Notes
-
[1]
Frederick Douzet, « La géopolitique pour comprendre le cyberespace », Hérodote 1/2014 (n° 152-153), p. 7-13.
-
[2]
Julian Jang-Jaccard et Surya Nepal, « A Survey of Emerging Threats in Cybersecurity », Journal of Computer and System Sciences, n° 80, vol. 5, 2014, p. 973-993.
-
[3]
Nous reprenons la catégorisation de Lucas Kello, The Virtual Weapon and International Order, New-Haven : Yale University Press, 2017, p.45. À noter que les compartiments du Web dépendant d’un contrôle d’authentification n’appartiennent pas au dernier ensemble mais bien au second.
-
[4]
Rishi Sunak, « Undersea cables : indispensable, insecure », Policy Exchange Report, 1er décembre 2017, accessible à l’adresse : https://policyexchange.org.uk/ publication/undersea-cables-indispensable-insecure/ (consulté le 3 décembre 2017) ; « Russia : A ‘Risk’ to undersea cables, defence chief warns », BBC News, 15 décembre 2017, accessible à l’adresse : http://www.bbc.com/news/uk-42362500 (consulté le 15 décembre 2017).
-
[5]
C’est ainsi que le gouvernement russe peut se reposer sur des armées de « trolls » et des milliers de bots pour inonder les réseaux sociaux d’informations stratégiquement favorables. Voir Daisy Sindelar, « Inside Russia’s Desinformation Campaign », Defense One, 12 août 2014 ; Shaun Walker, « Salutin’ Putin : Inside a Russian Troll House », The Guardian, 2 avril 2015 ; Adrian Chen, « The Agency », The New York Times, 2 juin 2015. Voir aussi les travaux de Nicolas Vanderbiest sur les élections présidentielles françaises de 2017 : http://www.reputatiolab.com/presidentielle-2017/ (accédé le 27 mai 2017).
-
[6]
Thomas Rid, « Cyber War Will Not Take Place », Journal of Strategic Studies, vol. 35, n° 1, 2012, p. 15.
-
[7]
Les deux attaques les plus sérieuses à ce jour sont liées d’une part au wiper NotPetya qui a nécessité la réinstallation de près de 45 000 postes informatiques après juin 2017 et d’autre part au virus Shamoon qui a détruit les données de plus de 30 000 postes de la société pétrolière saoudienne Aramco en août 2012.
-
[8]
Selon un rapport de l’Agence Internationale à l’Energie Atomique, les dysfonctionnements générés par le virus auraient endommagé un millier de centrifugeuses. Le même document souligne que durant la période d’action de Stuxnet, la production d’uranium enrichi aurait augmenté de 80 kg/mois à 120 kg/mois. Enfin, les centrifugeuses endommagées auraient été en cours de remplacement. Voir Jon R. Lindsay, « Stuxnet and the Limits of Cyber Warfare », Security Studies, vol. 22, n° 3, 2013, p. 390-391.
-
[9]
"@RidT, NotPety incapacited 10 percent of all (!) computers in Ukraine," 6 février 2018, 23:59, accessible à https://twitter.com/RidT/status/961011460238344194; Andy Greenberg, "White House Blames Russia for NotPetya, The 'Most Costly Cyberattack in History'", Wired, 15 février 2018, accessible à https://www.wired.com/story/white-house-russia-notpetya-attribution/ (consulté le 9 avril 2018).
-
[10]
Pour une déconstruction analytique de l’attribution et des moyens d’y remédier, la lecture indispensable reste celle de Ben Buchanan et Thomas Rid, « Attributing Cyber Attacks », Journal of Strategic Studies, vol.38, n°1-2, 2015, p.4-37. Paraphrasant Alexander Wendt, les auteurs affirment que « l’attribution est ce que les États en font ».
-
[11]
Department of Justice/Office of Public Affairs, « U.S. Charges Five Chinese Military Hackers for Cyber Espionage Against U.S. Corporations and a Labor Organization for Commercial Advantage », 19 mai 2014, accessible à l’adresse : https://www.justice.gov/opa/pr/us-charges-five-chinese-military-hackers-cyber-espionage-against-us-corporations-and-labor (consulté le 25 novembre 2017) ; The White House, « Executive Order – Imposing Additional Sanctions With Respect to North Korea », 2 janvier 2015, accessible à l’adresse : https://obamawhitehouse.archives.gov/the-press-office/ 2015/01/02/executive-order-imposing-additional-sanctions-respect-north-korea (consulté le 14 septembre 2015).
-
[12]
Alex Grisby, « The End of Cyber Norms », Survival, vol. 59, n° 6, 2017-2018, p. 109-122.
-
[13]
Barack Obama, International Strategy for Cyberspace, mai 2011 ; voir aussi la deuxième version du Manuel de Tallinn : bien que ne reflétant pas une position officielle, il s’appuie sur les interprétations de juristes américains et européens. Michael N. Schmitt et Liis Vihul (dirs.), The Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations, 2e éd., Cambridge, Cambridge University Press, 2017.
-
[14]
Une avancée notable a pu être observée avec la signature d’une convention sino-américaine sur l’usage du numérique à des fins d’espionnage économique en septembre 2015, convention répliquée avec le Canada, le Royaume-Uni, l’Allemagne, l’Australie et le G20.
-
[15]
La doctrine de sécurité de l’information signée en décembre 2016 par V. Poutine insiste sur les menaces que feraient peser les acteurs privés instruments des services de renseignement occidentaux ainsi que l’image présentée comme biaisée que la Russie recevrait de la part des médias étrangers. Sur la « guerre de l’information », Mark Galeotti analyse les écrits de Valéri Guérassimov, chef d’état-major des armées de la Fédération de Russie depuis 2012, « The ‘Gerasimov Doctrine’ and Russian Non-Linear Warfare », In Moscow’s Shadows, 6 juillet 2014, accessible à l’adresse : https://inmoscowsshadows.wordpress.com/2014/07/06/the-gerasimov-doctrine-and-russian-non-linear-war/ (accédé le 21 septembre 2017). Le terme de doctrine est sans doute excessif dans la mesure où ces réflexions n’ont pas fait l’objet d’une publication officielle. Voir aussi Kevin Limonier et Maxime Audinet, « La stratégie d’influence informationnelle et numérique de la Russie en Europe », Hérodote 2017/1, n° 164, p. 123-144.
-
[16]
Outre la diffusion d’informations biaisées avant la guerre avec la Géorgie en 2008, il faut noter que des méthodes similaires semblent avoir été utilisées en Ukraine : James Andrew Lewis, « Compelling Opponents to Our Will : The Role of Cyber Warfare in Ukraine », in Kenneth Geers (dir.), Cyber War in Perspective : Russian Agression against Ukraine, Tallinn : Nato CCD COE Publications, 2015, p. 39-47.
-
[17]
Robert Sheldon et Joe McReynold, « Civil-Military Integration and Cybersecurity : A Study of Chinese Information Warfare Militias » in Jon R. Lindsay, Tai Ming Cheung et Derek S. Reveron, China and Cybersecurity : Espionage, Strategy and Politics in the Digital Domain, New York, Oxford University Press, 2015, p.197 et sq.
-
[18]
Le GCHQ britannique estime ainsi que les opérations sur TV5 Monde en avril 2015 et sur le compte Twitter du CENTCOM US en janvier 2016 sont des manœuvres des renseignements russes détournées sur des acteurs jihadistes. Ce faisant, il ne peut conclure si cela témoigne d’une montée en puissance ou s’il s’agit de manœuvres destinées à renforcer les capacités organisationnelles. Voir Intelligence and Security Committee of Parliament, Annual Report 2016-2017, p. 51. Selon CNN, le FBI soupçonnerait des hackers russes d’avoir diffusé un faux discours de l’émir du Qatar favorable à l’Iran après avoir piraté la Qatar News Agency le 23 mai 2017, Evan Perez, « US suspects Russian Hackers Planted Fake News Behind Qatar Crisis », 7 juin 2017, accessible à l’adresse : http://edition.cnn.com/2017/06/06/politics/russian-hackers-planted-fake-news-qatar-crisis/index.html (consulté le 5 septembre 2017).
