18 septembre 2013

Lors des d¨¦bats sur la politique nationale en mati¨¨re de cybers¨¦curit¨¦, les m¨ºmes arguments sont avanc¨¦s. Les actes de cyberguerre, de cyberespionnage, de piratage informatique ou de cyberterrorisme portent atteinte ¨¤ l¡¯int¨¦r¨ºt national et appellent donc ¨¤ une cyberd¨¦fense nationale.

Malheureusement, dans le cyberespace, il est tr¨¨s difficile d¡¯identifier les auteurs de piratage et leurs motivations. Les nations consid¨¨rent donc que les cyberattaques constituent un acte de cyberguerre. Cela a des cons¨¦quences sur la politique nationale et incite ¨¤ la course au cyberarsenal, ce qui accro?t l¡¯instabilit¨¦ et l¡¯ins¨¦curit¨¦ pour tous. Nous devons assouplir notre discours sur la cyberguerre, alors m¨ºme que nous adoptons des politiques d¡¯application de la loi en mati¨¨re de cybers¨¦curit¨¦, et devons chercher ¨¤ d¨¦limitariser le cyberespace.

Consid¨¦rons trois cas sp¨¦cifiques :

En Estonie, en 2007, lors de tensions politiques avec la F¨¦d¨¦ration de Russie, une vague d¡¯attaques a ¨¦t¨¦ d¨¦clench¨¦e qui a mis hors service de nombreux sites Web estoniens, dont les sites du Parlement, des minist¨¨res, des banques, de quotidiens et de stations de t¨¦l¨¦vision. Bien que la Russie ait ¨¦t¨¦ montr¨¦e du doigt et qu¡¯il existe des pr¨¦somptions permettant de dire qu¡¯elle ¨¦tait impliqu¨¦e, elle n¡¯a jamais admis sa responsabilit¨¦ dans ces attaques. Un Russe de Tallinn, en d¨¦saccord avec les actions de l¡¯Estonie et ayant agi seul, a ¨¦t¨¦ condamn¨¦ par un tribunal estonien pour avoir particip¨¦ ¨¤ ces attaques.

? Dharamsala, en Inde, des chercheurs en? s¨¦curit¨¦ ont d¨¦couvert? en 2009 un r¨¦seau d¡¯espionnage ciblant le syst¨¨me informatique du Dala? Lama.

Une recherche plus approfondie a ¨¦tabli que ce r¨¦seau, appel¨¦ Ghostnet, avait infiltr¨¦ des cibles politiques, ¨¦conomiques et m¨¦diatiques dans 103 pays.

La Chine en est probablement ¨¤ l¡¯origine, mais ne l¡¯a jamais admis, malgr¨¦ les pr¨¦somptions. De plus, on ne sait pas vraiment si ce r¨¦seau rel¨¨ve d¡¯une organisation gouvernementale chinoise ou de citoyens chinois motiv¨¦s par des gains financiers ou des raisons nationalistes.

En Iran, en 2010, le virus informatique Stuxnet a gravement endommag¨¦, et peut-¨ºtre d¨¦truit, les centrifugeuses dans l¡¯usine d¡¯enrichissement d¡¯uranium de Natanz afin de retarder le programme nucl¨¦aire iranien. Une analyse ult¨¦rieure a indiqu¨¦ que ce virus ¨¦tait une cyberarme sophistiqu¨¦e n¨¦cessitant une collaboration en mati¨¨re de g¨¦nie qui aurait ¨¦t¨¦ commandit¨¦e par un ?tat. Des enqu¨ºtes plus approfondies ont indiqu¨¦ que le virus aurait ¨¦t¨¦ mis au point par les ?tats-Unis et Isra?l, bien qu¡¯aucun des deux pays ne l¡¯ait officiellement admis.

On peut g¨¦n¨¦ralement d¨¦terminer l¡¯auteur de l¡¯attaque par l¡¯arme utilis¨¦e. Lorsqu¡¯un tank passe devant nous, on sait que l¡¯arm¨¦e est impliqu¨¦e parce qu¡¯elle seule a les moyens de se doter de tanks. Le cyberespace est diff¨¦rent. Dans le cyberespace, les capacit¨¦s de la technologie sont connues d¡¯un vaste public et chacun utilise les m¨ºmes armes : hackers, criminels, pirates informatiques motiv¨¦s par des raisons politiques, espions nationaux, militaires et m¨ºme le cyberterroriste potentiel. Tous exploitent les m¨ºmes vuln¨¦rabilit¨¦s, utilisent le m¨ºme genre d¡¯outils de piratage, les m¨ºmes tactiques d¡¯attaque et laissent les m¨ºmes traces derri¨¨re eux. Ils ¨¦coutent les communications ou volent des donn¨¦es. Ils lancent des attaques qui paralysent les syst¨¨mes informatiques. Ils cherchent ¨¤ percer les cyberd¨¦fenses et font leur possible pour faire dispara?tre leurs traces.

