Cyberespace : nouveaux défis, nouveaux risques

Cybermenaces, cybersabotage, cyberespionnage, cyberguerres : le cyberespace est un lieu de tensions et d’affrontements. Les conséquences économiques, politiques et stratégiques de ces nouvelles menaces sont potentiellement très déstabilisatrices pour les agents économiques et pour les États.

20 minutes

Cybermenaces, cybertensions, cybersabotage, cyberespionnage, cyberguerres… Que recoupent ces termes ?

Dans le cyberespace, il existe une gradation des interventions malveillantes. 

Tout d’abord, on trouve des hackers et des techniciens doués qui arrivent à pénétrer facilement des systèmes d’information, exclusivement à des fins ludiques. Les premiers hackers arrêtés par le FBI dans les années 1980 étaient des jeunes surdoués, âgés de 15 à 18 ans. Certains, par jeu, étaient parvenus à entrer dans le système informatique du Pentagone ou dans celui de la NASA. Souvent, les hackers commencent leur activité par simple jeu. Puis ils sont recrutés par les États, les organisations criminelles ou les grandes firmes. 

Deuxième niveau, la cybercriminalité. Devenue un business gigantesque et en croissance exponentielle, la cybercriminalité consiste pour un hacker à falsifier une identité, à voler des mots de passe, des empreintes électroniques, afin de pénétrer dans un système d’information. Dans cette catégorie, on trouve principalement les fraudes aux cartes de crédit et le hacking proprement dit. Toutes les sociétés qui conservent les coordonnées bancaires de millions de clients sont particulièrement ciblées. 
À Londres, la plupart des grandes banques de la City ont fait l’objet de tentatives de piratage de leur système d’information. Les pirates, une fois qu’ils ont pris le contrôle des systèmes d’information, récupèrent les données confidentielles des clients. Ils exigent ensuite le paiement d’une rançon dans la plus grande discrétion, généralement dans un paradis fiscal. La plupart du temps, par crainte de perdre leur réputation et leurs clients, les banques se plient à ces extorsions et à ces chantages. Plus récemment, des entreprises industrielles ou des collectivités locales aux Etats-Unis (telle la ville de Baltimore en 2019) ont vu leurs données cryptées par des « rançongiciels », le déblocage étant conditionné par le versement sur un compte offshore d’une rançon en bitcoins. 
Le crime organisé et, selon le gouvernement américain, au moins un Etat (la Corée du Nord) sont derrière l’ensemble de ces activités de cybercriminalité. Les réseaux sont souvent originaires d’Europe de l’Est, de Russie ou d’Asie. Certes, les banques et les sociétés sont de mieux en mieux protégées, mais les maîtres chanteurs sont de plus en plus inventifs et rapides.

Troisième catégorie, le cyberespionnage. Celui-ci peut avoir des visées économiques ou politiques. La frontière est d’ailleurs très étroite entre les deux, puisque voler une information économique peut rapidement avoir des répercussions politiques. L’informatisation qui accompagne et nourrit la mondialisation depuis vingt ou trente ans est certes un eldorado économique. Mais elle représente aussi un champ immense de vulnérabilité. Plus une entreprise est numérique et connectée, plus elle est vulnérable. Les occasions de cyberespionnage se sont donc multipliées ces dernières décennies.

Plus une entreprise est numérique et connectée, plus elle est vulnérable.

Le cyberespionnage économique a rapidement attiré des acteurs de tous horizons. Contrairement à une idée reçue, ce type d’activité ne vise pas uniquement des firmes internationales. En France comme aux Etats-Unis la plupart des opérations de cyberespionnage est le fait d’entreprises nationales concurrentes. Les plus graves sont toutefois d’origine étrangère. 

Dans le cyberespace, il n’existe pas de protection absolue. L’épée a toujours un coup d’avance sur le bouclier. Avec le développement du stockage des informations dans le cloud (nuage), un élément supplémentaire de vulnérabilité s’est en outre ajouté.

Dernier niveau dans notre typologie, la cyberguerre qui inclut les actions ou préparatifs de cybersabotage, et la guerre numérique de l’information. Sous ce vocable, on trouve donc, d’une part, les actions malveillantes destinées à menacer de paralyser ou de saboter effectivement les systèmes d’information civils et militaires ou les points névralgiques d’un État, comme ses infrastructures énergétiques ou de transport, en rendant inopérants ses liaisons et ses réseaux informatiques ; et, d’autre part, la manipulation des réseaux sociaux ou d’autres vecteurs numériques.

Quelles sont les origines du cyberespionnage économique ?