-
[19]
« Iranians Charged with Hacking U.S. Financial Sector », fbi.gov, 24 mars 2016 ; accessible à l’adresse : https://www.fbi.gov/news/stories/iranians-charged-with-hacking-us-financial-sector (consulté le 25 novembre 2016) ; Andy Greenbert, « New group of Iranian Hackers Linked to destructive Malware », Wired, 20 septembre 2017, accessible à l’adresse : https://www.wired.com/story/iran-hackers-apt33/ (consulté le 20 septembre 2017) ; Lily Hay Newman, « Iranian Hackers have been infiltrating Critical Infrastructure Companies », Wired, 7 décembre 2017, accessible à l’adresse : https://www.wired.com/story/apt-34-iranian-hackers-critical-infrastructure-companies/ (consulté le 7 décembre 2017).
-
[20]
Michael Mimoso, « Inside Nls_933w.DLL, the Equation Apt Persistence Module », ThreatPost, 17 février 2015, accessible à l’adresse : https://threatpost.com/inside-nls_ 933w-dll-the-equation-apt-persistence-module/111128/ (consulté le 14 août 2017). Equation Group est le nom donné par la firme Karsperky à une entité de la NSA Américaine.
-
[21]
Eric M. Hutchins, Michael J. Cloppert, Rohan M. Amin, « Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains », papier présenté à la 6e Annual International Conference on Information Warfare and Security, Washington, DC : 17-18 mars 2011, accessible à l’adresse : https://www.lockheedmartin.com/content/dam/lockheed/data/corporate/documents/LM-White-Paper-Intel-Driven-Defense.pdf (consulté le 21 décembre 2017).
-
[22]
Martin C. Libicki, « Cyberspace is not a Warfighting Domain », A Journal of Law and Policy for the Information Society, vol. 8 n° 2, 2012, p. 326.
-
[23]
La mise en place de correctifs (patches) interdit la pénétration de TOUS les systèmes sur lesquels ils sont installés. L’efficacité du processus dépend évidemment de sa rapidité et de sa généralisation. Voir Max Smeets, « A Matter of Time : On the Transitory Nature of Cyberweapons », Journal of Strategic Studies, 2017, p. 10.
-
[24]
Helen Nissenbaum, « Where Computer Security Meets National Security », Ethics and Information Technology, vol. 7, n° 2, 2005, p. 61-73.
-
[25]
Bruce Schneier, « Crypto-Gram », Schneier on Security, 15 septembre 2000, accessible à l’adresse : https://www.schneier.com/crypto-gram/archives/2000/0915.html (consulté le 3 décembre 2017). Pour une démonstration plus complète, voir Max Smeets, « A Matter of Time », art. cit., p. 1-28.
-
[26]
Ben Buchanan, « The Life Cycle of Cyber Threats », Survival, vol. 58, n° 1, 2016, p. 46-47.
-
[27]
Lucas Kello, The Virtual Weapon, op. cit., p. 167-175 ; Thomas Rid et Peter McBurney, « Cyber-Weapons », The RUSI Journal, vol. 157, n° 1, 2015, p. 6-13.
-
[28]
Ben Buchanan, The Legend of Sophistication in Cyber Operations, Harvard Belfer Center for Science and International Affairs, janvier 2017, p. 7-13.
-
[29]
Ben Buchanan, The Cybersecurity Dilemma : Hacking, Trust and Fear Between Nations, Londres, Hurst & Co., 2016.
-
[30]
Il faut souligner les risques posés par la dissuasion multi-domaines qui dissocie la nature de l’attaque et la nature de la réponse. Sur ce débat, lire Martin C. Libicki, « De Tallinn à Las Vegas : une cyberattaque d’importance justifie-t-elle une réponse cinétique ? », Hérodote, vol. 152-153, n° 1, 2014, p. 221-239.
-
[31]
Tim Stevens, « A Cyberwar of Ideas ? Deterrence and Norms in Cyberspace », Contemporary Security Policy, vol. 33, n° 1, 2012, p. 148-170.
-
[32]
Lucas Kello, The Virtual Weapon, op. cit., p. 208 et sq. Voir aussi Uri Tor, « Cumulative Deterrence as a New Paradigm for Cyber Deterrence », Journal of Strategic Studies, vol. 40, n° 1, 2017, p. 92-117.
-
[33]
Comme l’a illustré l’échec des manœuvres dissuasives tentées par l’administration Obama afin de prévenir puis de répondre à l’interférence russe lors des élections de 2016.
1 L’impact du domaine numérique sur la sécurité internationale semble présenter des tendances inquiétantes : le vol et la diffusion des outils informatiques de la NSA, la créativité sans cesse croissante des organes de sécurité russes pour tenter d’influencer les perceptions, la tendance à laisser les acteurs privés passer à l’offensive et l’échec apparent du cycle de négociations du Groupe d’experts gouvernementaux des Nations Unies sur la sécurité de l’information en juin 2017. Cependant, même les États rivaux semblent s’abstenir d’utiliser les armes numériques pour causer des dommages physiques, évitant ainsi de franchir le seuil de la guerre.
2 Le paysage stratégique international demeure donc marqué par l’incertitude. Ce terme souligne deux caractéristiques d’une situation : le degré de difficulté à interpréter les actions (ambiguïté) et le degré de difficulté à estimer les comportements futurs des autres acteurs (prévisibilité). Le domaine numérique serait donc un facteur augmentant l’instabilité stratégique. Ce postulat est néanmoins problématique. En premier lieu, l’incertitude ne conduit pas mécaniquement à l’instabilité. Elle n’est pas réductible à la seule lecture objective. D’une part, elle est aussi subjective dans la mesure où elle découle des représentations et des perceptions des acteurs. D’autre part, elle s’inscrit dans des processus sociaux et politiques autour des normes et institutions entourant le recours à la force. Sous cet angle intersubjectif, le degré d’ambiguïté et de prévisibilité du comportement des acteurs est étroitement dépendant des processus d’apprentissage qui favorisent tantôt la coopération, tantôt la défection.
3 En second lieu, la question de l’instabilité stratégique est le plus souvent comprise à travers deux concepts : celui de l’équilibre entre l’offensive et la défensive d’une part, celui de l’équilibre des puissances d’autre part. Le premier postule que l’avantage donné à l’offensive par les armements disponibles à un moment donné (école systémique) ou par la supériorité technologique d’un acteur sur l’autre (école dyadique) favorise le recours à la force. Le second s’intéresse plutôt aux stratégies par lesquels les États abordent leurs rapports de forces entre eux, cherchant soit à contrebalancer un désavantage perçu ou au contraire à accroître le différentiel de puissance. Selon le premier cadre d’analyse, le cyberespace donnerait une prime à l’offensive en raison des vulnérabilités liées à la numérisation croissante des sociétés ainsi que des opportunités découlant de la multitude des vecteurs d’attaques. Selon le second, la domination des États-Unis sur le domaine numérique leur fournirait un avantage sur l’ensemble du spectre de la conflictualité politique, les autres acteurs cherchant à rééquilibrer cette situation qu’ils perçoivent comme menaçante. Un troisième cadre d’analyse est possible qui s’intéresse plutôt à l’attitude des acteurs quant à l’ordre politique et social : l’instabilité découle ici des objectifs politiques poursuivis en tant qu’ils favorisent ou remettent en question ce dernier.
