fait d’adolescents texans en mal de sensation, faudrait-il lancer des missiles de croisière sur Houston et Dallas après conclusion de l’expertise informatique c-à-d plusieurs semaines/mois après les faits ?

La cyberguerre étant en primauté une affaire d’individus plus que d’états, une nation étrangère (l’Iran, par exemple) doit-elle considérer une cyberattaque menée par des « hacktivistes » américains comme un acte de guerre provoqué par la Maison Blanche ? Doit-on également tenir l’Amérique pour responsable des actes malveillants initiés par ses citoyens ou déclenchés depuis son territoire ? Le Pentagone aurait-il oublié que les Etats-Unis semblent être la première source de cyberattaques dans le monde (cf. la firme cybersécuritaire McAfee) ? Dès lors, pourquoi le gouvernement fédéral ne balaie-t-il pas devant sa porte ?

Ainsi, l’International Cyberspace Strategy démontre à quel point les principes de la guerre conventionnelle et de la dissuasion nucléaire sont très peu adaptés aux enjeux cybersécuritaires. D’une certaine façon, un état face aux hackers est aujourd’hui comme un boxeur poids lourd face à un essaim d’abeilles : complètement désemparé et très peu dissuasif.

À défaut d’admettre publiquement cette réalité propre au cyberespace, un état devrait éviter de rouler des mécaniques et faire preuve de prudence et de discrétion.

Charles Bwele, Electrosphère

Cet article est repris du site https://alliancegeostrategique.org/2...