mardi 23 septembre 2014

Poutine pourrait "couper l'internet russe" en cas de guerre : un gros pétard mouillé

L’information, pour le meilleur et pour le pire, va aujourd’hui à une vitesse fulgurante sur Internet. Une simple dépêche peut ainsi faire le tour du monde, être reprise des centaines, des milliers de fois, tant et si bien qu’au bout de peu de temps, ce qui n’était qu’un article présentant des informations (étranges) non confirmées devient un message politique de première importance selon ses relayeurs. 

C’est exactement ce qu’il s’est passé avec un article du quotidien économique russe Vedomosti (journal créé entre autres en 1999 par le Financial Times et le Wall Street Journal, assez critique du pouvoir) paru vendredi 19 septembre. L’article fait état d’une réunion imminente du Conseil de sécurité russe présidé par Vladimir Poutine pour « aborder la possibilité de coupure du cyberespace russe » en cas de guerre ou de situation de crise. 

La formule entre guillemets est déjà problématique en elle-même et aurait dû alerter les commentateurs tant elle est surprenante : quel intérêt aurait la Russie à se retirer (même temporairement) du cyberespace ? Ce serait au contraire un problème pour elle, car en « sortant » du cyberespace, elle perdrait toute existence numérique. Cela profiterait assurément et immédiatement à ses adversaires. L’idée de « coupure du cyberespace russe » est profondément grotesque, mais l’intérêt de l’information réside dans les réactions du pouvoir qu’elle a suscité, dans le contexte géopolitique dans lequel elle a été donnée et dans les éléments qu’elle donne sur les enjeux du cyberespace. 

Très rapidement, le porte-parole du Kremlin, Dmitri Peskov, a évidemment précisé qu’il ne s’agissait pas de déconnecter la Russie d’Internet, ce qui reviendrait à s’auto-pénaliser. En revanche, en bon politique, le représentant a indiqué que les autorités réfléchissaient (en réalité, ça fait de nombreuses années qu’elles ont réfléchi et agi) aux moyens possibles pour protéger leur cyberespace, en raison de « l’imprévisibilité totale des Etats-Unis et de l’Union européenne ». 
Rappelons que la Russie fait actuellement l’objet de sanctions économiques pour ses initiatives en Ukraine, avec une escalade des tensions entre la Russie d’un côté, les Etats-Unis et l’Union européenne. 

Une guerre de l’information prend son essor depuis le début des événements en Ukraine fin 2013 avec une stratégie de propagande des deux côtés, des annonces multiples pour accuser l’autre d’être responsable du désastre social, sociétal et économique que connaît depuis de longs mois l’Ukraine. Récemment encore, des propos auraient été prêtés au Président russe quant à une menace d’envahir la Pologne, la Roumanie et les Etats baltes. Sans être spécialiste du monde russe, on peut s’interroger sérieusement quant à la véracité de ces propos, et surtout quant à leur réalité politique et stratégique. 

L’information présentée par Vedomosti apparaît comme un moyen d’influencer la communication du Kremlin, en cherchant à donner une posture de défense et de repli à ce dernier, mais elle est tellement en dehors de la réalité qu’elle ressemble davantage à un « pétard mouillé ». L’Union européenne n’a aucun pouvoir (a-t-elle seulement une diplomatie commune ?) pour déconnecter la Russie du cyberespace. Les Etats-Unis détiennent en revanche cette capacité via l’ICANN qui peut choisir de bloquer les serveurs primaires permettant d’accéder à des sites russes. Il ne s’agit pas de science-fiction : l’été dernier, en raison d’une erreur du FBI selon plusieurs médias, l’internet syrien a été totalement déconnecté du cyberespace. Même si la possibilité existe, une telle initiative (improbable à notre sens) aurait des conséquences politiques et géopolitiques désastreuses pour la puissance qui déconnecterait un autre pays. 