4 Ainsi, l’hypothèse de cet article s’articule autour de trois propositions. Le domaine numérique augmente l’incertitude du fait de caractéristiques incitant à l’offensive. Dans un contexte de rivalités entre grandes puissances et de remise en cause de l’ordre international, cela favorise la défection de certains acteurs et augmente l’instabilité. En retour, les jeux d’acteurs qui en découlent alimentent l’incertitude.
5 La démonstration procèdera en trois temps. Premièrement, le domaine numérique élargit le panel d’options disponibles et augmente donc la marge de manœuvre des acteurs dans la mesure où ceux-ci peuvent poursuivre des objectifs en évitant d’encourir les pénalités liées au recours à la force. Deuxièmement, cela encourage des acteurs désireux d’améliorer leur position sur la scène internationale voire de remettre en cause l’ordre politique et social dans un contexte de rivalités croissantes. Troisièmement, la configuration politique et stratégique joue sur les incitations négatives à agir sur le haut du spectre de la conflictualité tout en générant des risques d’escalade ou de mauvaise interprétation d’une attaque numérique même mineure.
L’incitation à l’offensive
6 La prime donnée à l’offensive par les outils numériques varie selon l’articulation de deux processus : la configuration de l’espace numérique d’une part, l’intégration des capacités cyber dans l’éventail d’options des acteurs d’autre part. Elle se traduit par l’augmentation de leur marge de manœuvre en dessous du seuil de l’action armée. Autrement dit, plus qu’un avantage objectif en faveur de l’offensive, le domaine numérique produit une incitation à agir susceptible d’alimenter l’incertitude et l’instabilité.
7 L’importance accordée aux vulnérabilités découle de deux facteurs : la dépendance croissante des sociétés développées aux technologies et réseaux numériques d’une part, l’absence d’entrée forcée dans le cyberespace d’autre part. Néanmoins, il est possible de définir des seuils et des probabilités de vulnérabilités par une approche analytique plus fine. Loin d’être un espace homogène et totalement lisse, le domaine numérique peut en effet être découpé selon plusieurs axes. Le premier s’attache à la délimitation du cyberespace en plusieurs couches comprenant les infrastructures physiques, les applications et protocoles permettant son fonctionnement et enfin les structures sociales et politiques qui dépendent des informations circulant au sein du réseau [1]. La structure en couches fait émerger plusieurs types de vulnérabilités selon qu’elles s’attachent plutôt aux éléments matériels, aux lacunes dans la programmation ou aux biais bureaucratiques ou cognitifs des utilisateurs collectifs et individuels. Toutefois, ces couches découlent de processus historiques et de temporalités différentes qui jouent sur la capacité à exploiter les vulnérabilités et à défendre le domaine numérique. Ainsi, l’infrastructure physique des réseaux numériques est-elle plus anciennement sédimentée et bénéficie des mesures conventionnelles permettant de la préserver. À rebours, la fluidité des échanges numériques et des activités informationnelles produit une vulnérabilité plus importante, d’où la nécessité d’une gestion opérationnelle des mesures de sécurité.
8 En outre, ces types de vulnérabilités dépendent également de la composition du domaine numérique en quatre éléments : le matériel (hardware), le logiciel (software), les réseaux et les utilisateurs [2]. Les vulnérabilités liées au hardware et aux réseaux sont plus difficiles à détecter et à pallier en raison de la complexité des protocoles et de la difficulté à remplacer les éléments compromis. Les vulnérabilités logicielles sont plus aisées à exploiter mais aussi à patcher. Enfin, le succès de l’ingénierie sociale et du spear phishing semble montrer que les utilisateurs sont le maillon faible de toute politique de sécurité dans le cyberespace.
9 Un second axe considère que le domaine numérique est composé de plusieurs cercles concentriques dont l’extension spatiale et sociale est très variable. Le cyberespace comprend donc trois ensembles se recoupant partiellement : le réseau global Internet qui en est la colonne vertébrale, le Web reliant les nœuds accessibles par une interface URL et un « archipel » composé des systèmes informatiques théoriquement isolés d’Internet [3]. Les vulnérabilités diffèrent ici en fonction de l’ouverture : on peut accéder à certains systèmes de n’importe quel point dans le réseau global tandis que d’autres nécessitent un accès au réseau local. Néanmoins, il convient de préciser que cette distinction présuppose une séparation théorique de certains réseaux et systèmes mais nullement l’absence de vulnérabilités. Comme l’a illustré Stuxnet, il est tout à fait possible de franchir le fossé physique entre Internet et les intranets. D’autre part, les manœuvres d’ingénierie sociale visent précisément à entrer sur des réseaux protégés par des contrôles d’authentification.
10 Cette représentation peut être complétée par la distinction entre l’espace numérique – comprenant les infrastructures, les réseaux et les machines – et le domaine numérique comprenant les organisations, acteurs et activités qui dépendent de la numérisation. Des règles différentes quant aux comportements et aux dispositifs de sécurité s’appliquent selon que l’on se situe sur le premier plan technique ou le second plan sociopolitique.
11 Une troisième approche introduit les logiques géopolitiques présidant à la configuration du domaine numérique. La géographie des câbles transportant les flux numériques induit des opportunités ou des vulnérabilités. Ainsi, la Géorgie s’est émancipée des réseaux russes mais dépend désormais d’un seul câble reliant le port de Poti à Baltchik en Bulgarie. A contrario, les États-Unis disposent de 45 câbles transocéaniques. Plus largement, la dépendance des communications globales à ces derniers – qui représenteraient 97 % des flux – induit un sentiment de vulnérabilité que souligne l’avertissement du chef d’état-major des armées britanniques face au risque de coupures dans le contexte de tensions avec la Russie [4]. Cela est renforcé dans la plupart des États occidentaux en raison de la gestion de la majeure partie des infrastructures et des réseaux par les acteurs privés dont les normes et dispositifs de sécurité ne sont pas ceux des gouvernements. L’enjeu des données incite aussi certains États à les rapatrier dans des data centers situés sur leur territoire afin d’éviter qu’elles ne puissent être exploitées commercialement ou politiquement par les entreprises américaines ou par les agences de sécurité des États-Unis. La domination historique des acteurs américains dans le domaine des systèmes d’exploitation, des applications logicielles ou des réseaux sociaux résulte à la fois du rôle global des États-Unis dans les domaines financiers, économiques et technologiques et de la stratégie de libéralisation d’Internet initiée par l’administration Clinton en 1997-1998. Pour certains États, il en découle une perception de vulnérabilité voire de menace pesant sur leur souveraineté ou leur sécurité que les révélations faites par Edward Snowden depuis 2013 n’ont cessé de renforcer. La structuration des réseaux sociaux en communautés d’individus regroupés par affinités de préférences politiques ou idéologiques crée un effet de chambre à écho. Ce dernier peut néanmoins être exploité en caisse de résonance sur l’ensemble des utilisateurs en altérant les mécanismes d’agrégation des opinions exprimées [5]. Ainsi, l’hétérogénéité de la répartition des vulnérabilités dans le domaine numérique peut inciter à agir contre les cibles les moins bien défendues (soft targets). Cependant, le choix d’une approche ciblée ou indiscriminée contre une cible très bien ou peu défendue dépend avant tout des effets recherchés. D’autre part, le lien entre l’existence des vulnérabilités et l’incitation à agir pour les exploiter n’est pas déterminé. Il dépend des représentations des acteurs comme de l’inscription des menaces et des opportunités à l’ordre du jour politique et bureaucratique.