Il est toutefois d¡¯une importance vitale de conna?tre l¡¯auteur des attaques. En tant que membres de la soci¨¦t¨¦, diff¨¦rents types d¡¯organisations nous d¨¦fendent contre une attaque. Nous pouvons appeler la police ou l¡¯arm¨¦e. Nous pouvons faire appel ¨¤ notre agence anti-terroriste et ¨¤ nos avocats d¡¯entreprise ou nous pouvons nous d¨¦fendre au moyen de diff¨¦rents produits commercialis¨¦s et de services. Selon la situation, tous ces choix sont bons.

Le syst¨¨me juridique dans lequel une d¨¦fense fonctionne d¨¦pend de deux choses : qui vous attaque et pourquoi. Malheureusement, lorsque vous ¨ºtes attaqu¨¦ dans le cybersespace, les deux choses que vous ignorez sont souvent qui vous attaque et pourquoi. Il ne s¡¯agit pas de tout d¨¦finir comme un acte de cyberguerre; les tactiques militaires sont de plus en plus utilis¨¦es dans des cyberconflits plus vastes. Cela complique la politique de d¨¦fense et celle de cyberd¨¦fense nationale.

La tendance ¨¦vidente est d¡¯assumer le pire. Si chaque attaque est potentiellement un acte de guerre perp¨¦tr¨¦ par une arm¨¦e ¨¦trang¨¨re, on peut donc supposer que l¡¯arm¨¦e doit se charger de l¡¯ensemble de la cyberd¨¦fense et que les probl¨¨mes militaires demandent des solutions militaires. C¡¯est le discours que tiennent de nombreux dirigeants mondiaux qui consid¨¨rent que la cyberguerre est d¨¦clar¨¦e. Ce n¡¯est pas vraiment le cas. Il n¡¯y a pas de guerre dans le cyberespace. Les activit¨¦s criminelles y sont nombreuses, certaines sont organis¨¦es, et la plupart sont internationales. Le piratage est motiv¨¦ par des raisons politiques ¨C le hacktivisme ¨C contre des pays, des entreprises, des organisations et des personnes. L¡¯espionnage est une activit¨¦ courante, pratiqu¨¦e parfois par des acteurs solitaires et parfois par des organisations d¡¯espionnage nationales. Des attaques sont aussi perp¨¦tr¨¦es par des organisations nationales, qu¡¯il s¡¯agisse de chercher ¨¤ percer les cyberd¨¦fenses des autres pays ou de recourir ¨¤ des cyberarmes infligeant de r¨¦els d¨¦g?ts comme Stuxnet.

De fait, le terme ? guerre ? a deux d¨¦finitions : la d¨¦finition litt¨¦rale de la guerre, qui implique des fusils, des tanks et des arm¨¦es qui avancent, et la d¨¦finition rh¨¦torique, comme la guerre contre la criminalit¨¦, contre la pauvret¨¦, contre la drogue et contre le terrorisme. Le terme ? cyberguerre ? comporte des ¨¦l¨¦ments de la guerre litt¨¦rale et de la guerre rh¨¦torique, ce qui en fait un terme tr¨¨s connot¨¦ lorsque l¡¯on d¨¦bat de la cybers¨¦curit¨¦ et des cyberattaques.

Les termes sont importants. Pour la police, nous sommes des citoyens qu¡¯il faut prot¨¦ger. Pour l¡¯arm¨¦e, nous sommes une population qu¡¯il faut g¨¦rer. Formuler la cybers¨¦curit¨¦ en termes de guerre renforce la notion selon laquelle nous sommes sans d¨¦fense face ¨¤ la menace et que nous avons besoin d¡¯un gouvernement¡ªcertainement des militaires¡ªpour nous prot¨¦ger.

