mardi 20 décembre 2016

Cyberconflictualité américano-russe: un nouveau cap a-t-il été franchi?

Lorsqu'on étudie l'Histoire, on cherche à déterminer l'importance des événements, à éviter de sous ou de sur interpréter un fait, à déterminer des moments clés qui ont créé des ruptures. Dans le cadre de la géopolitique, l'exercice est plus complexe, car nous manquons souvent de sources, de recul, et nous tentons d'interpréter des faits dont certains, par essence, ne nous sont pas entièrement accessibles. C'est le cas entre autres des événements géopolitiques liés au cyberespace, où l'accès à l'information est complexe et souvent parcellaire. Pourtant, à travers l'actualité récente américano-russe, nous avons matière à discuter d'un éventuel tournant dans l'histoire récente du cyberespace.

Le président américain Barack Obama, encore en poste jusqu'en janvier 2017, s'est illustré la semaine passée par plusieurs déclarations qui ne respectent pas les codes habituels de la diplomatie dans le cadre du cyberespace. Toutes les puissances dotées de capacités cybernétiques font appel à ces dernières pour préserver ou renforcer leur souveraineté numérique, s'en prenant aussi bien à des ennemis qu'à leurs alliés. Cela a été révélé au grand jour entre autres par Edward Snowden, constituant une parenthèse dans cette histoire « grise » de la guerre d'influence que se livrent les puissances avec un potentiel accru dû aux nouvelles technologies, le maître mot étant de ne pas faire de publicité, de communication sur les actions entreprises dans le cyberespace.

Qu'il s'agisse de la cyberattaque contre la Géorgie en 2008, du virus Stuxnet contre les installations nucléaires iraniennes en 2010, et il y en a beaucoup d'autres, les commanditaires sont toujours restés discrets et ceux soupçonnés d'être à l'origine de ces attaques ont toujours eu des réponses floues, l'avantage étant de nier sa responsabilité tout en laissant entendre que l'on en a malgré tout les capacités.

Dans le cadre d'une puissance numérique, il était jusqu'à présent extrêmement rare de communiquer sur une éventuelle cyberattaque que l'on aurait subie. Les États-Unis en mai 2014, à la grande surprise de beaucoup d'observateurs, avaient lancé un mandat d'arrêt contre cinq militaires chinois soupçonnés d'espionnage via des cyberattaques. Cela s'était « réglé » (les guillemets sont de mise) par un accord de principe entre Pékin et Washington un an plus tard, où chacun acceptait de ne plus voler de secrets commerciaux via Internet. Les termes exacts de l'accord ne furent pas rendus publics, et on peut douter de l'efficacité d'un tel accord, si ce n'est qu'il fixe quelques lignes rouges à ne pas dépasser par chacun des protagonistes. C'était la première fois en tout cas qu'une puissance accusait précisément des acteurs étrangers liés au pouvoir d'une autre puissance. Cependant, le cas actuel entre les États-Unis et la Russie est sensiblement différent, car le commanditaire désigné très clairement par Barack Obama est son homologue russe, Vladimir Poutine.

Sans revenir en détail sur le déroulement des événements dont on peut en lire des comptes-rendus détaillés dans les médias, rappelons simplement que plusieurs cyberattaques ont été menées contre le comité national démocrate dans le cadre de l'élection présidentielle américaine, les hackers ayant transmis à Wikileaks les informations volées. La publication des communications internes au parti de la candidate Hillary Clinton a eu nécessairement un impact négatif sur cette dernière, même s'il est encore trop tôt pour l'apprécier réellement. Plusieurs agences de renseignement ont été mandatées pour analyser ces cyberattaques : après des oppositions sur les buts réels des hackers (démontrer la faiblesse du système démocratique américain, favoriser le candidat Donald Trump, davantage pro-russe...), le FBI a validé la thèse de la CIA sur l'implication de la Russie dans l'élection américaine. Des sources vont même plus loin, liant directement le président russe Vladimir Poutine à cette ingérence caractérisée.

Le président Obama a suivi cette ligne, accusant nommément Vladimir Poutine. Son opération de communication s'est faite en deux temps : le 15 décembre à la Radio publique nationale (NPR) et le lendemain lors d'une conférence presse. Le message est clair : le président Obama a affirmé avoir déjà prévenu lors du G20 en Chine en septembre dernier son homologue russe de « conséquences sérieuses » si les cyberattaques perduraient. Il a commandé un rapport qu'il veut détaillé sur les cyberattaques menées, rapport qui devra évidemment lui être remis avant la fin de son mandant. Ce rapport devrait lui permettre de mieux définir la riposte qu'il veut conduire contre la Russie.

A ce sujet, beaucoup d'observateurs ont questionné le flou de la riposte envisagée, mais ce flou est à la fois un calcul politique et un aspect structurel du cyberespace. Dans ce dernier, l'effet de surprise est un facteur majeur de réussite : si votre adversaire ne sait pas quel programme vous allez employer, quelle cible vous allez attaquer, il subira votre cyberattaque et ne pourra pas véritablement l'anticiper, tout au plus la juguler. Cette action du président Obama doit susciter plusieurs commentaires pour en apprécier l'importance stratégique.

Tout d'abord, le président américain ne prend pas de risque politique personnel, étant en fin de mandat. Il peut ainsi exprimer sans retenue sa pensée et mener ses dernières offensives diplomatiques. En agissant ainsi, il poursuit deux buts complémentaires : montrer à la Russie que les États-Unis sont prêts à l'affrontement dans le cyberespace (même si son message perd en intensité, étant en fin de mandat) et surtout, mettre la pression sur Donald Trump en invitant ce dernier à accepter une enquête « bipartite, indépendante » sur ces cyberattaques.

On peut se demander d'ailleurs si l'initiative d'Obama ne s'inscrit pas davantage dans une tactique de politique intérieure que dans une stratégie de politique extérieure. Le but de Barack Obama est peut-être aussi de continuer à mettre en doute la sincérité du scrutin, donc à délégitimer le futur président Trump qui participe pleinement à ce jeu d'échecs, communiquant à plusieurs reprises sur les réseaux sociaux ses doutes quant à une implication russe. Il passe ainsi pour ses adversaires pour un pro-russe, ou pire pour un futur dirigeant manipulé à terme par Poutine.