Certains États, parmi lesquels ceux qui étaient le plus en retard d’un point de vue technologique, ont vite compris l’opportunité que représentait le cyberespionnage. Finies les Mata Hari chargées de séduire un ingénieur endetté pour lui extorquer des informations confidentielles ! Désormais, l’accès aux informations est beaucoup plus simple. Il suffit de s’introduire à distance dans les systèmes d’information d’une entreprise ou de subtiliser des informations au moment de leur transfert par Internet. 

Il n’y a strictement aucun doute sur le fait que le cyberespionnage a constitué l’un des facteurs décisifs du rattrapage industriel chinois. La quantité d’informations obtenue par les Chinois ces vingt dernières années grâce au cyberespionnage est sans commune mesure avec ce que les Soviétiques ont récolté durant toute la guerre froide par des méthodes d’espionnage traditionnelles.

Qu’ont entrepris les Américains et les Européens afin d’endiguer le cyberespionnage ?

Afin d’endiguer la vague de cyberespionnage dont ils faisaient l’objet de manière croissante, les Américains ont réagi « à l’américaine » : ils ont fait intervenir leur appareil judiciaire dont on sait à quel point il est puissant. 

Après plusieurs dénonciations, des enquêtes judiciaires ont été lancées en juillet 2013. Les services de renseignement américains ont accumulé les preuves de hacking chinois à l’encontre de grandes entreprises américaines. Ces dernières ont alors été incitées à porter plainte. 

Les États-Unis ont menacé les Chinois au portefeuille en leur demandant des dommages et intérêts et en les menaçant de saisir l’Organisation mondiale du commerce (OMC). Ils ont mis en examen des responsables chinois, en rendant même publiques leurs photos. La technique relève de la pratique du name and shame, c’est-à-dire « identifier et faire honte ». 

Face à cet activisme, la Chine a accepté en septembre 2015 de signer un accord au terme duquel les deux pays acceptent de renoncer mutuellement à utiliser des moyens étatiques pour des opérations de cyberespionnage au profit de leurs entreprises. Cet accord, qui a représenté un beau succès pour l’administration Obama, est le seul engagement de ce type qui existe au monde. Il est vrai que le marché américain reste essentiel pour les entreprises chinoises qui ne peuvent s’en passer. 

Dès la signature de cet accord, on a assisté à une diminution spectaculaire des intrusions chinoises d’origine étatique aux États-Unis. Jusqu’à ce que la guerre commerciale lancée par le président Trump en mars 2018 entraîne une reprise progressive puis massive des opérations chinoises visant les Etats-Unis, et aussi l’Europe où elles n’avaient jamais diminué. Les Européens n’ont jusqu’à présent jamais réagi ni judiciairement ni diplomatiquement au cyberespionnage économique massif les visant. Leur doctrine explicite ou implicite exclut souvent de nommer les Etats présumés responsables de cyberattaques.

La Russie est-elle au cœur du phénomène des cyberattaques et du cybersabotage ?

L’Estonie en 2007, la Géorgie 2008, l’Ukraine depuis 2014, les États-Unis en 2016. Dans toutes les cyberattaques dont ont été victimes ces pays et qui appartiennent au registre du cybersabotage, la Russie n’a fait de très modestes efforts pour dénier son implication. En effet, pour elle, le cyber est un outil majeur de riposte légitime à ce qu’elle considère comme la stratégie américaine de déstabilisation menée, d’une part, par des ONG occidentales favorisant les révolutions de couleur et, d’autre part, par les sanctions occidentales la visant depuis 2014.

Contrairement aux Chinois très focalisés sur l’espionnage économique, les Russes s’appuient sur un concept stratégique global. Développé en janvier 2013, celui-ci prévoit que les actions de la Russie s’inscrivent dans le cadre global de la « guerre non linéaire ». Ce concept, qui correspond à celui de « guerre hybride » de l’OTAN, recouvre l’ensemble des moyens de guerre, et notamment de l’information, qu’ils soient cybers ou non, permettant de déstabiliser l’adversaire notamment par des actions en dessous du seuil de la guerre ouverte.

C’est ainsi que que le Department of Homeland Security américain a, en juillet 2018, accusé des hackers étatiques russes d’avoir pénétré entre janvier 2017 et janvier 2018 les systèmes informatiques de centaines d’installations du réseau électrique américain. En janvier 2019, le directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a révélé la multiplication de « pré-positionnements » potentiellement offensifs dans les systèmes énergétiques français. 

