Cyberguerre : Faire la guerre sans le dire

Par Manon Goureau, chargée de mission au sein du département Sécurité et Défense internationales de l'Institut d'études de géopolitique appliquée

L'enjeu grandissant de la cyber sécurité a pu s'illustrer de bien des façons ces dernières années. Piratage du système d'information de la présidence française en 2012 (via le compte Facebook d'un collaborateur du Président), implant de malware espion dans les GSM des décideurs politiques mondiaux (via le logiciel d'exploitation Pegasus), affaires WannaCry, Notpeya, SolarWinds ou encore Colonial Pipeline, la frontière entre les sphères civiles et militaires face aux assauts du numérique semble se confondre et redéfinir les notions d'ingérence, de guerre et de paix sur le plan légal et stratégique.

Pour comprendre les implications actuelles de la guerre du cyber et son caractère « hybride » voire asymétrique, on ne peut faire l'économie d'une rétrospective historique.

Les questions de protection de l'information et d'attaque ne sont pas nouvelles. Dès la Seconde Guerre mondiale, la France sépare le chiffrement en une mission de défense (chiffrement et déchiffrement) et une mission d'attaque (renseignement, interception et décryptement). Ces opérations sont coordonnées au niveau interministériel afin de cibler la principale menace que constitue la confidentialité des télécommunications. Pour se protéger, la France lance des programmes d'équipement de chiffrement (produits cryptographiques) dont elle confie la conception aux industriels. La France a conscience alors que ces derniers vont produire du matériel de guerre. La croissance de ces industries privées de défense est également attisée par l'OTAN au travers de concours de machine de chiffrement entre les différents alliés, poussant à leur multiplication.

Les années 80 voient l'essor de l'ère digitale, de la démocratisation de l'outil numérique et de la connectivité sociale. Emporté par les idéaux d'une structure nouvelle, empreinte de liberté d'expression, de partage et d'égalité, les artisans de l'outil numérique et notamment les industriels dans le chiffrement, le façonnent sans structure, sans régulation et sans mode d'emploi d'utilisation. Le secteur devient incontrôlé, ouvrant la porte à toute pratique malveillante. Les nouveaux géants privés n'ont pas conscience des risques liés à la vente de certaines informations et technologies, tandis que les États sont eux-mêmes dépassés par ces nouveaux enjeux s'élevant au-delà de leur espace légal.

Des pays comme la France identifient, dès le début des années 2000 [1], les risques graves que font peser les cyber menaces sur les infrastructures nationales. Les années 2010-2020 vont voir les intérêts commerciaux des grandes industries fragiliser davantage l'espace informatique, avec un accroissement de la technologie numérique et de sa grande friabilité. Un produit est remplacé par un autre dans une optique de vendre toujours plus, et ce sans garde-fou ni considération pour les effets ricochets.

Dans cette configuration nous assistons à une évolution des modes opératoires, une sophistication technique des outils d'attaques utilisés, une complexification croissante en termes d'attribution des attaques, liés à l'essor des marchés de ces outils.

Les pratiques malveillantes, de plus en plus complexes (sabotage, espionnage, déstabilisation politique, coercition, enrichissement...) ainsi que l'émergence de nouveaux profils et l'hybridation d'acteurs malveillants (individuels, terroristes, États et criminels) se multiplient.

Leurs motifs évoluent également, passant d'un simple piratage opportuniste - espionner ses ennemis - à des intérêts financiers, des motivations politiques, voire pourquoi pas, à l'attaque de l'intégrité et l'indépendance d'un pays ?

Faire la guerre sans le dire

Depuis quelques années, les chercheurs s'interrogent : la cyberguerre rentre-t-elle dans le champ des conflits armés ? L'état de guerre désigne une situation juridique à laquelle le droit attache un régime spécifique.

Le droit international public est conçu pour réglementer la guerre cinétique, classique. Traditionnellement la guerre est réservée aux États, mais le terrorisme et l'attribution d'attaques transnationales asymétriques par des acteurs armés non-étatiques ces dernières années (comme le groupe Daech) montrent l'adaptabilité du droit à travers la coutume, aux nouvelles formes de guerres hybrides.