Deuxièmement, le président américain se met selon nous dans une position de faiblesse. Comme indiqué précédemment, il est de coutume de ne pas communiquer sur les cyberattaques que l'on veut entreprendre. En menaçant la Russie de ripostes, Barack Obama en dit trop et cela profite à Moscou. Le porte-parole du Kremlin, Dmitri Peskov, a indiqué vendredi dernier à propos des accusations américaines qu'il fallait « cesser d'en parler, soit apporter enfin des preuves ». La Russie met ainsi au défi les États-Unis d'apporter leurs preuves (qui semblent solides concernant les aspects techniques et les groupes de hackers cités qui ont laissé, volontairement ou pas, de nombreux indices) et pousse ces derniers à l'escalade dans la conflictualité du cyberespace. Si les États-Unis ne font rien, ils donneront l'image d'une puissance faible, qui laisse une puissance étrangère interférer dans sa structure politique. S'ils agissent et mènent des cyberattaques contre la Russie, cette dernière communiquera assurément sur l'acte prémédité et se posera en victime d'une Amérique qui se veut toute puissante dans le cyberespace.

C'est évidemment un jeu d'hypocrites qui se joue sous nos yeux. Il est fort probable que le président Poutine, ou au moins ses proches aient commandité cette opération de grande envergure, qui fait entrer de plain-pied le monde dans une cyberguerre froide qui s'annonce complexe et très conflictuelle. De même qu'il convient de rappeler que les États-Unis ne sont pas des « enfants de chœur » dans le cyberespace et qu'ils se livrent à des actions cyber offensives puissantes, contre leurs ennemis et leurs alliés.

La fin de l'année 2016 et le premier mois de l'année 2017 vont devoir être scrutés avec grande attention concernant l'actualité cyberstratégique. De ce qui va se passer ou pas entre les États-Unis et la Russie donnera des indications importantes sur les rapports de force dans le cyberespace.

                Tribune publiée initialement pour le Huffington Post Québec le 20 décembre 2016

mardi 25 octobre 2016

La cyberattaque du “10-21”: aller au-delà des déclarations d’emphase

A lire la presse depuis vendredi dernier, c’est un peu comme s’il y avait eu un avant et un après 21 octobre 2016 dans l’histoire récente du cyberespace. Toujours plus de qualificatifs graves, inquiétants, anxiogènes pour décrire un événement certes important, mais pour lequel le manque d’informations fiables et vérifiées fait cruellement défaut. 

Pour rappeler les faits, la société américaine Dyn, un des principaux fournisseurs de services DNS, a subi une cyberattaque de grande ampleur en deux temps le 21 octobre 2016, la technique employée (attaque DDOS) consistant à saturer de requêtes via des ordinateurs dits “zombies” les serveurs dans le but de rendre ces derniers non opérationnels. Ce type de cyberattaque est très courant dans le cyberespace, on pourrait même dire qu’elle est basique dans son déploiement. Cependant, la cyberattaque du “10-21” diffère entre autres par le profil de la cible: en effet, en s’en prenant à un fournisseur de services DNS, les auteurs ont fait coup double, attaquant Dyn mais aussi ses clients qui dépendent du bon fonctionnement de ses services pour être accessibles. 

C’est ainsi que de nombreux sites internet, dont Twitter, Spotify, Amazon, Ebay ont été inaccessibles pendant plusieurs heures pour de nombreux Américains, l’Europe n’étant que partiellement affectée par cette cyberattaque. Le poids des entreprises visées et la réaction des internautes qui ont commenté en direct leur impossibilité à accéder à leurs services ont favorisé un bruit médiatique impressionnant, faisant passer cette cyberattaque pour une catastrophe sans précédent. Sans nier les conséquences évidentes d’une telle entreprise criminelle, il convient de chercher à faire la part des choses et à analyser la tête froide ce qui s’est produit. 

Tout d’abord, contrairement à ce que j’ai pu lire ces derniers jours sur Internet, il ne s’agit pas des prémices d’une “apocalypse numérique”. La cyberattaque a eu des effets négatifs d’un point de vue économique, c’est évident (un service non accessible perd mécaniquement de l’argent chaque seconde), mais il est encore trop tôt pour en chiffrer précisément le montant. Je serais curieux de savoir quelle est l’attaque la plus dévastatrice d’un point de vue financier, en terme d’image, entre celle contre la société Dyn et celle contre Yahoo! cet été dont des centaines de millions d’identifiants ont été dérobés avec les conséquences en matière d’usurpation d’identité que l’on peut facilement imaginer.

Deuxièmement, je le précise de nouveau, la technique employée n’a rien de surprenant. Elle est connue de tous les experts en cybersécurité; seule l’utilisation d’objets connectés piratés mérite une attention particulière. 

Troisièmement, profitons-en pour rappeler que pour le moment, il n’y a aucune information comme quoi la société Dyn aurait subi un vol ou une destruction de données. Certes, une paralysie de ses services n’est pas un problème à sous-estimer, mais comparé encore une fois à une cyberattaque comme celle qu’avait subi le groupe pétrolier saoudien Aramco en 2012, où plus de trente mille ordinateurs avaient été infectés avec la perte de données stratégiques, la cyberattaque contre Dyn mérite d’être repensée dans un contexte global d'affrontements stratégiques dans le cyberespace.  

Comme à chaque cyberattaque, des commentateurs s’empressent de faire des hypothèses sur les commanditaires de l’attaque, et il faut le reconnaître, sans véritable preuve. La cyberattaque contre Dyn en est le parfait exemple: la Russie est pointée du doigt en raison des relations pour le moins froides avec les Etats-Unis et les récentes rumeurs sur des cyberattaques russes pour perturber l’élection présidentielle américaine, de même que la Chine dont on rappelle à juste titre les compétences en matière de cyberattaques. Rappelons néanmoins qu’avoir le potentiel de mener une cyberattaque de grande ampleur ne signifie pas l’avoir fait. Certains évoquent également la piste de cybercriminels regroupés qui auraient vendu leur savoir-faire à un commanditaire. Toutes ces pistes sont envisageables, mais aucune ne prend l’ascendant sur les autres pour l’instant. 