Dans son ouvrage « La cyberstratégie russe » (éditions Nuvis), Yannick Harrel explique brillamment l’appropriation des enjeux du cyberespace par Vladimir Poutine, l’un des rares dirigeants à en comprendre le fonctionnement et les intérêts stratégiques. L’auteur rappelle également que la Russie possède les moyens pour devenir une puissance numérique de première importance (on peut penser à l’éditeur de logiciel de sécurité Kaspersky, à l’inventeur du jeu Tetris d’origine russe, aux écoles de mathématique réputées). La Russie n’a-t-elle pas décidé de financer la construction (on parle d’un minimum de trois milliards de dollars) d’une Silicon Valley russe à Skolkovo (même si ce ne sera pas une mince affaire à notre avis) ?

La stratégie est claire pour la Russie : comme rappelé par un membre du Conseil de la Fédération en avril dernier, Maksim Kavdjarade, la Russie doit créer un Internet national, qui pourrait n’être utilisable que sur le sol russe, afin d’échapper à la tutelle des Etats-Unis. Les sanctions suite à la crise ukrainienne (les sociétés Visa et MasterCard ayant cessé de fournir leurs services à plusieurs banques russes) ont accéléré la nécessité d’avoir des outils numériques nationaux. 

Toutefois, un tel projet, simple dans les mots pour le décrire, sera extrêmement compliqué et coûteux à mettre en place. Il n’y a à aujourd’hui qu’une seule puissance qui peut se dire autonome, capable de se passer des services américains : la Chine. Un tel tour de force (il suffit de voir les carences européennes en matière de stratégie numérique commune pour s’en rendre compte) a nécessité plus d’une décennie de travail, de collaboration entre des acteurs de différente nature, d’une stratégie au long terme. La Russie n’en est pas encore là. 

Certes, elle possède des équivalents de Twitter, Facebook et Google qui lui permettent d’éviter une américanisation des services web, mais elle demeure encore extrêmement fragile sur la partie hardware, car elle est dépendante des autres puissances qui lui fournissent des serveurs. 

En réalité, la Russie cherche souvent à jouer la victime, prenant un plaisir certain à inverser les rôles sur l’échiquier des puissances. Son choix d’accorder (et de renouveler) l’asile à Edward Snowden s’inscrit dans cette volonté d’apparaître comme une puissance numérique respectable, qui défend la liberté d’expression, face, par voie de conséquence, à une puissance numérique américaine qui abuse de ses capacités techniques. Dans le cyberespace comme dans les rapports classiques entre puissances, il n’y a pas de bons et de mauvais. Chacun joue ses atouts pour défendre ses intérêts. La Russie se dit menacée ? Elle possède sans doute les hackers les plus talentueux, ceux-là même qui donnent des sueurs froides à l’OTAN qui craint pour ses infrastructures, aux entreprises américaines qui se sentent démunies face à l’espionnage économique et numérique. 

La déclaration de Peskov a le mérite de rappeler que les tensions géopolitiques sont bien présentes dans le cyberespace, que la Russie est une puissance qui compte sur ce terrain. Nul doute que lors des futures réunions portant sur la réforme de l’ICANN (de nombreux articles expliquent la nature pour le moins particulière de cette structure qui a un pouvoir colossal dans le cyberespace et qui ne dépend que du droit californien), la Russie appuyée par la Chine cherchera à rééquilibrer les rapports de force dans le cyberespace. Autrefois puissance hégémonique du cyberespace, les Etats-Unis vont devoir faire avec d’autres acteurs, qui ne partagent pas leur conception du cyberespace. Ce dernier, dans sa nature et son fonctionnement sera sans doute amené à évoluer profondément.

Tribune publiée initialement pour le Nouvel Observateur (Le Plus) le 23 septembre 2014 (http://leplus.nouvelobs.com/contribution/1243335-poutine-pourrait-couper-l-internet-russe-en-cas-de-guerre-un-gros-petard-mouille.html)

mercredi 10 septembre 2014

L'Otan se lance dans la cyberguerre ? Attention aux conclusions hâtives

Suite au Sommet de l’OTAN de Newport au Pays de Galle qui s’est tenu les 4 et 5 septembre derniers, une déclaration finale a été publiée permettant de comprendre ce qui a été décidé par les Etats membres. Parmi les nombreux dossiers évoqués (la nouvelle NRF, une consolidation budgétaire, etc…) figurent deux points dans la déclaration (sur une centaine) portant sur la cyberdéfense. 

