Notes
-
[1]
P. Conesa, « La fabrication de l’ennemi », Revue internationale et stratégique 4(76), 2009, pp. 35-44.
-
[2]
P. Loti, L’Outrage des barbares, G. de Malherbe, 1917.
-
[3]
Rapporté par exemple par cnn, 15 décembre 2003.
-
[4]
N. Grangé, « Les génocides et l’état de guerre », Astérion n° 6 « L’ami et l’ennemi », 2009.
-
[5]
R. A. Clarke, R. Knake, Cyber War : The Next Threat to Nnational Security and What to Do About It, 2010.
-
[6]
M. I. C. Report, atp1 : Exposing One of China’s Cyber Espionage Units, 2013, intelreport.mandiant.com/Mandiant_APT1_Report.pdf
-
[7]
Voir par exemple la fable des soldats irakiens massacrant les nouveau-nés dans une maternité du Koweit.
-
[8]
H. Gardner, « Global War on Terrorism », in J. C. Bradford (ed.), A Companion to American Military History, Oxford, Wiley Blackwell, 2010, pp. 298-317; R. Goodman, D. Jinks, “International Law, us War Powers and the Global War on Terrorism », Harv. L. Rev. n° 118, 2004, 2 653 ; B. Hoffman, « The Changing Face of Al Qaeda and the Global War on Terrorism », Studies in Conflict and Terrorism n° 27(6), 2004, pp. 549-560.
-
[9]
M. Goya, « Dix millions de dollars le milicien », Politique étrangère, 2007, pp. 191-202 ; Irak. Les armées du chaos, Paris, Economica, 2009.
-
[10]
P. Collier, A. Hoeffler, Greed and Grievance in Civil War, vol. 56, Oxford University Press, 2004.
-
[11]
E. Filliol, Cybermenaces en et contre l’Europe. Grande Europe, Paris, La Documentation française, 2011.
-
[12]
R. Anderson et al., Measuring the Cost of Cybercrime. Paper presented at the 11th WEIS Forum, juin 2012 ; D. Florencio, C. Herley, Sex, Lies and Cyber-Crime Surveys Economics of Information Security and Privacy III, Bruce Schneier, Springer New York, 2012.
-
[13]
A. Delaigue, Chiffres en folie : le coût des cyberattaques, 2013, owni.fr/2011/07/11/chiffres-en-folie-le-cout-des-cyberattaques/
-
[14]
P. W. Singer, A. Friedman, Cybersecurity: What Everyone Needs to Know, oup usa, 2014.
-
[15]
N. Fallière, L. O Murchu, E. Chien, W32. Stuxnet Dossier, Symantec, 2011 ; S. Knoepfel, Clarifying the International Debate on Stuxnet : Arguments for Stuxnet as an Act of War Cyberspace and International Relations, Springer, 2014, pp. 117-124 ; R. Langner, « Stuxnet Dissecting a Cyberwarfare Weapon. Security and Privacy », IEEE, n° 9(3), 2011, pp. 49-51 ; T. Rid, « Cyber War will not take place », Journal of Strategic Studies, n° 35(1), 2012, pp. 5-32.
-
[16]
J. Guisnel, « Les insurgés interceptent les vidéos transmises par les drones américains », Le Point, 17 décembre 2009.
-
[17]
W. C. Ashmore, « Impact of Alleged Russian Cyber Attacks », DTIC Document, 2009 ; T. Rid, P. McBurney, « Cyber-Weapons », The RUSI Journal, n° 157(1), 2012, pp. 6-13.
1Dans un univers économique où s’impose l’obligation de choisir parmi les fins alternatives celles auxquelles seront affectées les ressources disponibles en quantité limitée, la construction de la figure de l’ennemi est une nécessité épistémologique de toute pensée stratégique. Sans identification de l’ennemi, il n’est pas de choix raisonné, donc pas de stratégie militaire sensée. La fabrication de l’ennemi est ainsi un acte fondateur de la politique de défense. Le constat vaut pour la cyberconflictualité comme pour toute forme de conflictualité [1] en général.
2Mais, dans le même temps, cette approche froide et rationnelle à des fins de construction de la démarche stratégique n’empêche pas, la fabrication de l’ennemi d’obéir à des ressorts tout à fait différents, d’ordre psychologique et sociologique, qui permettront aux combattants de trouver les ressources nécessaires pour faire face aux situations extraordinaires qu’ils affrontent quotidiennement en temps de guerre, et de souder la nation à l’heure où les coûts et les sacrifices vont mettre à mal sa cohésion voire son existence. L’ennemi n’est plus cet adversaire que l’on cherche à analyser froidement pour mieux évaluer ses forces et ses faiblesses, comprendre sa logique et anticiper ses mouvements ; il est cet autre radicalement différent, ce barbare qui foule aux pieds les valeurs communes de l’humanité, ignore les acquis de la civilisation, et témoigne d’une sauvagerie qui légitime le recours à tout l’éventail des moyens de la force et rend moralement acceptable la perspective de son anéantissement.