Le cyberespace a ceci de spécifique qu’il y est très facile de brouiller les pistes et qu’il est par conséquent extrêmement compliqué et souvent très coûteux en termes de moyens humains et financiers de remonter jusqu’aux organisateurs de la cyberattaque. A moins d’une erreur grossière des assaillants qui auraient laissé des “empreintes techniques”, l’enquête du FBI risque d’être longue et compliquée, d’autant qu’il n’est pas non plus impossible que la cyberattaque soit due à des anciens salariés de Dyn, comme cela s’est produit par le passé pour d’autres entreprises. Le “brouillard informationnel” qui caractérise encore largement les cyberattaques actuelles doit donc inciter à la plus grande prudence pour éviter des analyses erronées et de participer inconsciemment ou non à la propagande de certains acteurs stratégiques. 

On peut cependant tirer quelques enseignements de cette cyberattaque. En premier lieu, cette dernière démontre avec clarté l’interdépendance toujours plus croissante entre les entreprises du numérique, la défaillance des uns ayant des conséquences immédiates pour les autres. 

Elle rappelle également la vulnérabilité des acteurs du cyberespace contre les attaques de type DDOS. Pourtant bien connues, ces attaques voient leurs effets démultipliés par le développement rapide des objets connectés, ces derniers ne faisant que trop rarement l’objet d’une véritable démarche de sécurisation de leurs systèmes via des mises à jour et des corrections de failles de sécurité. 

Une véritable coordination internationale des acteurs politiques et économiques est à mettre en place afin de développer et d’imposer des standards en matière de cybersécurité, obligeant les éditeurs de logiciels à assurer un suivi de longue durée. Certes, cela a un coût et de nombreux acteurs risquent de s’y opposer, mais il s’agirait d’une mesure de base, à même de complexifier la tâche des assaillants. 

Rappelons toutefois, sans chercher à alarmer, que les assaillants auront toujours une longueur d’avance, profitant de l’effet de surprise et développant des outils à même d’affaiblir les défenses numériques toujours plus coûteuses mises en place par les entreprises. 

C’est donc une attitude de prudence qu’il convient d’adopter dans le cyberespace. De plus en plus complexe, s’intégrant toujours plus dans nos existences (smart cities par exemple), ce dernier sera mécaniquement sujet à l’intérêt des cybercriminels et d’acteurs stratégiques désireux d’affirmer leur puissance et de le rendre plus conflictuel. 

                Tribune publiée initialement pour le Huffington Post Québec le 24 octobre 2016

dimanche 25 septembre 2016

Vers une recrudescence des cyberattaques étatiques de grande ampleur ?

La société américaine Yahoo! vient de confirmer l’information : l’entreprise de portails sur Internet, l’une des plus connues et dont les services sont utilisés par des millions d’utilisateurs dans le monde a reconnu avoir subi une cyberattaque de grande ampleur qui a touché plus de cinq cent millions de comptes clients. Imaginons l’ensemble des citoyens européens dont les données d’identification (nom, prénom, date de naissance, etc…) auraient été dérobées par une entité dont on ne sait rien pour l’instant, si ce n’est qu’elle serait capable avec quelques outils facilement trouvables sur Internet d’usurper l’identité de chacun. 

L’ampleur de l’attaque est inquiétante, d’autant plus que plusieurs éléments dans le déroulement de cette opération méritent d’être questionnés. Selon les premières informations disponibles, les données dérobées dateraient de 2014, ce qui conduit à deux remarques, entre celui qui voit le verre à moitié plein et l’autre à moitié vide. En effet, certains lecteurs seraient tentés de minimiser l’importance de cette cyberattaque puisque les données datent de plus de deux ans et qu’il est probable qu’une partie d’entre elles soient obsolètes si les utilisateurs respectent les consignes de base de la vie numérique en changeant fréquemment leur mot de passe. 

Seulement, d’un autre côté, on peut être surpris par le temps qu’il a fallu pour repérer cette cyberattaque, près de deux ans, ce qui a permis à ses auteurs de se livrer à des activités criminelles à l’ombre de la surveillance des services de sécurité de Yahoo!. Précisons que la révélation de la cyberattaque ne vient pas directement de Yahoo! mais de sites spécialisés, le site Motherboard en août et le site Recode cette semaine, le premier ayant dans un premier temps fait une estimation plus faible de l’ampleur de la cyberattaque (deux cent millions de comptes tout de même !).

Les données volées se retrouvent facilement sur le Darknet, où elles se moyennent quelques bitcoins, soit quelques milliers d’euros. Le contraste est saisissant entre l’impact médiatique et économique d’une telle cyberattaque pour Yahoo! et le modeste coût des données vendues par la suite. Notons que cette vente en ligne n’est que la pointe de l’iceberg, car les données ont sans doute servi pendant ces deux dernières années à des usurpations d’identités aux conséquences économiques et humaines facilement imaginables. 

Yahoo! évoque l’action « d’une entité liée à un Etat », ce qui paraît très probable même s’il faut être prudent, les détails techniques de la cyberattaque n’étant pas encore accessibles. Plusieurs éléments accréditent cette hypothèse cependant : l’ampleur de l’attaque, le fait de s’en prendre à une cible puissante dans le cyberespace qui a en théorie les moyens de limiter les actions néfastes à son encontre et enfin la discrétion avec laquelle sont parvenus à opérer les hackers, puisqu’il a fallu plus de deux ans pour repérer leur méfait. Cela doit nous rappeler un des slogans que l’on entend souvent dans le milieu de la lutte contre la cybercriminalité : « la question n’est plus de savoir si mais quand vous serez victimes de pirates informatiques ». 

