jeudi 17 décembre 2009

Un brouillon sur la dissuasion cybernétique – part.3

Un pacte de non-agression en ligne ou un contrôle des armes cybernétiques a-t-il réellement un sens lorsqu'un ordinateur ou un téléphone mobile constitue une menace potentielle ?

Cet article a été initialement publié dans Alliance Géostratégique.


La Russie, les États-Unis et les Nations-Unies ont mené des négociations (cf. NY Times et The Guardian) afin de renforcer la sécurité sur l'internet et de restreindre l'usage militaire du cyber-espace. Il s'agit, en quelque sorte, de poser les bases d'un futur Traité de Non-Prolifération des armes cybernétiques.

La croissance incessante des cyber-attaques contre des serveurs gouvernementaux, militaires, commerciaux ou bancaires, l'expansion flamboyante de la cybercriminalité et du cyber-espionnage et l'extrême difficulté à traquer et appréhender les cybercriminels sur une échelle internationale ont porté les enjeux cybersécuritaires sur le devant de la scène, et incité Oncle Sam et L'Ours russe à rechercher un début de consensus en la matière.

Charade : mon premier compte le plus grand nombre d'abonnés à l'internet rapide, mon deuxième comptabilise le plus grand nombre d'internautes et mon troisième est considéré comme « un gardien des infrastructures informatiques mondiales ». Pourquoi l'Europe, la Chine et l'Inde sont-elles absentes de ces négociations sur les armes cybernétiques ? Ces puissances confirmées ou émergentes n'ont-elles jamais été cyber-espionnées ou cyber-attaquées ? Ces états ou quelques uns de leurs citoyens n'ont-ils jamais (directement ou indirectement) cyber-espionné ou cyber-attaqué quiconque ?


Au-delà des voeux pieux et des manoeuvres sournoises, cette approche sécuritaire « à la guerre froide » en partie justifiée mais profondément erronée, est le fait d'une génération de dirigeants plus migrante que native du numérique. D'où leur immense difficulté à appréhender le paradigme cybersécuritaire et les menaces inhérentes.

Pourquoi ne pas leur faciliter quelque peu la tâche point par point en respectant peu ou prou les codes stratégiques actuels ?


1/ Une arme cybernétique repose essentiellement sur la science informatique. À moins de changer les lois de la physique, des mathématiques et de l'électronique, de brûler la littérature scientifique, d'incarcérer les professeurs de technologie avec leurs disciples programmeurs, de démanteler puis d'interdire les sociétés informatiques et de réviser en profondeur les règles de droit (international, public, privé, commercial, numérique, etc), les armes cybernétiques proliféreront encore et toujours.

2/ Une arme cybernétique, c'est tout simplement un ordinateur ou un mobile connecté et une série d'algorithmes (logiciel, malware, spyware, etc). Point besoin de matériaux spécifiques ou interdits, d'usine de production ou d'enrichissement, de logistique complexe, de moyens financiers colossaux et/ou de compétences rares pour les fabriquer en masse.

3/ Une arme cybernétique ne nécéssite guère de site particulier de lancement : un ordinateur fixe ou portable, un téléphone mobile, un site internet, un moteur de recherche, un réseau social, un serveur physique/virtuel ou « un nuage de données » constituent autant de plate-formes de déclenchement.

4/ Une arme cybernétique peut être conçue ou utilisée n'importe où, par n'importe qui, avec ou sans motif quelconque : hacktiviste, extrémiste politique ou religieux, terroriste, criminel, ex-salarié en colère, concurrent sur un appel d'offres, états en conflit, « esprit dérangé », etc.

5/ Une arme cybernétique laisse très peu de temps à l'anticipation, à la prévention, à la détection ou à la réaction du fait d'une vitesse électronique d'action prodiguée par ses vecteurs : les architectures informatiques et les réseaux numériques.

6/ L'origine et les usages d'une arme cybernétique sont de plus en plus difficiles à identifier et à retracer. Qu'il soit physiquement présent à l'intérieur ou à l'extérieur du territoire national, le cyberpirate ou le cyberguerrier chevronné dissémine toujours ses activités sur une multitude d'ordinateurs répartis sur plusieurs pays, ceci afin d'augmenter son efficacité opérationnelle et de compliquer la tâche à l'expertise informatique (ou computer forensics, qui est à l'enquête cybercriminelle ce que la médecine légale est à l'enquête criminelle). Dans le marché du hacking, des applications « anti-forensics » comme DECAF sont désormais légion.

