Friday, April 18, 2014
Exit from comment view mode. Click to hide this space
5

L’ineptie des gouvernements engendrera-t-elle une cyber-crise ?

CAMBRIDGE – Lors de la crise de 2008, de nombreux observateurs sous le choc se sont demandés pourquoi ni les marchés, ni les régulateurs, ni les experts financiers ne l’avaient pressentie. Aujourd’hui, on pourrait se poser la même question au sujet de la vulnérabilité de l’économie globale face à une cyber-attaque. Les parallèles entre les crises financières et la menace d’une cyber-effondrement sont pourtant surprenants.

Si la plus grande cyber-menace vient des états voyous possédant la capacité de développer des virus informatiques extrêmement sophistiqués, les risques peuvent aussi provenir de hackers anarchistes et de terroristes, ou même de problèmes informatiques découlant d’une catastrophe naturelle.

Certains experts de sécurité ont déjà tiré la sonnette d’alarme, dont dernièrement Jonathan Evans, chef des services de renseignements britanniques (MI5). Mais dans l’ensemble cependant, peu de dirigeants consentent à compromettre la croissance dans le secteur technologique ou de l’internet de quelque manière que ce soit au nom d’une menace aussi diffuse. Ils préfèrent plutôt établir des groupes d’études et de travail relativement inoffensifs.

Il n’est pas facile d’admettre ouvertement que les économies modernes dépendent lourdement d’énormes systèmes informatiques. Mais imaginons qu’un jour, un ensemble de satellites de communication clé tombent en panne ou que les bases de données des principaux systèmes financiers soient effacées.

Les experts ont depuis longtemps déjà désigné le réseau électrique comme la vulnérabilité la plus évidente, dans la mesure où, sans électricité, toute économie moderne s’effondrerait. Il est vrai que de nombreux sceptiques prétendent qu’avec des mesures prophylactiques raisonnables peu couteuses, le risque de cyber-effondrements à grande échelle serait considérablement réduit, et que les Cassandre exagèrent les pires scénarios. Ils considèrent que l’hypothèse selon laquelle, comme dans le film Die Hard 4 de 2007 avec Bruce Willis, des cyber terroristes et autres maître-chanteurs auraient la capacité de mener l’économie globale à deux doigts du désastre relève totalement de l’imaginaire.

Il est difficile de dire qui a raison dans ce débat auquel participent d’éminents experts, d’un côté comme de l’autre. Mais il semble y avoir un nombre inconfortable de similarités entre l’économie politique de la régulation du cyber-espace et celle de la régulation financière. 

Tout d’abord, la cyber-sécurité tout comme la stabilité financière sont des sujets extrêmement complexes que même les régulateurs gouvernementaux ont du mal à maitriser. La rémunération des experts dans cette industrie est largement supérieure aux salaires pratiqués dans les services publics, et les cerveaux les plus experts s’arrachent à prix d’or. En conséquence de quoi, certains prétendent que la seule solution serait l’auto-régulation de l’industrie du logiciel. C’est un argument largement répandu dans de nombreux secteurs industriels modernes, des géants de l’alimentaire aux géants pharmaceutiques, en passant par les géants de la finance.

Deuxièmement, tout comme dans le secteur financier, l’industrie des technologies est politiquement profondément influente par ses contributions et son lobbying. Aux Etats-Unis, tout candidat présidentiel doit se rendre en pèlerinage à la Silicon Valley ou tout autre centre technologique pour lever des fonds. L’influence excessive du secteur financier était à l’évidence l’une des principales raisons de l’effondrement économique de 2008 et reste profondément impliquée dans l’actuelle crise de la zone euro.

Troisièmement, compte tenu du ralentissement de la croissance dans les économies avancées, il semble que la technologie de l’information soit la championne de la moralité, tout comme l’était la finance jusqu’à il y a cinq ans. Et toute tentative gouvernementale brutale d’imposer une régulation ne parviendrait probablement pas à assurer une protection contre d’éventuelles catastrophes – mais elle étranglerait certainement la croissance.

Dans les deux cas – stabilité financière et cyber-sécurité – le risque de contagion crée une situation dans laquelle un écart peut se créer entre les motivations privées et les risques sociaux. Bien sûr, les progrès dans le secteur technologique entrainent globalement souvent d’énormes bénéfices sociaux, qui dépassent même, il est vrai, tous ceux produits par les autres secteurs ces dernières décennies. Mais, tout comme dans le cas des centrales nucléaires, le progrès peut s’avérer néfaste en l’absence de bonne régulation.