Il y a de cela quelques décennies, certains États cherchaient à déstabiliser leurs ennemis en les intimidant avec des attentats. Désormais, ils utilisent des actions de cybersabotage qui sont le plus souvent des actions préparatoires à des sabotages visant à intimider. Les Russes ne cachent pas avoir acquis une grande maîtrise des moyens cybers qu’il s’agisse du hacking ou de la manipulation de l’information numérique. Le cyber constitue désormais l’élément majeur de leur posture stratégique.

Les États-Unis utilisent-ils également le cyberespionnage et/ou le cybersabotage ?

De nos jours, il ne me semble pas que les Américains utilisent des moyens étatiques importants, je dis bien étatiques, pour dérober des secrets industriels. En revanche, la NSA (National Security Agency) est depuis longtemps très active pour mettre en évidence les « mauvaises pratiques » des entreprises concurrentes des entreprises américaines et les dénoncer. Afin d’« égaliser le terrain de compétition » (level the playing field) entre entreprises américaines et non américaines, un terrain sur lequel la corruption a longtemps fausse la compétition économique dans nombre de pays, les États-Unis utilisent massivement le cyberespionnage pour révéler et, si possible, sanctionner les opérations de corruption qu’ils considèrent nuisibles aux entreprises américaines.

Si l’on revient un peu en arrière, les États-Unis ont mis du temps à se lancer dans l’espionnage électronique, le signal intelligence. Au début de la guerre froide, ils ont créé trois institutions majeures de la sécurité américaine, le National Security Council, la CIA (Central Intelligence Agency) et la NSA dédiée au renseignement électronique. Puis, les activités d’espionnage ont pris une importance colossale. Les États-Unis ont alors acquis un sentiment de toute-puissance au fur et à mesure que leur volonté de tout connaitre ne rencontrait aucune limite politique ou technique. 

Cependant, en 2013, l’affaire Snowden a révélé au monde les pratiques américaines de collecte massive d’information non seulement par l’espionnage électronique, y compris des dirigeants français et allemands, mais aussi par une interception systématique des communications mondiales (voix et données). Ces révélations ont déstabilisé la NSA jusqu’à ce que ses opérations contre l’organisation Etat islamique (Daech) lui redonnent du lustre. 

La première opération américaine de cybersabotage a été la « cyberneutralisation » du système irakien de défense aérienne avant de lancer en mars 2003 l’offensive contre le régime de Saddam Hussein. Mais c’est l’opération américano-israélienne de cybersabotage d’au moins un millier de centrifugeuses de l’usine iranienne d’enrichissement nucléaire de Natanz en 2010 qui révéla au monde cette nouvelle arme de destruction non létale.

Quels sont les États actuellement capables de tels cybersabotages ?

Il n’existe que quelques États dans le monde qui se sont dotés d’une capacité importante de mener des opérations offensives cybers pour déstabiliser des infrastructures critiques  adverses. De manière certaine la Chine, les États-Unis et la Russie, sur un moindre nombre de cibles l’Iran, l'Israël, la Corée du Nord, plus récemment la France, le Royaume-Uni et l’Allemagne.. Cependant, de façon ponctuelle, un certain nombre d’autres Etats, des organisations cybercriminelles et des groupes terroristes peuvent effectuer des cybersabotages ciblés ou répandre des maliciels dévastateurs. 

Dès le début des années 2010, certains de ces États, les États-Unis et la Chine, ont compris qu’il convenait de ne pas aller trop loin par intérêt mutuel. Il existe donc entre eux une sorte d’accord implicite pour ne pas « cybersaboter » les infrastructures majeures des uns et des autres. Le cybersabotage pourrait en effet avoir des conséquences catastrophiques. La destruction d’un système informatique qui gère le réseau électrique des hôpitaux, entraînant leur paralysie, ou l’anéantissement du système de navigation aérienne d’un État seraient en effet considérés comme des actes de guerre majeurs nécessitant une riposte .militaire et pas seulement cyber.

Pourquoi la manipulation des réseaux sociaux ferait-elle partie de la cyberguerre ?

La manipulation de l’information constitue depuis la plus Haute Antiquité un moyen majeur d’influence politico-stratégique, non seulement en temps de guerre mais aussi et surtout en temps de paix. Elle peut en effet permettre d’atteindre le comble du comble selon Sun Tzu, vaincre sans combattre. 

Or le numérique est désormais le vecteur de plus en plus dominant de l’information. Il permet une diffusion instantanée d’informations plus ou moins vraies ou fausses à des millions de cibles par les réseaux sociaux, les sites web ou d’autres communautés digitales, tels les jeux vidéos en ligne. En outre, les informations audiovisuelles peuvent être manipulées par des outils allant du plus grossier photomontage aux très récentes fausses vidéos réalisées grâce à une technique sophistiquée d’intelligence artificielle, les deepfakes apparues en 2017.

