Cyberdéfense et géopolitique

La cyberdéfense, nouvelle arme géopolitique

Dossier : ExpressionsMagazine N°753 Mars 2020
Par Philippe PIRON (D2000)

La plu­part des com­men­ta­teurs s’accordent pour con­sid­ér­er le pas­sage au numérique comme une véri­ta­ble nou­velle révo­lu­tion indus­trielle. En effet, le cybere­space pro­duirait aujourd’hui plus du quart de la crois­sance mon­di­ale, même s’il ne représente que 5,2 % du PIB mondial.
Les États-nations, mais aus­si cer­tains acteurs non éta­tiques : firmes multi­na­tionales, organ­i­sa­tions crim­inelles inter­na­tionales… ont rapi­de­ment com­pris que maîtris­er la sphère cyber deve­nait le déter­mi­nant de la supéri­or­ité stratégique dans un monde devenu numérique.

L’importance stratégique du cybere­space tient plus à ses qual­ités sys­témiques qu’à ses capac­ités de catal­y­seur économique. Véri­ta­ble sys­tème nerveux de nos sociétés mod­ernes, il offre au monde une nou­velle dimen­sion après la terre, la mer, l’air ou l’espace. Ce nou­v­el ordre, pure con­struc­tion humaine com­bi­nant à la fois des couch­es physiques (ordi­na­teurs, réseaux…), logi­cielles (pro­grammes, pro­to­coles de com­mu­ni­ca­tion) et séman­tiques (con­tenus…), a pris récem­ment une ampleur inédite avec l’émergence du big data et du savoir syn­thé­tique, que l’on préfère traduire par intel­li­gence arti­fi­cielle. L’univers devient un flux gigan­tesque de don­nées, dont le vol­ume et les pos­si­bil­ités de traite­ment ont req­uis des infra­struc­tures de plus en plus automa­tisées. Ces plate­formes (Gafam, Batx…) ont engen­dré une économie de la sur­veil­lance général­isée des activ­ités humaines et une quête de la pré­dic­tion omni­sciente, afin que la machine con­naisse mieux l’homme qu’il ne se con­naît lui-même.

Un théâtre de conflits multiformes, où l’avantage reste à l’attaquant

Le cybere­space est désor­mais un champ de con­fronta­tion à part entière, exten­sion logique du théâtre des con­flits asymétriques aux­quels se livrent les prin­ci­pales puis­sances depuis la nuit des temps : espi­onnage, sab­o­tage, sub­ver­sion et désta­bil­i­sa­tion économique… Les cyber­at­taques, exploitant les vul­néra­bil­ités et les failles des sys­tèmes d’information, sont dev­enues la face vis­i­ble de ces con­fronta­tions. Les plus médi­a­tiques ont démar­ré au milieu des années 2000, avec l’attaque du min­istère coréen des Affaires étrangères en 2005, suiv­ie de plusieurs piratages d’ordinateurs gou­verne­men­taux en Europe et aux USA, don­nant lieu au vol des plans du chas­seur F‑35, pour finir par des sab­o­tages reten­tis­sants, comme celui des cen­trifugeuses irani­ennes par le virus Stuxnet en 2010. Depuis l’attaque russe en déni de ser­vice sur l’Estonie, paralysant min­istères, ban­ques, hôpi­taux et télé­com­mu­ni­ca­tions en 2007, les États ont véri­ta­ble­ment pris con­science de la puis­sance offen­sive des armes cyber, capa­ble de paral­yser, voire détru­ire, sinon les infra­structures vitales d’un pays du moins ses intérêts nationaux. La men­ace cyber se car­ac­térise toute­fois par une rapid­ité, une évo­lu­tiv­ité, une réplic­a­bil­ité et une com­plex­ité qui con­fèrent un avan­tage struc­turel à l’attaquant. Dans le monde cyber, où l’on estime la volumétrie des agres­sions en mil­liards chaque année, atta­quer se révèle beau­coup plus aisé et moins coû­teux que défendre. L’attaquant est partout, dif­fi­cile à détecter et à authen­ti­fi­er, créatif et prompt à dévelop­per tou­jours de nou­velles attaques, voire de nou­veaux mod­èles économiques comme ces cyber­armes com­mer­cial­isées en soft­ware as a ser­vice sur le Dark­net. Les tech­nolo­gies de l’information évolu­ant à une vitesse expo­nen­tielle, la men­ace cyber évolue tou­jours plus rapi­de­ment que toute réponse insti­tu­tion­nelle. La tech­nolo­gie dis­tance le proces­sus poli­tique, requérant une tac­tique de défense « data-centrique ».

