Prononcez le mot cyberguerre. Attendez un peu. Un débat enflammé ne devrait pas tarder. La dernière couverture de L’Express (à l’iconographie soignée) n’a pas manqué de souffler sur les cybertisons, jamais vraiment éteints.

Révélant le modus operandi de l’attaque qui a touché l’Élysée en mai dernier, l’hebdomadaire surtitrait sa première page “CYBERGUERRE” en lettres capitales. L’Express affirme aussi que l’attaque a été menée par les États-Unis. Depuis les réactions ont fusé. Sur les faits décrits et sur le fond : est-ce là “le futur des conflits” comme l’affirme Christophe Barbier, le directeur du journal ?

Thomas Rid, chercheur au King’s College de Londres, a décortiqué tous les exemples de la prétendue cyberguerre. Aucun ne passe à l’examen des faits selon lui. D’autres adressent une critique structurelle au concept. Puisqu’elle est cyber, elle ne peut être guerre. Pour l’instant ou pour toujours.

Les observateurs sont pour le moins clivés, et la rédaction d’Owni n’échappe pas à la règle. Pour y voir plus clair, nous avons voulu laisser le “cyber” de côté pour se concentrer sur l’objet du litige : la “guerre”.

Cybermorts

Dans son édito vidéo, Christophe Barbier reconnaît le caractère spécifique de la cyberguerre : “une guerre qui fait peu ou pas de dégâts humains”. Un oxymore selon plusieurs politologues que nous avons interrogés.

Jean-Vincent Holeindre, maître de conférence en sciences politiques à Paris II, travaille sur la pensée militaire. Il rappelle que chez Clausewitz, la guerre est d’abord “un duel des volontés”. C’est la définition minimaliste. Deux piliers viennent l’enrichir : l’usage de la violence et le motif politique.

Régis Lanno, doctorant en sociologie à l’université de Strasbourg, précise :

Même s’il est difficile de définir de façon essentialiste la guerre, en raison des changements de moyens et d’outils dans l’histoire, des invariants demeurent. La guerre correspond à l’administration de la mort à l’extérieur d’un groupe (famille, communauté, clan et plus tard la Nation).

Point de guerre sans mort violente : deux volontés contradictoires s’opposent en mobilisant la violence armée. Mais l’administration de la mort doit répondre à une volonté politique. La criminalité, même violente, n’est pas la guerre. “La guerre consister à utiliser la violence ou la menace de la violence pour contraindre l’ennemi à se plier à sa volonté. Pour reprendre la définition de Clausewitz, la guerre est un acte de violence politique pour faire triompher sa volonté” ajoute Régis Lanno.

La définition restrictive utilisée en sciences sociales se distingue de l’emploi familier, de l’imaginaire collectif. Jean-Vincent Holeindre rappelle que “la perception de la guerre selon le sens commun est façonnée par la mémoire des guerres du XXe siècle, surtout les deux guerres mondiales.” Des guerres entre des États, entre des puissances industrielles, utilisant des armes sophistiquées. D’autres formes de guerre existent, nuance Jean-Vincent Holeindre. Les guerres asymétriques par exemple, qui opposent un groupe (des insurgés) à un pouvoir central.

Cyberconflit

“La guerre est le paroxysme du conflit” précise le chercheur. Le conflit comprend des gradations : de la dispute familiale à la grève de salariés. C’est plutôt quelque part dans ce panel que devrait figurer la cyberguerre, le cyberconflit donc.

Pour Régis Lanno, les victimes physiques sont cruciales pour employer le terme guerre : “En l’absence de mort dans le camp ennemi, la cyberguerre relève du conflit. L’objectif est plus de neutraliser l’ennemi que de l’anéantir physiquement.”

Du sabotage. Jean-Vincent Holeindre insiste :

Le sabotage est une stratégie militaire, un élément particulier d’un ensemble plus large qui relève du renseignement. Tout en se protégeant des attaques de l’adversaire, la partie au combat essaie de saboter l’arsenal ennemi pour le désorganiser et faciliter l’usage de la force.

Les exemples sont légions de cybersabotage et d’utilisations tactiques de cyberattaques : contre la Géorgie en 2008, la Russie a ciblé des sites internet officiels avant de mener sa campagne au sol. Stuxnet, le logiciel malveillant fabriqué par les États-Unis et Israël dans le cadre du programme “Olympic Games”, a permis de retarder le programme nucléaire iranien. Mais l’acte de sabotage ne suffit pas à lui seul pour qualifier l’acte de “cyberguerre”. Sauf si la cible de l’attaque s’estime victime d’une agression.

Cyber Lex, Sed Lex

On quitte alors l’univers théorique de la pensée politique pour entrer dans le domaine du droit. Yves Sandoz est professeur retraité de droit international humanitaire à Genève et Fribourg. Il rappelle “[qu']une définition a contrario de la guerre est posée dans la charte des Nations Unies adoptée en 1947″. La charte proscrit le recours à la violence pour régler des différends : fini les guerres d’agression (en principe), fini les déclarations de guerre en bonne et due forme.

À côté de l’évolution normative, Yves Sandoz note un changement de la nature des guerres aujourd’hui :

Les conflits internes de très haute intensité augmentent, comme au Mexique par exemple. Il s’agit d’un conflit criminel très violent. L’utilisation du terme “guerre” a aussi été dévoyée dans des expressions comme la “guerre contre la terreur” ou “la guerre contre la pauvreté”.

Juridiquement, une cyberattaque peut être considérée comme un acte d’hostilité, donc enclencher les mécanismes de légitime défense encadrés par la charte des Nations unies. “Mais il faut respecter le principe de proportionnalité” modère Yves Sandoz.

En somme, le piratage d’un site officiel peut difficilement entraîner un bombardement aérien en riposte… Les États-Unis l’ont annoncé l’année dernière : ils se réservent le droit de considérer une cyberattaque comme un acte de guerre, et d’y répondre par des moyens conventionnels.

Cyberrégulation

La cyberguerre froide

Les États-Unis gardent aujourd'hui la main sur certaines fonctions essentielles du Net. Au grand dam de quelques nations, ...