La vraie faiblesse pour les entreprises réside dans leur prise de conscience tardive d’une cyberattaque, ce qui est encore malheureusement très fréquent dans de nombreuses entreprises touchées. Pour accréditer davantage la piste d’un Etat ou d’une entité liée à un Etat, il semble très probable, même si encore une fois nous n’avons pas les détails techniques à disposition, que les hackers ont développé des outils techniques spécifiques pour pénétrer les serveurs de données de Yahoo!, le tout sans se faire repérer. Il convient donc d’écarter la piste d’une attaque consistant à forcer directement les sécurités des serveurs, ce qui aurait déclenché des alertes, ainsi que la piste d’une faille humaine en interne, car il aurait fallu à son auteur des droits d’accès d’une importance plus que majeure. 

Cette cyberattaque, aussi massive soit-elle en termes de dégâts médiatiques, économiques et en termes de confiance pour les utilisateurs, est tout sauf une nouveauté. De nombreuses entreprises liées aux réseaux sociaux mais pas seulement ont subi ces dernières années des piratages touchant des millions d’utilisateurs, comme le réseau social Linkedin ou la société spécialisée dans le cloud Dropbox. A chaque fois, le vrai perdant est l’utilisateur qui voit ses données perdre toute protection et se retrouver entre des mains criminelles, sans pouvoir se retourner contre les sociétés chez qui il a accordé sa confiance. A l’heure où les applications disponibles dans les smartphones scrutent chaque instant de nos vies, stockent des souvenirs, nous conseillent à l’aide d’algorithmes puissants, les sociétés éditrices deviennent des proies de choix et leurs clients les témoins et les victimes de cette guerre visible partiellement.

Il est fort probable que les Etats vont multiplier et amplifier leurs cyberattaques via des entités qu’elles contrôlent, afin que leur responsabilité directe ne soit pas prouvée. Rappelons que dans le cyberespace, il est extrêmement difficile (mais pas impossible contrairement à ce qu’on lit souvent) de retrouver les auteurs de cyberattaques. Cela nécessite des moyens financiers et humains conséquents, et bien souvent, on ne sait qu’au bout de plusieurs années qui était à l’origine de l’action. 

Les Etats-Unis sont à aujourd’hui la première puissance du cyberespace, profitant de leurs géants numériques que sont les GAFA et toute une galaxie de sociétés puissantes aux millions d’utilisateurs pour affirmer leur smart power numérique. En s’en prenant à ces sociétés, d’autres Etats cherchent ainsi à affaiblir la puissance américaine, les utilisateurs étant amenés à douter de la sécurité des prestataires choisis pour la protection des données. 

De nombreux articles évoquent les actions de la Chine et de la Russie dans la guerre numérique globale que se livrent de nombreux acteurs de nature différente dans le cyberespace. Rappelons qu’à de très rares fois leur implication a été formellement validée, mais qu’elles entretiennent également un double langage, niant les attaques tout en détaillant de manière savamment orchestrée leurs capacités offensives. La Russie a ainsi été accusée dernièrement de piratages des données du camp démocrate lors de la campagne américaine tandis que la Chine est souvent pointée du doigt pour des vols massifs de secrets industriels. Certes, cette dernière a passé un pacte de bonne conduite avec les Etats-Unis sous l’impulsion d’Obama et aux dires des Américains, ce serait une réussite, mais on peut légitimement penser qu’il ne s’agit pas d’un pacte de non-agression mais plutôt de limites fixées dans chaque camp. 

De nombreux Etats développent des capacités offensives numériques, mais peu sont à même d’infliger des dégâts massifs. Citons les Etats-Unis, la Chine, la Russie et Israël dont plusieurs initiatives sont largement documentées et doivent nous inquiéter au plus haut point. Même si la cyberattaque contre Yahoo! est source de dégâts importants, ce n’est rien lorsque des services administratifs étatiques seront touchés avec la même intensité (ils l’ont déjà été mais à des niveaux beaucoup plus faibles). Imaginons un instant les services médicaux d’un pays touchés par une cyberattaque massive dont l’objectif serait de supprimer les données des utilisateurs, les services administratifs pour les retraites où les bénéficiaires ne pourraient être payés avant plusieurs mois, le temps de rétablir l’ensemble des données. Ce n’est pas de la science-fiction mais bien des scénarii qui sont à portée de claviers d’entités étatiques déjà existantes. 

Il n’y a pas de solution magique à cette fragilisation et à cette insécurité croissante du cyberespace. Les entreprises ont encore une marge conséquente pour progresser dans leur gestion des cyberattaques, mais elles seront toujours en position de défenseur face à des Etats aux rôles d’assaillants qui auront l’avantage tactique. Dans ce cyberespace incertain, on ne peut que conseiller d’y laisser le moins d’informations sensibles possibles et au final, de stocker en local ces dernières. 

C’est un des paradoxes d’Internet : à l’heure d’un accroissement de la dématérialisation de nos données privées, le risque de voir dérobées ces dernières n’a jamais été aussi fort et doit nous inciter à la prudence, car les conséquences des cyberattaques ne peuvent aller qu’en augmentant dramatiquement. 


                 Tribune publiée initialement pour le Huffington Post Québec le 23 septembre 2016

jeudi 4 février 2016

La détention de Assange illégale selon l'ONU : une victoire médiatique plus que politique

Si l’on souhaitait enseigner en école de communication la création d’un buzz médiatique, les dernières pérégrinations de l’affaire Julian Assange en constitueraient un exemple parfait. Le fondateur de Wikileaks, en fin connaisseur de la diffusion de l’information à l’heure des réseaux sociaux, s’est mis en scène ce jeudi en annonçant qu’il se livrerait à la police britannique le 5 février si le groupe de travail des Nations unies sur la détention arbitraire (GTDA) tranchait en sa défaveur, ce qu’il n’a pas fait, jugeant sa détention illégale. 