7/ La cyberguerre, le cyber-espionnage et la cybercriminalité posent donc l'incontournable problème de l'attribution de l'intrusion ou de l'offensive à un individu, à un état ou à un non-état. Cette machine posée sur votre table ou sur vos genoux a peut-être participé ou participera probablement à une intrusion malveillante dans serveur bancaire ou à une offensive d'ampleur contre des serveurs gouvernementaux, et ce, complètement à votre insu.

8/ Du fait de leur évolution en constante accélération, les technologies de l'information et de la communication sont des concepts en perpétuelle gestation. Des menaces relevant aujourd'hui de la prospective deviennent rapidement une réalité de demain. Dans quelques années, le très prolifique internet des objets (ou IdO, qui attribue une adresse internet ou une interface intelligente à un objet physique) dissimulera peut-être des bombes logiques se déclenchant uniquement à une date programmée ou sous certaines conditions.

9/ Consécutivement, la prolifération des armes cybernétiques n'est pas derrière mais en permanence devant nous.

10/ Si l'arme nucléaire fut l'une des héritières ultimes de l'ère industrielle, l'arme cybernétique est l'héritière directe de l'ère informationnelle. Même inactive, la première a une réalité physique perceptible et des effets mesurables tandis que la seconde demeure – malgré ses impacts dans la sphère réelle - fondamentalement immatérielle et intangible; en un mot : virtuelle.


Dès lors, comment établir et appliquer un TNP cybernétique ? Quel cadre légal entourerait les inspections d'une éventuelle « Agence Internationale contre la Prolifération des Armes Cybernétiques » ? Quels seraient les moyens techniques à la disposition de ses inspecteurs ? Pour peu que les états fassent preuve de retenue dans l'usage des armes cybernétiques, qu'en sera-t-il de leurs administrés ? Finalement, l'Europe, la Chine et l'Inde ne se bercent probablement guère d'illusions ou d'hypocrisie au sujet de ces négociations sur les cyber-armes.

Loin de moi toute idée prônant l'indifférence ou la passivité face aux menaces cybersécuritaires, mon but consistait surtout à rappeler quelques évidences trop souvent oubliées et à passablement dévoiler la rupture philosophique et stratégique propre à la révolution informationnelle... Comme ce fut le cas pour de précédentes révolutions : le feu, la roue, l'imprimerie, l'industrie et l'atome.


En savoir plus :

  1. Un brouillon sur la dissuasion cybernétique – part.1

  2. Un brouillon sur la dissuasion cybernétique – part.2

4 commentaires:

ZI a dit…

Clap, clap, clap, encore un effort et tu seras le premier à écrire l'Art de la Cyberguerre.
Ces dix principes sont très intéressants.

Arnaud a dit…

Concernant l'Ido, j'ai été surpris qu'on n'y évoque que les aspects liés à l'information des objets connectés et pas les aspects liés à leurs utilisations. Car à priori, on utilisera cette connexion pour piloter à distance des objets ? Donc pirater l'Ido pourra potentiellement avoir plus de conséquence qu'un simple vol d'informations, non ?

Electrosphère a dit…

@ ZI
Thanx a lot !-)

@Arnaud,
En effet, l'IdO (et l'IPv6 à qui il devra beaucoup en termes de gisement d'adresses internet) ouvre la porte à des possibilité encore inimaginables. Pensez à la géolocalisation en temps réel d'un objet physique ou une interface de réalité augmentée spécifique.

Or, qui dit plus d'adresses internet et plus d'interfaces intelligentes, dit plus d'opportunités pour des malwares en constante évolution.

Une simple connexion à l'adresse dynamique de ce colis en livraison express tant attendu, et aussitôt un troyen s'introduit dans votre machine...

Cordialement

EGEA a dit…

Oui, je suis très impatient de l'article "seminal" comme disent les Américains. Bravo.
EGEA