La formulation de la question en tant que guerre a un effet sur les d¨¦bats politiques dans le monde. Du contr?le du gouvernement sur le Web ¨¤ la surveillance g¨¦n¨¦ralis¨¦e et des pratiques d¡¯¨¦coutes en passant par la d¨¦sactivation de l¡¯Internet et par les appels ¨¤ ¨¦liminer l¡¯anonymat¡ªde nombreuses mesures propos¨¦es par diff¨¦rents pays pourraient para?tre logiques en temps de guerre, mais pas en temps de paix. (Sauf qu¡¯¨¤ l¡¯instar de la guerre contre la drogue ou contre le terrorisme, il n¡¯existe pas de conditions gagnantes, ce qui signifie qu¡¯une population est mise dans un ¨¦tat d¡¯urgence permanent.) Dans le monde entier, nous constatons que les op¨¦rations militaires sont de plus en plus pr¨¦sentes dans le cyberespace. Nous vivons les premi¨¨res ann¨¦es de la course au cyberarsenal.

La course aux armements r¨¦sulte de l¡¯ignorance et de la peur : l¡¯ignorance des capacit¨¦s de l¡¯autre camp et la peur que ses capacit¨¦s soient sup¨¦rieures aux n?tres. Une fois que les cyberarmes existent, la tentation de s¡¯en servir est grande. Stuxnet a endommag¨¦ d¡¯autres r¨¦seaux que ceux qui ¨¦taient vis¨¦s. Toute petite porte install¨¦e par l¡¯arm¨¦e dans les syst¨¨mes Internet nous rend vuln¨¦rables aux criminels et aux pirates informatiques.

La course au cyberarsenal est d¨¦stabilisatrice. Ce n¡¯est qu¡¯une question de temps avant qu¡¯une catastrophe ne se produise, peut-¨ºtre ¨¤ cause d¡¯actions imprudentes d¡¯un simple soldat, d¡¯un pirate informatique enthousiaste qui pense ?uvrer dans l¡¯int¨¦r¨ºt de son pays, ou bien par accident. Si la nation vis¨¦e riposte, nous pourrions nous retrouver dans une vraie cyberguerre.

Je ne pense pas que la cyberguerre soit enti¨¨rement fictive. La guerre s¡¯¨¦tend ¨¤ tous les th¨¦?tres possibles et toute guerre future inclura la guerre dans le cyberespace. Il para?t logique que les pays ¨¦tablissent un commandement militaire responsable du cyberespace et se pr¨¦parent ¨¤ la cyberguerre. De m¨ºme, le cyberespionnage n¡¯est pas pr¨¨s de dispara?tre. L¡¯espionnage est vieux comme le monde et les informations pertinentes sont simplement trop nombreuses dans le cyberespace pour que les pays n¡¯utilisent pas d¡¯outils de piratage pour se les procurer.

Nous devons assouplir le discours sur la guerre et accro?tre la coop¨¦ration internationale en mati¨¨re de cybers¨¦curit¨¦. Nous devons continuer ¨¤ plaider en faveur de trait¨¦s relatifs au cyberespace. Nous devons ¨¦tablir des r¨¨gles d¡¯engagement dans le cyberespace, y compris des moyens d¡¯identifier d¡¯o¨´ viennent les attaques, et d¨¦finir clairement ce qui constitue une op¨¦ration offensive. Nous devons comprendre le r?le des cybermercenaires et celui des acteurs non ¨¦tatiques. Le cyberterrorisme est encore un mythe m¨¦diatique et politique, mais le moment viendra o¨´ cela ne sera plus le cas. Enfin, nous devons renforcer la r¨¦silience dans notre infrastructure. De nombreuses cyberattaques, quelles que soient leur origine, exploitent les vuln¨¦rabilit¨¦s de l¡¯Internet. Plus nous les r¨¦duirons, plus nous serons en s¨¦curit¨¦.

Les menaces du cyberespace sont r¨¦elles, mais sa militarisation fera plus de mal que de bien. Un Internet libre et ouvert est trop important pour succomber ¨¤ nos peurs.

?

La?Chronique de l¡¯ONU?ne constitue pas un document officiel. Elle a le privil¨¨ge d¡¯accueillir des hauts fonctionnaires des Nations Unies ainsi que des contributeurs distingu¨¦s ne faisant pas partie du syst¨¨me des Nations Unies dont les points de vue ne refl¨¨tent pas n¨¦cessairement ceux de l¡¯Organisation. De m¨ºme, les fronti¨¨res et les noms indiqu¨¦s ainsi que les d¨¦signations employ¨¦es sur les cartes ou dans les articles n¡¯impliquent pas n¨¦cessairement la reconnaissance ni l¡¯acceptation officielle de l¡¯Organisation des Nations Unies.?