vendredi 9 décembre 2011

Les règles d'engagement au défi des réseaux informatiques

Le cyberespace est bien plus que l'ensemble des moyens de communications à usage civil ou militaire car il ne s'agit pas seulement de l'Internet, même si ce dernier occupe un rôle de plus en plus important. Dans mon imaginaire d'infographiste, le cyberespace évoque surtout un système nerveux en trois dimensions en expansion perpétuelle, saturée de couches neuronales étroitement imbriquées et garnies de prolifiques ramifications en évolution constante.

Dans cet environnement hautement complexe interconnectant sans cesse des réseaux filaires/hertziens et des applications matérielles/logicielles, toute action offensive ou défensive comporte inéluctablement des risques techniques, systémiques, juridiques ou politiques. Corrélativement, les complexités inhérentes au cyberespace bouleverse une certaine vision de la guerre.

L'incontournable problème de l'attribution

En cas de guerre (conventionnelle), toute action offensive ou défensive doit être précédée d'une identification parfaite et d'une localisation précise des éléments hostiles. Dans le cyberespace, il s'agit de savoir et de prouver sans la moindre contestation quel acteur a attaqué et où il se situe géographiquement. Bref, il s'agit de savoir à qui attribuer l'acte malveillant avant de riposter.

Malheureusement, dans le cybercrime, dans le cyberespionnage comme dans la cyberguerre, les acteurs irréguliers ou réguliers veillent toujours à masquer ou à brouiller leurs identités et leurs localisations dans le brouillard numérique, et posent l'énorme problème de l'attribution.

En avril 2007, des hackers nationalistes russes (regroupés sous la bannière d'une mouvance hacktiviste nommée NASHI) et et les cybermafias russes provoquèrent une paralysie des services Internet du gouvernement estonien pendant plusieurs jours suite au déboulonnage d'une statue datant de l'ère soviétique. Des ordinateurs et des serveurs basés dans plus de 75 pays - dont les Etats-Unis et l'Union Européenne, furent à l'origine de cette cyberattaque d'ampleur. À l'été 2008, le NASHI et le cybercrime russe usèrent du même mode opératoire en paralysant les services téléphonie & Internet du gouvernement géorgien, et ce, avant et pendant l'opération militaire menée par l'armée russe... qui bombardait également plusieurs infrastructures de télécommunications, comme c'est le cas dans toute guerre conventionnelle.

Le recours à des architectures numériques massivement distribuées ou disséminées et ingénieusement masquées sur l'Internet sont l'atout-maître du cybercrime, du cyberespionnage et de la cyberguerre... qui, toutes trois, usent de tactiques similaires ou comparables. Corollairement, ce mode opératoire démultiplie l'efficacité opérationnelle des criminels, des intrus ou des attaquants et amoindrit drastiquement les risques de détection et donc de représailles. En outre, le cybercrime, le cyberespionnage et la cyberguerre sont des activités très connexes ou très complémentaires, réunies par un large tronc commun, et qui divergent selon les buts visés par leurs commanditaires.

Dans le cas estonien comme géorgien, des logiciels-espions et des applications de commandement & contrôle hautement furtives, quotidiennement installés par le cybercrime organisé et par le cyberespionnage dans des myriades d'ordinateurs et serveurs de par le monde – y compris en Estonie et en Géorgie, ont également facilité le déclenchement de cette cyberguerre côté russe. Au moment des faits, chaque fonctionnaire estonien comme géorgien crut d'abord à un bogue affectant uniquement sa machine et celles de ses collègues. Plusieurs minutes furent nécessaires pour pleinement appréhender la situation et déduire qu'il s'agissait bel et bien d'une cyberattaque.

Les tactiques du hacking permettent de « zombifier » des milliers voire des millions d'ordinateurs et de serveurs dans monde entier - y compris celui posé sur votre table ou sur vos genoux – et d'en faire les vecteurs dormants d'une intrusion malveillante ou d'une offensive d'ampleur. Votre ordinateur a peut-être participé - à votre insu, à des activités cybercriminelles, à des intrusions ou à des attaques en ligne.

Si l'Estonie ou la Géorgie avait eu les moyens de riposter, elle aurait du cibler de nombreux serveurs et ordinateurs de par le monde, dont plusieurs situés chez ses alliés nord-américains et européens. Si l'Estonie ou la Géorgie avait mené une contre-offensive, votre fournisseur d'accès Internet ou votre ordinateur aurait probablement été une victime directe ou indirecte.

Dans le champ purement informationnel, il n'y a eu ni déclaration de guerre, ni implication d'un quelconque acteur étatique et encore moins de preuves en ce sens. En effet, les gouvernements de l'Estonie et de la Géorgie ont admis ne disposer d'aucune preuve irréfutable établissant quelque implication de leur homologue russe.