12 L’inscription du domaine numérique dans le champ de la conflictualité demeure conceptuellement problématique. Une attaque numérique ne cadre que partiellement avec les critères de violence, d’instrumentalité et de finalité politique définis par Clausewitz. Pour cette raison, elle se situe sur un spectre compris entre la criminalité et la guerre. Thomas Rid définit ainsi trois catégories englobant les attaques numériques : le sabotage, l’espionnage et la subversion [6]. Les technologies numériques offrent donc des opportunités d’agir en évitant les pénalités liées au recours à la force armée en proportion de leur prolifération, de la vulnérabilité des activités qui en dépendent et des incertitudes quant aux normes juridiques, politiques et sociales encadrant les relations conflictuelles entre les États. Plus particulièrement, l’accroissement de la marge de manœuvre concerne un spectre de plus en plus large qui court des actions brutes aux opérations d’influence et de propagande. Les premières peuvent entraîner des dommages physiques aux conséquences économiques, opérationnelles et politiques non-négligeables (comme la paralysie d’une activité ou l’atteinte à la réputation d’une organisation) [7]. Les secondes sont susceptibles de modifier les comportements individuels ou collectifs dans l’objectif de tromper ou d’influencer tout ou partie d’une audience cible. Entre ces deux pôles hard et soft, l’espionnage tient une place à part. Premièrement, car il entre en compte dans la plupart des opérations numériques comme un préalable et participe de l’incertitude quant aux intentions de l’agresseur. Deuxièmement, car à l’espionnage industriel et à la surveillance des réseaux s’ajoute désormais la pratique de la compromission consistant à exposer publiquement les données subtilisées. Cette distinction analytique entre les modes d’action ne doit cependant pas masquer leur combinaison de facto en fonction des opportunités et de l’évolution du contexte opérationnel et politique dans lequel se déroule l’opération.
13 Il faut néanmoins opérer une distinction fondamentale entre les effets directs (touchant les réseaux et les activités qui en dépendent) et les effets secondaires. L’interprétation de ces derniers est bien souvent ambigüe. D’un côté, il s’agit peut-être des conséquences escomptées par l’attaquant : provocation d’un comportement particulier, extension des dommages au-delà de la cible, etc. De l’autre, on peut observer des effets en cascade potentiellement contre-productifs : retours de flamme, débordement sur des réseaux vitaux pour la cible, représailles. L’aspect imprévisible des effets secondaires peut donc jouer sur la probabilité de l’agresseur à atteindre ses objectifs. L’attaque en déni de service distribué contre les réseaux estoniens en mai 2007 a effectivement conduit à une paralysie temporaire de l’activité économique et administrative du pays. Si l’on admet l’hypothèse que l’opération a été encouragée par le gouvernement russe en parallèle de manifestations contre le retrait du monument commémorant la fin de la seconde guerre mondiale dans le cadre d’une manœuvre de coercition, il s’agit davantage d’un échec. Plus encore, le gouvernement estonien a envisagé d’activer les articles 4 et 5 du traité de Washington, avant de faire machine arrière et de réfréner les groupes de hackers patriotiques prêts à riposter. Enfin, la prise de conscience qui en a résulté a contribué à alimenter la méfiance vis-à-vis de la Russie. Au contraire, le sabotage des centrifugeuses d’enrichissement d’uranium de Natanz par Stuxnet a eu des effets ambigus sur le programme nucléaire iranien [8]. En revanche, il a vraisemblablement évité une intervention militaire israélienne et sans doute contribué à semer le doute chez les dirigeants iraniens, permettant peut-être d’accélérer le retour à la négociation. La campagne de rançongiciel NotPetya de juin 2017, imputée à la Russie par les gouvernements américains, britanniques, australiens, canadiens et néo-zélandais, est un exemple d'opération ciblée (vraisemblablement contre l'Ukraine dont 10 % des ordinateurs auraient été mis hors service) dont les effets ont échappés aux instigateurs, dans la mesure où des entreprises importantes comprenant des firmes russes, ont été victime du wiper [9], ajouter une note de bas de page à la suite:, D’autre part, la disproportion entre les effets de premier et de second voire de troisième ordre peut inciter à la retenue ou à l’action offensive en fonction des objectifs poursuivis. Elle peut être activement recherchée par des acteurs dans la mesure où cela accroît les conséquences de leurs actions mais aussi leur réputation de sophistication stratégique. Quoi qu’il en soit, ces caractéristiques ajoutent à l’incertitude en jouant sur les deux facteurs qui la composent.
14 Car le numérique augmente la capacité à nier de manière plausible être à l’origine de l’action. Par conséquent, il entretient l’ambiguïté concernant l’identité et les intentions d’un attaquant. La difficulté d’attribution d’une attaque numérique n’est pas une constante liée aux capacités techniques favorisant l’anonymat. Elle est fonction de plusieurs variables contextuelles [10]. Elle dépend d’abord de la structure de coûts de la victime, c’est-à-dire du rapport entre l’ensemble des dommages subis et de l’enjeu que représente la cible visée. Plus ces valeurs seront élevées, plus probable sera la détermination de la victime à imputer l’action et à répondre. Car le processus d’attribution ne s’arrête pas avec l’identification probable de l’agresseur : il s’achève sur une éventuelle action publique. Ce choix dépend donc aussi du rapport de forces entre la victime et l’agresseur présumé. La comparaison entre deux processus d’attribution menés par les États-Unis en 2014 est instructive : en mai, le département de la justice met en examen cinq membres de l’Armée Populaire de Libération de la République Populaire de Chine pour espionnage industriel ; en décembre, le président des États-Unis et le FBI accusent le régime de Corée du Nord d’avoir orchestré une attaque contre Sony Entertainment et annoncent des sanctions mises en œuvre en janvier 2015 [11].
15 Quel que soit le degré de difficulté, le processus d’attribution produit plusieurs impacts favorables à l’offensive. En premier lieu, le temps de latence et l’impossibilité de fournir des preuves irréfutables peuvent affaiblir les capacités dissuasives. En second lieu, l’attribution demeure contestable et le maintien d’un doute alimente des stratégies opportunistes susceptibles d’affaiblir la détermination politique de la victime. Enfin, elle génère des effets pervers dans les structures de coopération entre acteurs puisqu’elle peut inciter à la défection un partenaire qui ne serait probablement pas soupçonné en cas de déloyauté ou d’agression. Le dilemme que l’attribution pose à un défenseur (imputer publiquement au risque de l’escalade ou d’importants couts réputationnels vs limiter le caractère public de l’imputation au risque d’être victime d’autres attaques) peut donc inciter un agresseur à prendre des risques lorsque la configuration stratégique lui est favorable ou de façon opportuniste.
16 Ainsi, l’ouverture de la marge de manœuvre des acteurs est fonction de leur perception de l’utilité politique du cyberespace.
La perturbation de l’ordre politique international
17 Le développement de la conflictualité numérique s’inscrit dans un contexte où l’ordre politique international est contesté à la fois par un retour à des politiques de puissance et par l’action d’acteurs perturbateurs. Le domaine et les outils numériques favorisent cette remise en cause en l’absence d’une conception commune permettant de cadrer les enjeux. Par conséquent, ils complexifient le jeu des acteurs.