L’idée d’un traité sur la cyberguerre progresse. La Russie plaide depuis 1998 en faveur d’un traité international interdisant l’utilisation du cyberespace à des fins militaires. Mais obéissant à une logique de rapport de force. Moscou ne pense pas pouvoir rivaliser avec les autres États dans le cyberespace, dès lors mieux vaut que le cyberespace soit pacifié…

Champ de bataille, le cyberespace ne peut échapper aux garanties prévues par le droit. Caractériser une cyberattaque entraîne l’application du droit international humanitaire, plaide le Comité international de la Croix Rouge. La question n’est alors plus de savoir si la cyberguerre est possible, mais d’admettre qu’elle l’est pour éviter une zone grise non-codifiée, dans laquelle les belligérants pourraient nier l’existence de toutes règles et inventer un cyber-far-west.

Responsable des recherches sur les question cyber au CICR, Cordula Droege considère les cyberattaques comme “des moyens et des méthodes de guerre qui reposent sur les technologies de l’information et sont utilisées dans un contexte de conflit armé au sens du droit humanitaire”.

Cordula Droege émet des réserves sur la possibilité d’attribuer une cyberattaque et sur la nature des objectifs visés, qui ne doivent pas être civils conformément au droit international humanitaire. Ces nuances posées, elle écrit :

Si les moyens et les méthodes de la cyberguerre produisent les mêmes effets dans le monde réel que les armes conventionnelles (destruction, perturbation, dégâts/dommages, blessé, morts), ils doivent être gouvernés par les mêmes règles que les armes conventionnelles.

Rarement, la Défense n’a eu autant tremblé d’être réduite à “une armée de confetti” en attendant son budget de l’année. Il est finalement stable, avec une dotation de 31,4 milliards d’euros. Un budget de continuité, en attendant les conclusion du Livre blanc sur la Défense dont le rendu est attendu pour le mois de janvier. Le grand rendez-vous sera 2014, avec l’adoption du projet quinquennal de la loi de programmation militaire.

Dans cette atmosphère grise, il y a bien un secteur qui arbore des couleurs flamboyantes : la cyberdéfense. Tous les corps sont concernés, civil et militaire, services de renseignement et forces conventionnelles.

Des effectifs triplés

Rattachée directement au Premier ministre, l’Agence nationale de la sécurité des systèmes d’information (Anssi) est en charge de la cybersécurité en France depuis sa création en 2008. Elle recrutera 75 postes en 2013 a annoncé Kader Arif, ministre délégué auprès du ministre de la Défense.

Son directeur, Patrick Pailloux s’en félicitait lors d’une intervention à l’École militaire fin octobre :

L’Anssi est la seule administration à recruter, y compris depuis le nouveau gouvernement.

Les chiffres parlent d’eux-mêmes : l’agence comptait 120 agents en 2009, leur nombre devrait tripler pour atteindre 360 agents en 2013. L’effort budgétaire a suivi, passant de 45 millions d’euros en 2009 à 75 millions en 2012 selon le rapport Bockel sur la cyberdéfense.

Le Calid (Centre d’analyse en lutte informatique défensive) occupe des fonctions complémentaires à celles de l’Anssi. C’est à sa tête que se trouve l’officier général à la cyberdéfense, le contre-amiral Arnaud Coustillière. Lui aussi peut avoir le sourire. Ses effectifs vont doubler. Il compte aujourd’hui 20 personnes qui atteindront 40 l’année prochaine “afin d’être opérationnel vingt-quatre heures sur vingt-quatre et sept jours sur sept” selon le ministère de la Défense. Un souhait émis par le sénateur Bockel dans son rapport.

Autre structure du ministère, les équipes de la Direction générale de l’armement (DGA) devraient être largement renforcées. Lors d’un déplacement début septembre sur l’un des principaux sites de la cyberdéfense, à Bruz (Ille-et-Vilaine), le ministre Jean-Yves Le Drian, a annoncé la création de 200 emplois pour la cyberdéfense d’ici à 2015.

Les peurs des cyberdéfenseurs

Les responsables français de la cyberdéfense ont parfois des sueurs froides. Le contre-amiral Coustillière et le directeur ...

La DGSE, grand gagnante

Les services de renseignement ne sont pas en reste. La DPSD (Direction de la protection et de la sécurité de la défense) le service maison de l’hôtel de Brienne, va recevoir des moyens pour assurer son mandat élargi.

Il comprend des missions de contre-ingérence et de contrôle ainsi que d’assistance dans le champ de la cybersécurité, a expliqué le contre-amiral Arnaud Coustillière, invité par le groupe Défense & Stratégie, proche des milieux de la Défense. En cas d’attaque informatique, les rôles sont répartis selon l’intensité : ministère de la Défense seul (DPSD et Calid) pour les attaques de moyenne intensité, Anssi et Calid pour les attaques plus solides, a détaillé le cyberofficier. Malgré un budget globalement en baisse, la DPSD poursuit les investissements dans “[les] activités de cyberdéfense.”

Les services extérieurs, la Direction générale de la sécurité extérieure (DGSE), bénéficient pleinement du nouvel élan. Les services du boulevard Mortier disposaient déjà de moyens en augmentation, du fait “de la priorité donnée à la fonction ‘connaissance et anticipation’”, note le rapport sur la Défense de la commission des finances. Avec la cyberdéfense apparaît “une nouvelle priorité, compte tenu de l’évolution des menaces en la matière”. Sur les 95 emplois, 18 seront dédiés à la cyberdéfense.

Pour rester attractif, et offrir mieux “[qu'] un traitement de fonctionnaire ordinaire”, la DGSE utilise un tour de passe-passe administratif, décrit par La Tribune. Le patron des services peut “procéder à la fusion de plusieurs ETPT (équivalent temps plein annuel travaillé)” selon un représentant du ministère de la Défense auditionné à la commission de la défense de l’Assemblée. En clair, proposer l’enveloppe de plusieurs salaires sur un seul poste.

Le tabou offensif

Offrir des salaires attractifs a partiellement pallié les difficultés de recrutement. Devant les députés, le chef d’État-major des armées, l’amiral Guillaud, avait expliqué qu’en matière de sécurité des systèmes d’information, “[la DGSE] ne pouvait recruter davantage, tant le vivier – où puisent Thales, Areva ou d’autres administrations – est réduit’”, rappelle La Tribune.

