Cyberdéfense et géopolitique

La cyberdéfense, nouvelle arme géopolitique

Dossier : ExpressionsMagazine N°753 Mars 2020
Par Philippe PIRON (D2000)

La plu­part des com­men­ta­teurs s’accordent pour consi­dé­rer le pas­sage au numé­rique comme une véri­table nou­velle révo­lu­tion indus­trielle. En effet, le cybe­res­pace pro­dui­rait aujourd’hui plus du quart de la crois­sance mon­diale, même s’il ne repré­sente que 5,2 % du PIB mondial.
Les États-nations, mais aus­si cer­tains acteurs non éta­tiques : firmes mul­ti­na­tio­nales, orga­ni­sa­tions cri­mi­nelles inter­na­tio­nales… ont rapi­de­ment com­pris que maî­tri­ser la sphère cyber deve­nait le déter­mi­nant de la supé­rio­ri­té stra­té­gique dans un monde deve­nu numérique.

L’importance stra­té­gique du cybe­res­pace tient plus à ses qua­li­tés sys­té­miques qu’à ses capa­ci­tés de cata­ly­seur éco­no­mique. Véri­table sys­tème ner­veux de nos socié­tés modernes, il offre au monde une nou­velle dimen­sion après la terre, la mer, l’air ou l’espace. Ce nou­vel ordre, pure construc­tion humaine com­bi­nant à la fois des couches phy­siques (ordi­na­teurs, réseaux…), logi­cielles (pro­grammes, pro­to­coles de com­mu­ni­ca­tion) et séman­tiques (conte­nus…), a pris récem­ment une ampleur inédite avec l’émergence du big data et du savoir syn­thé­tique, que l’on pré­fère tra­duire par intel­li­gence arti­fi­cielle. L’univers devient un flux gigan­tesque de don­nées, dont le volume et les pos­si­bi­li­tés de trai­te­ment ont requis des infra­struc­tures de plus en plus auto­ma­ti­sées. Ces pla­te­formes (Gafam, Batx…) ont engen­dré une éco­no­mie de la sur­veillance géné­ra­li­sée des acti­vi­tés humaines et une quête de la pré­dic­tion omni­sciente, afin que la machine connaisse mieux l’homme qu’il ne se connaît lui-même.

Un théâtre de conflits multiformes, où l’avantage reste à l’attaquant

Le cybe­res­pace est désor­mais un champ de confron­ta­tion à part entière, exten­sion logique du théâtre des conflits asy­mé­triques aux­quels se livrent les prin­ci­pales puis­sances depuis la nuit des temps : espion­nage, sabo­tage, sub­ver­sion et désta­bi­li­sa­tion éco­no­mique… Les cybe­rat­taques, exploi­tant les vul­né­ra­bi­li­tés et les failles des sys­tèmes d’information, sont deve­nues la face visible de ces confron­ta­tions. Les plus média­tiques ont démar­ré au milieu des années 2000, avec l’attaque du minis­tère coréen des Affaires étran­gères en 2005, sui­vie de plu­sieurs pira­tages d’ordinateurs gou­ver­ne­men­taux en Europe et aux USA, don­nant lieu au vol des plans du chas­seur F‑35, pour finir par des sabo­tages reten­tis­sants, comme celui des cen­tri­fu­geuses ira­niennes par le virus Stux­net en 2010. Depuis l’attaque russe en déni de ser­vice sur l’Estonie, para­ly­sant minis­tères, banques, hôpi­taux et télé­com­mu­ni­ca­tions en 2007, les États ont véri­ta­ble­ment pris conscience de la puis­sance offen­sive des armes cyber, capable de para­ly­ser, voire détruire, sinon les infra­structures vitales d’un pays du moins ses inté­rêts natio­naux. La menace cyber se carac­té­rise tou­te­fois par une rapi­di­té, une évo­lu­ti­vi­té, une répli­ca­bi­li­té et une com­plexi­té qui confèrent un avan­tage struc­tu­rel à l’attaquant. Dans le monde cyber, où l’on estime la volu­mé­trie des agres­sions en mil­liards chaque année, atta­quer se révèle beau­coup plus aisé et moins coû­teux que défendre. L’attaquant est par­tout, dif­fi­cile à détec­ter et à authen­ti­fier, créa­tif et prompt à déve­lop­per tou­jours de nou­velles attaques, voire de nou­veaux modèles éco­no­miques comme ces cybe­rarmes com­mer­cia­li­sées en soft­ware as a ser­vice sur le Dark­net. Les tech­no­lo­gies de l’information évo­luant à une vitesse expo­nen­tielle, la menace cyber évo­lue tou­jours plus rapi­de­ment que toute réponse ins­ti­tu­tion­nelle. La tech­no­lo­gie dis­tance le pro­ces­sus poli­tique, requé­rant une tac­tique de défense « data-centrique ».