Ce groupe avait été sollicité par Julian Assange qui avait épuisé tous les recours juridiques pour se défendre des accusations de viol et d’agression dont il se serait rendu coupable lors d’un séjour en Suède. La stratégie d’Assange est redoutablement efficace, et très visible : il sait pertinemment que les décisions du GTDA n’ont rien de contraignant et qu’elles ont avant tout une valeur symbolique. 

En effet, outre le fait que la plupart des décisions défavorables du GTDA ont été adressées à des Etats guère démocratiques jusqu’à présent, il serait un peu gênant pour des pays comme l’Angleterre ou la Suède d’avoir un discours sur les droits de l’homme après avoir reçu un avis négatif. Il ne faut cependant pas surestimer la portée de l’événement qui est avant tout une victoire médiatique plus qu’une réelle victoire politique.  

La position de Julian Assange demeure en vérité assez compliquée et on peut douter que cette victoire médiatique aboutisse à une résolution du conflit qui l’oppose à plusieurs acteurs puissants. Depuis 2012, il est retranché à l’ambassade d’Equateur qui lui a accordé l’asile politique, lui évitant ainsi une arrestation des forces de police britanniques qui aurait abouti à une extradition vers la Suède voire à terme vers les Etats-Unis qui demeurent en réalité son principal adversaire. 

Les autorités britanniques ont d’ailleurs rappelé après l’annonce du (faux) coup de poker de Julian Assange qu’elles seraient obligées de l’arrêter s’il sortait de l’ambassade vu qu’il est sous le coup d’un mandat d’arrêt européen. Elles font ainsi pression sur le fondateur de Wikileaks et relativisent mécaniquement le « succès » de la décision du GTDA. 

Quels enseignements peut-on tirer de cet énième rebondissement dans l’affaire Julian Assange ? Rappelons en premier lieu que ce dernier bénéficie de quelques soutiens de poids comme Edward Snowden ou des parlementaires, mais pas d’Etats (hormis l’Equateur qui l’héberge dans son ambassade). Il est donc toujours dans une situation d’insécurité et peut perdre toute protection en cas de revirement du président Rafael Correa. Le revirement de ce dernier est peu probable vu la décision du GTDA qui fait passer indirectement l’Equateur pour un pays défenseur des droits de l’homme. Cependant, n’oublions pas qu’en octobre 2015, des médias américains avaient évoqué des tensions entre le pouvoir équatorien et Julian Assange, celui-ci étant soupçonné d’avoir divulgué des informations sur les relations entre l’Equateur et l’entreprise italienne Hacking Team spécialiste en logiciels de surveillances électroniques massives. Rien depuis n’a filtré, mais on peut faire l’hypothèse que Julian Assange demeure un moyen de pression dans la stratégie diplomatique équatorienne pour embarrasser la diplomatie américaine. 

Cette dernière est d’ailleurs extrêmement silencieuse ces derniers mois et semble poursuivre une stratégie d’attente et de mise en avant de ses partenaires pour ne pas trop s’exposer. En effet, on parle avant tout de l’Angleterre et de l’affaire du coût élevé en temps de crise économique de la surveillance devant l’ambassade équatorienne qui avait été révélé dans la presse, et de la Suède qui veut entendre comme témoin Julian Assange avant une possible mise en examen. 

Les Etats-Unis ont en réalité tout intérêt à ce que l’on oublie Julian Assange et à éviter qu’il ne fasse la une des médias. Ce dernier a un champ d’action limité en étant réfugié au sein de l’ambassade : certes, il donne de temps à autre des conférences sur internet et partage son avis sur les projets de loi numérique dans des pays comme la France mais l’âge d’or des révélations orchestrées de main de maître par Wikileaks est désormais révolu, d’autant plus que de nombreuses tensions ont secoué l’organisation l’an dernier. De plus, Julian Assange s’est plaint à plusieurs reprises de sa situation, se déclarant comme prisonnier et malade, ce qui n’est pas pour déplaire aux Etats-Unis. 

Julian Assange a encore des supporters parmi les défenseurs des libertés civiles mais globalement, il est isolé. Souvenons-nous de sa demande d’asile le 3 juillet dernier auprès de la France qui avait été refusée dans un temps extrêmement court et ce alors que des révélations sur les écoutes américaines à l’encontre d’officiels français étaient à nouveau faites ! 

Le fondateur de Wikileaks est un pion au sein de l’échiquier de la Realpolitik mondiale : par son action, il a favorisé l’émergence de lanceurs d’alerte mais il s’est condamné indirectement à une vie faite de privation de liberté et de contrôle, bref tout ce qu’il dénonçait. La situation pourrait changer positivement le concernant si la Suède revoyait sa position, mais cela ne pourra pas se faire tant que la justice suédoise ne pourra pas l’interroger, même au sein de l’ambassade (ce qui a failli s’organiser récemment). De nouvelles négociations sont donc à prévoir entre la justice suédoise, les autorités équatoriennes et Julian Assange pour essayer de trouver un arrangement, à supposer toutefois que la stratégie de certains acteurs (Assange et l’Equateur) ne soit pas justement de ne pas trouver d’arrangement…


Tribune publiée initialement pour le Nouvel Observateur (Le Plus) le 5 février 2016

lundi 9 novembre 2015

Anonymous, une "marque" en perte de vitesse

Pour promouvoir un produit, on mène en général une campagne de marketing afin d’attirer l’attention du potentiel consommateur, en lui faisant espérer une nouveauté à même de le faire acheter. La même technique peut être utilisée pour des organisations qui souhaitent médiatiser leur action, avec le même risque qu’à trop promettre, on suscite de la déception chez la cible. C’est exactement ce qui s’est passé avec la dernière opération des Anonymous, Opération KKK (pour Ku Klux Klan). 

L’objectif était de diffuser publiquement une liste d’un millier de noms de personnes liés au KKK aux Etats-Unis le 5 novembre 2015, date symbolique pour les Anonymous puisque c’est le 5 novembre 1605 que l’attentat de Guy Fawkes contre le Parlement britannique fut déjoué (pour rappel, les Anonymous portent un masque avec l’effigie de Guy Fawkes). L’annonce de la diffusion avait été faite fin octobre, mais en raison de maladresses aussi bien sur la forme que sur le fond, l’opération me paraît être un fiasco (prévisible) sur toute la ligne. 