Le cyberbluff a commencé

Le sénateur Jean-Marie Bockel a rendu public le 19 juillet un rapport sur la cyberdéfense. Le volet offensif y occupe une ...

Autre solution en voie d’expérimentation : une réserve cyber-citoyenne. Arnaud Coustillière a évoqué 50 volontaires en voie de recrutement lors de son intervention devant Défense & Stratégie. Sans aller dans l’opérationnel, ces volontaires auront pour fonction de faire de la sensibilisation, “[d']améliorer la résilience de la société” selon les termes de l’amiral.

Ces recrutements confirment l’importance accordée à la cyberdéfense. Et aux capacités offensives ? Dans son rapport, le sénateur Bockel invitait l’exécutif à clarifier sa doctrine. L’épisode Stuxnet, et celui plus récent d’Aramco – la compagnie pétrolière saoudienne victime d’une grave cyberattaque cet été – ont ravivé les craintes autant qu’elles ont aiguisé les envies. Les responsables de la cyberdéfense se murent dans le silence dès qu’il s’agit de capacités offensives. Le contre-amiral Coustillière renvoie vers le livre blanc, quant à Patrick Pailloux, de l’Anssi, il répondait à l’École de guerre “ne rien penser” à ce sujet.

Un “Pearl harbor numérique” ? À intervalles réguliers, l’expression revient dans le bouche de responsables de la cyberdéfense, surtout américains. Le sécretaire de la Défense, Léon Panetta, a exprimé ses craintes d’une telle cybercatastrophe lors d’un discours à New York le 11 octobre dernier.

En France, l’expression n’est pas employée en l’état, mais les craintes existent. Elles ont été exprimées publiquement la semaine dernière par les deux principaux responsables de la cyberdéfense. Le contre-amiral Coustillière a été nommé officier général à la cyberdéfense le 1er juillet 2011. Il est entre autres à la tête du centre d’analyse en lutte informatique défensive, le Calid.

“Un espace de confrontation”

Dans son intervention organisée par le cercle Défense et Stratégie mercredi, il a décrit son cauchemar. Un plan simple, en plusieurs temps, qui pourrait aboutir à des dommages irréversibles. Et de rappeler qu’un “changement de dimension” s’est produit depuis quelques années, faisant du cyberespace “un espace de confrontation, quelque soit le nom qu’on lui donne”. Une précaution oratoire pour éviter le terme contesté de cyberguerre…

Le contre-amiral Coustillière a évoqué un plan en trois temps, trois phases distinctes qui ne peuvent être menées que par “une structure” importante, avec un niveau élevé de renseignement. Comprendre, plutôt par un État que par un petit groupe de pirates informatiques.

La première phase vise à désorganiser la cible (là encore un État) : fausses rumeurs et mouvements de protestations sur les réseaux sociaux, attaques par dénis de service (DDoS) sur les sites institutionnels (les sites de députés par exemple), puis attaques de réseaux locaux peu protégés. La seconde phase vise à “désorganiser la société”. Les services de sécurités sont monopolisés, leurs moyens saturés.

En cause : des attaques sur installations vitales, en cherchant “le maillon faible” sur ces systèmes déjà bien protégés, ainsi que de nouvelles attaques par dénis de service ciblant des banques. Le climat est alors propice pour lancer des actions offensives plus complexes, avec des répercussions potentiellement mortelles. Sur les infrastructures de transport par exemple.

L’âge du cyberespionnage

Ainsi dépeint, le tableau ressemble à une dystopie cyberpunk. Un scénario catastrophe plus lointain que l’espionnage via Internet, grande préoccupation du moment :

Des gigas [octets] de données s’échappent de nos industries.

Bercy, le piratage qui tombe à pic

Faut-il avoir peur du piratage de 150 ordinateurs au ministère de l'Economie et des Finances? C'est surtout l'occasion pour ...

Préoccupation largement partagée par Patrick Pailloux, le directeur de l’Agence nationale de la sécurité des systèmes d’informations (ANSSI), second bras armé de la cyberdéfense. Quatre sujets l’empêchent, plus ou moins, de dormir, a-t-il expliqué à l’institut des hautes études de la défense nationale : la cybercriminalité, les tentatives de déstabilisation, le sabotage et le cyberespionnage donc.

“À côté de ce qui se passe aujourd’hui, c’était de la gnognote la guerre froide” attaque-t-il. Un modus operandi basique par exemple, disponible au patron un peu dégourdi qui traîne “sur des forums underground”, parle anglais et dispose de quelques centaines d’euros. Usurper l’identité d’un proche de la cible (au hasard, un concurrent), envoyer un email depuis cette fausse identité à la cible.

Au mail est attaché une pièce jointe, un cheval de Troie, acheté sur Internet. “Des usines à fabriquer des virus” permettent de changer les signatures chiffrées des logiciels malveillants. En somme, d’empêcher les antivirus de les identifier et donc de les rendre inopérants. Un peu de débrouillardise, quelques poignées d’euros et un zeste de renseignements suffisent pour obtenir des informations confidentielles sur ses concurrents. Des pratiques interdites, mais courantes.

Conclusions communes des deux hauts responsables : améliorer l’hygiène informatique et préparer la résilience des citoyens. A cette fin, une réserve citoyenne pour la cyberdéfense est en cours de création et les cyberdéfenseurs se chargent de faire passer le message.

Car Trail Lights Art – photo CC by-nc-sa Theo van der Sluijs

Les États occidentaux s’agacent de l’emploi de technologies chinoises aux coeurs des réseaux. La France a ouvert le bal en juillet dernier. Le sénateur Jean-Marie Bockel y consacre une partie de son rapport sur la cyberdéfense.

Recommandation n°44, interdire sur le territoire nationale et européen le déploiement et l’utilisation de “routeurs” ou d’équipements de cœur de réseaux qui présentent un risque pour la sécurité nationale, en particulier les “routeurs” ou d’autres équipements informatiques d’origine chinoise.