3Durant la Première Guerre mondiale, Pierre Loti a ainsi mis tout son talent au service de la propagande française pour décrire l’avance des « Boches » comme un « lâcher de gorilles ». Après leur passage, « tout est saccagé, émietté, pulvérisé, les gorilles ont trouvé le temps de n’épargner rien » [2]. L’aimable Vincent Scotto, qui sera l’auteur de ritournelles aussi « fleur bleue » que J’ai deux amours ou Marinella, composa un air belliciste aujourd’hui bien oublié : « Les Boches, c’est comme des rats/Plus on en tue, plus il y en a. » Rats, cancrelats, cafards… Le bestiaire est relativement peu varié et c’est encore à un rat que le général Odierno fera référence lors de la capture de Saddam Hussein : « He was in the bottom of a hole with no way to fight back. He was caught like a rat [3]. »
4Tout au long du xxe siècle, l’animalisation d’un ennemi parfaitement identifié est ainsi une constante dans laquelle il est possible de voir non seulement l’indice d’une pensée stratégique rationnelle, mais également l’une des clés des comportements individuels et collectifs dans des situations de violence extrême [4].
5L’histoire fournirait moult exemples montrant que la réflexion stratégique s’affaiblit et ouvre grand le champ des surprises, sources de défaites, si elle permet au bourrage de crâne de l’emporter sur la nécessité épistémologique et se laisse contaminer par la figure d’un ennemi rabaissé, déshumanisé, bestialisé. On se rassurerait à peu de frais en pensant que ce processus de contamination appartient au passé.
6La littérature sur la cyberconflictualité peut, au contraire, donner le sentiment que ce danger est d’autant plus présent qu’aux classiques biais cognitifs et culturels, qui sont de tout temps, s’ajoutent les incertitudes nées de progrès technologiques qui ne connaissent aucun répit, l’accélération des cycles de décision politiques, économiques, militaires…, la multiplication des acteurs des relations internationales…, tous facteurs cumulatifs de brouillard stratégique et puissants générateurs d’erreurs d’analyse et de jugement.
7À lire par exemple le best-seller emblématique de Richard A. Clarke [5] aussi bien que les pseudo-études de consultants comme la société Mandiant [6], la fabrication de l’ennemi cyber conduit à une figure passablement complexe qui renvoie tantôt au traditionnel et bestial « péril jaune », tantôt à un ennemi sans visage, exacerbation de cette nouvelle approche américaine qui consiste à lutter contre des concepts nébuleux et non contre des adversaires précisément définis.
8La définition de l’ennemi cyber oscille donc dangereusement entre l’analyse rationnelle et les préjugés, les approximations techniques et les biais cognitifs. Sans prétendre apporter de réponse définitive à la question, il s’agira ici de lever certains des biais majeurs qui nous semblent marquer l’approche fréquente et dont l’un des meilleurs représentants est l’ouvrage de Richard A. Clarke précédemment évoqué. Précisons à ce propos que Cyber War : The Next Threat to National Security and What to Do About It n’est ni le moins pertinent ni le moins intéressant des ouvrages sur la question, et que son auteur n’est ni le moins compétent ni le moins réfléchi de ceux qui traitent des questions de cyberwar. S’il est retenu ici comme référence, c’est précisément parce qu’il jouit d’une crédibilité et d’une compétence indiscutables, mais que, pour autant, l’analyse qu’il propose, et que d’autres reprennent avec moins de talent ou de rigueur, n’en semble pas moins témoigner d’un certain nombre de biais qui méritent d’être discutés. On fera donc l’économie de citations en n’évoquant pas, sauf exception ponctuelle, les multiples ouvrages, pseudo-rapports, études ou analyses qui présentent ces mêmes défauts à un degré encore plus élevé.
9Qui est donc l’ennemi cyber ? Est-il le même que l’ennemi non cyber ? Les particularités techniques de la cyberconflictualité influencent-elles la nature même de l’ennemi ? Sont-elles déterminantes pour tracer les nécessaires lignes de partage entre amis et ennemis dans le champ des relations internationales en ce premier quart du xxie siècle ?
10Après avoir rappelé les caractéristiques générales de l’ennemi cyber tel qu’il ressort de la littérature qui s’inscrit dans la lignée de Richard A. Clarke, nous nous efforcerons de montrer en quoi certaines de ces caractéristiques doivent être nuancées, puis nous conclurons en proposant à notre tour une figure de l’ennemi cyber qu’il nous paraît opportun de prendre en compte.
De la bestialisation à la diabolisation de l’adversaire : l’avènement du cyberennemi
11La rhétorique de la cyberconflictualité confirme et amplifie le changement impulsé par les États-Unis dans la manière de définir l’ennemi. Traditionnellement, il s’agissait pour les responsables politiques et militaires de raisonner à partir d’un ennemi identifié par la nature de son projet politique afin de se prémunir contre les modalités d’emploi de la force auxquelles son potentiel humain, technologique, financier… lui donnait la possibilité d’accéder.