Dans le cas d'attaques dans un milieu virtuel et ayant un impact direct ou indirect sur notre réalité physique, une attribution est bien souvent difficile qu'elle soit étatique ou par des acteurs non-étatiques. Multiplication des intermédiaires, anonymisation ou encore fausse identité, ne sont pas les seuls atouts empêchant une identification. L'internet peut passer par de multiples juridictions rendant les poursuites compliquées, sans compter celles qui ne condamnent pas toutes les pratiques informatiques malveillantes.

De même ces attaques cyber, si récurrentes, n'atteignent pas forcément le seuil de répétition et le degré de gravité retenu la jurisprudence et la doctrine pour définir une agression et justifier une entrée en guerre.

Enfin, une attaque sous forme de désinformation peut-elle être considérée comme une attaque armée ? S'interroger sur la nature de ces attaques cyber est important, car de cette nature dépend la réponse.

Face à des individus privés qui lancent une attaque de type rançongiciel pour des raisons financières, la réponse semble davantage défensive qu'offensive. Mais face à une campagne d'attaques cyber par déni de service distribué (DDOS) contre un pays comme l'Ukraine en 2014 (lors de l'annexion de la Crimée) ou encore dès février 2022 contre les sites du gouvernement Ukrainien, la réponse à cette crise doit-elle être la seule protection des victimes ou bien doit-elle être tournée vers l'agresseur pour qu'il cesse son action malveillante et sous quelle forme ?

Les Hackers (qu'ils soient mandatés par un gouvernement ou indépendant) connaissent depuis longtemps les enjeux économiques et politiques derrière nos écrans. La plasticité opérationnelle qu'offrent les moyens cyber comme la désinformation ou les attaques DDOS est une véritable manière de faire la guerre, mais sans le dire ce qui permet ainsi d'éviter le fragile équilibre de la terreur nucléaire.

À l'image de la récente attaque cyber sur Colonel Pipeline, les conséquences économiques et sociales sur une partie d'un pays peuvent être très dommageables, au point d'impacter la souveraineté et l'indépendance d'un pays.

L'utilisation du cyberespace permet d'attaquer un État ennemi sans pénétrer sa zone géographique, ni le combattre physiquement. Néanmoins l'impact économique et social de telles cyberattaques n'en demeure pas moins dommageable à son intégrité.

Des solutions nationales ?

Les nouvelles tensions géopolitiques qui en découlent poussent à un accroissement des activités mondiales de cyber sécurité face aux enjeux de sécurité dans la société civile et économique. Les infrastructures critiques (Opérateur d'importance vitale - OIV - comme l'énergie, le nucléaire, l'eau, la santé...) détenues en grande partie par le secteur privé, font l'objet d'attaques importantes, pouvant avoir des effets dévastateurs sur un pays.

Les États vont tenter de recréer de la centralité et du contrôle sur des espaces qui semblent de moins en moins pacifiés et capable de se réguler seuls.

Sur le plan institutionnel, sous l'égide du Secrétariat général de la Défense et de la sécurité nationale (SGDSN) [2], la France se dote dès 2008 de l'Agence nationale de la sécurité des systèmes d'information (ANSSI) qui d'une part, propose les règles à appliquer pour la protection des systèmes d'information de l'État et d'autre part, assure un service de veille, de détection, d'alerte et de réaction aux attaques informatiques sur les OIV. En aucun cas l'ANSSI ne peut mener des missions cyber offensives. Elle n'est pas non plus un service de renseignement.

Au fil des ans, tout un arsenal étatique vient se mettre en place avec la création du commandement de la cyberdéfense (COMCYBER) au sein du ministère des Armées, la délégation ministérielle aux industries de sécurité et à la lutte contre les cyber menaces (DMISC), l'office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC), la brigade d'enquête sur les fraudes aux technologies de l'information (BEFTI) ou encore le centre de lutte contre les criminalités numériques (C3N) au sein du ministère de l'Intérieur ; le commissariat à l'intelligence stratégique et à la sécurité économique (CISSE) et la direction des entreprises (DGE) à Bercy, ou encore la direction des affaires stratégiques, de sécurité et du désarmement du ministère de l'Europe et des Affaires étrangères.

Il faut également citer le Conseil de défense et de sécurité nationale (CDNS), appuyé par le Comité de direction de la cyberdéfense (CODIR cyber) et le Comité de pilotage de la cyberdéfense (COPIL cyber) au sein duquel sont organisées les orientations nationales en matière de cyberdéfense.

Enfin il ne faut pas oublier les services de renseignement, qui sont des acteurs incontournables dans l'attribution des cyberattaques.