“Le différentiel d’économie des forces
entre attaque et protection rend aujourd’hui le combat par trop inégal.”

L’épineux rétablissement de l’équilibre des forces entre offensif et défensif

Les États ont rapi­de­ment cher­ché à con­stituer un boucli­er défen­sif en amélio­rant la résilience des sys­tèmes d’information vitaux et en pous­sant à une meilleure préven­tion des risques, comme celle prônée par l’ANSSI en France. Absol­u­ment néces­saire, leur portée ne peut rester que lim­itée, notam­ment lorsque les couch­es physiques sont atteintes, comme l’ont mon­tré les failles Spec­tre ou Melt­down affec­tant les micro­processeurs. Le dif­féren­tiel de coût entre une attaque à quelques mil­liers de dol­lars et une pro­tec­tion à plusieurs cen­taines de mil­lions pour l’ensemble des entre­pris­es et des admin­is­tra­tions visées rend le com­bat par trop iné­gal. Enfin, les tech­niques défen­sives ont l’inconvénient d’être vite obsolètes. Elles demeurent fondées sur une base de sig­na­tures d’attaques préal­able­ment iden­ti­fiées, insuff­isantes face à des men­aces très évo­lu­tives ou aux attaques les moins détecta­bles comme les Advanced Per­sis­tent Threat. Actu­alis­er en temps réel ces bases de sig­na­tures exige une ouver­ture d’échanges entre nations, acteurs privés et publics, qui demeure une gageure à l’échelle mondiale.

Face à cette inféri­or­ité struc­turelle du volet défen­sif, le Cyber Com­mand améri­cain a appelé à amélior­er la capac­ité d’attribution des attaques et à dévelop­per des solu­tions de rétor­sion. En 2011, les États-Unis déclaraient que des attaques con­tre leurs infra­struc­tures numériques pour­raient don­ner lieu à des repré­sailles mil­i­taires con­ven­tion­nelles, rejoints récem­ment par le Japon qui procla­mait son droit à l’autodéfense en cas de cyber­at­taque sur ses intérêts vitaux. Mal­gré le flou juridique sur ces ques­tions de droit inter­na­tion­al, le cen­tre d’excellence cyber de l’Otan cor­rob­o­rait la posi­tion améri­caine en affir­mant que le droit des con­flits armés s’appliquait au cybere­space. Ce n’est pas la posi­tion de la France, qui recon­naît l’applicabilité du droit inter­na­tion­al au cybere­space, mais reste hos­tile à l’utilisation général­isée de tech­niques offen­sives telles que le hack-back.

Les mécanismes classiques de la dissuasion peu opérants dans le cyberespace

Choisir la pos­si­bil­ité de rétor­sion « autres que cyber » s’apparente à une stratégie de dis­sua­sion dis­symétrique par­ti­c­ulière, généra­trice d’escalades ou de glob­al­i­sa­tion d’un con­flit. Au-delà de la ques­tion juridique,
le mécan­isme de dis­sua­sion requérant un volet offen­sif est-il vrai­ment adap­té à la cyberdéfense ? Dis­suad­er par l’intimidation requiert de démon­tr­er ses pleines capac­ités de détec­tion, d’authentification de l’agresseur et surtout de con­va­in­cre de sa volon­té poli­tique et de sa crédi­bil­ité tech­nique à lancer une riposte intolérable pour l’attaquant. Le « brouil­lard numérique » et la furtiv­ité de cer­taines armes cyber peu­vent laiss­er penser que nom­bre d’attaques restent non décelées. Déter­min­er l’identité de l’agresseur demeure prob­lé­ma­tique, car les tech­nolo­gies numériques offrent de mul­ti­ples options (intru­sion wifi, déni de ser­vice) pour dis­simuler effi­cace­ment son iden­tité. Par ailleurs, le cyber­merce­nar­i­at ou « l’hacktivisme patri­o­tique » offrent des par­avents pra­tiques ou ren­dent l’attribution de prime abord con­testable, comme les attaques sur la Géorgie en 2008 ou le piratage de TV5 Monde en 2015 ont pu l’illustrer. L’origine géo­graphique ou la plu­ral­ité des acteurs per­me­t­tent rarement une imputabil­ité solide de l’attaque pour pou­voir en con­va­in­cre l’ensemble de l’écosystème. Enfin, la ques­tion de la crédi­bil­ité en ter­mes de riposte est déli­cate : les cyber­puis­sances ne sont pas dis­ertes sur leurs capac­ités réelles, la volon­té poli­tique d’entrée dans une pos­si­ble escalade est sou­vent très fragile. 