12Après le 11-Septembre, la riposte américaine se tourne tout à la fois contre un ensemble de pays, « l’axe du Mal », que les vecteurs de propagande s’attachent à déshumaniser de manière somme toute traditionnelle [7], puis contre un concept, « le terrorisme », contre lequel les États-Unis engagent une « guerre globale » [8]. Il s’agit donc de lutter contre un certain type d’attaques dont les auteurs peuvent varier au gré des errements des relations internationales, parfois « États voyous », parfois groupes insurgés en lutte armée contre les États-Unis, parfois soutiens avérés ou supposés des deux premiers. La construction de la figure de l’ennemi est profondément transformée. Il ne s’agit plus d’en faire un sauvage, puisqu’il l’est par définition dans la mesure où il recourt à des moyens d’action condamnés par le droit international. Il s’agit, en revanche, de convaincre l’opinion publique du fait que celui qui va être frappé appartient bien à la catégorie des « terroristes », ce qui peut au besoin se faire par la machination des preuves indispensables et le déploiement d’une propagande ad hoc.
13Avec la cyberconflictualité, un processus assez comparable est à l’œuvre. Il s’agit de définir l’ennemi en le qualifiant par le recours à une certaine forme d’action (l’intervention sur les réseaux et les flux du cyberespace), sans pour autant lui donner un visage prédéterminé et que l’on précisera si nécessaire. La figure de « l’ennemi cyber » n’est pas celle d’un « gorille », d’un « rat » ou d’un « cancrelat », mais celle d’un adversaire anonyme capable de frapper n’importe qui, n’importe où et n’importe quand. Sa puissance maléfique tient à la combinaison de trois caractéristiques qui lui sont propres : l’irrégularité, l’asymétrie et le pouvoir de destruction.
14« L’ennemi cyber » est un ennemi irrégulier à plusieurs titres. Il peut tout d’abord profiter des caractéristiques propres du cyberespace pour mener son attaque sans se dévoiler ou en faisant porter par d’autres la responsabilité de ses actes. De fait, dans les exemples toujours cités de cyberconflictualité, l’Estonie ou la Géorgie notamment, aucune preuve solide n’a pu être apportée de l’origine des attaques constatées. Il n’en va autrement qu’en cas de revendication par l’auteur de l’attaque – le groupe de hackers roumains Tinkode dans le cas de l’attaque contre la Royal Navy en 2010 ou la quasi reconnaissance de paternité du virus Stuxnet par les États-Unis.
15Il ignore également certains principes fondateurs du jus in bello. Même dans l’hypothèse où il vise spécifiquement des objectifs militaires, le cyberattaquant sait qu’il ne maîtrise pas les effets des armes qu’il emploie. En effet, ceux-ci se propageront presque nécessairement au-delà de la cible visée puisque le système informatique correspondant est plus ou moins ouvert sur l’ensemble des systèmes interconnectés, civils ou militaires, qui partagent des « briques » constitutives communes, physiques ou logicielles. Ce faisant, le cyberattaquant s’affranchit volontairement ou non de principes fondamentaux : la distinction qu’il convient d’opérer entre les combattants et les non-combattants, les civils et les militaires, la proportionnalité des moyens employés…
16Certes, ces distinctions structurantes se sont largement effacées au cours du temps, les civils devenant les victimes les plus nombreuses des conflits armés contemporains par exemple. Mais elles conservent une valeur de référence pour les forces armées qui respectent le droit, l’éthique et la déontologie militaire. Avec la cyberconflictualité, le risque est grand de voir ces distinctions perdre l’essentiel de leur signification et favoriser la prolifération de l’irrégularité chez les différents protagonistes. La séparation entre les mondes militaires et civils, par exemple, laisse place à un continuum d’acteurs, de structures, de flux… qui vont élargir les cibles potentielles et faciliter la propagation des effets destructeurs. Même si l’attaque cyber ne cible pas un hôpital ou une centrale nucléaire mais une installation militaire, rien ne dit que le virus introduit ne touchera pas plus tard des infrastructures critiques protégées par les règles de ce même droit.
17La cyberconflictualité exacerbe ensuite l’asymétrie des combattants. Les guerres contemporaines se caractérisent par un renforcement général de l’asymétrie. Celle-ci est recherchée de manière délibérée par les acteurs qui sont conscients de leur faiblesse intrinsèque au regard des ressources techniques qu’ils peuvent mobiliser et qui trouvent ainsi le moyen de résister à des adversaires qu’ils ne pourraient affronter victorieusement sur un champ de bataille traditionnel. Les travaux de Michel Goya mettent en exergue les mécanismes et les effets de cette asymétrie croissante sur les théâtres irakiens ou libanais [9].
18Mais le développement des conflits asymétriques résulte aussi mécaniquement de l’accessibilité croissante aux ressources à usage militaire. Dans le domaine des équipements militaires classiques, cette accessibilité croissante repose sur l’abondance de l’offre et, singulièrement, sur celle de matériels légers, suffisants pour déclencher et entretenir des conflits low cost dont tirent parti les entrepreneurs de guerre décrits par Paul Collier [10]. Mouvements insurrectionnels, guérillas révolutionnaires, groupes ethniques et/ou religieux… sont ainsi en mesure de lancer et de soutenir des opérations armées à l’encontre de gouvernements plus ou moins fragiles, mais disposant pourtant d’appareils d’État militaires et policiers.
