Cyberstrategia Note De Rflexion 2 (mars 2013)

Rflexion sur la dissuasion numrique

Maxime Pinard Directeur de Cyberstrategia

cyberstrategia.blogspot.fr www.cyberstrategie.fr

cyberstrategia@gmail.com - Tous Droits Rservs

Page 1

Cyberstrategia Note De Rflexion 2 (mars 2013)

est tomb dans le pige principal,

Lors de la 77me session jeunes

de lIHEDN, qui sest tenue Paris du 4 au 9 mars 2013, il y avait parmi les sujets dtude proposs un sur le cyberespace. Lintitul tait le suivant : les cyber armes peuvent-elles tre un outil de dissuasion ? Le sujet est aussi intressant que dlicat traiter, car il faut viter lcueil du sensationnalisme, facilit il est vrai par un discours des mdias particulirement fascins par les cyber armes, et par voie de consquence par la cyberguerre. Rappelons que

consistant ne pas sinterroger sur le sens de chaque mot du sujet : cyber arme, et surtout dissuasion ! Cela a conduit au final une restitution caricaturale, o les membres se sont faits les porte-paroles des fantasmes lis au fameux Pearl Harbour numrique, et rpondant par

laffirmative la question pose dans le sujet. Or, comme la soulign un des intervenants en charge des questions et comme nous allons tenter de le faire dans cette note de rflexion, la proximit et le lien rationnel entre cyber armes et dissuasion sont loin dtre vidents. Nous irons mme plus loin en cherchant dmontrer quune force cyberntique assimilable une capacit de dissuasion est irraliste, aujourdhui et demain, pour des raisons la fois politiques et technologiques.

limmdiatet du travail des mdias naide gure la prsentation ce qui

dexplications

longues,

permettrait pourtant de comprendre de quoi on parle lorsque lon discute des cyber armes. Le groupe dtude de lIHEDN a prsent un travail riche, nourri de dtails quant aux menaces

cyberntiques, et il a cherch analyser les ventuelles rpercussions aussi bien technologiques quhumaines en cas demploi de cyber armes. Mais il
cyberstrategia@gmail.com - Tous Droits Rservs

Essai de dfinitions Les cyber armes ne sont rien dautre quun terme gnrique visant dfinir lensemble des outils
Page 2

Cyberstrategia Note De Rflexion 2 (mars 2013)

cyberntiques

ayant

la

capacit

par ailleurs extrmement difficiles parer. Les cyber armes sont

dempcher lexcution, daltrer ou de supprimer une entit technologique. Parmi les cyber armes, on trouve des outils faisant appel des connaissances techniques de diffrents niveaux. Ainsi, la conception du virus Stuxnet nest en rien comparable aux classiques

premire vue larme du faible, du pauvre, qui sen sert pour percer jour les failles dentits, prives ou

publiques, bien plus importantes que lui. On cite rgulirement le peu de temps et les faibles moyens

attaques par dni de services qui misent davantage sur la mobilisation massive des pirates que sur la

ncessaires des attaques pouvant causer des dommages considrables des socits qui bnficient pourtant dun budget pour souvent la scurit

technicit de leurs outils. A cette diffrence de conceptualisation, il convient de distinguer galement les techniques propres chaque cyber arme : un dfacement de site web modifiera par exemple une page dun site, une attaque par dni de service le rendra inaccessible, un cheval de Troie permettra daccder un contenu sensible via un logiciel cens tre digne de confiance Les techniques sont multiples et suivent une tendance claire et redoutablement efficace : les cyber armes ont un degr de

informatique

consquent.

Cest en quelque sorte le combat de David contre Goliath appliqu au cyberespace. Pourtant, force est de constater que la tendance volue, dangereusement dailleurs, vers une professionnalisation du dploiement et de lexploitation des cyber armes aussi bien par les groupes nontatiques qutatiques. Les dimensions conomique politique (cybercriminalit) (cyberespionnage et par

sophistication toujours plus lev et ont tendance combiner issues des de

exemple) sont videmment imbriques dans cette nouvelle apprciation du cyberespace. Il y a clairement une conomie mafieuse qui se dveloppe
Page 3

techniques

dattaques

diverses technologies, ce qui les rend

cyberstrategia@gmail.com - Tous Droits Rservs

Cyberstrategia Note De Rflexion 2 (mars 2013)

de par la possibilit pour les cyber criminels dagir de nimporte quel endroit dans le monde vers une cible situe un autre endroit, la distance physique groupes nimportant criminels, gure. Ces une

les dtails, rappelons que la dissuasion repose sur la capacit dun acteur dtenir une arme suffisamment

puissante pour que lennemi renonce attaquer, par crainte de dommages disproportionns et irrparables.

adoptant

structure relativement souple, peuvent tre mis contribution par des socits ou des officines lies des pouvoirs en place pour attaquer un ennemi. Des pirates dots de comptences uniques sont contacts dans diffrents pays, on leur demande de concevoir un lment prcis sans quils ne connaissent lutilit finale de leur travail. Inutile de dtailler la tche titanesque pour les services comptents de dmanteler lensemble complexe. Dans le sujet propos, les cyber armes doivent tre expliques dans le domaine dtude de la dissuasion. Cette dernire fait clairement dune structure aussi