Washington chinoise sur le cyberespace

Seuls les services secrets des États-Unis, et un peu d'Europe, auraient le droit de fricoter avec les géants du numérique ...

Le discours est clair. Il lui a été soufflé Outre-Rhin par le ministère de l’intérieur allemand et le BSI, l’équivalent de l’ANSSI française (chargée de la cybersécurité et de la cyberdéfense). Deux constructeurs sont visés : Huawei et ZTE.

L’entremise parlementaire est habile, elle n’engage pas le gouvernement français. Les États-Unis ont rejoint le mouvement cette semaine. Avec la même malice, l’annonce émane de deux parlementaires. Quels sont donc ces grands méchants routeurs qui les effraient tant ?

Échangeur pour paquets

Tout simplement des boites posées à l’endroit où se rencontrent deux ou plusieurs lignes (les points d’interconnexion). Traduisez boîte en anglais (box) et une image apparaîtra tout de suite : celle des chères box internet de chez vous.

Comme pour les box à domicile, les opérateurs utilisent des routeurs, dont la taille diffère certes, mais dont le principe reste le même. “Les routeurs voient passer les paquets de connexion et les transmettent” explique l’ingénieur Stéphane Bortzmeyer de l’Afnic, l’association qui gère les noms de domaine dont le .fr. Un échangeur en quelque sorte. Les données arrivent et sont redistribuées vers différentes routes en fonction de l’encombrement du trafic sur chacune.

Comme sur le routeur mécanique ci-dessous :

Mechanical router – photo CC by Joi Ito

Des points clefs pour le bon fonctionnement d’Internet donc. En 2008, une erreur de routage de Pakistan Telecom avait tout simplement rendu YouTube inaccessible… dans le monde entier. Pour empêcher l’accès au site de partage de vidéos, les routeurs devaient renvoyer les connexions vers une destination inconnue, “un trou noir”. Les paquets (la bille sur la photo ci-dessus) n’étaient plus dirigés vers un tuyau, mais vers une impasse ou un trou. Problème : le fournisseur d’accès de Pakistan Telecom à Hong Kong a suivi la même règle de routage et ainsi de suite.

“Les routeurs sont un peu partout, dans les points d’interconnexion et dans les réseaux”, confirme Stéphane Bortzmeyer :

Il ressemble à des sortes de grands distributeurs de boissons (en fonction de leur importance).

Selon “la petite enquête informelle” de Jean-Marie Bockel, aucun opérateur français n’utilise d’équipements chinois pour les cœurs de réseau. A l’instar de France Telecom qui en a installé sur sa chaîne, mais qui préférerait des produits Alcatel-Lucent (le géant franco-américain) pour les points les plus sensibles.

Stéphane Bortzmeyer est sceptique. “Personne n’a intérêt à dire qu’il utilise les produits chinois, les moins chers du marché. Mieux vaut se prévaloir de Juniper ou Cisco”. Le hard discount contre l’épicerie fine en somme. Que se passe-t-il donc dans ses routeurs de coeurs de réseau qui affolent tant les autorités ?

Technologie duale

Le rapport Bockel pointe le risque “[qu’un] un dispositif de surveillance, d’interception, voire un système permettant d’interrompre à tout moment l’ensemble des flux de communication” soit discrètement placé à l’intérieur. Vu la quantité de données qui transitent par ces péages et la vitesse à la laquelle elles transitent, leur stockage paraît peu probable à Stéphane Bortzmeyer. “Il est possible de les dériver vers une autre ligne” explique-t-il. Avant de blâmer l’opacité qui entoure les routeurs, tant chinois que français et américains :

Aucun audit n’est possible. C’est l’archétype de la vieille informatique. Comme pour les serveurs, il faudrait utiliser uniquement du libre qu’on puisse “ouvrir”.

Que Huawei se vante de faire du Deep Packet Inspection – comme le note Jean-Marie Bockel dans son rapport (page 119) – cette technologie duale qui permet tant de mesurer la qualité du réseau que de l’interception, ne suffit pas à jeter opprobre sur le géant chinois. Stéphane Bortzmeyer rappelle au passage les performances françaises en la matière, qui portent entre autres les noms d’Amesys ou Qosmos.

hacker : pirate informatique.

Avec l’essor de l’internet s’est développée une nouvelle catégorie de pirates (hackers) agissant en groupes et essentiellement motivés par l’appât du gain. Ces groupes mettent au point des outils qu’ils peuvent exploiter directement ou offrir sur le marché à des clients tels que des organisations criminelles ou mafieuses, des officines d’espionnage économique, des entreprises ou des services de renseignement.

En 2008 comme en 2012, le rapport du Sénat sur la cyberdéfense, dont la dernière mouture vient d’être remise par Jean-Marie Bockel, témoigne que le milieu des hackers semble toujours un peu mystérieux à nos parlementaires. Pourtant, en fouillant dans le détail de ses 158 pages, on constate enfin une nette évolution positive dans la façon dont les hackers sont perçus, alors qu’ils font bénéficier de leurs talents nos réseaux depuis plus d’un quart de siècle. On note aussi au passage que le copié-collé si critiqué quand il s’agit d’élèves pompant Wikipedia semble ici une pratique tolérée.

Le point vocabulaire

En 2008, c’est bien simple, les rares occurrences du terme hacker sont synonymes de pirate informatique mercenaire. Quatre ans plus tard, si la définition dans le glossaire est la même, les occurrences sont plus nombreuses et nuancées, quitte à contre-employer le terme hacker.

Premier grand pas en avant, la sémantique s’étoffe, même si sa précision reste relative :

On peut distinguer trois catégories de « hackers » selon leurs motivations :
- Les « chapeaux blancs » (« white hats ») : Il s’agit souvent de consultants en sécurité informatique, d’administrateurs réseaux ou de cyberpoliciers, qui se caractérisent par leur sens de l’éthique et de la déontologie ;
- Les « chapeaux gris » (« grey hats ») pénètrent dans les systèmes sans y être autorisés, pour faire la preuve de leur habileté ou pour alerter l’organisme visé des vulnérabilités de ses systèmes, mais ils ne sont pas animés par des intentions malveillantes ou criminelles ;
- Enfin, les « chapeaux noirs » (« black hats ») regroupent les cybercriminels, les cyberespions ou les cyberterroristes. [...]