Sur le plan logistique, pour répondre aux attaques cyber, les États peuvent enclencher deux réponses : un dispositif étatique de gestion de crise qui sera tourné davantage vers les victimes et une réponse tournée vers l'agresseur, n'impliquant pas nécessairement de riposte.

S'agissant de la première, les acteurs français cités précédemment s'emploient à assurer la sécurité numérique au niveau national grâce à des missions de prévention, d'anticipation et de protection.

S'agissant de la deuxième réponse, La Revue stratégique de cyberdéfense de 2018 formalise l'idée d'une chaîne opérationnelle de cyberdéfense dédiée à la protection. Ce même document appelle « un renforcement substantiel à la fois des moyens défensifs et offensifs de la France » invitant les armées à planifier et conduire des opérations numériques jusqu'au niveau tactique, mais interdisant les hackback (riposte) par les acteurs privés. Ici la frontière entre civil et militaire reprend son sens.

L'appel à la création de capacités cyber offensives est un grand pas dans la lutte contre les cyberattaques, puisqu'elle apporte désormais une réponse à l'agresseur. Par ailleurs, dans ce document, la France reconnaît les cyberattaques majeures comme une agression armée au sens de l'article 51 de la Charte des Nations unies, s'octroyant ainsi un droit de légitime défense selon le droit international public. Elle ouvre donc la porte à la reconnaissance d'une cyberattaque comme acte de guerre, à l'application du droit des conflits armés et donc une véritable guerre cyber.

La conceptualisation d'une guerre du cyber « cinétique » semble compliquée avec des acteurs privés du numérique plus riches et puissants que certains États, des frontières intraçables et une numérisation technologique dont les moyens et les techniques échappent à une régularisation positive et créent une conflictualité stratégique en perpétuelle croissance.

Au niveau international, une défense active possible ?

Pour illustrer cette conflictualité stratégique, pensons à l'article 5 du traité de l'Atlantique Nord (TAN) qui détaille une clause d'assistance mutuelle des nations alliées en cas d'agression armée contre l'une d'elle.

D'une part du coté offensif, il semble que les trente États membres s'accordent à voir une cyberattaque contre l'un d'entre eux comme entraînant la possibilité d'invoquer l'article 5 du TAN (suite au sommet de Newport en 2014). Aucune précision doctrinale n'a été apportée et la seule fois où l'article a été invoqué, aucune offensive n'a été menée [3]. Pour que l'agression cesse, il faudrait une riposte immédiate cyber, or l'OTAN n'a, en théorie, pas de capacité cyberoffensive comme le hackback. Il faudrait donc que la réplique intervienne sur un autre domaine militaire comme le milieu terrestre. Mais alors où frapper dans la limite du droit international public ?

D'autre part du coté défensif, les commandements de l'OTAN n'interviennent que sur les réseaux communs de l'OTAN avec une cyberdéfense active. Néanmoins, il est improbable qu'un État donne un accès permanent et surtout complet à l'ensemble de son réseau pour des raisons évidentes d'espionnage cyber (l'espionnage entre alliés étant davantage la règle que l'exception.)

Finalement, trouver un consensus suffisant pour attribuer l'attaque à des personnes et entités est compliqué. Ainsi, sous l'égide de l'OTAN, de l'ONU, de l'OCDE ou de l'UE, un nombre important de documents de régulation et de coopération ont vu le jour ces dernières années, mais toujours sous le prisme de la cyberdéfense « passive ».

La guerre du cyber n'est pas déclarée, elle se joue en subreptice et redessine les moyens militaires traditionnels et le type de réponse apportée à l'agresseur. Il faut ici mentionner le cas de la Russie et la potentielle vague de cyberattaques qui pourrait être dirigée vers l'Union européenne comme l'a annoncé le 21 mars 2022 Joe Biden, suite aux sanctions économiques drastiques contre la Russie en réponse à l'invasion de l'Ukraine. La guerre n'est plus tellement fantôme lorsqu'elle est en capacité de paralyser des pays, mais davantage effrayante quand notre défense ne semble que « passive ».