18 Le contexte de retour aux rivalités des grandes puissances s’articule autour de la contestation ou du maintien de l’ordre politique international selon ses deux dimensions institutionnelles (l’ordre international libéral) et politiques (l’unipolarité et l’hégémonie américaines). L’utilisation du cyberespace à des fins politiques est devenu un enjeu important entre les États-Unis et des puissances émergentes ou favorables à un ordre multipolaire. Les controverses se sont cristallisées sur la régulation juridique et normative des activités étatiques dans le domaine numérique. À l’initiative de la Russie notamment, certains États de l’Organisation de Coopération de Shanghai souhaitent obtenir un traité de contrôle des armements interdisant la production d’armes numériques et l’utilisation du cyberespace pour interférer dans les affaires intérieures d’un État [12]. D’autre part, certains de ces États contestent l’applicabilité du droit international et notamment du droit des conflits armés dans le domaine numérique. En cela, ils s’opposent à la vision promue par les États-Unis et soutenus par la plupart de leurs partenaires et alliés selon laquelle il importe avant tout 1) de promouvoir des normes de comportement et 2) de transférer les provisions du droit existant dans le domaine numérique [13]. Les uns cherchent donc à prévenir toute occurrence de conflit déclenché par l’utilisation des technologies informatiques, tandis que les autres cherchent à contraindre l’utilisation politico-militaire des armes numériques. Malgré l’adoption de normes lors des cycles de négociations du groupe des experts gouvernementaux en 2012-2013 et 2014-2015, le cycle 2016-2017 s’est achevé sans accord consensuel sur l’application du droit des conflits armés aux conflits cyber [14].
19 Ces désaccords renvoient à l’absence d’interprétation partagée quant à la portée du cyberespace sur les relations stratégiques internationales. La logique et les représentations des acteurs permettent de rendre compte de la manière dont ils appréhendent le cyberespace. La « doctrine de guerre de l’information » de la Russie contemporaine considère qu’une politique de puissance se joue dans la sphère informationnelle : il faut s’y protéger des opérations d’influence prêtées aux États « occidentaux » et exploiter les vulnérabilités des espaces informationnels des sociétés libérales en évitant le recours à la guerre [15]. Le domaine numérique permettrait également de favoriser les actions de politique étrangère de la Russie dans les zones contestées de l’espace post-soviétique en gérant les risques d’escalade [16]. Cette conception du cyberespace en tant que domaine informationnel se retrouve également dans les représentations et les pratiques du gouvernement chinois : celui-ci insiste sur la nécessité de protéger la stabilité interne de la Chine par un contrôle étroit des flux entrants et du contenu échangé à l’intérieur de la société. Cet objectif de contrôle social et de stabilité du régime comprend aussi un volet offensif de « guerre de l’information » incluant les opérations sur les systèmes d’information, les opérations électromagnétiques, les opérations d’influences et le renseignement [17]. La place prise par la sphère de l’information tranche avec la conception américaine et européenne du cyberespace. Ces derniers semblent avoir perçu le domaine numérique sous deux angles privilégiés : celui d’un espace de communication libre et inclusif d’une part, celui d’un espace de conflictualité concernant essentiellement les infrastructures critiques d’autre part. En outre, les dirigeants et analystes américains ont longtemps souligné le risque posé par l’espionnage économique chinois sur l’équilibre des puissances. En retour, on peut estimer que les États-Unis ont fragilisé la stabilité stratégique par le développement d’armes et d’outils numériques ainsi que par le recours à des opérations numériques contre les infrastructures physiques.
20 Cette opposition conceptuelle alimente les stratégies des acteurs désireux de réviser le statu quo. Pour la Chine comme pour la Russie, l’asymétrie conventionnelle avec les États-Unis peut être rééquilibrée via la sphère informationnelle. Ces deux États contestent donc le recours au droit de légitime défense en cas d’attaque numérique et réfutent toute possibilité d’attribution en se fondant sur une acception purement technique de cette dernière : les activités numériques doivent être considérées comme qualitativement différentes de l’agression armée. En d’autres termes, ils relèvent le seuil à partir duquel on peut parler de recours à la force et cherchent donc à élargir leur marge de manœuvre en limitant simultanément celle des États-Unis ou de leurs alliés. La Russie notamment est soupçonnée de mener des opérations dans les dimensions informationnelles et numériques, alimentant l’incertitude quant à ses intentions [18]. De façon sans doute moins opportuniste, l’exploitation du cyberespace à des fins de rattrapage économique et technologique a servi les stratégies successives de la montée en puissance chinoise.
21 Si la Chine et la Russie disposent d’arsenaux numériques pouvant rivaliser avec celui des États-Unis, d’autres acteurs profitent des coûts d’entrée relativement bas pour appuyer leurs stratégies de contestation par l’utilisation des technologies numériques. L’Iran a développé des capacités notables et a intégré les outils informatiques dans son organisation politique et militaire de défense. Outre la destruction massive des données de l’entreprise pétrolière Saudi Aramco en août 2012, les attaques en déni de service contre des institutions financières américaines entre 2011 et 2013, les hackers iraniens sont soupçonnés d’avoir pénétré les réseaux de nombreuses entreprises clés aux États-Unis et même d’avoir mené des actions de reconnaissance sur les infrastructures critiques aux États-Unis comme au Moyen-Orient [19]. La Corée du Nord a aussi développé un outil performant, démontrant ses capacités à la destruction de données, à la perturbation des activités économiques, à la pénétration de réseaux critiques et à l’intimidation. Outre la Corée du Sud ou les États-Unis, les hackers du « Lazarus Group » et du bureau 121 semblent avoir mené des actions en Thaïlande, au Vietnam et au Bangladesh. Le gouvernement fédéral américain a officiellement attribué les attaques contre Sony Entertainment (décembre 2014) et la propagation du ransomware WannaCry (mai 2017) au régime de Pyongyang. Enfin, les organisations djihadistes pratiquant une insurrection aux échelles globale, régionale et locale utilisent les réseaux sociaux pour des actions de propagande et de recrutement.
22 Ces stratégies répondent à trois rationalités. En premier lieu, une logique de perturbation des calculs stratégiques comme de la cohésion politique. En second lieu, une logique de coercition et d’intimidation servant à accroître la cohésion et la légitimité interne des organisations et des régimes. Enfin, une logique de préservation et de survie face à des adversaires potentiellement plus puissants. Dans cette optique, le recours à des acteurs non-étatiques permet d’ajouter à l’ambigüité quant à l’origine de l’action et de profiter des savoir-faire et des ressources provenant du secteur privé légal ou criminel. Toutefois, cet élargissement de leur marge de manœuvre ne va pas sans compromis ni dilemmes. D’un côté, une intégration plus importante de ces groupes garantit une exécution de l’opération conforme aux objectifs politiques mais entraîne un plus grand risque de dénonciation publique. De l’autre, favoriser des liens plus lâches à travers un simple soutien direct voire indirect permet de nier plus aisément l’implication mais pose le problème de l’autonomisation d’acteurs possédant des logiques propres. Ce dilemme agent-principal est un facteur supplémentaire d’instabilité.
23 Comme l’a montrée l’opération Olympic Games contre le programme nucléaire iranien, le déséquilibre persiste entre les capacités des États-Unis et de leurs alliés et celles de ces acteurs révisionnistes ou révolutionnaires. Si les technologies numériques offrent la possibilité de jouer un rôle plus important sur la scène stratégique internationale, elles ne bouleversent pas significativement l’équilibre des puissances. En revanche, elles favorisent les stratégies d’opportunités et augmentent la tendance à la prise de risque.
Le risque de l’escalade
24 Dans ce contexte politique international, les caractéristiques tactiques et opérationnelles de la conflictualité numérique augmentent le risque d’escalade. Les difficultés de la défense et les périls de l’action offensive structurent un dilemme de sécurité particulier.
