6

Peut-on prévenir une cyberguerre ?

CAMBRIDGE – La peur d’un « Pearl Harbor numérique » est apparue dans les années quatre-vingt-dix, et voici vingt ans que les responsables politiques s’inquiètent que des pirates informatiques puissent faire exploser des oléoducs, contaminer des réserves d’eau potable, ouvrir les vannes d’un barrage et noyer des populations entières ou encore envoyer des avions sur des routes de collision en manipulant les systèmes de contrôle du trafic aérien. En 2012, Leon Panetta, alors ministre de la Défense des États-Unis, avertissait que de tels pirates pouvaient « couper le réseau électrique sur de vastes portions du pays. ».

Aucun de ces scénarios catastrophe n’est devenu réalité, mais on ne peut à l’évidence les exclure. À un niveau plus modeste, des pirates sont parvenus à détruire un haut fourneau, l’année dernière, dans une aciérie allemande. La question de sécurité est donc simple : peut-on empêcher de tels actes de destruction ?

Erdogan

Whither Turkey?

Sinan Ülgen engages the views of Carl Bildt, Dani Rodrik, Marietje Schaake, and others on the future of one of the world’s most strategically important countries in the aftermath of July’s failed coup.

On dit parfois que la dissuasion n’est pas une stratégie efficace dans le cyberespace, étant données d’une part les difficultés rencontrées lorsqu’on veut s’assurer de la source d’une attaque, d’autre part la multiplicité des acteurs potentiels, qu’ils soient ou non des États. À qui appartiennent les biens ou les ressources dont nous pouvons estimer qu’ils sont en danger ? Pour combien de temps le sont-ils ? Le plus souvent, on ne peut répondre avec certitude à ces questions.

L’identification de la menace est, naturellement, un sérieux problème. Comment pouvez-vous riposter si vous ne connaissez pas l’adresse de l’expéditeur ? Les possesseurs de l’arme nucléaire ne sont pas identifiés avec une précision absolue, mais seuls neuf États en disposent et l’on sait relativement bien détecter les radiations émises par les matériaux fissiles ; quant aux acteurs non étatiques, leur ticket d’entrée est pour le moins élevé.

Rien de tout cela n’est vrai dans le cyberespace où quelques lignes de code qui peuvent être écrites (ou achetées sur le marché noir du Web) par n’importe quel acteur, étatique ou non-étatique, suffisent à constituer une arme redoutable. Un agresseur ingénieux peut masquer le point d’origine de l’attaque derrière de faux drapeaux sur plusieurs serveurs distants.

Si les experts de l’investigation numérique peuvent traiter de nombreux degrés de séparations d’un serveur à l’autre, cela prend souvent du temps. Ainsi en 2014, une attaque au cours de laquelle furent piratées les données électroniques de soixante-seize millions de clients de la banque JP Morgan a-t-elle été largement mise au compte de la Russie, alors qu’en 2015 le ministère américain de la Justice est parvenu à percer l’identité des criminels : une bande aux méthodes d’avant-garde, dirigée par deux citoyens israéliens et un ressortissant américain vivant à Moscou et à Tel-Aviv.

L’identification est toutefois une question de degré. Malgré les dangers des faux drapeaux et la difficulté d’obtenir des informations rapides et d’une qualité suffisante pour être produits devant un tribunal, le degré d’identification suffit souvent à permettre la dissuasion.

C’est ainsi que lors des attaques perpétrées en 2014 contre Sony Pictures, les États-Unis ont cherché à éviter que ne soient étalés en plein jour les moyens par lesquels ils attribuaient l’agression à la Corée du Nord, malgré le scepticisme de l’opinion. Quelques semaines plus tard, des fuites dans la presse révélaient que l’Amérique avait accès aux réseaux nord-coréens. Les sceptiques durent en rabattre, mais au prix fort : la divulgation d’une source de renseignement sensible.