Ce qui n’empêche pas le rapport de dire qu’“il existe d’autres groupes de « pirates informatiques », comme « telecomix.com » qui défend la liberté d’expression sur Internet” Telecomix.org a dû bien s’amuser de découvrir que leur cluster était en fait une société commerciale. Le texte évoque aussi des “attaques informatiques ont été ouvertement revendiquées par des groupes de « hackers » patriotiques turcs, à l’image des groupes « GrayHatz » et « Millikuvvetler », et par d’autres « hackers » indépendants.” On n’abandonne pas facilement vingt ans de clichés.

Retard français

Ce soin nouveau apporté à la définition témoigne d’un changement net de regard sur la communauté des hackers. “L’État doit s’appuyer sur les hackers” : le credo d’Éric Filiol est enfin arrivé aux oreilles du Sénat. Si le directeur du laboratoire de sécurité informatique de l’École Supérieure d’Informatique Electronique Automatique (ESIEA) n’a pas été auditionné directement, il est cité à plusieurs reprises :

Il faut chercher les ressources là où elles sont. Chez les hackers que l’on a tendance à diaboliser à l’excès.

Plus loin, ses propos sont encore repris pour souligner le paradoxe juridique français. La loi Godfrain de 1988 puis la Loi pour la confiance dans l’économie numérique (LCEN) de 2004 ont en effet mis de gros bâtons législatifs dans les roues des hackers :

Or, actuellement, notre législation ne permet pas la publication, même à des fins scientifiques, de vulnérabilités décelées à la suite d’intrusions dans les systèmes informatiques, ce qui oblige les « pirates informatiques » français à publier le résultat de leurs recherches dans les revues d’autres pays, notamment aux États-Unis, ou lors de conférences de « hackers ».

Depuis quatre ans, les avancées majeures en matière de cryptanalyse ne sont plus publiées dans les conférences académiques mais dans les conférences de hackers ». [Aux yeux d'Éric Filiol], il existe une véritable fracture en France entre « un monde d’anciens qui administrent mais qui ne comprennent rien à la technique et de jeunes hackers qui maîtrisent mais qui n’administrent pas ».

Cruel miroir que tend cette dernière phrase au Sénat, entre autres… Mieux vaux tard que jamais, la main est tendue envers cette communauté avec qui une collaboration officielle serait fructueuse :

A cet égard, pourquoi ne pas renforcer aussi les liens avec la « communauté de hackers » français, dont la plupart sont désireux de mettre leurs compétences et leurs talents au service de leur pays ?

Dangereux hackers d’intérêt public

Depuis jeudi et jusqu'à samedi soir, en plein Paris, le festival Hackito Ergo Sum réunit la crème des hackers sur les ...

Une communauté fournie et patriote

Le rapport se montre optimiste sur l’avenir de cette collaboration, en s’appuyant sur des données au doigt mouillé, dont la source n’est pas précisée. Le texte dessine une communauté fournie et patriote, sans qu’on en sache plus sur ce qui leur permet d’affirmer cela  :

D’après les informations recueillies par votre rapporteur, la « communauté des hackers » serait estimée en France à environ 4 000 personnes. Nombre d’entre eux seraient désireux de mettre leurs compétences et leurs talents au service de notre pays.

Les États-Unis sont cités comme un exemple d’écosystème favorable à l’émergence de “sociétés privées de conseil et d’assistance en matière de sécurité informatique”. Où la présence de guillemets autour de certains termes montre que la maitrise du sujet peut encore être améliorée :

D’ailleurs, certaines entreprises américaines, à l’image de Microsoft ou de Facebook, ne s’y sont pas trompées, en lançant un appel public à tous les « hackers » pour déceler les vulnérabilités de leurs systèmes informatiques, réalisant ainsi gratuitement et à l’échelle mondiale un audit de leur sécurité informatique. [...]

Aux États-Unis, les « communautés de hackers » sont d’ailleurs largement reconnues et entretiennent des relations étroites avec les autorités chargées de la sécurité des systèmes d’information. On peut ainsi mentionner la communauté de « hackers » « Defcon », qui compte plus de 12 000 membres aux États-Unis et qui entretient des relations avec le département de la défense et l’agence de sécurité nationale (NSA).

Pourtant l’évolution législative européenne va à l’encontre de ces recommandations de bon sens. Un projet de directive prévoit de pénaliser la possession et la distribution d’outils de hacking pour lutter contre la cybercriminalité, dans la lignée de la LCEN.

À lire aussi sur Reflets.info :

Rapport Bockel : un point sur la cyberdéfense française

Tu t’es vu quand tu parles des pirates chinois ?

Et à revoir sur Owni, l’interview de Stéphane Bortzmeyer, ingénieur à l’Afnic (l’association en charge d’attribuer les noms de domaine en .fr), engagé dans l’équipe de campagne du Front de gauche. Il avait donné lors du festival de hackers Pas sage en Seine une conférence intitulée “Le technocrate, le geek et le politique ignorant”.

Cliquer ici pour voir la vidéo.

En dire un peu, mais pas trop. L’exercice avait des airs de numéro impressionniste. Le sénateur Jean-Marie Bockel a présenté ce 19 juillet son rapport sur la cyberdéfense. En tête des priorités et en bonne place des recommandations figurent les capacités offensives :

Priorité n°1 : (…) : S’interroger sur la pertinence de formuler une doctrine publique sur les capacités offensives. (…)
Recommandation n° 10 : poursuivre le développement de capacités offensives au sein des armées et des services spécialisés.

Le sujet n’est pas nouveau ; il n’est plus du tout tabou. Ces dernières années, les grands-messes ont régulièrement évoqué ce “cinquième champ de bataille” qu’est le cyberespace. En premier lieu parce que les États entendent se protéger contre cette nouvelle menace, mais pas seulement. Le Livre blanc sur la Défense et la sécurité nationale, rédigé en 2008, notait que “dans le domaine informatique plus que dans tout autre milieu, il faudra, pour se défendre, savoir attaquer.”