Rappelons que ce n’est pas la première fois que les Anonymous s’en prennent au KKK. En novembre 2014, des Anonymous avaient mené des cyber actions contre des membres du KKK qui avaient menacé des manifestants de Ferguson, suite à la mort d’un jeune noir tué par un policier blanc. Ils avaient ainsi détourné des images du KKK avec un effet médiatique immédiat et pris le contrôle du compte twitter de l’organisation raciste.

Un an plus tard, le temps nécessaire à l’opération semble-t-il, les Anonymous mettent donc à la disposition de tous une liste de noms, la plupart associés à des comptes Facebook ou Google Plus. Cette liste fait suite à une fausse liste publiée quelques jours avant par des personnes se présentant en tant qu’Anonymous, rappelant la faiblesse de cette « organisation non organisée », à savoir que chacun peut s’en réclamer et mener des actions dont l’efficacité a des répercussions sur l’ensemble du mouvement.

La liste est précédée d’un texte explicatif, où il est question d’une forme de résistance contre le racisme, avec des passages surprenants où les organisateurs de l’Opération KKK se livrent à une présentation sociologique rapide de l’organisation KKK, soulignant qu’ils partagent avec eux quelques points communs, en cela qu’ils sont pour la plupart pauvres comme eux, qu’ils s’opposent à la surveillance de masse et qu’ils veulent préserver leur liberté de pensée ! 

Cette mise en avant de leurs points communs est assez grotesque, bien qu’elle soit compensée par de justes critiques sur le contenu du message du KKK. Les Anonymous précisent enfin que certains membres de cette liste sont dangereux, certains sont des sociopathes, d’autres non. Bref, il n’y a aucune hiérarchie dans cette liste ce qui est pour le moins problématique et laisse planer le doute sur l’ensemble des membres de cette liste, avec certaines personnes qui y ont été mentionnées alors qu’elles ne sont en rien affiliées au KKK ! 

Soulignons que pour établir cette liste, les Anonymous ont utilisé la technique du OSINT pour Open Source Intelligence Strategies, qui consiste à collecter des informations à partir de sources ouvertes. En d’autres termes, les Anonymous ne se sont pas livrées à du hacking de haut niveau pour cette opération qui au final, et cela a été critiqué par d’autres Anonymous, fait plus de publicité au KKK qu’elle ne lui nuit. Pour une organisation raciste qui ne compte que quelques milliers de membres aux Etats-Unis, l’Opération KKK leur a permis de mieux faire connaître leur structure web, à travers les blogs des membres, les moyens d’entrer en contact avec d’autres membres dont bien souvent, les pages Facebook sont accessibles directement sans besoin de s’identifier. 

On pourrait penser qu’il ne s’agit que d’un échec temporaire, mais le mouvement Anonymous, du moins dans sa version numérique, perd directement et durablement de sa crédibilité en cas d’opération semi-ratée ou ratée. L’époque des opérations complexes, qui faisaient appel à des membres aux compétences informatiques poussées, capables de s’introduire dans les infrastructures informatiques sensibles de la cible et de lui causer des dommages importants, semble révolue. Cela est peut-être dû aux arrestations en 2012 de membres influents du mouvement qui avaient le savoir-faire nécessaire pour des opérations d’envergure. Reconstituer des équipes opérationnelles et efficaces prend beaucoup de temps (la confiance entre chaque membre) et nécessite pour les candidats d’accepter le risque d’être arrêtés et poursuivis en justice. 

Anonymous est aujourd’hui une marque qui perd sans mauvais jeu de mot de son identité et de sa force, car l’expression est utilisée pour des opérations très diverses, aux méthodes et résultats inégaux. Anonymous est devenue une appellation pour contester, sensibiliser, mais ses moyens semblent insuffisants pour ses ambitions qui demeurent structurellement peu lisibles. 

Bien que la symbolique autour des Anonymous demeure puissante et suscite des vocations et des mouvements d’action (cf la Marche des millions de masques qui s’est tenue à Londres jeudi soir qui a d’ailleurs dégénéré en affrontements avec la police), Anonymous conserve des faiblesses structurelles trop importantes pour croître efficacement dans le cyberespace. 

Les Anonymous sont peut-être une étape historique essentielle, mais juste une étape en fin de compte, de l’hacktivisme dans le cyberespace. Il me semble que ce dernier va se développer de plus en plus, mais en petites structures mobiles et organisées autour de projets précis, aves des entités focalisées sur les multinationales par exemple, d’autres sur les institutions. Elles se distingueront par leurs méthodes d’action et leurs objectifs politiques et médiatiques, qui seront évidemment à apprécier individuellement. L’hacktivisme représente une infime partie de la société civile dans le cyberespace, mais il doit être pris très au sérieux par les autres acteurs du cyberespace car il peut déstabiliser ce dernier en peu de temps et engendrer des réactions dont l’ampleur est à aujourd’hui insoupçonnée. 

Tribune publiée initialement pour le Nouvel Observateur (Le Plus) le 9 novembre 2015

jeudi 25 juin 2015

Loi renseignement, NSA : de Valls à Hollande, la schizophrénie affligeante des politiques

Le 24 juin 2015 fut une journée bien particulière avec la concomitance de deux événements reliés entre eux, malgré les dénégations de différents responsables politiques : les pseudo révélations de Wikileaks sur les écoutes opérées par la NSA à l’encontre entre autres des trois derniers présidents français et l’adoption définitive par l’Assemblée nationale du projet de loi sur le renseignement. 

D’un côté, un énième rappel que nos alliés nous écoutent afin de servir leurs propres intérêts, en n’oubliant pas que nous faisons la même chose (mais dans des proportions moindres). De l’autre, un vote qui va décupler la surveillance des citoyens avec des risques liberticides évidents et largement commentés par la société civile, très active sur ce sujet fort heureusement. 