Men­ac­er publique­ment de ripostes sur une attaque pré­cise, c’est égale­ment recon­naître ses failles et poten­tielle­ment accentuer à court terme ses vul­néra­bil­ités. La préférence pour des repré­sailles non vis­i­bles ou imputa­bles, sou­vent décalées dans le temps, enlève les fon­da­men­taux d’une dis­sua­sion effi­cace. Les mécan­ismes de la dis­sua­sion offen­sive se heur­tent à des freins inhérents à la nature spé­ci­fique du monde cyber.

“L’origine géographique de l’agression
ou la pluralité des agresseurs permettent rarement une imputabilité solide de l’attaque.”

La voie médiane d’une cyberdéfense active

Si la cyberdéfense reste la pri­or­ité des États forte­ment numérisés, elle dif­fère sur leur doc­trine et leur gou­ver­nance, notam­ment sur l’usage et l’organisation des volets offen­sif et défen­sif. Les pays anglo-sax­ons ont plutôt opté pour des struc­tures en charge des deux volets (Cyber Command/NSA aux USA, GCHQ/SIS au Roy­aume-Uni), la France a résol­u­ment souhaité sépar­er la lutte infor­ma­tique défen­sive (ANSSI, min­istère de l’Intérieur) de la lutte infor­ma­tique offen­sive (Com­cy­ber, DGA, agences de ren­seigne­ments) et ce afin de mieux garan­tir la pro­tec­tion des lib­ertés fon­da­men­tales. L’ensemble se coor­donne autour de comités (comité directeur de la cyberdéfense, comité directeur de la cyber­sécu­rité, C4). Le min­istère des Armées a con­fir­mé en 2019 que sa doc­trine de cyberdéfense com­pre­nait une dimen­sion offen­sive, mais que cette dernière en matière de riposte ou d’attribution publique demeu­rait un priv­ilège régalien. Les USA préfèrent con­sid­ér­er que le droit à la légitime défense dans l’espace cyber con­fère la pos­si­bil­ité aux acteurs privés d’effectuer des intru­sions dans les sys­tèmes advers­es pour les détruire.

Si la panoplie d’outils défen­sifs reste néces­saire, bien qu’insuffisante face à l’ampleur et à la com­plex­ité de la men­ace, les solu­tions offen­sives n’ont pas encore démon­tré leur pleine capac­ité à dis­suad­er de manière effi­cace. Pour autant, une défense plus proac­tive est cer­taine­ment envis­age­able, en per­me­t­tant de remon­ter à la source d’une attaque en qua­si temps réel, en automa­ti­sant la détec­tion, la pro­tec­tion et la neu­tral­i­sa­tion de men­aces. Amélior­er les capac­ités de préemp­tion, de con­tre-mesures par leurre ou brouil­lage, de chiffre­ment sem­ble être la voie à une cyberdéfense active effi­cace, mais respectueuse de la doc­trine et de la loi française.

La cyberdéfense active met l’accent sur l’importance du ren­seigne­ment cyber qui con­siste à col­lecter, analyser, cor­réler, con­tex­tu­alis­er, de partager les sig­naux faibles – voire de les provo­quer – afin de pass­er du mode réac­t­if au mode proac­t­if, tout en ten­tant de semer le doute ou la con­fu­sion chez l’agresseur. Une telle approche requiert le développe­ment d’outils forte­ment automa­tisés voire d’intelligence arti­fi­cielle, et met l’accent sur la cap­i­tal­i­sa­tion des con­nais­sances des attaquants qui implique une coopéra­tion pub­lic-privé inter­na­tionale plus avancée.