Les points 72 et 73 précisent plusieurs éléments déjà connus : les cybermenaces et les cyberattaques sont amenées à se multiplier et surtout à se complexifier avec la probabilité de dégâts accrus. L’OTAN affirme même que « les cyberattaques peuvent atteindre un seuil susceptible de menacer la prospérité, la sécurité et la stabilité des États et de la zone euro-atlantique » et que « leur impact sur les sociétés modernes pourrait être tout aussi néfaste que celui d’une attaque conventionnelle ». Nous reviendrons après sur cette analyse qui mérite d’être nuancée. Toujours est-il que cette dernière permet à l’organisation de sécurité collective de considérer que la cyberdéfense relève de la tâche fondamentale de l’OTAN et qu’il convient de mener « une politique de cyberdéfense renforcée ». L’OTAN ajoute même qu’il pourra invoquer le fameux article 5 suite à une cyberattaque en fonction des circonstances. 

Le point suivant indique, sans donner trop de détails (mais ce n’est pas le but principal d’une déclaration finale), la nécessité de renforcer les capacités des membres de l’OTAN en matière de cyberdéfense, d’élargir la collaboration technique à d’autres structures internationales et surtout, d’intensifier la coopération avec le secteur industriel en développant un cyberpartenariat OTAN-industrie, ce qui est sans doute l’idée la plus intéressante des deux points évoqués. 

Que penser de ce sommet en matière de politique de cyber ? Peut-on titrer, comme le fait dans un article paru le 7 septembre (http://www.lemonde.fr/europe/article/2014/09/07/l-otan-se-lance-officiellement-dans-la-cyberguerre_4483314_3214.html), le journaliste du Monde Yves Eudes « Inquiète des avancées russes, l’OTAN se lance officiellement dans la cyberguerre » ? Notons que la déclaration finale ne comporte pas une seule fois le mot « cyberguerre »… L’article re-contextualise cependant à bon escient les avancées de l’OTAN en matière de cyber en revenant sur les positions cyberoffensives russes, mais ne met pas en évidence les lacunes du concept doctrinal de l’OTAN sur ces questions. 

Le terme de « cyberguerre » est très (trop ?) fréquemment employé dans les médias, alors qu’il ne revêt jusqu’à présent aucune réalité concrète. Il y a certes des cyberattaques, mais pas de cyberguerre au sens de conflit entre au moins deux protagonistes identifiés causant des dégâts humains et économiques majeurs à l’un ou l’autre, ou les deux. La déclaration finale tombe également dans un autre travers lorsqu’elle évalue le niveau de la menace cybernétique. Certes, nos sociétés sont de plus en plus ancrées dans le cyberespace, mais il faudra encore beaucoup de temps avant qu’elles subissent des dégâts aussi importants qu’une guerre conventionnelle. 

Les exemples estonien et géorgien témoignent certes de cyberattaques réelles ayant affecté des infrastructures des pays visés, mais il convient de rappeler trois éléments importants : 
- Les pays touchés ont pu dans des temps relativement rapides remettre en marche leurs services, ce qui est rarement le cas lors de guerres conventionnelles.
- L’identité de l’agresseur n’est pas assurée. De forts soupçons pèsent sur la Russie, mais qu’entend-on par « Russie » ? Une division cyber de l’armée ? Des militants nationalistes ?
- Ces cyberattaques semblent nouvelles alors qu’elles ne correspondent qu’à de classiques techniques de sabotage et de perturbation des communications de l’ennemi, comme l’Histoire en a connu des milliers. 

L’OTAN a évidemment tout intérêt à ne pas prendre de retard sur son analyse des enjeux sécuritaires du cyberespace, mais l’organisation est face à de nombreuses difficultés pour avoir un discours clair et cohérent, et elle en est consciente, comme en témoigne la prudence dans le choix des mots et la nuance de toute idée nouvelle. 