“Le différentiel d’économie des forces
entre attaque et protection rend aujourd’hui le combat par trop inégal.”

L’épineux rétablissement de l’équilibre des forces entre offensif et défensif

Les États ont rapi­de­ment cher­ché à consti­tuer un bou­clier défen­sif en amé­lio­rant la rési­lience des sys­tèmes d’information vitaux et en pous­sant à une meilleure pré­ven­tion des risques, comme celle prô­née par l’ANSSI en France. Abso­lu­ment néces­saire, leur por­tée ne peut res­ter que limi­tée, notam­ment lorsque les couches phy­siques sont atteintes, comme l’ont mon­tré les failles Spectre ou Melt­down affec­tant les micro­pro­ces­seurs. Le dif­fé­ren­tiel de coût entre une attaque à quelques mil­liers de dol­lars et une pro­tec­tion à plu­sieurs cen­taines de mil­lions pour l’ensemble des entre­prises et des admi­nis­tra­tions visées rend le com­bat par trop inégal. Enfin, les tech­niques défen­sives ont l’inconvénient d’être vite obso­lètes. Elles demeurent fon­dées sur une base de signa­tures d’attaques préa­la­ble­ment iden­ti­fiées, insuf­fi­santes face à des menaces très évo­lu­tives ou aux attaques les moins détec­tables comme les Advan­ced Per­sistent Threat. Actua­li­ser en temps réel ces bases de signa­tures exige une ouver­ture d’échanges entre nations, acteurs pri­vés et publics, qui demeure une gageure à l’échelle mondiale.

Face à cette infé­rio­ri­té struc­tu­relle du volet défen­sif, le Cyber Com­mand amé­ri­cain a appe­lé à amé­lio­rer la capa­ci­té d’attribution des attaques et à déve­lop­per des solu­tions de rétor­sion. En 2011, les États-Unis décla­raient que des attaques contre leurs infra­struc­tures numé­riques pour­raient don­ner lieu à des repré­sailles mili­taires conven­tion­nelles, rejoints récem­ment par le Japon qui pro­cla­mait son droit à l’autodéfense en cas de cybe­rat­taque sur ses inté­rêts vitaux. Mal­gré le flou juri­dique sur ces ques­tions de droit inter­na­tio­nal, le centre d’excellence cyber de l’Otan cor­ro­bo­rait la posi­tion amé­ri­caine en affir­mant que le droit des conflits armés s’appliquait au cybe­res­pace. Ce n’est pas la posi­tion de la France, qui recon­naît l’applicabilité du droit inter­na­tio­nal au cybe­res­pace, mais reste hos­tile à l’utilisation géné­ra­li­sée de tech­niques offen­sives telles que le hack-back.

Les mécanismes classiques de la dissuasion peu opérants dans le cyberespace

Choi­sir la pos­si­bi­li­té de rétor­sion « autres que cyber » s’apparente à une stra­té­gie de dis­sua­sion dis­sy­mé­trique par­ti­cu­lière, géné­ra­trice d’escalades ou de glo­ba­li­sa­tion d’un conflit. Au-delà de la ques­tion juridique,
le méca­nisme de dis­sua­sion requé­rant un volet offen­sif est-il vrai­ment adap­té à la cyber­dé­fense ? Dis­sua­der par l’intimidation requiert de démon­trer ses pleines capa­ci­tés de détec­tion, d’authentification de l’agresseur et sur­tout de convaincre de sa volon­té poli­tique et de sa cré­di­bi­li­té tech­nique à lan­cer une riposte into­lé­rable pour l’attaquant. Le « brouillard numé­rique » et la fur­ti­vi­té de cer­taines armes cyber peuvent lais­ser pen­ser que nombre d’attaques res­tent non déce­lées. Déter­mi­ner l’identité de l’agresseur demeure pro­blé­ma­tique, car les tech­no­lo­gies numé­riques offrent de mul­tiples options (intru­sion wifi, déni de ser­vice) pour dis­si­mu­ler effi­ca­ce­ment son iden­ti­té. Par ailleurs, le cyber­mer­ce­na­riat ou « l’hacktivisme patrio­tique » offrent des para­vents pra­tiques ou rendent l’attribution de prime abord contes­table, comme les attaques sur la Géor­gie en 2008 ou le pira­tage de TV5 Monde en 2015 ont pu l’illustrer. L’origine géo­gra­phique ou la plu­ra­li­té des acteurs per­mettent rare­ment une impu­ta­bi­li­té solide de l’attaque pour pou­voir en convaincre l’ensemble de l’écosystème. Enfin, la ques­tion de la cré­di­bi­li­té en termes de riposte est déli­cate : les cyber­puis­sances ne sont pas disertes sur leurs capa­ci­tés réelles, la volon­té poli­tique d’entrée dans une pos­sible esca­lade est sou­vent très fragile. 

