lundi 28 novembre 2011

Cas pédagogique : la cyberguerre




Qu'est-ce que la cyberguerre? d'après slate.fr

Même les experts américains ne savent pas trop comment la définir.

Capture Google Maps de la centrale nucléaire de Bushehr
- Capture Google Maps de la centrale nucléaire de Bushehr -
Qu'est-ce qui constitue un acte de cyberguerre? Avant d'y arriver, le terme en lui-même nous donne quelques indices: on parle aujourd'hui davantage de cyberguerre que de guerre cybernétique. Pour le Département de la défense des États-Unis, le cyberespace est un cinquième domaine d'intervention, après l'air, la terre, la mer et l'espace. Personne n'aurait dans l'idée de parler d'«aéroguerre» pour désigner les offensives aériennes de la Seconde Guerre Mondiale, ni de «terroguerre» pour caractériser les combats en Afrique du Nord. Et pourtant, c'est le mot de cyberguerre qui a gagné les faveurs du vocabulaire.
La bizarrerie de cette convention montre combien la cyberguerre n'est pas tout à fait une «guerre», ni tout à fait «cybernétique», mais que sa réalité est si palpable que la majorité des nations développées et en voie de développement fourbissent aujourd'hui leurs propres cyber-armes pour y faire face.
Le souci, évidemment, c'est que personne n'est d'accord pour dire ce qui constitue un acte de cyberguerre. Il n'y a pas encore de traité international qui établisse officiellement la définition d'un acte de cyber-agression. En mai, le Pentagone a rendu publique sa cyber-stratégie, mais des sénateurs américains se sont récemment plaint du fait qu'on ne savait pas encore, clairement, ce qui pouvait être considéré comme un acte de cyberguerre. Le problème ne concerne pas seulement les États-Unis: l'ensemble de la cyber-législation internationale est encore terriblement opaque.

Stuxnet, Shady RAT et Géorgie

Pour mieux saisir quelle confusion règne ici, arrêtons-nous sur trois exemples de cyber-attaques qui pourraient, ou non, être considérées comme de la cyberguerre.
Un scénario de cyberguerre s'est déroulé entre juin 2009 et juillet 2010, quand l'Iran a découvert être la cible de la cyber-attaque la plus sophistiquée de l'histoire, nommée Stuxnet. L'Iran a subi des pertes réelles sur plus d'un millier de centrifugeuses P-1, et son processus d'enrichissement de l'uranium a été ralenti. Les dégâts, cependant, ont été limités et c'était apparemment planifié. Le code Stuxnet spécifiait qu'un certain nombre de centrifugeuses allait être touché, et que les dégradations allaient se faire lentement, sur plusieurs mois. C'était clairement un acte de sabotage –mais était-ce un acte de guerre?
Pas plus loin que la semaine dernière, McAfee a publié un livre blanc décrivant une opération de cyber-espionnage de très grande ampleur, nommée Shady RAT par l'entreprise. Le réseau semble opérationnel depuis 5 ans, et a touché pas moins de 70 entreprises, gouvernements et associations à travers le monde.
Shady RAT est peut-être ce que McAfee affirme, ou pas; ses concurrents Symantec et Kaspersky ne sont pas du même avis. Cependant, on peut s'en servir pour mettre en évidence la portée et l'envergure d'un type d'opération de cyber-espionnage ciblant la propriété intellectuelle. Si l'espionnage entre deux États-nations n'a jamais été perçu comme une raison suffisante de se déclarer la guerre, jamais un acte d'espionnage classique n'a eu une telle ampleur. Et si les objectifs stratégiques d'un pays, en termes d'accumulation de pouvoir, d'influence et de ressources, peuvent aujourd'hui se jouer virtuellement, le cyber-espionnage ne devrait-il pas être considéré comme un nouveau type de guerre?
Enfin, arrêtons-nous sur la dimension cybernétique du conflit entre la Russie et la Géorgie de 2008. Le  8 août, la Fédération de Russie lançait un assaut militaire contre la Géorgie. Le lendemain, un forum du nom de StopGeorgia.ru voyait le jour, et comptait 30 membres –un chiffre qui dépassa au final les 200 individus. Ce forum réagissait à une escarmouche cybernétique antérieure: en juillet, le gouvernement géorgien s'était mis à bloquer les adresses IP russes, après  uneattaque DDoS qui avait touché et détruit le site du Président géorgien. Le but de StopGeorgia.ru était de s'en prendre à 37 sites géorgiens de premier plan, comme ceux du Parlement ou du Ministère de la Défense. En plus de cette liste de victimes, les administrateurs du forum permettaient à leurs membres de télécharger des kits DDoS, et leur expliquaient comment mettre au point des attaques plus sophistiquées, comme une injection SQL.
Ces cyber-attaques commencèrent avec les opérations militaires, et s'arrêtèrent peu après le cessez-le-feu. Le gouvernement russe n'a jamais admis le moindre lien avec ces cyber-attaques, arguant qu'elles étaient globalement le fait de citoyens russes patriotes scandalisés par l'oppression que la Géorgie faisait subir à ses voisins du Caucase du Sud.