Comme rappelé précédemment, l’un des problèmes majeurs dans le cyberespace est de démontrer de façon irréfragable la responsabilité de telle cyberattaque. De nombreux moyens techniques existent pour brouiller les pistes, et malgré quelques déclarations d’officiels, les preuves concrètes se font souvent attendre, si elles existent d’ailleurs…

Deuxièmement, l’invocation de l’article 5 semble pour le moins surprenante, voire peu probable. En théorie, un Etat faisant l’objet d’une cyberattaque pourrait bénéficier de l’aide des membres de l’Alliance, y compris militaire, si l’invocation était retenue. Les Etats membres seraient-ils prêts à une escalade de menaces verbales et physiques suite à une simple cyberattaque (même si cette dernière paralysait temporairement les services du pays visé) ?

Troisièmement, à de très rares exceptions, les cyberattaques relèvent pour la plupart de l’espionnage numérique : la Chine est suspectée depuis des années d’agir dans le cyberespace pour dérober des secrets industriels et militaires en Europe et aux Etats-Unis. La Russie est pointée du doigt également pour des actions menées contre des intérêts américains. Mais il conviendrait d’ailleurs de s’interroger sur le rôle même des Etats-Unis, premier contributeur de l’OTAN, dans le cyberespace. Les révélations de Snowden témoignent d’une action quasi sans limite des Etats-Unis contre leurs ennemis, mais aussi leurs alliés (dont l’Allemagne…). Il serait assez cynique d’imaginer un membre de l’OTAN demander à l’Organisation de l’aider à se défendre contre un autre membre de l’OTAN…

En effet, la réponse collective demandée par l’OTAN a peu de chances d’aboutir réellement (hormis un discours de façade) pour deux raisons : les Etats, qu’ils soient membres de l’OTAN ou de l’Union européenne, ne sont pas forcément d’accord sur la définition même des concepts relatifs au cyberespace et ne sont pas au même niveau en terme d’analyse, de moyens et de priorisation. Mais surtout, pour beaucoup, la cyberdéfense (et encore plus la cybersécurité) relève de la souveraineté nationale. 

Certes, des échanges de bons procédés existent déjà entre Etats membres avec des mises en situation, mais ils demeurent insuffisants pour répondre efficacement aux menaces cybernétiques qui, par définition, sont imprévisibles (l’assaillant a toujours un coup d’avance), modulables, et plus rapides à exécuter qu’à être bloquées. Dans le document, l’OTAN met en avant ses structures existantes, dont son centre de Tallinn, plus connu pour son manuel scientifique qui tente de fixer le cyberespace dans un cadre juridique clair, que pour l’élaboration de stratégies. 

En ne souhaitant pas être à la traîne, l’OTAN prend aussi le risque de participer à une course aux armements numériques qui sévit déjà entre les Etats-Unis et la Chine. En effet, pour de nombreuses cyberstratégies nationales, la simple protection des infrastructures (via des pare-feux par exemple) n’est plus suffisante et des contre-mesures sont désormais envisagées avec des cyberattaques ciblées qui peuvent toucher des pays non concernés. L’OTAN ira-t-il jusque-là au nom de sa  « politique de cyberdéfense renforcée » ?

Il est encore trop tôt pour le savoir, mais nul doute que la stratégie cyber de l’OTAN sera longue et complexe à mettre en place. On se dirige en tout cas vers une militarisation renforcée du cyberespace avec un risque certain d’engrenage où les cybernautes seront de potentielles victimes. 


Tribune publiée initialement pour le Nouvel Observateur (Le Plus) le 10 septembre 2014 (http://leplus.nouvelobs.com/contribution/1239101-l-otan-se-lance-dans-la-cyberguerre-attention-aux-conclusions-hatives.html)

mercredi 3 septembre 2014

Interview 1 Radio Classique

Interview / Invité en direct sur 
"Faut-il se méfier du cloud?", 
émission La Question économique de Nicolas Pierron, 6h55, 
Radio Classique, 3 septembre 2014