La société civile avec des associations comme la Quadrature du Net a en réalité fait le travail des parlementaires qui, à l’exception notable de quelques-uns qui se sont véritablement intéressés et renseignés sur le sujet, ont suivi comme un seul homme le projet gouvernemental. Il y a une certaine schizophrénie dans cette histoire avec des politiques qui répètent en boucle leurs éléments de langage dans les médias depuis hier pour dénoncer la surveillance de masse américaine et les écoutes entre alliés alors que dans le même temps, ils ont voté une loi qui par bien des aspects se rapproche du système américain. 

Il ne s’agit pas d’un Patriot Act à la française, ce qui serait une caricature du projet de loi américain. Cependant, il s’en rapproche par de nombreux aspects, et surtout par une philosophie dangereuse. Alors que le renseignement de masse montre clairement ses limites aux Etats-Unis (coût exorbitant, efficacité partielle, utilisation et conservation des données et fragilisation des libertés individuelles), la France qui pourtant pouvait analyser l’exemple américain a poursuivi sur la même trajectoire pour un résultat qui s’annonce désastreux. 

L’utilité même de ce projet de loi fait débat, mais le plus inquiétant a été le montage de cette loi. Outre des passages pour le moins abscons, cette loi a fait l’objet d’amendements rajoutés à la dernière minute (cf celui sur la protection des lanceurs d’alerte qui désormais n’est plus qu’une coquille vide), d’amendements en violation avec les droits de l’homme, etc… De nombreux parlementaires ont mis en garde le gouvernement contre ce projet de loi, mais l’entêtement de ce dernier n’a pas modifié l’esprit de cette loi. 

Une loi pour rien ? Oui et non. Oui si l’on part du principe qu’elle est censée assurer une meilleure protection des citoyens. Non dans la mesure où son instauration aura de graves conséquences pour l’efficacité du renseignement et la place des libertés individuelles en France. La patrie des droits de l’homme autorise une surveillance généralisée, un peu comme un immense filet de pêche, à charge ensuite pour les analystes de faire le tri parmi des milliards de données collectées pour plusieurs années. Certes, ils seront assistés par des ordinateurs équipés d’algorithmes puissants, mais il y aura assurément un taux d’erreur, qui rapporté à la population, risque de créer un nombre phénoménal de faux positifs ! Cela empêchera-t-il des actes terroristes ? On peut légitimement en douter. En revanche, cela va créer un système particulièrement pernicieux, où l’on cherchera à prévoir des comportements dangereux avec des dérives évidentes. Minority Report n’est pas si loin de nous au fond !

Les défenseurs du projet de loi répètent deux arguments pour le moins contestables : si l’on n’a rien à se reprocher, il n’y aucune inquiétude à avoir. Étonnante conception d’un système démocratique ! De plus, ces mêmes défenseurs mettent en avant la CNCTR ou Commission nationale de contrôle des techniques de renseignement. Il s’agit à première vue d’un contre-pouvoir utile, mais en y regardant de plus près, cette instance a tout pour être inefficace : elle sera consultative, facultative et surtout son action sera réduite à néant en cas de procédures d’urgence (voir https://www.laquadrature.net/fr/publication-dun-memoire-citoyen-au-conseil-constitutionnel-contre-la-loi-renseignement).

Cette loi, qui aurait pu être une avancée notable pour améliorer l’efficacité des services renseignements, aura réussi l’exploit de manquer sa cible, de se mettre à dos la plupart des structures (CNIL entre autres) et experts sur le sujet, et enfin de ternir l’image de la France. Soulignons l’ironie de la déclaration du Premier ministre Manuel Valls qui a demandé hier un « code de bonne conduite » en matière de renseignement entre alliés, alors qu’il instaure par ailleurs une surveillance de masse en France avec des prérogatives à l’international assez massives. 

Soulignons également la position singulière du Président de la République François Hollande qui a semble-t-il senti le caractère sensible de ce projet de loi et a décidé de saisir lui-même le Conseil constitutionnel pour s’assurer de la bonne conformité de la loi. S’agit-il d’un pari politique afin de montrer qu’il a toute confiance dans ce projet de loi ou n’est-ce pas une prise de conscience que cette loi va trop loin ? 

En tout cas, ce projet de loi aura démontré un certain dogmatisme chez les partisans de cette loi qui auront fait fi des alertes pourtant utiles de plusieurs parlementaires, de la société civile. Afin de respecter un agenda politique contraignant, ce projet de loi aura été élaboré dans l’urgence, en dépit du bon sens et ne présage rien de bon pour la suite. Au lieu d’améliorer un système, il le fragilise en le rendant moins efficace et impopulaire auprès de citoyens qui s’intéressent de plus en plus à ces questions. 

Ce dernier fait est un des rares espoirs, de même que la poursuite du combat par la société civile, consciente qu’il en va des libertés publiques et individuelles. Rappelons simplement que les politiques, les parlementaires sont censés protéger ces dernières, et non les fragiliser. 

Tribune publiée initialement pour le Nouvel Observateur (Le Plus) le 25 juin 2015

mercredi 24 juin 2015

#WikiLeaksÉlysée : bienvenue (de nouveau) dans la réalité !

A croire que l’histoire se répète inlassablement et que personne ne fasse jouer sa mémoire… A moins que tout cela ne soit qu’un simple jeu de posture… A moins que les politiques soient vraiment convaincus par leurs propos et dans ce cas, la gravité est extrême… 

Bref, depuis hier soir, la France, ou plutôt les médias, sont tenus en haleine par les dernières « révélations » (je mets les guillemets à bon escient) de Wikileaks. Qu’apprend-on ? Que les Etats-Unis, à travers la NSA, ont espionné depuis le début des années 2000 des officiels français et surtout les trois derniers présidents de la République : Jacques Chirac, Nicolas Sarkozy et François Hollande. 

Les « révélations » contiennent quelques anecdotes (la perception américaine de l’égo d’un président, les bourdes d’un ministre) et des compte-rendus sur des écoutes réalisées afin d’être tenus au courant des détails de négociations diplomatiques et économiques. 