Ces fausses vidéos sont de plus en plus impossibles à différencier des vraies. On peut s’attendre à ce qu’elles deviennent un instrument privilégié de désinformation politique ou commerciale. La manipulation de l’information numérique est donc, avec le hacking, l’une des deux composantes de la cyberguerre. Les commandements cyber, russe et chinois depuis longtemps, occidentaux depuis peu, l’ont bien intégré.

Deux exemples récents démontrent l’étroite parenté entre ces deux composantes. En 2016, les messages de jeunes collaborateurs de l’Internet Research Agency de Saint-Pétersbourg se faisant passer pour de faux utilisateurs américains de Facebook, Twitter, YouTube et autres Instagram ont systématiquement attaqué Hillary Clinton auprès de 120 millions d’Américains. 

Moins d’un an plus tard, en mai 2017, une intrusion informatique dans le site de l’agence officielle de presse qatarie a permis la diffusion, sous format officiel, d’un prétendu discours récent de l’émir du Qatar dans lequel celui-ci faisait l’éloge de l’Iran et attaquait Donald Trump. Ce faux discours, qui resta sur le site hacké pendant de longues heures, servit de prétexte au déclenchement du blocus saoudo-émirati à l’encontre du Qatar.
 

Quels sont les principaux risques liés au cyberespace ?

Les moyens cybers démultiplient les opportunités. Et la numérisation joue au profit du faible et au détriment du fort. Au départ, les Américains et, avec eux, l’ensemble des observateurs ont estimé que le cyberespace était l’affaire des grandes puissances. Or, il n’en est rien, bien au contraire. Les réseaux sociaux, les messageries cryptées et les smartphones sont en effet devenus les moyens de communication, de renseignement et de commandement « du pauvre » comme Daech l’a démontré entre 2014 et 2018.
.
Mais la numérisation qui s’accélère, avec notamment l’internet des objets connectés (Internet of Things, IOT) dont le nombre va dépasser les 20 milliards en 2020, va multiplier les relais possibles de hacking. Plus on se numérise plus on se vulnérabilise !

On peut craindre que de plus en plus de maliciels ciblés à des fins d’extorsion (comme Wannacry) ou de cybersabotage stratégique (comme NotPetya) échappent à leurs créateurs avec des conséquences dévastatrices. NotPetya par exemple, conçu en Russie pour paralyser des infrastructures ukrainiennes, a rapidement fait le tour du monde en 2017, affectant gravement au passage les systèmes informatiques de Saint-Gobain en France, de Merck aux Etats Unis, d’un port indien, d’une usine chocolatière en Australie et même de Rosneft en Russie.

Plus on se numérise plus on se vulnérabilise !

Dans ce contexte, l’absence de structure internationale de régulation et d’action préventive et curative de la sécurité d’internet est inacceptable. Pour faire face à cette montée des périls, le président Macron a lancé le 12 novembre 2018 l’Appel de Paris pour la confiance et la cybersecurité dans le cyberespace. Ce texte a été signé par 67 Etats, presque tous les grands géants mondiaux de l’industrie numérique, nombre d’entreprises et d’ONG. 

Cet appel propose un code de bonne conduite dans le cyberespace qui n’est en rien respecté par les plus voyants des Etats non signataires, les Etats-Unis, la Russie et la Chine. Je reste convaincu que la seule solution est la création dans le cadre des Nations Unies d’une agence internationale de la cybersécurité, similaire à l’OACI ou l’AIEA chargées respectivement de la sécurité des deux grandes infrastructures mondiales, l’aviation civile et les installations nucléaires.

Comment la campagne présidentielle américaine de 2016 s’est-elle retrouvée au cœur du cyberespace ?

Il convient tout d’abord de bien distinguer entre les cyberattaques à proprement parler et la diffusion d’informations fausses ou présentées de manière à nuire à la réputation d’un individu ou à celle d’une organisation. En l’espèce, la dernière campagne présidentielle américaine a donné lieu à des opérations d’utilisation de moyens cybers pour déstabiliser le camp démocrate et influencer le vote des électeurs plutôt qu’à des opérations de cybersabotage proprement dites, qui auraient consisté à essayer de fausser les résultats, notamment en hackant les machines à voter. 