Doctrine

La même année, un rapport du Sénat reprenait cet argument “technique” et en ajoutait deux autres en faveur du développement des capacités offensives à “des fins spécifiquement militaires” :

(…) Une telle capacité est très certainement de nature à jouer un rôle dissuasif vis-à-vis d’agresseurs potentiels ;
(…) Enfin, le cyberespace paraît inévitablement voué à devenir un domaine de lutte, au même type que les autres milieux dans lesquels interviennent nos forces armées ; il est légitime d’en tirer les conséquences.

Jean-Marie Bockel les reprend dans son rapport et s’interroge sur la nécessité de rendre public l’utilisation de ces capacités. “Le silence des autorités française sur cette questions depuis (…) 2008 paraît quelque peu en décalage avec l’évolution de la menace (…), et il pourrait même être de nature à entretenir des fantasmes dans l’opinion publique” écrit-il.

Lors de la présentation, il a invité le nouveau président de la République à prendre officiellement position. Les incantations de Nicolas Sarkozy de 2008 pour que la France se dote de “capacités défensives et offensives” doivent maintenant être formalisée sous la forme d’une doctrine :

Il faut progresser sur le plan doctrinal d’emploi de cette force. Des discussions théoriques doivent être conduites, la défense nationale est toujours le fruit de débats doctrinaux.

Et d’ajouter sur-le-champ : “Tout ne doit pas être sur la place publique”. Par allusions sibyllines, Jean-Marc Bockel a évoqué ces fameuses capacités, dont l’étendue et la nature ne sont pas connue. “La France n’est pas manchot dans ce domaine” a-t-il répété.

Industriels

L’État travaille-t-il d’ores et déjà avec des industriels ? Pour la rédaction de son rapport, le sénateur a consulté deux poids lourds du secteur : Thalès et Cassidian, la filiale défense d’EADS. Devant les journalistes, il n’a pas démenti leur participation :

Dans la pratique, oui, il jouent un rôle. Sur le papier, non.

Au sein de l’édifice militaire français, c’est le chef de l’État major particulier, le général Benoît Puga, qui “pilote” le volet offensif. Des attaques ? Prudent, Jean-Marie Bockel n’a pas répondu. Sollicités par Owni, ni l’État major particulier, intégré à l’Élysée, ni le ministère de la Défense n’ont souhaité commenter.

[Mise à jour, le 20 juillet à 12h : L’État major des armées nous a répondu dans la soirée et renvoyé vers le Secrétariat général de la défense et sécurité nationale (SGDSN), sous l'autorité du Premier ministre. L'Élysée nous a rappelé en fin de matinée le 20 juillet, affirmant que "les conclusions et propositions du Livre blanc étaient prises en compte" , y compris dans le domaine offensif, même si aucun "détail" ne pouvait être fourni sur ce point. "La phase de décision finale est un sujet présidentiel" dans le domaine des cyberattaques comme "dans les autres domaines, surtout offensifs" a précisé la présidence par téléphone :

La mise en œuvre revient au SGDSN et à l'Agence nationale de la sécurité des systèmes d'informations (ANSSI).

Sur la doctrine, l'Élysée explique qu'un "travail en continu a été mené depuis le Livre blanc" et qu'elle doit faire la part belle à "l'anticipation".]

État de l’art mondial

Le sénateur et ancien secrétaire d’État à la Défense et aux Anciens combattants fait un état du monde, citant notamment un rapport de Center for Strategic and International Studies. 35 pays seraient dotés “d’une doctrine militaire en matière de ‘cyberguerre’” à l’instar d’Israël où le ministère de la défense l’a rendue publique. Jean-Marie Bockel a pris ses distances avec l’expression cyberguerre, reconnaissant que ces attaques, “déstabilisatrices”, pouvaient constituer “un élément des conflits, comme lors de la guerre entre la Géorgie et la Russie”. En tout cas pour l’heure.

Les États-Unis précisent de plus en plus les conditions d’emploi de la force dans le cyberespace. L’année dernière, le plan de lutte contre la cybercriminalité publié par la Maison Blanche laissait la porte ouverte à des représailles conventionnelles après une cyberattaque. Cette année, les révélations du New York Times sur Olympic Games, le programme secret qui a permis le développement des virus Stuxnet et Flame, ont achevé de convaincre de l’intérêt de Washington pour les dispositifs offensifs, et mordants. Ces deux logiciels malveillants ont ralenti le programme nucléaire iranien en endommageant physiquement les centrifugeuses.

Jean-Marie Bockel était aux États-Unis juste après ces révélations. Une seule question demeurait en suspens : au-delà de la véracité des faits, qui avait intérêt à diffuser ce genre d’informations quelques mois avant l’élection présidentielle, a-t-il rappelé jeudi matin ? Washington a sorti ses muscles. Et il invite la France à faire de même.

Après avoir dirigé, en tant que chercheur, et militaire, le laboratoire de virologie et de cryptologie de l’école militaire des transmissions (ESAT), il a transféré ce laboratoire dans le privé, au sein de l’Ecole supérieure d’informatique, électronique et automatique (ESIEA) de Laval.

L’an passé il déplorait la défiance des autorités, “complètement déconnectés des réalités de la sécurité informatique“, et militait pour l’embauche des hackers :

En France, la sécurité informatique ressemble aux nuages nucléaires : les problèmes s’arrêtent aux frontières. Pourtant, on a dénombré pas moins de 600 attaques critiques envers l’administration française en 2008 !

Pour lui, l’affaire du “piratage” de Bercy relève moins de l’espionnage industriel qu’il ne révèle les lacunes françaises en terme de sécurité informatique, mais également l’état de déliquescence dans lequel notre pays serait tombé :

Je ne crois pas à l’hypothèse chinoise, je crois plus à la piste de l’internationale hacker, de l’altermondialisme numérique, qui prend conscience de son pouvoir : les décideurs n’ont pas compris que ces hackers, que tout le monde méprise, surtout en France, se dotent d’une véritable pensée politique.