Si les informations sures et rapides, qui permettent l’identification, se paient généralement cher et sont difficiles à obtenir, elles existent pourtant. Non seulement les États renforcent leurs capacités, mais de nombreuses entreprises du secteur privé entrent désormais dans le jeu et leur participation réduit les coûts publics, en particulier ceux de la divulgation d’une source sensible. Dans de nombreuses situations, c’est une question de degré, et à mesure que la technologie perfectionne l’investigation numérique, la force de dissuasion gagne en efficacité.

En outre, les analystes ne devraient pas se limiter aux instruments classiques que sont les représailles et l’interdiction lorsqu’ils tentent de comprendre la dissuasion numérique. On devrait aussi considérer l’intrication des intérêts économiques et les normes internationales.

L’intégration économique peut modifier le rapport coût-bénéfice pour une puissance comme la Chine, dont l’économie souffrirait des effets rétroactifs d’une attaque sur le réseau de distribution électrique américain. Ce genre d’argument est probablement peu dissuasif à l’égard d’un pays comme la Corée du Nord, faiblement intégré à l’économie mondiale. Et l’impact de l’intégration sur les acteurs non étatiques est difficile à évaluer. Certains peuvent réagir comme des parasites, qui souffrent s’ils tuent leur hôte, d’autres peuvent être indifférents à ce genre de conséquence.

Quant aux normes internationales, la plupart des États conviennent que la cyberguerre doit être encadrée par les mêmes lois qui s’appliquent aux conflits armés, qui exigent qu’on distingue les cibles militaires des cibles civiles et que les réactions soient proportionnées. En juillet dernier, le Groupe d’experts gouvernementaux des Nations unies a recommandé que les cibles civiles soient exclues des attaques numériques et la règle en a été adoptée, le mois dernier, au sommet du G-20.

On a laissé entendre qu’une des raisons pour lesquelles les armes numériques, jusqu’à présent, n’avaient pas été utilisées plus fréquemment dans la guerre, tenait précisément à l’impossibilité d’évaluer avec quelque certitude leurs effets sur les cibles civiles et de prévoir leurs conséquences. De telles normes ont peut-être dissuadé les États-Unis d’utiliser l’arme numérique contre les défenses aériennes irakienne et libyenne. De même, l’usage d’instruments numériques dans les guerres « hybrides » menées par la Russie en Géorgie et en Ukraine a été relativement limité.

La relation entre les différentes variables de la dissuasion numérique est dynamique et elle évoluera avec la technologie et la formation au numérique, l’innovation progressant ici à un rythme plus rapide qu’autrefois dans l’armement nucléaire. Ainsi une identification plus précise grâce aux progrès de l’investigation numérique peut renforcer le rôle de la sanction, tandis que de meilleures défenses, rendues possibles par des cryptages plus efficaces peuvent jouer en faveur de l’effet dissuasif des interdictions d’accès. De sorte que l’attaque pourrait perdre au cours du temps l’avantage dont elle dispose actuellement sur la défense.

La formation au numérique compte aussi. À mesure que les États et les organisations comprendront l’importance de l’Internet pour la santé de leur économie, l’évaluation du rapport coût-bénéfice d’une guerre numérique risque d’évoluer, tout comme la compréhension de l’arme nucléaire a transformé avec le temps la conception des coûts d’une guerre atomique.

Support Project Syndicate’s mission

Project Syndicate needs your help to provide readers everywhere equal access to the ideas and debates shaping their lives.

Learn more

À la différence de l’ère nucléaire, lorsqu’il s’agit de dissuasion numérique, tous les coups ne se valent pas. À moins que nous ne soyons prisonniers d’une image trop simplifiée du passé. Après tout, à l’époque où les représailles nucléaires semblaient trop démesurées pour être crédibles, les États-Unis ont adopté une réponse flexible conventionnelle pour ajouter un nouvel élément d’interdiction sensé dissuader une invasion soviétique en Europe occidentale. Et si les États-Unis ont toujours refusé de s’engager sur le non-emploi en premier de l’arme nucléaire, ce tabou a fini par évoluer, du moins parmi les principales puissances. La dissuasion à l’ère numérique n’est peut-être plus ce qu’elle était, mais l’a-t-elle jamais été ?

Traduction François Boisivon