25 De façon générale, défendre est rendu complexe par l’étendue du périmètre menacé et par l’hétérogénéité technique et sociale du domaine numérique. Toutefois, quatre caractéristiques des attaques numériques rendent la tâche ardue en augmentant les coûts de mesures insuffisantes, tardives ou mal calibrées. En premier lieu, la pénétration des réseaux par l’exploitation de vulnérabilités signifie que l’attaquant est souvent déjà présent dans les systèmes au moment où son action se manifeste ou est détectée. En second lieu, l’attaquant peut en théorie assurer une présence permanente ou de longue durée avant d’être éventuellement expulsé [20]. En troisième lieu, les opérations les plus complexes mènent des actions persistantes contre les réseaux ciblés. Enfin, l’offensive est caractérisée par l’ambigüité concernant les intentions de l’attaquant. Les attaques numériques les plus complexes et les plus sérieuses sont donc marquées par une configuration où l’ignorance quant à la nature de l’action et de l’intention à l’origine de l’attaque joue un rôle plus important que l’urgence comme facteur cadrant la prise de décision et l’organisation de la réponse de la part du défenseur. Par ailleurs, l’anticipation quant aux conséquences possibles d’une attaque incite à accroître les dispositifs défensifs et à augmenter les coûts de la défense. Celle-ci est donc soumise à la loi des rendements décroissants. Dans un contexte de concurrence avec d’autres besoins en matière de sécurité et de défense, elle est donc dépendante de l’arbitrage politique.
26 L’identification de la séquence de l’attaque (la cyber « kill chain ») est susceptible de développer une défense en profondeur : aux mesures préventives ou préemptives s’ajoutent les mesures dissuasives et la possibilité d’une contre-attaque [21]. De manière conventionnelle, les opérateurs distinguent entre la défense passive et la défense active. Ce dernier terme renvoie aux mesures prises par le défenseur en dehors de son réseau afin de perturber ou annuler les bénéfices de l’attaque. Sa mise en œuvre par les États est politiquement et juridiquement sensible mais elle l’est davantage encore lorsqu’il s’agit des opérateurs privés. Autoriser ces derniers à contre-attaquer pourrait améliorer la défense en profondeur dans la mesure où ils possèdent ou exploitent une partie importante des réseaux et des systèmes critiques et qu’ils sont donc en première ligne. Cela permettrait d’améliorer le partage de l’information entre le secteur privé et les agences gouvernementales et favoriser une meilleure intégration civilo-militaire dans un contexte de rareté de la ressource humaine. Néanmoins, l’instabilité qui en découle pourrait surpasser ces bénéfices non seulement en raison des frictions juridiques et politiques qui en résulteraient entre les États mais aussi du fait des risques d’escalade involontaire que cela pourrait susciter en cas de crise.
27 Néanmoins, les mesures défensives bénéficient de la malléabilité du cyberespace. Selon Martin Libicki, « défendre un réseau ne consiste pas à mieux manœuvrer que l’adversaire ou à appliquer une puissance de feu supérieure mais à modifier les caractéristiques particulières de sa portion du cyberespace pour qu’elle soit moins tolérante aux attaques » [22]. Techniquement du moins, il est possible de changer les caractéristiques du terrain sur lequel l’attaquant agît pour l’isoler, le perturber, rendre inopérant ses outils ou étanche les compartiments qu’il souhaite pénétrer [23]. Néanmoins, cette caractéristique dépend du type de vulnérabilité exploitée (software, hardware, networks, utilisateurs) ainsi que des capacités techniques, sociales, organisationnelles et cognitives à la résilience.
28 Même possible, la logique défensive est structurée par l’importance croissante des enjeux qui y sont attachés. La cybersécurité et la cyberdéfense ne s’inscrivent plus dans la seule sécurité informatique, laquelle définit des vulnérabilités, des menaces et des réponses au niveau technique. Elles sont désormais inscrites au cœur des politiques de sécurité nationale comme la source des principales vulnérabilités et des principales menaces auxquelles l’État est confronté. Par conséquent, le domaine numérique dépend de réponses sécuritaires de type politico-militaire, surtout pour des enjeux considérés comme vitaux [24].
29 L’avantage que tire un attaquant des outils numériques est limité par des paramètres tactico-opérationnels. Ceux-ci bornent un espace de choix stratégique marqué par la prise de risque et la complexité des opérations. Un premier paramètre concerne les caractéristiques des armes et tactiques numériques. D’une part, l’impossibilité de contrôler et de prévoir exactement les effets ouvre la voie à des dommages collatéraux voire à un retour de flamme. Plus important, l’efficacité et l’utilité des armes numériques demeure transitoire relativement aux armes classiques, conventionnelles ou non. Ainsi, non seulement elles n’opèrent que sur une fenêtre d’opportunité réduite, mais leur réutilisation ne sera efficace que sur les cibles les moins bien défendues ou sans intérêt stratégique a priori [25]. De plus, les processus de diffusion s’apparentent à ceux des armes classiques, aussi bien dans le cycle de leur développement que dans les logiques de prolifération horizontale : l’ingénierie sociale, initialement développée par les hacktivistes des années 1980 et 1990, est adoptée par les acteurs proches des gouvernements avant de s’étendre à la cybercriminalité [26]. En revanche, le champ des armes numériques est structuré par une césure fondamentale entre le petit nombre de codes militarisés spécifiques développés par des États et le très grand nombre d’armes génériques à fort potentiel de nuisance [27]. Enfin, la conflictualité numérique connaît la dialectique d’adaptation entre l’attaque et la défense : les attaques de déni de service distribué connaissent une utilisation majeure par les États ou leurs proxies à compter de l’affaire estonienne de 2007 mais passent en retrait par rapport aux attaques de destruction de données aux effets plus durables à partir de 2012-2013.
30 Un second paramètre concerne les capacités des acteurs à mener des actions offensives. Étant données les caractéristiques soulignées précédemment, la capacité à accéder au squelette du cyberespace (les câbles par exemple), à mobiliser des compétences techniques de manière systématique ou à développer des codes militarisés taillés à la mesure de la cible limitent leur nombre à quelques États. Les acteurs peuvent donc être catégorisés selon leur degré de sophistication, lequel dépend de la vitesse d’exécution et de réaction, de la propension à commettre des erreurs opérationnelles et de l’ambition ou de la difficulté des opérations [28]. Ainsi, l’espace de choix des acteurs situés au sommet du spectre est-il plus important à la fois en matière de panel d’options disponibles et en matière de réversibilité tactique ou opérationnelle. Néanmoins, l’utilité relative des opérations numériques persiste même dans ce cas. Par conséquent, cette structuration du champ de la conflictualité incite plutôt à la retenue, sauf pour les acteurs désireux de poursuivre leurs objectifs par la perturbation et l’ampleur des effets.
31 Ben Buchanan a montré que se structurait ainsi un dilemme de sécurité propre au domaine numérique. En premier lieu, la préparation opérationnelle nécessite de pénétrer les réseaux de la cible en avance. En second lieu, les acteurs sont incités à entrer dans les systèmes pour des raisons purement défensives. Enfin, l’ensemble est couronné par le fait que toute intrusion est intrinsèquement perçue comme menaçante [29]. La confusion entre les modalités tactiques de l’attaque et la défense aggrave l’incertitude quant aux intentions. De ce fait, le dilemme se joue entre la pénétration des réseaux – y compris à des fins défensives – et la retenue afin d’éviter une mauvaise interprétation de la part de la cible. Dans le contexte politique international contemporain, l’asymétrie des enjeux concernant la notion d’infrastructures critiques est un facteur potentiellement aggravant.