Mena­cer publi­que­ment de ripostes sur une attaque pré­cise, c’est éga­le­ment recon­naître ses failles et poten­tiel­le­ment accen­tuer à court terme ses vul­né­ra­bi­li­tés. La pré­fé­rence pour des repré­sailles non visibles ou impu­tables, sou­vent déca­lées dans le temps, enlève les fon­da­men­taux d’une dis­sua­sion effi­cace. Les méca­nismes de la dis­sua­sion offen­sive se heurtent à des freins inhé­rents à la nature spé­ci­fique du monde cyber.

“L’origine géographique de l’agression
ou la pluralité des agresseurs permettent rarement une imputabilité solide de l’attaque.”

La voie médiane d’une cyberdéfense active

Si la cyber­dé­fense reste la prio­ri­té des États for­te­ment numé­ri­sés, elle dif­fère sur leur doc­trine et leur gou­ver­nance, notam­ment sur l’usage et l’organisation des volets offen­sif et défen­sif. Les pays anglo-saxons ont plu­tôt opté pour des struc­tures en charge des deux volets (Cyber Command/NSA aux USA, GCHQ/SIS au Royaume-Uni), la France a réso­lu­ment sou­hai­té sépa­rer la lutte infor­ma­tique défen­sive (ANSSI, minis­tère de l’Intérieur) de la lutte infor­ma­tique offen­sive (Com­cy­ber, DGA, agences de ren­sei­gne­ments) et ce afin de mieux garan­tir la pro­tec­tion des liber­tés fon­da­men­tales. L’ensemble se coor­donne autour de comi­tés (comi­té direc­teur de la cyber­dé­fense, comi­té direc­teur de la cyber­sé­cu­ri­té, C4). Le minis­tère des Armées a confir­mé en 2019 que sa doc­trine de cyber­dé­fense com­pre­nait une dimen­sion offen­sive, mais que cette der­nière en matière de riposte ou d’attribution publique demeu­rait un pri­vi­lège réga­lien. Les USA pré­fèrent consi­dé­rer que le droit à la légi­time défense dans l’espace cyber confère la pos­si­bi­li­té aux acteurs pri­vés d’effectuer des intru­sions dans les sys­tèmes adverses pour les détruire.

Si la pano­plie d’outils défen­sifs reste néces­saire, bien qu’insuffisante face à l’ampleur et à la com­plexi­té de la menace, les solu­tions offen­sives n’ont pas encore démon­tré leur pleine capa­ci­té à dis­sua­der de manière effi­cace. Pour autant, une défense plus proac­tive est cer­tai­ne­ment envi­sa­geable, en per­met­tant de remon­ter à la source d’une attaque en qua­si temps réel, en auto­ma­ti­sant la détec­tion, la pro­tec­tion et la neu­tra­li­sa­tion de menaces. Amé­lio­rer les capa­ci­tés de pré­emp­tion, de contre-mesures par leurre ou brouillage, de chif­fre­ment semble être la voie à une cyber­dé­fense active effi­cace, mais res­pec­tueuse de la doc­trine et de la loi française.

La cyber­dé­fense active met l’accent sur l’importance du ren­sei­gne­ment cyber qui consiste à col­lec­ter, ana­ly­ser, cor­ré­ler, contex­tua­li­ser, de par­ta­ger les signaux faibles – voire de les pro­vo­quer – afin de pas­ser du mode réac­tif au mode proac­tif, tout en ten­tant de semer le doute ou la confu­sion chez l’agresseur. Une telle approche requiert le déve­lop­pe­ment d’outils for­te­ment auto­ma­ti­sés voire d’intelligence arti­fi­cielle, et met l’accent sur la capi­ta­li­sa­tion des connais­sances des atta­quants qui implique une coopé­ra­tion public-pri­vé inter­na­tio­nale plus avancée.