La responsabilité des acteurs privés

Le cyberespace tend à devenir un véritable espace de non-droit avec l'émergence d'acteurs privés puissants financièrement qui rebattent les cartes des relations internationales et la façon de faire la guerre. Yann Salamon explique qu'aujourd'hui les technologies du numérique permettent aux grands et puissants acteurs privés de s'accaparer des fonctions traditionnellement réservées aux États « battre monnaie (cf. les monnaies électroniques), user de la « violence légitime » (cf. le sujet du « hackback »), désigner l'adversaire (cf. l'attribution de cyberattaques par des entreprises privées de cyber threat intelligence) » [4].

Aussi, ils subissent le même sort que les États face à des évènements incontrôlables. Le télétravail non anticipé et non maitrisé à l'occasion de la pandémie de Covid-19 a accru les vulnérabilités des entreprises et donc des actes de cybermalveillances dans la sphère économique. Cette pratique du télétravail, si elle est une importante source d'économie pour les entreprises, peut s'avérer dangereuse et pourtant demeure largement appliquée malgré la possibilité de retourner dans des locaux protégés.

Aujourd'hui les PME victimes de cyberattaque préfèrent payer le prix d'un rançongitiel eu égard au coût économique que représenterait une opération de remédiation couplée au préjudice sur l'image de la marque, mais au prix de renseignements important pour les services secrets nationaux et les accords de coopération mis en place par l'ANSSI.

De tels comportements ouvrent la porte à des attaques massives et de plus en plus récurrentes.

D'une affaire entre États, la régulation du cyberespace doit passer par des accords de régulation avec le secteur privé. Une forte coopération mutuelle est de rigueur à tous les niveaux. Le domaine légal est également une arme importante à disposition des États.

Les industries de la télécommunication jadis et du numérique aujourd'hui, vendent leur outils et technologies pour être rentables sur des marchés qui les dépassent. Grâce à l'arrangement de Wassenaar qui permet de coordonner les politiques nationales en matière de contrôle des exportations d'armes et de biens à double usage, des pays comme la France ont pu inscrire des outils et techniques utilisés à l'occasion de cyberattaques et ainsi freiner de grands acteurs privés dans la vente de technologies numériques pouvant devenir des armes de déstabilisation.

Si la reconnaissance des responsabilités spécifiques des acteurs privés est un sujet important, installer des logiciels de sécurité sur nos infrastructures critiques et tenter de contrôler les réseaux, comme nous avons pu le voir, n'est pas suffisant. Certains chercheurs préconisent de débrancher la prise, désautomatiser certaines fonctions ou réintroduire les humains dans le processus [5]. D'autres pourront défendre qu'il faut porter le combat chez l'ennemi à défaut d'arrêter les attaquants, mais là encore nous avons pu voir que ce n'est pas aisé.

La guerre du cyber est bien réelle. Elle n'est plus le seul apanage des États, mais de qui la veut. Des groupes privés comme Anonymous portent déjà les armes, avec par exemple leur récente attaque sur des chaines de télévision russes pour dénoncer l'invasion en Ukraine. La guerre du cyber ne tue pas des civils, mais des économies, des sociétés et de façon plus discrète, la démocratie.

Ainsi pour reprendre les mots justes de Sébastien Picard, chef de la branche « opérations de cyber défense » du NATO HQ LANDCOM « il est à espérer que proche est le moment où Arthur considèrera le cyber non comme merlin, mais comme Excalibur à son poing ». [6]

[1] Livre blanc sur la défense et la sécurité nationale de 2008.

[2] Le Secrétariat général de la défense et de la sécurité nationale fait partie des secrétariats généraux sous le giron du Premier Ministre, qui est chargé de la politique publique de sécurité et de défense des systèmes d'information (il coordonne l'action gouvernementale en matière de cybersécurité).

[3] En 2007 l'Estonie a subi une vague massive de cyberattaque et a invoqué l'article 5 TAN. Ce sont posées les questions de considérer ou non une cyber attaque comme une agression, si cette dernière rentrait dans le champ de l'article 51 de la Charte des Nations Unies ; et du type de réponse cyber à apporter entre autre. Devant ces problèmes doctrinaux aucune réponse militaire collective n'a été activé.

[4] Y. SALAMON, « Cybersécurité et cyberdéfense enjeux stratégiques », éd. Ellipses, 2020, p. 241.

[5] S.BERINATO, « La réponse à la manoeuvre : défense active et hackback », in La fin de la cybersécurité : réagir aux menaces, Harvard Business Review, Avril-mai 2019.

[6] S.PICARD, « Intégrer les opérations cyber à la guerre moderne », Revue Conflits, 15 octobre 2021.