32 À cela s’ajoutent les défis de la dissuasion, non seulement autour de ses modalités (interdiction ou représailles) mais aussi au sujet du seuil et de la réponse appropriée. Si les premières sont cadrées par les coûts d’investissement dans la résilience technique, organisationnelle et sociale d’une part et par l’ambigüité de l’attribution d’autre part, le second l’est par les choix politiques opérés autour de l’interprétation du droit international [30]. Ces difficultés sont particulièrement aigues en ce qui concerne les agressions situées au milieu du spectre des attaques numériques. Trois pistes peuvent être explorées de façon que la dissuasion favorise la stabilité. L’adoption de normes partagées pourrait y contribuer en partie [31]. Sortir des logiques de l’ère nucléaire – la dissuasion absolue et l’ambigüité concernant le seuil des représailles – permettrait de diminuer les attentes et de limiter la fréquence et la sévérité des attaques. Pour sa part, Lucas Kello propose de dissuader par une promesse de réponse à une série d’actions plutôt qu’à une action isolée au-dessus du seuil [32]. De cette façon, il serait possible d’éviter l’effet de paralysie induit par des actions menées sous le seuil de l’action – et donc de la riposte – armée. Car si la dissuasion consiste à faire prendre des risques au potentiel agresseur (ne pas agir vs prendre le risque de représailles ou de l’échec), les actions sous le seuil de la réponse armée placent ce fardeau sur les épaules de la victime (ne pas répondre et inciter à d’autres attaques vs risquer l’escalade) [33]. Ainsi, une approche plus coercitive pourrait peut-être permettre de regagner de la liberté d’action tout en limitant au maximum les risques d’emballement de la crise.
Conclusion
33 L’impact de la numérisation sur la sécurité internationale dépend donc à la fois des caractéristiques techniques et opérationnelles liées au domaine numérique et de ce que les États en font. Les interactions entre ces derniers, et les logiques qui sous-tendent leurs actions, sont donc perturbées par leurs perceptions des opportunités et des vulnérabilités. En retour, leurs choix stratégiques et les dilemmes qui les accompagnent créent des potentialités d’escalade et de mauvaises perceptions que la plupart souhaitent éviter.
34 Ces éléments posent à nouveaux frais la question de la sécurité collective. Celle-ci dépend largement de deux facteurs : l’établissement d’un régime partagé permettant d’encadrer l’usage des technologies numériques, la capacité des principales puissances garantes de l’ordre politique international à s’entendre pour lutter contre les acteurs perturbateurs et révolutionnaires. Le contexte contemporain d’érosion de la confiance entre les États et vis-à-vis des bénéfices tirés de l’ordre international inviterait plutôt au pessimisme. Le dilemme de sécurité se nourrissant de l’incertitude quant aux intentions des acteurs, il produit d’autant plus d’instabilité si ces dernières sont asymétriques au regard du maintien ou de la contestation de l’ordre politique international. Il l’est davantage encore lorsque la légitimité des règles du jeu international est remise en question, voire lorsque d’autres acteurs contribuent à marginaliser les États.
Mots-clés éditeurs : dissuasion, stabilité, cyberespace, usage de la force, relations internationales
Date de mise en ligne : 04/06/2018
https://doi.org/10.3917/strat.117.0137Notes
-
[1]
Frederick Douzet, « La géopolitique pour comprendre le cyberespace », Hérodote 1/2014 (n° 152-153), p. 7-13.
-
[2]
Julian Jang-Jaccard et Surya Nepal, « A Survey of Emerging Threats in Cybersecurity », Journal of Computer and System Sciences, n° 80, vol. 5, 2014, p. 973-993.
-
[3]
Nous reprenons la catégorisation de Lucas Kello, The Virtual Weapon and International Order, New-Haven : Yale University Press, 2017, p.45. À noter que les compartiments du Web dépendant d’un contrôle d’authentification n’appartiennent pas au dernier ensemble mais bien au second.
-
[4]
Rishi Sunak, « Undersea cables : indispensable, insecure », Policy Exchange Report, 1er décembre 2017, accessible à l’adresse : https://policyexchange.org.uk/ publication/undersea-cables-indispensable-insecure/ (consulté le 3 décembre 2017) ; « Russia : A ‘Risk’ to undersea cables, defence chief warns », BBC News, 15 décembre 2017, accessible à l’adresse : http://www.bbc.com/news/uk-42362500 (consulté le 15 décembre 2017).
-
[5]
C’est ainsi que le gouvernement russe peut se reposer sur des armées de « trolls » et des milliers de bots pour inonder les réseaux sociaux d’informations stratégiquement favorables. Voir Daisy Sindelar, « Inside Russia’s Desinformation Campaign », Defense One, 12 août 2014 ; Shaun Walker, « Salutin’ Putin : Inside a Russian Troll House », The Guardian, 2 avril 2015 ; Adrian Chen, « The Agency », The New York Times, 2 juin 2015. Voir aussi les travaux de Nicolas Vanderbiest sur les élections présidentielles françaises de 2017 : http://www.reputatiolab.com/presidentielle-2017/ (accédé le 27 mai 2017).
-
[6]
Thomas Rid, « Cyber War Will Not Take Place », Journal of Strategic Studies, vol. 35, n° 1, 2012, p. 15.
-
[7]
Les deux attaques les plus sérieuses à ce jour sont liées d’une part au wiper NotPetya qui a nécessité la réinstallation de près de 45 000 postes informatiques après juin 2017 et d’autre part au virus Shamoon qui a détruit les données de plus de 30 000 postes de la société pétrolière saoudienne Aramco en août 2012.
-
[8]
Selon un rapport de l’Agence Internationale à l’Energie Atomique, les dysfonctionnements générés par le virus auraient endommagé un millier de centrifugeuses. Le même document souligne que durant la période d’action de Stuxnet, la production d’uranium enrichi aurait augmenté de 80 kg/mois à 120 kg/mois. Enfin, les centrifugeuses endommagées auraient été en cours de remplacement. Voir Jon R. Lindsay, « Stuxnet and the Limits of Cyber Warfare », Security Studies, vol. 22, n° 3, 2013, p. 390-391.
-
[9]
"@RidT, NotPety incapacited 10 percent of all (!) computers in Ukraine," 6 février 2018, 23:59, accessible à https://twitter.com/RidT/status/961011460238344194; Andy Greenberg, "White House Blames Russia for NotPetya, The 'Most Costly Cyberattack in History'", Wired, 15 février 2018, accessible à https://www.wired.com/story/white-house-russia-notpetya-attribution/ (consulté le 9 avril 2018).
-
[10]
Pour une déconstruction analytique de l’attribution et des moyens d’y remédier, la lecture indispensable reste celle de Ben Buchanan et Thomas Rid, « Attributing Cyber Attacks », Journal of Strategic Studies, vol.38, n°1-2, 2015, p.4-37. Paraphrasant Alexander Wendt, les auteurs affirment que « l’attribution est ce que les États en font ».
-
[11]
Department of Justice/Office of Public Affairs, « U.S. Charges Five Chinese Military Hackers for Cyber Espionage Against U.S. Corporations and a Labor Organization for Commercial Advantage », 19 mai 2014, accessible à l’adresse : https://www.justice.gov/opa/pr/us-charges-five-chinese-military-hackers-cyber-espionage-against-us-corporations-and-labor (consulté le 25 novembre 2017) ; The White House, « Executive Order – Imposing Additional Sanctions With Respect to North Korea », 2 janvier 2015, accessible à l’adresse : https://obamawhitehouse.archives.gov/the-press-office/ 2015/01/02/executive-order-imposing-additional-sanctions-respect-north-korea (consulté le 14 septembre 2015).
-
[12]
Alex Grisby, « The End of Cyber Norms », Survival, vol. 59, n° 6, 2017-2018, p. 109-122.
-
[13]
Barack Obama, International Strategy for Cyberspace, mai 2011 ; voir aussi la deuxième version du Manuel de Tallinn : bien que ne reflétant pas une position officielle, il s’appuie sur les interprétations de juristes américains et européens. Michael N. Schmitt et Liis Vihul (dirs.), The Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations, 2e éd., Cambridge, Cambridge University Press, 2017.