19La généralisation du cyberespace dans les pays développés fait craindre à certains un nouvel abaissement du seuil d’accessibilité des moyens de la conflictualité et l’aggravation des menaces asymétriques, notamment de la part des « jeunes nés avec la dimension cyber ». La fonction de production du cybercombattant mobilise en effet de manière privilégiée le facteur humain, notamment le capital intellectuel mesuré par le degré de compétence en matière d’informatique et de télécommunications. Le facteur technique se trouve paradoxalement réduit à sa plus simple expression du fait du progrès technologique et de la baisse du coût des matériels ou de l’accès au réseau.
20Le niveau des ressources nécessaire pour concevoir et réaliser des attaques dans le cyberespace est présenté comme à la portée de groupes beaucoup plus réduits que pour la mise en œuvre d’attaques militaires conventionnelles. Des opérations dangereuses et politiquement significatives pourraient être menées par des acteurs qui, jusque-là ne pesaient pas dans le jeu des relations interétatiques : États dénués de la capacité économique et industrielle suffisante pour supporter un effort de défense substantiel, mafias spécialisées, mouvements insurrectionnels localisés, voire groupes ou individus politiquement motivés. Tous pourraient porter des dommages aux pays les plus puissants par la manipulation des flux d’informations aussi bien que par la dégradation de systèmes interconnectés civils ou militaires. Cybervandalisme, cyberterrorisme, cybermanipulations sont des formes de conflictualité accessibles à des acteurs beaucoup plus nombreux et beaucoup moins identifiables que dans les guerres nouvelles et, a fortiori, les guerres traditionnelles.
21Dans la vision extrême de cette cyberasymétrie, un assaillant quelconque peut frapper instantanément, à partir de n’importe quel point du globe, et ce sans laisser ni traces ni moyens de l’identifier et de le confondre ou, pire encore, en ouvrant la possibilité d’incriminer à tort des tiers innocents. Le corollaire de cette capacité nouvelle d’agression est la disparition des concepts de droit (national, international) et d’éthique. « L’émergence tous azimuts d’une asymétrie croissante permettant à des acteurs de moindre importance (petits États, individus ou groupes d’individus) de remettre en cause le leadership d’acteurs majeurs (grands États, multinationales, organismes internationaux ou supranationaux) crée une situation géostratégique sans précédent [11]. »
22Last but not least, l’ennemi cyber dispose d’une capacité de destruction massive à l’encontre de son adversaire. Les pays les plus puissants sur le plan politique, économique et militaire sont ipso facto les plus dépendants du cyberespace et les plus fragiles en cas d’attaque. Ce que doivent redouter les États-Unis d’un ennemi cyber, c’est un « cyber Pearl Harbor » ou, plus exactement, un « cyber 11-Septembre » puisque cet ennemi irrégulier et asymétrique s’en prendrait plus probablement à des infrastructures civiles, davantage accessibles que les installations militaires. Richard A. Clarke met en scène l’attaque des États-Unis par les hackers de l’armée chinoise. Ceux-ci détruisent les réseaux informatiques du gouvernement américain, font exploser les raffineries de pétrole, provoquent des fuites de chlore dans les usines chimiques, prennent le contrôle des réseaux aériens et de chemin de fer, et font s’écraser les avions ou dérailler les trains, paralysent les marchés financiers et le système bancaire, coupent l’électricité de l’Atlantique au Pacifique. Les victimes se comptent par milliers. Les grandes villes sont à court d’approvisionnement et les pillards envahissent les rues.
23Selon l’auteur, la cyber Apocalypse n’est pas seulement théoriquement envisageable ; elle peut survenir aujourd’hui, dans le quart d’heure qui suit. Le cyberespace semble volontiers se prêter aux visions catastrophistes. Dans le domaine voisin de la cybercriminalité, les chiffres avancés pour situer le niveau des préjudices subis par les différents acteurs sont d’autant plus facilement repris qu’ils sont spectaculaires et dénués du moindre fondement méthodologique [12]. C’est ainsi que plusieurs institutions officielles font état de pertes d’un montant de mille milliards de dollars, soit 1,64 % du pib mondial. Notre collègue Alexandre Delaigue a eu l’occasion de montrer par quels mécanismes d’intoxication collective une évaluation aussi fantaisiste avait pu s’enraciner dans le discours majoritaire sur la cybercriminalité [13].
24Au total, l’ennemi cyber est moins un gorille ou un rat qu’un fantôme. Il n’en est que plus redoutable, car il est presque impossible de l’identifier ou de prévoir ce qu’il est susceptible d’entreprendre, sauf à anticiper que les résultats en seront catastrophiques. Le « Boche » était un gorille, mais on le connaissait et on savait qu’il arriverait par les plaines de l’Est. L’ennemi cyber peut renvoyer au « péril jaune » aussi bien qu’à des groupes d’insurgés ou des mafias de narcotrafiquants, des mouvements anarchistes, voire des étudiants malveillants. Son omniprésence et son omnipotence justifient la mobilisation générale des responsables civils et militaires ainsi que l’allocation de ressources massives en vue de sécuriser les systèmes d’information critiques.