Regardons la cible : on a attaqué le Saint des saints, Bercy, le service qui gère nos impôts, qui dépense beaucoup pour sa sécurité et qui est probablement mieux protégé que le ministère de la défense, à la recherche de documents sur le G20, au moment où la France en assure la présidence. C’est grave, le message symbolique est hyper fort : on peut frapper où on veut, quand on veut.

Je ne sais pas si les politiques se rendent compte de ce qui vient de se passer, mais on vient d’être ridiculisé, surtout quelques jours seulement après la nomination du nouveau directeur interministériel des systèmes d’information et de communication (qui a notamment pour vocation de “sécuriser les réseaux des ministères“, NDLR).

On a une société malade qui marche sur la tête, on a mis de la technique partout, et nos politiques vivent dans une bulle : je n’ai pas souvenir d’un climat aussi délétère, dans toute l’histoire de la Ve république, qu’aujourd’hui, et on atteint un niveau de souffrance et d’injustice tels que les gens en ont ras le bol, bien plus qu’on ne l’imagine.

Le discours sécuritaire dément de Sarkozy est tel que, sur fond d’antisarkozysme, je pense que ce genre de choses va se multiplier, et qu’il va se passer dans nos démocraties occidentales ce qui se passe en ce moment dans les pays de Maghreb.

Nouvelle donne depuis 2010

Ce dimanche 6 mars, interrogé par Stéphane Paoli dans l’émission 3D de France Inter, consacrée à la cyberguerre, Eric Filiol s’était, de façon prémonitoire, exprimé sur le sujet.

Les pays qui vont s’en sortir seront ceux qui seront capables d’organiser ce monde des hackers. Depuis la fin de l’année 2010, on assiste à une nouvelle donne, qui est aussi assez préoccupante, avec ce qui s’est passé avec le mouvement Anonymous : le mouvement hacker prend conscience de son pouvoir.

Par définition, on ne le sait pas, mais ce sont des groupes de hackers qui s’organisent et se dotent d’une conscience presque politique, qui ont pris conscience de leur pouvoir technique, ce sont souvent des gens qui ont de l’argent, qui travaillent dans de très grosses boîtes, qui ont accès au fin du fin en matière de connaissances techniques et qui commencent à s’organiser et à avoir cette sorte de conscience.

Et je pense que l’on peut parler, le terme n’est pas trop fort, de la naissance d’une forme d’altermondialisme numérique. Mais pas dans la mouvance altermondialiste classique, mais parce qu’ils sont conscients qu’ils peuvent maîtriser pas mal de choses, et pénétrer pas mal de systèmes, et qui se demandent pourquoi ils ne pourraient pas en profiter pour promouvoir leurs idées et visions de la société.

La France a la chance d’avoir un système éducatif hors norme, surtout en matière d’informatique et de sécurité informatique. Le problème, c’est qu’on n’a pas de volonté, et qu’on a le génie de ne pas savoir organiser nos ressources, qui partent aux Etats-Unis, dans des entreprises étrangères. Il faut savoir que la plupart des hackers, au sens noble du terme, qui travaillent chez Google, Microsoft, etc., ce sont des Français, qu’on n’est pas capable de garder parce qu’ils ne sont pas sortis des grandes écoles, qu’ils n’ont pas suivis les voies classiques.

L’État est incapable de gérer ces potentiels hors normes, et on produit des pépites qu’on n’est pas capable de garder chez nous. La France a la capacité de le faire, mais elle n’en a pas la volonté. Les décideurs n’ont absolument pas compris ce qui est en train de se passer.

Evitons de parler de cyberguerre

Daniel Ventre, ingénieur chercheur au CNRS et auteur de deux livres sur la guerre de l’information, qui était lui aussi invité dans 3D, est l’autre grand spécialiste français de ces questions. Dans le billet qu’il vient de consacrer à ce sujet, s’étonne de lire dans la presse des phrases du type : “les attaques informatiques n‘épargnent personne, pas même l’Etat“, alors que la réalité est qu’elles “n’épargnent surtout pas l’État” :

Car quelles cibles plus intéressantes a priori pour un ou des hackers que les sites et réseaux des gouvernements, à la fois susceptibles de contenir des données intéressantes, de provoquer un effet médiatique garanti, de faire de la publicité aux auteurs des attaques, de semer le désordre? Les sites et réseaux des Etats sont des cibles privilégiées.

La charge symbolique que porte la cible est tout aussi importante que les secrets qu’elle est supposée renfermer. Il est toujours préférable pour un hacker de mettre sur sa e-carte de visite qu’il a piraté le Pentagone que le site internet de son boulanger.

Pour lui, “Bercy devrait s’en remettre. Ses systèmes doivent posséder des protections à la hauteur des enjeux. Quant au G20, ce n’est pas la première fois qu’il suscite des cyberattaques en règle“, et il conviendrait de relativiser l’ampleur de cette opération : “Si d’espionnage économique il s’agit, cela existe depuis longtemps, existera encore, si ce n’est pas ce biais, alors ce sera par d’autres. Il faut s’en prémunir, s’en protéger”.

Mais les avantages de l’internet se retournent ici contre nous. Sans solution efficace à 100%. Pour une affaire connue, qui remonte jusqu’aux médias, voire simplement aux services de sécurité, combien d’intrusions, combien de vols, de pertes de documents et d’informations sensibles passent inaperçus ? On parlera sans doute de guerre économique, de cybercriminalité. Mais évitons de parler de cyberguerre une nouvelle fois…

Il ne sortira probablement pas grand chose de cette affaire. La Corée du Sud a elle aussi connu des déboires similaires il y a quelques temps, à l’occasion du G20. Elle a accusé la Corée du Nord, la Chine, et en a profité pour valider son projet de création d’unités de cyberdéfense.

__

Crédits photo: Flickr CC Eusebius, Ben Fredericson

Déjà, les spéculations vont bon train sur l’attribution de cette attaque sans précédent. Comme lors de l’épisode Stuxnet il y a quelques mois, des légions d’experts planchent sur les commanditaires de cette intrusion, et des objectifs qu’ils poursuivent. Pourtant, la chronologie est plus saillante que toutes les hypothèses. “Depuis deux mois, entre 20 et 30 personnes de l’ANSSI travaillent jour et nuit sur cette affaire”, estime Patrick Pailloux, directeur de l’Agence nationale de sécurite des systèmes d’information (ANSSI), en première ligne dans ce dossier. Alors pourquoi avoir attendu aujourd’hui pour évoquer publiquement le sujet?