Enfin, les risques les plus importants relèvent de l’arrogance et de l’ignorance, deux caractéristiques humaines au cour de la plupart des crises financières. Les récentes révélations sur les super-virus « Stuxnet » et « Flame » sont particulièrement déconcertantes. Ces virus, apparemment développés par les Etats-Unis et Israël pour désamorcer le programme nucléaire de l’Iran, englobent un niveau de sophistication jamais vu à ce jour. Les deux sont particulièrement fortement cryptés et difficiles à détecter une fois implantés dans un ordinateur. Le virus Flame a la capacité de prendre le contrôle des périphériques d’un ordinateur, d’enregistrer les conversations Skype, de prendre des photographies par le biais de la caméra de l’ordinateur, et de transmettre des informations via Bluetooth à n’importe quel appareil voisin.  

Si les gouvernements les plus sophistiqués du monde développent ces virus informatiques, quelle est la garantie que quelque chose ne va pas mal tourner ? Comment peut-on être sûr qu’ils ne vont pas « s’échapper » et infecter d’autres types de systèmes plus larges, ou être déviés vers d’autres usages, ou qu’à l’avenir, d’autres états voyous ou des terroristes ne trouveront pas un moyen de les retourner contre leurs créateurs ? Aucune économie n’est aussi vulnérable que les Etats-Unis, et c’est pure arrogance que de croire que la cyber-supériorité américaine (qui n’est dépassée peut-être que par celle de la Chine) serait en mesure de lui conférer une sécurité absolue contre les attaques.

Malheureusement, la solution est bien plus complexe que de simplement développer de meilleurs programmes anti-virus. La protection anti-virus et le développement de virus constituent une course inégale à l’armement. Un virus peut contenir à peine deux cents lignes de code informatique, alors qu’un programme anti-virus peut en contenir des milliers, et doit être conçu pour détecter de larges catégories d’ennemis différents.

On nous dit de ne pas nous inquiéter d’éventuels cyber-effondrements à grande échelle, parce qu’il n’y en a pas eu et que les gouvernements restent vigilants. Malheureusement, une autre leçon tirée de la crise financière est que la plupart des hommes politiques sont génétiquement incapables de faire les choix préventifs difficiles avant d’y être effectivement acculés. Espérons que la chance restera encore un peu de notre côté.

Traduit de l’anglais par Frédérique Destribats

Exit from comment view mode. Click to hide this space
Hide Comments Hide Comments Read Comments (5)

Please login or register to post a comment

  1. Commentedsrinivasan gopalan

    The implicit message delivered by Prof.Rogoff needs to be understood by serious-minded people. If developed countries cruising on the information super highway develop computer viruses to wreak havoc on the so-called rogue States, what a real rogue State or an aberrant techie can do to inflict systemic damage to the web world in his/her own way that would leave a seismic impact on the highly inter-connected internet world in general or in any specific target in particular. It is time that instead of spending humongous money on unleashing virus to combat the potential threats of rogue States, the advanced countries desisted from opening the obnoxious genie of viruses. The fallout of any such perilous course would, like the financial tsunami that hit the western world with its contagion effects on the rest of the world, be too horrendous to contemplate. The wake-up call to the patent folly by the US government to play with cyber world in the name of ensuring cyber security needs to be heeded if the rest of the world were not being turned as ideal ground for costly experiments. G.Srinivasan. New Delhi

  2. CommentedA. T.

    There is a very, very important difference. With finance (as with most other previous shocks), the threat was big and centralised (it were the "too big to fail" and "systemically important" institutions that brought the financial system to its knees, not Mr Beams the independent day-trader from Topeka). Effective ways of preventing the crisis could then be big and centralised as well.

    The cyber threat, on the other hand, is fluid and distributed. When it comes, it will likely be the result of a small and independent group exploiting problems in decades-old control software of municipal systems, not anything from the "enormously influential" tech industry. The solution, to be effective, must therefore be bottom-up and distributed as well.

    NOTHING will make the country more prone to cyber-attack than believing that it is a problem that can be solved from Washington. The government can perhaps pressure utilities and municipalities to start taking cyber-security more seriously (or even offer free 'white-hat' mock attack audits from the NSA), but there is no one-size-fits all solution for it to design and impose.

Featured