Mythes et réalités du cyberennemi
25L’impression d’ensemble qui ressort du discours illustré dans la première partie est celle qu’un brouillard tel entoure l’ennemi cyber qu’il devient presque impossible de l’identifier et de le combattre de manière rationnelle. La chose n’est pas pour surprendre, puisqu’un brouillard non moins épais entoure la notion « d’attaque cyber ». Le ministère de la Défense des États-Unis serait confronté à « dix millions d’attaques » par an, selon un chiffre avancé par le général Alexander devant une commission budgétaire en 2012. Un tel ordre de grandeur ne peut se comprendre que si on mélange à peu près tout ce qui peut être lié à un usage non conforme des systèmes et des réseaux informatiques des armées américaines. Comme l’écrivent plaisamment Peter Singer et Allan Friedman, cela revient à traiter de la même façon le farceur qui allume un pétard, le braqueur armé d’un revolver, l’insurgé qui dissimule un engin explosif improvisé et l’État qui lance un missile de croisière au motif que tous recourent aux mêmes principes physico-chimiques gouvernant les explosifs [14].
26Est-il possible de dissiper le brouillard relatif à l’ennemi cyber en se penchant plus avant sur les caractéristiques qui sont véritablement les siennes. L’ennemi cyber est-il réellement ce fantôme capable de frapper n’importe qui et n’importe où tout en restant dans l’anonymat le plus complet ? Ne peut-on resserrer un peu l’éventail ainsi ouvert pour mieux éclairer les choix nécessaires dans l’affectation des ressources limitées mises à la disposition des forces armées ?
27Si on en revient à la définition des termes, on ne peut être que frappé du vocable même d’« ennemi cyber ». On ne parle pas d’ennemi terrestre, maritime ou aérien. L’ennemi ne se définit pas par sa maîtrise plus ou moins grande d’un domaine d’expression de la force, mais par le fait qu’il témoigne d’une volonté crédible de recourir à la force pour faire triompher son projet politique dans le champ des relations internationales. Ce n’est pas l’instrument mobilisé qui le définit, mais son ambition politique. On retrouve ici la confusion qui procède de l’introduction de la guerre au nébuleux concept de terrorisme à la suite des attentats du 11-Septembre. Ce simple rappel permettrait déjà d’opérer un tri sévère dans le fatras des « attaques » dont le ministère de la Défense américain se dit la victime. C’est ainsi que les groupes mafieux qui voient dans la criminalité informatique une source nouvelle et prometteuse de revenus n’ont pas, le plus souvent, d’ambition politique hostile à celle des États dans lesquels ils opèrent. Bien au contraire, ils sont souvent des soutiens plus ou moins affirmés et plus ou moins affichés des pouvoirs en place, quelle que soit leur couleur politique.
28Il convient donc de considérer que les individus ou les groupes organisés qui se livrent à la criminalité informatique ne relèvent pas de la catégorie des « ennemis cyber » d’États comme les États-Unis ou la France. La lutte contre leurs pratiques criminelles relève d’acteurs et de cadres juridiques qui ne sont pas ceux de la conflictualité, ce qui conduit à un resserrement très sensible de l’éventail des acteurs concernés par les problématiques de la cyberconflictualité. L’ennemi cyber doit donc être envisagé comme un ennemi classique, c’est-à-dire un État ou un groupe porteur d’un projet politique incompatible avec celui de l’État considéré, qui raisonne dans l’ombre portée ou la réalité de l’usage de la force et dont les capacités réelles ou supposées incluent la mise en œuvre de moyens cybernétiques pour peser sur la volonté de son adversaire.
29Cet ennemi est-il ensuite aussi redoutable qu’il y paraît du fait qu’il puisse agir dans le cyberespace ? La réponse est négative pour au moins trois raisons. L’anonymat souvent mis en avant pour justifier la dangerosité de l’ennemi cyber ne doit pas être considéré comme constitutif de l’essence du cyberespace, mais comme une situation provisoire qui s’atténue chaque jour un peu plus du fait des progrès de la Computer Forensic Science. Les informations révélées par Edward Snowden montrent que les États-Unis et leurs alliés disposent déjà d’outils d’analyse à une échelle industrielle, et que les capacités de recueil et de traitement des données laissent assez peu de place à un anonymat véritable sur la Toile. On objectera qu’un groupe disposant d’une véritable compétence pourrait mettre en œuvre des moyens de dissimulation dont la sophistication croîtra à raison des progrès réalisés par les enquêteurs. Mais il serait tout à fait aventureux d’en déduire qu’il sera toujours impossible d’identifier l’auteur d’une cyberattaque et de lui faire porter la responsabilité qui est la sienne. Compte tenu de la politique de lutte des États-Unis contre le terrorisme dans le dernier quart de siècle, il faudrait plutôt craindre l’inverse, c’est-à-dire l’imputation d’une cyberattaque à un État contre lequel on souhaite agir militairement.