Dans de tels cas de figure, les notions de combattant, de non-combattant, d'ennemi, d'allié, de ligne de front, de champ de bataille et de théâtre d'opérations ont-elles encore un sens ?

L'insaisissable règle d'engagement

Comment définir des règles d'engagement en vue d'une riposte face à un tel cas de figure ? Qui est l'ennemi ? Où est-il ? De quels moyens légaux disposent un acteur régulier contre ce modèle de « cyberguerre open source » ? Doit-on exercer des représailles contre un état à cause d'actes malveillants initiés par quelques uns de ses citoyens ? Doit-on le considérer comme responsable de leurs actes malveillants ? Exerce-t-on des représailles diplomatiques, économiques ou militaires contre un état étranger simplement parce que ses citoyens ont commis des crimes graves contre vos concitoyens ici ou outre-mer ?

On le voit, l'attribution demeure la plus grosse énigme de la cyberguerre. Toutefois, il existe des méthodes analytiques et des procédés technologiques (parfois confidentiels) permettant de circonscrire peu ou prou l'origine d'une intrusion ou d'une attaque en ligne. Toutefois, si leurs faisceaux indices demeurent aisément exploitables pour une armée ou pour un service de renseignement, elles feraient pâle figure dans un tribunal et même face à un avocat débutant.

Compte tenu de la pervasivité des protocoles de communication et de l'imbrication étroite des réseaux informatiques, l'usage d'une cyberarme induit des risques potentiels aussi sérieux qu'inattendus.

Quelques semaines avant l'opération Iraqi Freedom, le Pentagone envisageait d'utiliser une cyberarme de son cru afin de paralyser le système bancaire irakien. Mais la Maison Blanche s'opposa fermement à une telle opération par crainte d'un nuisible effet domino qui se propagerait dans plusieurs pays alliés ou non du Moyen-Orient et d'Europe dont la Turquie, le Koweit, la Jordanie, l'Arabie Saoudite, la Suisse, l'Allemagne, le Royaume-Uni et la France.

Une arme cinétique (obus d'artillerie, missile de croisière,etc) produit un impact physique localisé sur un point précis ou sur un périmètre limité. Lors d'une bataille conventionnelle opposant des acteurs réguliers/irréguliers, le théâtre d'opérations est très souvent restreint à une zone géographique plus ou moins déterminé. Dès lors, le feu direct des combats épargne grandement les territoires voisins ou les populations non-impliquées.

Malheureusement, une cyberarme produit un « impact logique » qui peut s'étendre via les réseaux numériques à des systèmes informatiques autres que ceux visés et donc causer d'incalculables dégâts collatéraux.

Bientôt, les téléphones mobiles permettront d'effectuer des paiements grâce à des architectures logicielles et à des protocoles interconnectant opérateurs télécoms, banques et sociétés de crédit. Ainsi, une cyberattaque visant uniquement votre opérateur de téléphonie mobile peut causer de nuisibles effets domino à des établissements bancaires, à des sociétés de crédit, à des opérateurs télécoms nationaux ou à plusieurs opérateurs liés par des services connexes sur une échelle régionale ou continentale.

Par ailleurs, les technologies de l'information sont fondamentalement globalisées car des développeurs, des techniciens et des ingénieurs de tous bords participent à leur élaboration, à leur exploitation et à leur maintenance (logiciels, ordinateurs, réseaux, serveurs, routeurs, etc). Les divisions informatiques, les services de facturation et les hotlines de nombreuses sociétés américaines et européennes n'ont-elles pas été externalisées en Afrique du nord, en Europe centrale ou en Inde ? Cette réalité imprègne également l'industrie de la cybersécurité : le très populaire logiciel Kaspersky Anti-Virus n'est-il pas conçu en Russie et ne bénéficie-t-il pas des énormes contributions de développeurs européens, américains, indiens et chinois ?

Dans la lutte informatique défensive (LID), une tactique consiste à désactiver un serveur plus ou moins critique en vue d'empêcher sa « zombification » ou de le protéger d'une probable cyberattaque. Et si ce serveur critique acheminait des données à usage civil ? Exemple : un serveur de gestion du trafic des numéros d'urgences (112, 911).

Les lois de la guerre stipulent clairement que les combattants doivent tout mettre en oeuvre pour épargner la vie des innocents. Peut-on appliquer ce principe aux « ordinateurs et serveurs innocents » dans le contexte d'une cyberguerre ? Si c'est le cas, cette disposition légale ne favorise-t-elle pas des ennemis irréguliers généralement peu soucieux des dégâts collatéraux ?