-
[14]
Une avancée notable a pu être observée avec la signature d’une convention sino-américaine sur l’usage du numérique à des fins d’espionnage économique en septembre 2015, convention répliquée avec le Canada, le Royaume-Uni, l’Allemagne, l’Australie et le G20.
-
[15]
La doctrine de sécurité de l’information signée en décembre 2016 par V. Poutine insiste sur les menaces que feraient peser les acteurs privés instruments des services de renseignement occidentaux ainsi que l’image présentée comme biaisée que la Russie recevrait de la part des médias étrangers. Sur la « guerre de l’information », Mark Galeotti analyse les écrits de Valéri Guérassimov, chef d’état-major des armées de la Fédération de Russie depuis 2012, « The ‘Gerasimov Doctrine’ and Russian Non-Linear Warfare », In Moscow’s Shadows, 6 juillet 2014, accessible à l’adresse : https://inmoscowsshadows.wordpress.com/2014/07/06/the-gerasimov-doctrine-and-russian-non-linear-war/ (accédé le 21 septembre 2017). Le terme de doctrine est sans doute excessif dans la mesure où ces réflexions n’ont pas fait l’objet d’une publication officielle. Voir aussi Kevin Limonier et Maxime Audinet, « La stratégie d’influence informationnelle et numérique de la Russie en Europe », Hérodote 2017/1, n° 164, p. 123-144.
-
[16]
Outre la diffusion d’informations biaisées avant la guerre avec la Géorgie en 2008, il faut noter que des méthodes similaires semblent avoir été utilisées en Ukraine : James Andrew Lewis, « Compelling Opponents to Our Will : The Role of Cyber Warfare in Ukraine », in Kenneth Geers (dir.), Cyber War in Perspective : Russian Agression against Ukraine, Tallinn : Nato CCD COE Publications, 2015, p. 39-47.
-
[17]
Robert Sheldon et Joe McReynold, « Civil-Military Integration and Cybersecurity : A Study of Chinese Information Warfare Militias » in Jon R. Lindsay, Tai Ming Cheung et Derek S. Reveron, China and Cybersecurity : Espionage, Strategy and Politics in the Digital Domain, New York, Oxford University Press, 2015, p.197 et sq.
-
[18]
Le GCHQ britannique estime ainsi que les opérations sur TV5 Monde en avril 2015 et sur le compte Twitter du CENTCOM US en janvier 2016 sont des manœuvres des renseignements russes détournées sur des acteurs jihadistes. Ce faisant, il ne peut conclure si cela témoigne d’une montée en puissance ou s’il s’agit de manœuvres destinées à renforcer les capacités organisationnelles. Voir Intelligence and Security Committee of Parliament, Annual Report 2016-2017, p. 51. Selon CNN, le FBI soupçonnerait des hackers russes d’avoir diffusé un faux discours de l’émir du Qatar favorable à l’Iran après avoir piraté la Qatar News Agency le 23 mai 2017, Evan Perez, « US suspects Russian Hackers Planted Fake News Behind Qatar Crisis », 7 juin 2017, accessible à l’adresse : http://edition.cnn.com/2017/06/06/politics/russian-hackers-planted-fake-news-qatar-crisis/index.html (consulté le 5 septembre 2017).
-
[19]
« Iranians Charged with Hacking U.S. Financial Sector », fbi.gov, 24 mars 2016 ; accessible à l’adresse : https://www.fbi.gov/news/stories/iranians-charged-with-hacking-us-financial-sector (consulté le 25 novembre 2016) ; Andy Greenbert, « New group of Iranian Hackers Linked to destructive Malware », Wired, 20 septembre 2017, accessible à l’adresse : https://www.wired.com/story/iran-hackers-apt33/ (consulté le 20 septembre 2017) ; Lily Hay Newman, « Iranian Hackers have been infiltrating Critical Infrastructure Companies », Wired, 7 décembre 2017, accessible à l’adresse : https://www.wired.com/story/apt-34-iranian-hackers-critical-infrastructure-companies/ (consulté le 7 décembre 2017).
-
[20]
Michael Mimoso, « Inside Nls_933w.DLL, the Equation Apt Persistence Module », ThreatPost, 17 février 2015, accessible à l’adresse : https://threatpost.com/inside-nls_ 933w-dll-the-equation-apt-persistence-module/111128/ (consulté le 14 août 2017). Equation Group est le nom donné par la firme Karsperky à une entité de la NSA Américaine.
-
[21]
Eric M. Hutchins, Michael J. Cloppert, Rohan M. Amin, « Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains », papier présenté à la 6e Annual International Conference on Information Warfare and Security, Washington, DC : 17-18 mars 2011, accessible à l’adresse : https://www.lockheedmartin.com/content/dam/lockheed/data/corporate/documents/LM-White-Paper-Intel-Driven-Defense.pdf (consulté le 21 décembre 2017).
-
[22]
Martin C. Libicki, « Cyberspace is not a Warfighting Domain », A Journal of Law and Policy for the Information Society, vol. 8 n° 2, 2012, p. 326.
-
[23]
La mise en place de correctifs (patches) interdit la pénétration de TOUS les systèmes sur lesquels ils sont installés. L’efficacité du processus dépend évidemment de sa rapidité et de sa généralisation. Voir Max Smeets, « A Matter of Time : On the Transitory Nature of Cyberweapons », Journal of Strategic Studies, 2017, p. 10.
-
[24]
Helen Nissenbaum, « Where Computer Security Meets National Security », Ethics and Information Technology, vol. 7, n° 2, 2005, p. 61-73.
-
[25]
Bruce Schneier, « Crypto-Gram », Schneier on Security, 15 septembre 2000, accessible à l’adresse : https://www.schneier.com/crypto-gram/archives/2000/0915.html (consulté le 3 décembre 2017). Pour une démonstration plus complète, voir Max Smeets, « A Matter of Time », art. cit., p. 1-28.
-
[26]
Ben Buchanan, « The Life Cycle of Cyber Threats », Survival, vol. 58, n° 1, 2016, p. 46-47.
-
[27]
Lucas Kello, The Virtual Weapon, op. cit., p. 167-175 ; Thomas Rid et Peter McBurney, « Cyber-Weapons », The RUSI Journal, vol. 157, n° 1, 2015, p. 6-13.
-
[28]
Ben Buchanan, The Legend of Sophistication in Cyber Operations, Harvard Belfer Center for Science and International Affairs, janvier 2017, p. 7-13.
-
[29]
Ben Buchanan, The Cybersecurity Dilemma : Hacking, Trust and Fear Between Nations, Londres, Hurst & Co., 2016.
-
[30]
Il faut souligner les risques posés par la dissuasion multi-domaines qui dissocie la nature de l’attaque et la nature de la réponse. Sur ce débat, lire Martin C. Libicki, « De Tallinn à Las Vegas : une cyberattaque d’importance justifie-t-elle une réponse cinétique ? », Hérodote, vol. 152-153, n° 1, 2014, p. 221-239.
-
[31]
Tim Stevens, « A Cyberwar of Ideas ? Deterrence and Norms in Cyberspace », Contemporary Security Policy, vol. 33, n° 1, 2012, p. 148-170.
-
[32]
Lucas Kello, The Virtual Weapon, op. cit., p. 208 et sq. Voir aussi Uri Tor, « Cumulative Deterrence as a New Paradigm for Cyber Deterrence », Journal of Strategic Studies, vol. 40, n° 1, 2017, p. 92-117.
-
[33]
Comme l’a illustré l’échec des manœuvres dissuasives tentées par l’administration Obama afin de prévenir puis de répondre à l’interférence russe lors des élections de 2016.