30En deuxième lieu, contrairement au paradoxe mis en avant à propos de l’asymétrie qui caractériserait la cyberconflictualité, le plus faible ne devient pas, comme par enchantement, le plus fort ni même l’égal de celui qui dispose de la maîtrise la plus grande dans le cyberespace. Sans doute, la littérature et le cinéma hollywoodien ont-ils fait beaucoup pour la diffusion de l’idée qu’un adolescent isolé peut déclencher la Troisième Guerre mondiale en s’introduisant dans les réseaux informatiques du Pentagone (War Game) ou qu’un groupe de terroristes déterminés est en mesure de menacer l’ensemble des infrastructures américaines : communications, marchés boursiers, réseaux d’électricité et de gaz (Die Hard IV). Il est également vrai que le pays le plus puissant est en même temps le plus dépendant de ses réseaux informatiques et des télécommunications, et que ses adversaires technologiquement moins avancés sont, de facto, moins exposés que lui à une attaque cyber. Les États-Unis sont donc plus vulnérables à une cyberattaque que la Corée du Nord, le Lesotho ou le Panama. Pour autant, cela revient-il à donner à ces pays moins dépendants des technologies les plus avancées un avantage décisif dans la cyberconflictualité ?
31Il convient tout d’abord de remarquer que le seuil d’accès aux cyberarmes est plus élevé qu’on ne le dit volontiers. Si l’on se fonde sur l’un des seuls cas connus de sabotage d’un système industriel semblant avoir causé des dommages physiques significatifs à une installation critique (l’attaque des installations nucléaires iraniennes par le virus Stuxnet), on notera que les moyens mobilisés pour concevoir, réaliser et conduire l’attaque sont considérables et manifestement hors de portée de la quasi-totalité des pays de la planète, pour ne rien dire des groupes politiques qui pourraient vouloir se livrer à ce type d’action. Selon des estimations nécessairement approximatives, l’ensemble du processus a demandé des mois de travail à des équipes entières de spécialistes qui avaient une parfaite connaissance des installations physiques, des matériels mis en œuvre, des systèmes informatiques qui les pilotaient, des logiciels employés ainsi que de la capacité à introduire l’arme cybernétique dans un complexe militaire hautement protégé [15]. De telles capacités, notamment le capital intellectuel et logistique requis, forment sans doute des soubassements moins visibles que des usines d’armement, mais elles n’en sont pas moins réservées à un tout petit nombre d’acteurs qui disposent en particulier de la base industrielle sans laquelle il n’est pas de production de cyberarmes ayant une chance quelconque de causer des dommages significatifs à des infrastructures critiques.
32En second lieu, le fait de pouvoir mener des attaques cyber conduit à affaiblir les capacités de l’adversaire, pas nécessairement à se donner un avantage manifeste. Il a souvent été question, y compris dans la presse quotidienne, d’une « ahurissante information » selon laquelle les « liaisons descendantes de flux vidéo » provenant des drones américains employés en Irak et en Afghanistan auraient été interceptées par des insurgés moyennant l’acquisition d’un logiciel russe coûtant vingt-cinq dollars quatre-vingt-dix-neuf [16]. Le comble de l’asymétrie serait ici atteint puisqu’un équipement militaire ayant nécessité des années de recherche et de développement et des dizaines de milliards de dollars de budget serait mis en échec par une ressource quasi gratuite et en accès libre. Il conviendra cependant de nuancer fortement l’impression d’une égalisation de la puissance des forces armées américaines, détentrices des drones, et des insurgés capables de capter les flux vidéo émis par ces derniers. Accéder à ce que voient les drones ne permet pas d’en disposer, de les détourner de leur mission, de les détruire ou de les bloquer au sol. Cela permet tout au plus de mieux se dissimuler et de prévenir certaines des attaques qui pourraient avoir lieu. Il s’agit tout au plus d’une relative perte d’efficacité dans l’emploi d’une arme, par ailleurs susceptible d’une correction technique assez simple, mais pas d’un renversement du rapport de force.