Le fait de révéler dans une campagne électorale des informations confidentielles sur l’un des candidats, en l’occurrence Hillary Clinton, n’a en soi rien de nouveau. Montrer que le Parti démocrate est aux mains de riches sponsors et de Wall Street, et que l’appareil du parti a cherché à éliminer le candidat Bernie Sanders durant les primaires aurait pu venir des révélations d’une secrétaire dans la presse et non du hacking de mails. Ce qui a été nouveau et, dans le cadre d’une élection aussi serrée, a suffi à provoquer des changements à la marge qui ont pu faire pencher la balance en faveur de Donald Trump, fut la diffusion au compte-gouttes, sur Internet, d’informations confidentielles déstabilisant Hillary Clinton.

Certaines manipulations numériques ont aussi joué un rôle important dans l’issue du scrutin. La société Cambridge Analytica a ainsi travaillé avec l’équipe de campagne de Donald Trump pour cibler très précisément des internautes (psychométrie). Des algorithmes puissants auraient permis à cette société de prédire, à partir d’un certain nombre de likes et de dislikes, la couleur de peau (certitude à 95%), l’orientation sexuelle (à 88%) ou les convictions politiques (à 85%) des détenteurs de comptes Facebook.

Or il se trouve que les électeurs noirs et ouvriers des États dits pivots (Swing States) ont reçu des informations ciblées défavorables à Hillary Clinton. L’objectif n’était pas que les électeurs noirs votent pour Donald Trump mais qu’ils s’abstiennent. Le pari semble avoir réussi puisque le taux d’abstention chez les Noirs a été beaucoup plus fort dans les Swing States, tels que le Michigan, le Wisconsin et la Pennsylvanie, que lors des deux précédents scrutins présidentiels. Cette abstention a entraîné la victoire de justesse de Trump dans ces trois États.

La difficulté de l’attribution des attaques dans le cyberespace ne constitue-t-elle pas le problème central ?

Cette question de l’attribution des attaques est en effet un grand problème. Non que l’on ignore qui se cache en général derrière les attaques. Mais parce qu’il est extrêmement difficile de le prouver et, a fortiori, d’entamer des poursuites judiciaires. En fait, ce qui peut paraître surprenant, est qu’il est possible de remonter à la source de la plupart des opérations cybers. Les autorités et organismes chargés de la détection de telles opérations disposent d’outils de traçabilité. 

Il existe en effet chez les hackers des signatures et des méthodes reconnaissables. Mais grâce notamment aux progrès de l’intelligence artificielle, il est possible aussi de monter un hacking en laissant les traces d’un groupe connu (opération dite sous faux drapeau). Donc il n’y a jamais de certitudes mais seulement des probabilités d’attribution que les très grandes puissances confortent par leurs grandes capacités de renseignement humain et technique.  

Des cyberattaques ont été attribuées aux groupes de hackers russes surnommés APT28 et APT29 qui seraient respectivement liés aux services de renseignement militaire (GRU) et intérieur (FSB) russes. Ainsi, en avril 2015, une cyberattaque a été menée contre la chaîne de télévision francophone TV5 Monde, qui donnait fréquemment la parole à l’opposition russe. Cette attaque a conduit à un black-out total de la chaîne pendant vingt-quatre heures. L’opération a alors été assez rapidement officieusement attribuée au groupe de hackers russes APT28, bien qu’elle ait été menée sous le faux drapeau du « CyberCaliphate » de Daech.

La France a-t-elle pris des mesures contre les menaces cybers ?

Dès le Livre blanc sur la défense et la sécurité nationale de 2008, les cybermenaces ont été clairement identifiées et hissées au rang de priorité nationale. S’en est suivie la mise en place d’une stratégie de défense active, comprenant le besoin de développer des « capacités offensives ». En 2009 a été créée une Agence nationale de la sécurité des systèmes d’information (ANSSI) qui assure un service de protection, veille, détection, alerte et réaction aux attaques informatiques, en particulier sur les réseaux de l’État français et des opérateurs d’importance vitale (entreprises industrielles et infrastructures majeures).

Cette mobilisation s’est renforcée dans les cinq dernières années en s’appuyant principalement sur trois organisations. Le 1er janvier 2017 a été mis en place un Commandement de la cyberdéfense préfiguré depuis 2011. S’y ajoutent l’ANSSI déjà évoquée et la direction technique de la Direction générale de la sécurité extérieure (DGSE), chargée du renseignement cyber et hertzien. 

Ces trois structures disposent de moyens croissants. Elles coopèrent dans la mise en œuvre d’une politique cohérente définie notamment par la revue stratégique de cyberdéfense (15 mars 2017) et les doctrines respectives de lutte informatique défensive et offensive présentées le 18 janvier 2019 par la ministre des Armées, Florence Parly, et le chef d’état-major des Armées, le général Francois Lecointre.