Cyberdéfense

Un nouveau défi stratégique pour ce XXIe siècle

Face à une numé­ri­sa­tion totale, la maî­trise des don­nées et l’accès à l’énergie deviennent les prin­ci­paux déter­mi­nants de la sou­ve­rai­ne­té des nations du xxie siècle. À l’heure de l’essor de l’internet des objets, dopé par le futur déploie­ment des réseaux radio 5G, la ques­tion de la sécu­ri­sa­tion des com­mu­ni­ca­tions élec­tro­niques prend une dimen­sion inéga­lée. D’après l’Idate, près de
50 mil­liards d’objets connec­tés seront en cir­cu­la­tion en 2020. Comme récem­ment démon­tré au der­nier Forum inter­na­tio­nal de la cyber­sé­cu­ri­té, c’est d’ores et déjà la sécu­ri­té de nos auto­mo­biles actuelles (pira­tables par leur bus élec­tro­nique ou leurs sen­seurs radio) qui est en jeu. Cette inter­con­nec­ti­vi­té démul­ti­pliée sur des équi­pe­ments pou­vant avoir des consé­quences létales (moyens de trans­port auto­mo­bile, fer­ro­viaire, aérien ; maté­riel médi­cal hos­pi­ta­lier ; auto­ma­tismes indus­triels et dis­po­si­tifs de main­te­nance pré­dic­tive…) rend per­méables les ques­tions de cyber­sé­cu­ri­té (vols de don­nées, détour­ne­ments finan­ciers…) avec celles de la cyber­dé­fense. Le carac­tère très dual des tech­no­lo­gies de l’information com­plique la donne stra­té­gique. Les tech­no­lo­gies de type machine lear­ning ou deep lear­ning sont sans conteste une option pour trai­ter la pro­li­fé­ra­tion des attaques, mais elles consti­tuent éga­le­ment de nou­veaux vec­teurs pour contrer ou satu­rer une cyber­dé­fense évo­luée. Ain­si, en 2017, le ran­çon­gi­ciel Cer­ber uti­li­sait déjà des tech­niques d’évasion per­met­tant le contour­ne­ment d’algorithmes de machine lear­ning.

Les enjeux liés à la cyber­dé­fense sont main­te­nant deve­nus si stra­té­giques qu’ils condi­tionnent non seule­ment la pros­pé­ri­té éco­no­mique, mais aus­si la conti­nui­té de la paix mon­diale. Les affron­te­ments dans le cybe­res­pace ne sont pas seule­ment la mani­fes­ta­tion de conflits asy­mé­triques propres à la guerre froide. Ils sont le symp­tôme d’une véri­table recom­po­si­tion de l’échiquier stra­té­gique entre États-nations et nou­veaux acteurs éta­tiques… ou non. L’univers cyber pré­sente ain­si des carac­té­ris­tiques si dis­tinctes du monde phy­sique, qu’il nous fau­dra pen­ser un sys­tème de défense qui trans­cende les méca­nismes clas­siques du géopolitique.


Vers une cyberdéfense active

Il s’agit de consti­tuer une nou­velle chaîne détec­tion-pro­tec­tion-action dotée d’un d’apprentissage conti­nu et auto­ma­ti­sé, afin non seule­ment de parer les attaques, mais aus­si de ten­ter de modi­fier le com­por­te­ment des attaquants :

Détec­tion : ren­sei­gne­ment en amont – et non post­in­ci­dents – des menaces, des agres­seurs poten­tiels et de leur modus ope­ran­di ; signa­le­ment en temps réel des ten­ta­tives d’intrusion, allant au-delà des indi­ca­teurs de com­pro­mis­sion, détec­tés par des sondes de réseau.

Pro­tec­tion : au-delà de la prise en charge par un SOC (Secu­ri­ty Ope­ra­tions Cen­ter), mise en œuvre de leurres (honey­pot) per­met­tant une sur­veillance foca­li­sée du sys­tème d’information à défendre.
Le défen­seur construit des pseu­do­failles ou des pos­si­bi­li­tés fac­tices de s’élever dans son arbo­res­cence réseau, de manière à tra­quer et à can­ton­ner plus aisé­ment tout com­por­te­ment anor­mal ; ins­tal­la­tion de filtres réseaux blo­quant tout flux en pro­ve­nance des machines de l’attaquant ; déploie­ment de balises per­met­tant de tra­cer le parcours
de don­nées déro­bées (Micro­soft Azure AIM incor­pore déjà ce type de mouchard).

Action : pro­ces­sus d’actions de remé­dia­tion sui­vant cha­cune des phases de l’agression, incluant éven­tuel­le­ment l’intrusion dans le sys­tème d’information de l’agresseur avec pour mis­sion de rapa­trier les don­nées volées.

Appren­tis­sage : par­tage d’information au sein d’une com­mu­nau­té élar­gie aux orga­nismes d’importance vitale, aux ser­vices essen­tiels et aux acteurs pri­vés de cyber­sé­cu­ri­té ; bancs de test et de simu­la­tion per­met­tant d’analyser le com­por­te­ment des pro­grammes, sans signa­ture de virus néces­sai­re­ment connue.

Poster un commentaire