33Il convient également de nuancer la capacité de destruction supposée massive d’une attaque informatique. Le spectre d’un « cyber 11-Septembre » entraînant le chaos dans une grande puissance par la paralysie ou la destruction de ses réseaux financiers, industriels, logistiques… est évoqué depuis au moins un quart de siècle sans qu’aucun de ces réseaux dans aucun pays du monde n’ait été véritablement mis en difficulté durablement. Dans le cas emblématique de l’Estonie, pays présenté comme le plus vulnérable de la planète puisque le plus connecté pour ses activités fondamentales (banques, transports…), une attaque supposée menée par un des pays les plus puissants en matière de cyberconflictualité, la Russie, n’aurait abouti qu’à un déni de service, sans dommage autre pour les Estoniens que l’impossibilité de consulter le solde de leur compte en banque ou d’accéder à certains services administratifs pendant quelques heures [17]. On pourrait dire que les réseaux bancaires ont été autrement mis en péril dans les années récentes par les « errements non cyber » de leurs dirigeants et que ces comportements irresponsables sont à l’origine de paniques autrement plus dangereuses pour les pays développés. On se souvient ainsi du Bank Run (ruée bancaire) qui a poussé des milliers de déposants et d’épargnants anglais dans la rue pour retirer leurs économies de la Northern Rock en septembre 2007. Aucune attaque informatique n’est encore parvenue à un début de commencement d’un résultat de ce type. C’est dire qu’un scénario à la Die Hard IV, qui n’est pas si éloigné du discours de Richard A. Clarke, mériterait de ne pas être envisagé comme le paradigme de l’attaque cyber et que le potentiel de nuisance de l’ennemi cyber mériterait d’être considéré avec une certaine prudence.
34Enfin, dans le rapport entre l’attaquant et le défenseur, on soulignera que l’avantage du premier a toutes les chances de ne pas être définitif ni, surtout, durable. Ainsi, le virus Stuxnet, qui a nécessité des mois de travail de la part d’équipes hautement spécialisées et dont le coût de conception, de « fabrication » et de mise en œuvre représente probablement un investissement que très peu de pays sont susceptibles de réaliser, peut être neutralisé de manière relativement simple une fois qu’il est découvert. Dès lors, les dommages initiaux peuvent se trouver confinés par la mise en place de patchs qui anéantiront la menace, du moins pour les infrastructures sensibles où des procédures convenables de sécurité des systèmes d’information permettront de « boucher la faille » par laquelle l’attaque a été menée. Les investissements considérables mis en œuvre pour la fabrication de l’arme pourront donc être confinés voire neutralisés par un remède dont le coût sera infiniment plus faible. L’asymétrie ne joue donc pas que dans un seul sens.
Conclusion : qui est l’ennemi cyber ?
35Compte tenu de ce qui précède, comment définir l’ennemi cyber et comment l’intégrer dans la démarche visant à spécifier la menace pour y adapter la politique de défense d’un pays comme la France ?
36Dans un esprit voisin de celui qui conduit Thomas Rid à considérer que les actions menées dans le cyberespace ne sont pas, pour l’essentiel, des actes de guerre, les lignes qui précèdent nous amènent à considérer que l’ennemi cyber est une figure dont l’importance doit être sensiblement revisitée. Les traits particuliers qui lui sont prêtés par certains spécialistes, tels Richard A. Clarke, en font un adversaire quasiment invincible contre lequel aucune défense ne serait véritablement possible et qui n’attendrait que son heure pour frapper au cœur les sociétés occidentales les plus vulnérables. Cette conception nous semble dangereuse car elle aboutit à une extension quasiment indéfinie de la notion d’ennemi qui paralyse en les aveuglant les procédures de choix en matière de ressources à consacrer à la dimension cyber de la politique de défense. Pour resserrer l’éventail des possibilités, il convient de retenir que l’ennemi cyber est d’abord et avant tout un ennemi, c’est-à-dire un adversaire politique qui menace de recourir à l’ensemble des moyens de la force auxquels il peut accéder afin d’imposer sa volonté dans le champ des relations internationales.
37L’ennemi cyber est ensuite un ennemi capable de mettre en œuvre des actions visant à produire des effets spécifiques sur les systèmes interconnectés de traitement automatisé de l’information en vue de les contrôler, d’en modifier le contenu, voire de provoquer des dommages aux infrastructures critiques de l’adversaire. Mais l’ennemi cyber n’est pas un « pur ennemi cyber ». Le plus souvent, l’action dans le cyberespace sera associée à d’autres formes de mise en œuvre de la force en vue d’obtenir l’assujettissement de la volonté adverse.
38On voit donc que la définition ne doit pas succomber à l’éternelle tentation technologique – certes, les considérations techniques sont essentielles dans l’appréhension des formes modernes de conflictualité. On ne saurait pas davantage raisonner justement à propos de la cyberconflictualité en ignorant tout de l’architecture et du fonctionnement des réseaux interconnectés qui forment le cyberespace qu’on ne saurait traiter de dissuasion nucléaire en ignorant tout de la physique nucléaire et de la fission de l’atome. Mais la dimension technique de la question ne doit pas intervenir seule dans la définition d’un concept, l’ennemi, qui est le produit d’une volonté politique avant que d’être celui d’une capacité technique.