Cyberdéfense

Un nouveau défi stratégique pour ce XXIe siècle

Face à une numéri­sa­tion totale, la maîtrise des don­nées et l’accès à l’énergie devi­en­nent les prin­ci­paux déter­mi­nants de la sou­veraineté des nations du xxie siè­cle. À l’heure de l’essor de l’internet des objets, dopé par le futur déploiement des réseaux radio 5G, la ques­tion de la sécuri­sa­tion des com­mu­ni­ca­tions élec­tron­iques prend une dimen­sion iné­galée. D’après l’Idate, près de
50 mil­liards d’objets con­nec­tés seront en cir­cu­la­tion en 2020. Comme récem­ment démon­tré au dernier Forum inter­na­tion­al de la cyber­sécu­rité, c’est d’ores et déjà la sécu­rité de nos auto­mo­biles actuelles (pirat­a­bles par leur bus élec­tron­ique ou leurs senseurs radio) qui est en jeu. Cette inter­con­nec­tiv­ité démul­ti­pliée sur des équipements pou­vant avoir des con­séquences létales (moyens de trans­port auto­mo­bile, fer­rovi­aire, aérien ; matériel médi­cal hos­pi­tal­ier ; automa­tismes indus­triels et dis­posi­tifs de main­te­nance pré­dic­tive…) rend per­méables les ques­tions de cyber­sécu­rité (vols de don­nées, détourne­ments financiers…) avec celles de la cyberdéfense. Le car­ac­tère très dual des tech­nolo­gies de l’information com­plique la donne stratégique. Les tech­nolo­gies de type machine learn­ing ou deep learn­ing sont sans con­teste une option pour traiter la pro­liféra­tion des attaques, mais elles con­stituent égale­ment de nou­veaux vecteurs pour con­tr­er ou sat­ur­er une cyberdéfense évoluée. Ain­si, en 2017, le rançongi­ciel Cer­ber util­i­sait déjà des tech­niques d’évasion per­me­t­tant le con­tourne­ment d’algorithmes de machine learn­ing.

Les enjeux liés à la cyberdéfense sont main­tenant devenus si stratégiques qu’ils con­di­tion­nent non seule­ment la prospérité économique, mais aus­si la con­ti­nu­ité de la paix mon­di­ale. Les affron­te­ments dans le cybere­space ne sont pas seule­ment la man­i­fes­ta­tion de con­flits asymétriques pro­pres à la guerre froide. Ils sont le symp­tôme d’une véri­ta­ble recom­po­si­tion de l’échiquier stratégique entre États-nations et nou­veaux acteurs éta­tiques… ou non. L’univers cyber présente ain­si des car­ac­téris­tiques si dis­tinctes du monde physique, qu’il nous fau­dra penser un sys­tème de défense qui tran­scende les mécan­ismes clas­siques du géopolitique.


Vers une cyberdéfense active

Il s’agit de con­stituer une nou­velle chaîne détec­tion-pro­tec­tion-action dotée d’un d’apprentissage con­tinu et automa­tisé, afin non seule­ment de par­er les attaques, mais aus­si de ten­ter de mod­i­fi­er le com­porte­ment des attaquants :

Détec­tion : ren­seigne­ment en amont – et non postin­ci­dents – des men­aces, des agresseurs poten­tiels et de leur modus operan­di ; sig­nale­ment en temps réel des ten­ta­tives d’intrusion, allant au-delà des indi­ca­teurs de com­pro­mis­sion, détec­tés par des son­des de réseau.

Pro­tec­tion : au-delà de la prise en charge par un SOC (Secu­ri­ty Oper­a­tions Cen­ter), mise en œuvre de leur­res (hon­ey­pot) per­me­t­tant une sur­veil­lance focal­isée du sys­tème d’information à défendre.
Le défenseur con­stru­it des pseu­do­failles ou des pos­si­bil­ités fac­tices de s’élever dans son arbores­cence réseau, de manière à tra­quer et à can­ton­ner plus aisé­ment tout com­porte­ment anor­mal ; instal­la­tion de fil­tres réseaux blo­quant tout flux en prove­nance des machines de l’attaquant ; déploiement de balis­es per­me­t­tant de trac­er le parcours
de don­nées dérobées (Microsoft Azure AIM incor­pore déjà ce type de mouchard).

Action : proces­sus d’actions de remé­di­a­tion suiv­ant cha­cune des phas­es de l’agression, inclu­ant éventuelle­ment l’intrusion dans le sys­tème d’information de l’agresseur avec pour mis­sion de rap­a­tri­er les don­nées volées.

Appren­tis­sage : partage d’information au sein d’une com­mu­nauté élargie aux organ­ismes d’importance vitale, aux ser­vices essen­tiels et aux acteurs privés de cyber­sécu­rité ; bancs de test et de sim­u­la­tion per­me­t­tant d’analyser le com­porte­ment des pro­grammes, sans sig­na­ture de virus néces­saire­ment connue.

Poster un commentaire