Comme toute guerre réelle causant son lot de victimes collatérales (pertes de vies humaines et dégâts matériels), la cyberguerre ne provoquera-t-elle pas aussi son lot de dégâts collatéraux à une pléthore de « machines innocentes » telles que votre ordinateur et votre téléphone mobile ? Comment respecter la règle de proportionnalité d'une riposte lorsqu'on ignore tout de la nature et de l'ampleur des effets directs ou indirects d'une cyberarme ?

N'ayons aucune illusion : les simulations de cyberguerre menées par les états nord-américains ou européens – baignant dans des cultures stratégiques ou techniques fortement « consanguines », comportent des lacunes et des biais qui pèseront lourdement face aux réalités du véritable cyberespace.

L'inéluctable prolifération

Combien de temps a-t-il a fallu aux ingénieurs nucléaires iraniens pour comprendre qu'il s'agissait non pas d'une défaillance technique mais du ver Stuxnet déréglant l'alimentation électrique des centrifugeuses ? Aujourd'hui encore, les conséquences de ce malware sur le programme nucléaire iranien demeurent très floues et relèvent surtout de déductions d'experts en informatique. En outre, tout semble indiquer qu'il n'ait eu qu'un impact minime sur le programme nucléaire iranien et que la communauté internationale se fait peu à peu à l'idée que Téhéran obtienne tôt ou tard son arme atomique.

Apparemment, l'arme cybernétique se fait plus capricieuse que celle cinétique... à moins que Stuxnet ne relève d'une machiavélique démonstration de savoir-faire.

Le conception du ver Stuxnet est certainement le fait d'une extraordinaire équipe pluri-technique maîtrisant à la fois les techniques de hacking par clé USB et par Internet, le système d'exploitation Windows, les systèmes de contrôle industriel - en particulier ceux fabriqués par Siemens, les automates programmables industriels (API) et l'électromécanique des centrifugeuses nucléaires, le tout couronné par un remarquable travail de renseignement sur le programme nucléaire iranien.

Cette combinaison de facteurs est indispensable pour véritablement nuire aux systèmes de contrôle industriels intégrés à toutes les infrastructures vitales, qu'il s'agisse de la distribution électrique, de l'approvisionnement en eau ou du pilotage de barrages hydroélectriques, pour ne citer que ces exemples.

Les scénarios hollywoodiens « à la Bruce Willis » dans lesquels un hacker pianote quelques minutes sur son clavier puis provoque la rupture de plusieurs kilomètres de conduites de gaz et l'interruption de plusieurs centrales électriques sur un territoire sont encore du domaine de la science-fiction... ou d'un marketing de la terreur souvent exploité par certaines firmes de défense ou de cybersécurité.

La cyberarme n'étant qu'une sournoise application logicielle, celle-ci peut être récupérée et améliorée par des tierces parties qui peuvent ensuite s'en donner à coeur joie. Quelques semaines après la découverte et la dissection de Stuxnet par les experts en cybersécurité, son code source inonda rapidement les milieux du hacking. Nul doute que les concepteurs de Duqu (cousin de Stuxnet dépourvu de charge utile) surent exploiter cette matière première en libre circulation.

La conception de malwares destinés aux sabotages d'infrastructures vitales deviendra-t-elle un sport international ?

Comparativement aux armes nucléaires ou conventionnelles, le développement de cyberarmes nécessite (très) peu de moyens techniques, logistiques, humains et financiers, et, consécutivement, fait le bonheur d'acteurs réguliers ou irréguliers qui n'en demandaient pas tant. À quoi bon réglementer leur fabrication et leur usage ?

En réalité, la prolifération d'armes cybernétiques n'est guère derrière mais devant nous.

De par leur nature et leurs usages, les cyberarmes consacreraient-elles d'abord et surtout l'action furtive et la manoeuvre indirecte ? Faudrait-il adapter l'art militaire de la guerre aux modèles fondamentalement asymétriques de la cyberguerre plutôt que tenter l'inverse ?

En complément : La pensée stratégique au défi du hacking et de la cyberguerre


2 commentaires:

egea a dit…

"En cas de guerre (conventionnelle), toute action offensive ou défensive doit être précédée d’une identification parfaite et d’une localisation précise des éléments hostiles."
Je crois que tu es très optimiste, Charles. Disons que c'est ce qu'on essaye de faire en ce moment, car il y a une grosse sensibilité aux dommages collatéraux. Mais quand les intérêts vitaux sont engagés, les décideurs sont bcp moins scrupuleux. Ce qui explique les tirs fratricides nombreux. Le stress de guerre est une donnée incontournable.

Electrosphère a dit…

Toujours est-il que lorsqu'un fantassin, un tankiste ou un pilote de chasse appuie sur la détente ou sur le bouton rouge, il a préalablement localisé ou identifié sa cible sur le plan visuel ou grâce aux technologies laser/GPS... Sur les réseaux numériques, une réalité comparable est nettement plus compliquée.