«Pas de cyberguerre»

En novembre de cette même année, le Centre d'excellence pour la cyberdéfense en coopération de l'OTAN publiait un article dont le titre était «Les cyber-attaques contre la Géorgie: identification de leçons juridiques», qui tentait péniblement de savoir si le droit des conflits armés (DOA) s'appliquait à ces attaques. Selon ses auteurs, Eneken Tikk et son équipe, une cyber-attaque ne peut être qualifiée de cyberguerre, selon les classifications du DOA, seulement si a) elle se déroule conjointement à une attaque physique; b) elle peut être imputée à un gouvernement spécifique; et c) elle cause des dégâts.
La Géorgie n'a pas été capable de démontrer l'existence de tels dégâts, ni que les attaques avaient été ordonnées par le gouvernement russe. Par conséquent, ces attaques ne remplissaient pas les conditions du DOA, aujourd'hui seules conditions légales stipulant quand un pays peut justifier de l'usage de la force à l'encontre d'un agresseur. Pour qu'une cyber-attaque puisse être considérée comme un motif légitime de déclaration de guerre, elle doit se conformer au DOA, en attendant qu'un accord international définisse un autre cadre juridique.
Le Pentagone a beau avoir tout juste publié une nouvelle stratégie pour le cyberespace, les divergences internes sur ce sujet complexe sont légion. L'exemple le plus récent nous est donné par le Vice-Président du Comité des chefs d’États-majors interarmées, le Général James Cartwright, qui a critiqué le document dès que le Secrétaire adjoint à la Défense, William Lynn, a annoncé sa publication. A des journalistes, Cartwright a déclaré que «cette stratégie porte globalement sur la façon dont nous allons défendre les réseaux. La prochaine mouture devra commencer à se pencher sur une stratégie disant aux agresseurs quel prix ils auront à payer en cas d'attaque».
A l'autre bout du spectre, le coordinateur de la cybersécurité des États-Unis, Howard Schmidt (le cyber-tsar), a déclaré, dans une interview àWired, qu'il n'y avait «pas de cyberguerre». Schmidt précisait ensuite que la cyberguerre était pour lui «une affreuse métaphore et... un affreux concept». Nos plus brillants esprits sur la question du conflit n'arrivent même pas à se mettre d'accord sur une définition de base de la cyberguerre.
Mais avec la multiplication de telles attaques, l'urgence d'une définition claire et convaincante se fait de plus en plus ressentir, une définition qui nous permettrait de savoir quelles sortes d'événements peuvent s'associer au terme de cyberguerre, et lesquels ne le peuvent pas.
Jeffrey Carr   
Traduit par Peggy Sastre

Aucun commentaire:

Enregistrer un commentaire