Nouvelles prérogatives

Le 10 janvier dernier, dans une longue interview au site ITespresso, le Directeur Général adjoint de l’ANSSI, Michel Benedittini, revient sur le cahier des charges de l’agence, créée en juillet 2009. De 120 employés, elle devrait en compter 250 à l’horizon 2012, et être dotée d’une enveloppe de 90 millions d’euros, sept fois supérieur à celui de l’Hadopi:

L’ANSSI n’est pas touchée par les restrictions budgétaires globales au sommet de l’État. Cela illustre une volonté des décideurs politiques qui sont convaincus du travail à accomplir pour changer complètement de braquet en matière de cyber-défense.

Auditionné à l’Assemblée, le 26 janvier, Bernard Bajolet, coordonnateur national du renseignement, explique qu’”après avoir renforcé l’agence nationale de sécurité des systèmes d’information, le gouvernement va créer un poste de directeur des systèmes d’information de l’État, chargé de sécuriser les réseaux des ministères“, et précisé qu’”il s’agit d’un dossier que le Président de la République suit de très près“.

Le 11 février, un décret du Premier ministre vient modifier la compétence de l’ANSSI, qui devient l’Agence nationale de défense des systèmes d’information. Cette validation des propos tenus quelques semaines auparavant par Benedittini crée une nouvelle prérogative. Désormais, c’est l’agence qui conseillera l’État en cas de menace contre l’intégrité de ses infrastructures. Contactée par OWNI à cette époque, l’ANSSI avait nié tout agenda et rappelé que cette légère mutation s’inscrivait “dans le cadre du livre blanc de la Défense, et des leçons tirées de l’exercice Piranet”, du nom donné au plan Vigipirate de l’internet.

Au même moment, la jeune autorité publie un opuscule (PDF) intitulé “Défense et sécurité des systèmes d’information: Stratégie de la France”. Le secrétaire général de la défense et de la sécurité nationale (SGDSN), Francis Delon y détaille quatre grands “objectifs stratégiques, en comparant le cyberespace à de “nouvelles Thermophyles”:

• Être une puissance mondiale de cyberdéfense
• Garantir la liberté de décision de la France par la protection de l’information de souveraineté
• Renforcer la cybersécurité des infrastructures vitales nationales
• Assurer la sécurité dans le cyberespace

Eteindre Internet

Suivent “sept axes d’effort”, parmi lesquels “communiquer pour informer et convaincre”. C’est exactement ce qui est en train de se passer. Quelques jours après la publication du décret au journal officiel, Patrick Pailloux pose les jalons de cette nouvelle doctrine. “Nos observations montrent que la menace croit, menace que nous classons en espionnage, perturbation et destruction”, explique-t-il alors. Il rappelle également que l’ANSSI aura le pouvoir de déconnecter une partie du réseau si le besoin s’en fait sentir:

C’est la nécessité de déterminer qui édicte les règles en cas d’attaque pour que, lorsqu’on demande à quelqu’un de prendre une mesure de déconnexion, de filtrage, etc. on ne se pose pas juridiquement la question pendant trois heures pour savoir qui doit édicter cette règle.

En d’autres termes, sa structure aura le pouvoir d’éteindre un pan du web si “les opérateurs d’importance vitale” sont touchés. “Ce qui est certain, précise Pailloux à 01Net, c’est que nous devrons être en mesure de donner des instructions aux acteurs concernés, dont les opérateurs de communications électroniques. Il pourra s’agir effectivement de leur demander de bloquer du trafic en provenance de machines utilisées pour mener des attaques“. Tout dépend alors de l’endroit où on positionne le curseur.

Dernière étape enfin, le 22 février, avec la nomination, par décret là encore, de Jerôme Filippini au poste de directeur des systèmes d’information (DSI) de l’Etat. Rattaché à Matignon, il “oriente, anime et coordonne les actions des administrations de l’État visant à améliorer la qualité, l’efficacité, l’efficience et la fiabilité du service rendu par les systèmes d’information et de communication.” Cette désignation marque une nouvelle étape: désormais, la cyberdéfense est une priorité nationale.

D’après certains connaisseurs du milieu, Nicolas Sarkozy en personne se serait emparé du dossier.

Syndrome de Tchernobyl et aubaine

Au micro d’Europe1 lundi matin, François Baroin, le ministre du Budget, évoque une “immense opération de maintenance ce week-end à Bercy”, visant à nettoyer les postes de travail infectés. L’ANSSI reconnaît de son côté avoir “coupé les connexions du ministère pour effectuer un assainissement entre samedi et dimanche après-midi”, mais réfute toute corrélation entre son nouveau rôle et l’incident si médiatisé. Pourtant, c’est le décret du 11 février qui lui a permis d’intervenir directement dans les bureaux de Bercy…

Cliquer ici pour voir la vidéo.

“On n’est pas le pays des Bisounours, il y a des attaques d’intelligence économique contre les entreprises et l’Etat”, poursuit Baroin. C’est pourtant ce syndrome du nuage de Tchernobyl que déplore l’ANSSI par le biais d’un de ses porte-paroles:

C’est la preuve que cela n’arrive pas qu’aux autres. C’est moins un coup de projecteur sur l’agence qu’un formidable moyen de faire de la prévention dans les institutions. Il n’y a pas de nuage de Tchernobyl qui s’arrête aux frontières dans le domaine de la sécurité informatique.

Avant de céder à la panique, il faut se rappeler qu’une attaque identifiée n’est déjà plus si dangereuse. Nettoyée, la menace qui pesait sur Bercy se transforme alors en astucieuse opération de communication.

MàJ [16h40]: Dans la Tribune, le député UMP du Tarn Bernard Carayon (qui milite pour la création d’un confidentiel défense des affaires) explique qu’il n’est aucunement surpris par le hacking de Bercy, affirmant qu’il avait déjà identifié les “vulnérabilités” du système français.

__

Crédits photo: tOad, Alexandre Vialle