39Concrètement, l’application de ce double critère pourrait conduire à limiter l’éventail possible de nos « ennemis cyber » à des acteurs des relations internationales, États ou groupes armés, disposant de la maîtrise technique suffisante pour être susceptibles de concevoir et de mettre en œuvre des actions de force significatives dans le cyberespace, en combinaison ou non avec des moyens cinétiques plus traditionnels. Faute de projet politique susceptible d’entrer en concurrence avec celui des nations concernées (États-Unis, Europe…), on écartera de cette catégorie les individus ou groupes qui pourraient par ailleurs avoir des compétences informatiques plus ou moins affirmées et qui les utiliseraient à des fins criminelles. Il en est de même des États ou des groupes armés qui ne disposent pas du capital intellectuel et de la base industrielle indispensable (plus importante qu’on ne le dit fréquemment) pour constituer une menace sérieuse à l’encontre des infrastructures critiques, civiles ou militaires, de leurs adversaires. On ne retiendra pas non plus ceux qui, tout en disposant d’une véritable compétence cyber, ont des projets politiques en cohérence ou complémentaires avec les nôtres. Ce faisant, il ne s’agit pas de dire qu’il faut baisser la garde et que les risques et les menaces dans le cyberespace seraient purement fantasmatiques. L’intrusion dans les systèmes informatiques, l’espionnage politique, militaire ou industriel, la propagande sur les réseaux sociaux… sont autant de pratiques connues dont l’influence est loin d’être négligeable dans les processus compétitifs qui caractérisent une économie mondialisée et un système politique de plus en plus ouvert. Mais ces pathologies ne sont pas nécessairement de nature à caractériser l’existence d’un ennemi cyber au sens de la politique de défense. Voir dans tout acte de déviance informatique le témoignage d’une attaque cyber, donc de l’action délibérée d’un ennemi cyber, relève du bourrage de crâne, non de la nécessité épistémologique. Il y a là un danger symétrique tout aussi fort réel, que celui qui consisterait à ne pas reconnaître que le cyber est désormais un espace majeur de la conflictualité.
Notes
-
[1]
P. Conesa, « La fabrication de l’ennemi », Revue internationale et stratégique 4(76), 2009, pp. 35-44.
-
[2]
P. Loti, L’Outrage des barbares, G. de Malherbe, 1917.
-
[3]
Rapporté par exemple par cnn, 15 décembre 2003.
-
[4]
N. Grangé, « Les génocides et l’état de guerre », Astérion n° 6 « L’ami et l’ennemi », 2009.
-
[5]
R. A. Clarke, R. Knake, Cyber War : The Next Threat to Nnational Security and What to Do About It, 2010.
-
[6]
M. I. C. Report, atp1 : Exposing One of China’s Cyber Espionage Units, 2013, intelreport.mandiant.com/Mandiant_APT1_Report.pdf
-
[7]
Voir par exemple la fable des soldats irakiens massacrant les nouveau-nés dans une maternité du Koweit.
-
[8]
H. Gardner, « Global War on Terrorism », in J. C. Bradford (ed.), A Companion to American Military History, Oxford, Wiley Blackwell, 2010, pp. 298-317; R. Goodman, D. Jinks, “International Law, us War Powers and the Global War on Terrorism », Harv. L. Rev. n° 118, 2004, 2 653 ; B. Hoffman, « The Changing Face of Al Qaeda and the Global War on Terrorism », Studies in Conflict and Terrorism n° 27(6), 2004, pp. 549-560.
-
[9]
M. Goya, « Dix millions de dollars le milicien », Politique étrangère, 2007, pp. 191-202 ; Irak. Les armées du chaos, Paris, Economica, 2009.
-
[10]
P. Collier, A. Hoeffler, Greed and Grievance in Civil War, vol. 56, Oxford University Press, 2004.
-
[11]
E. Filliol, Cybermenaces en et contre l’Europe. Grande Europe, Paris, La Documentation française, 2011.
-
[12]
R. Anderson et al., Measuring the Cost of Cybercrime. Paper presented at the 11th WEIS Forum, juin 2012 ; D. Florencio, C. Herley, Sex, Lies and Cyber-Crime Surveys Economics of Information Security and Privacy III, Bruce Schneier, Springer New York, 2012.
-
[13]
A. Delaigue, Chiffres en folie : le coût des cyberattaques, 2013, owni.fr/2011/07/11/chiffres-en-folie-le-cout-des-cyberattaques/
-
[14]
P. W. Singer, A. Friedman, Cybersecurity: What Everyone Needs to Know, oup usa, 2014.
-
[15]
N. Fallière, L. O Murchu, E. Chien, W32. Stuxnet Dossier, Symantec, 2011 ; S. Knoepfel, Clarifying the International Debate on Stuxnet : Arguments for Stuxnet as an Act of War Cyberspace and International Relations, Springer, 2014, pp. 117-124 ; R. Langner, « Stuxnet Dissecting a Cyberwarfare Weapon. Security and Privacy », IEEE, n° 9(3), 2011, pp. 49-51 ; T. Rid, « Cyber War will not take place », Journal of Strategic Studies, n° 35(1), 2012, pp. 5-32.
-
[16]
J. Guisnel, « Les insurgés interceptent les vidéos transmises par les drones américains », Le Point, 17 décembre 2009.
-
[17]
W. C. Ashmore, « Impact of Alleged Russian Cyber Attacks », DTIC Document, 2009 ; T. Rid, P. McBurney, « Cyber-Weapons », The RUSI Journal, n° 157(1), 2012, pp. 6-13.