En réaction à ces « révélations », le Président français a convoqué un conseil de défense pour afficher sa fermeté et semble-t-il sa colère, pour au final dénoncer des « méthodes inacceptables ». Un consensus se fait jour au sein de la classe politique avec des demandes de fermeté à l’égard des Etats-Unis de la part de parlementaires de droite comme de gauche, même si quelques voix (bienvenues ?) se sont entendre pour dénoncer le cirque médiatique qui se déroule sous nos yeux. 

La France fait les gros yeux en convoquant l’ambassadeur américain et le Président Hollande doit appeler son homologue américain, mais en fin de compte, que va-t-il se passer ? Rien, strictement rien ! La France, ou plutôt ses représentants politiques, font mine de ne pas savoir que les services américains nous espionnent depuis des années, avec l’aide parfois de nos alliés et partenaires comme l’Allemagne. 

Ont-ils oublié les révélations de Snowden qui sont pourtant récentes ? Ne se souviennent-ils pas du réseau Echelon qui permit aux Américains il y a des années de mener des écoutes pour servir leurs intérêts politiques et économiques ? Les récentes révélations (début 2015) en Allemagne sur l’espionnage réalisé par le BND (services secrets allemands) pour le compte des Etats-Unis contre la France nous rappellent qu’en matière de renseignement, il y a des partenaires qui partagent des intérêts communs, mais il n’y a pas d’ami, d’allié total. 

La France qui se sent trahie aujourd’hui n’agit-elle pas de la sorte également ? Des politiques, dont le Premier Ministre, semblent indiquer que ce n’est pas le cas. Soit ce dernier est mal informé, soit la France est mal protégée et c’est très inquiétant. En vérité, la France agit de la même façon que les Etats-Unis, espionnant ses ennemis comme ses alliés, nouant des partenariats avec des services de renseignement étrangers lorsque cela lui est utile (lutte contre le terrorisme par exemple). D’où une critique pour le moins mesurée jusqu’à présent du Président de la République qui au mieux affichera son mécontentement mais ne provoquera pas de bouleversement dans les relations franco-américaines. Cela lui est impossible et surtout cela ne servirait pas les intérêts de la France. 

Passés la tempête médiatique et les cris d'orfraie des responsables politiques, la situation va redevenir ce qu’elle était. On peut faire l’hypothèse sans trop prendre de risque que les Etats-Unis vont nier écouter actuellement le Président français, refuser de faire des commentaires et minimiser la portée de ces révélations en rappelant que ce sont des pratiques courantes. 

Ces trois points peuvent donner l’image d’une Amérique toute puissante qui ne se soucie des critiques de ses alliés : c’est en partie vrai. Les Etats-Unis ont un budget et des moyens techniques pour leur renseignement sans commune mesure avec ceux de leurs alliés ou leurs ennemis. Pourquoi ne pourraient-ils pas en profiter ? Penserions-nous de la même façon si la France était la plus puissante en la matière ? Les Etats-Unis ne font que tirer parti d’un avantage compétitif qu’ils mettent au service de leur puissance et de leurs intérêts. Car ce qui est important dans cette affaire, c’est que les Etats-Unis peuvent aisément avoir des coups d’avance lors des négociations avec leurs partenaires. Qu’il s’agisse du Traité transatlantique, des négociations sur le nucléaire iranien, sur la guerre en Ukraine, grâce à leur toute-puissance numérique, ils savent où agir. En d’autres termes, les dés sont pipés. 

Les Européens, la France qui est la cible dans le cas présent, ne pourront jamais s’assurer qu’ils ne sont pas écoutés. Cependant, ils peuvent rendre plus difficile le travail des autres agences de renseignement via une véritable politique en matière de savoir-faire technologique, afin d’avoir enfin des outils efficaces, pratiques et sécurisés, évidemment essentiels pour nos dirigeants. Il ne peut s’agir que d’initiatives nationales, étant donné que chaque Etat défend ses propres intérêts : cela doit passer par des initiatives stratégiques de grande ampleur afin de développer des pôles technologiques à même de concurrencer les géants américains dont les technologies sont mises à contribution par la NSA. 

C’est évidemment compliqué à mettre en place mais il en va des intérêts vitaux et stratégiques d’une puissance, sans quoi son pouvoir n’est qu’un mirage. Ce serait un message plus pertinent adressé à l’allié américain, plutôt que de feindre de découvrir la réalité d’un monde fait de collectes d’informations à des fins stratégiques. Cela donnerait en outre une crédibilité accrue à nos politiques dont les éléments de langage répétés en boucle depuis ce matin laissent à penser que soit ils ne connaissent pas le sujet, soit ils sont incompétents. 

Dans cette histoire, le danger paradoxalement est à chercher au sein de la NSA. La toute puissante agence de renseignement semble avoir une seconde taupe au sein de ses services, après Edward Snowden qui avait révélé les techniques (ce qui était bien plus intéressant que les analyses publiées depuis hier) de collectes d’information. 

Tel un colosse aux pieds d’argile, la NSA a en elle-même sa propre faiblesse. Un service de renseignement n’est bon tant que ses méthodes et ses actions ne sont pas révélées au grand jour. A chaque révélation, c’est une crise diplomatique d’ampleur diverse qui se crée. La NSA a tout intérêt à repenser son mode de fonctionnement car, malgré son budget, ses employés, ses outils, son incapacité à mettre la main sur cette seconde taupe risque de lui nuire à très court terme. 

En attendant sans doute de nouvelles « révélations » qui vont tenir en haleine les médias pour des contenus souvent creux, on peut penser que l’intensité médiatique va décroître rapidement et que les projets d’une remise à plat des activités des services de renseignement entre alliés, l’établissement d’un « code de bonne conduite » (déclaration du Premier ministre) ne resteront que des discours vains. Peut-il en être autrement ? Non, et les dirigeants doivent systématiquement agir en gardant cette idée en tête, pour ne pas être bercés d’illusions et échouer dans leurs missions.

Tribune publiée initialement pour le Huffington Post Québec le 24 juin 2015