Larme nuclaire entre clairement dans cette catgorie, lpisode japonais ayant dmontr sa capacit

destructrice, et les soixante annes qui ont suivi son non-emploi. Car, oui, larme de dissuasion nuclaire est avant tout une arme de non-emploi et bien que des situations anxiognes se prsentent (Core du Nord, Iran) parfois, amplifies il est vrai par les mdias, force est de constater que cette arme si spcifique peut dans certains cas viter une escalade des conflits. Lexemple est connu mais demeure toujours dactualit : lInde et le Pakistan ont des diffrents

politiques, historiques trs importants, ayant laiss supposer quune guerre tait envisageable, mais la possession par les deux puissances de larme atomique limite considrablement la porte dun affrontement arm.

rfrence la dissuasion nuclaire qui assure depuis un demi-sicle la France, et dautres puissances, un poids politico-diplomatique et une scurit de son territoire

incontestables. Sans entrer trop dans

cyberstrategia@gmail.com - Tous Droits Rservs Page 4

Cyberstrategia Note De Rflexion 2 (mars 2013)

Par rapport au sujet qui nous intresse, lobjectif est donc de voir quelle cyber arme pourrait devenir une arme de dissuasion. En dautres

Une autre dimension de la dissuasion est lie la communication que les Etats en font. A lexception dIsral qui sest toujours refus confirmer les rumeurs quant sa puissance nuclaire, il sagit pour les autres puissances lorsquelles

termes, la cyber-dissuasion peut-elle tre une ralit pour la chose

militaire ?

proclament leur accs cette arme de faire une dmonstration de force, du Une histoire de technique, de communication et de temps Linformation est souvent mise de ct, mais ce qui renforce la confiance mise dans la puissance nuclaire, cest aussi son caractre intemporel. En effet, depuis la Seconde Guerre Mondiale, aucune technologie na t en mesure de supplanter la capacit destructrice de larme point de vue communicationnel. Cest la garantie pour ces Etats dentrer dans la cour des grands et

desprer pouvoir discuter dgal gal avec les grandes puissances, Etats-Unis en tte. Soulignons que le Trait de Non-Prolifration (TNP) bien que

bafou par plusieurs Etats, a permis jusqu prsent dviter la cration dun chaos lchelle internationale ; il na pu tre mis en place que grce une prise de conscience gnrale des grandes puissances quelles avaient atteint une limite dans la course larmement ultime. Enfin, mme si le risque ne peut jamais tre totalement cart, il

atomique. Certes, cette dernire a fait lobjet damliorations notables,

touchant aussi bien sa puissance de destruction qu sa possibilit tre transporte et dirige rapidement et efficacement. Mais lesprit reste le mme, ce qui fait quaujourdhui, il sagit avant tout dun cot dentretien pour larsenal nuclaire des Etats en possdant un.
cyberstrategia@gmail.com - Tous Droits Rservs

demeure malgr tout peu probable que des armes atomiques soient drobes et utilises par des groupes nonPage 5

Cyberstrategia Note De Rflexion 2 (mars 2013)

tatiques et terroristes. En effet, outre lachat des composants ncessaires la cration dune arme de dissuasion, il faut encore avoir les structures et les technologies suffisantes (systme de projection par exemple) pour tre crdible et surtout, le maniement de ces composants exige un niveau

dun ct les concepteurs de cyber armes et de lautre les socits de scurit informatique, les premiers cherchant profiter au maximum des retombes de leurs crations trs phmres. Il arrive ainsi quun virus dcouvert sur la Toile voit son

ventuelle efficacit anantie par la cration quelques heures plus tard dun patch par une socit dantivirus. Cest dailleurs en partie sur leur

scientifique trs lev.

Linadquation cyber arme / dissuasion Si lon reprend les arguments voqus dans le prcdent chapitre, nous pouvons voir facilement pourquoi une cyber arme ne peut tre assimile un outil de dissuasion : 1. Linformatique poursuit son volution une vitesse soutenue. De nouveaux programmes apparaissent, toujours plus perfectionns et censs combler les faiblesses des plus anciens. On ne raisonne pas en dcennie, mais bien en annes voire en mois pour des technologies de communication par exemple. Cest une vritable course contre la montre qui se droule entre
cyberstrategia@gmail.com - Tous Droits Rservs

ractivit values. Dans un

que

ces

socits

sont

registre

similaire,

des

investissements massifs sont consentis par les entreprises pour lutter contre le piratage avec un rsultat pour le moins mitig. Lexemple de la protection HDCP est loquent : conue par Intel sur plusieurs annes et pour un cot astronomique afin de scuriser toute la chane de diffusion dun contenu numrique, rpondant ainsi une demande des grands majors, il naura fallu que quelques mois un doctorant allemand en cryptologie et son

directeur de recherche pour casser compltement le verrou.

Page 6

Cyberstrategia Note De Rflexion 2 (mars 2013)

De la mme faon que tous les chteaux forts taient censs tre imprenables, aucune cyber arme et aucune cyber mesure de scurit nest viable dans le temps. La veille et ladaptabilit sont les matres mots pour ne pas tre distancs, mais ils ne sauraient suffire permettre

depuis des annes, en raison de leur technicit et de leur cible, mais curieusement ou non dailleurs, il ny a pas eu de revendication. Certes, il est fort probable que les Etats-Unis et Isral en soient lorigine, mais les deux Etats ont su habilement manier le langage diplomatique quils en pour faire la

lmergence dune cyber arme de dissuasion. 2. Le cyberespace, du moins dans son apprciation scuritaire & militaire, na pas vocation tre mdiatis outrance, comme peut ltre la dissuasion nuclaire, lorsquil sagit de positionner un Etat vis--vis des autres. Un certain flou,

comprendre

avaient

capacit mais quils nen taient pas pour autant ncessairement

lorigine ! Si une cyber arme devait devenir un outil de dissuasion, il faudrait quelle soit conue dans le plus grand secret, mais que surtout elle soit teste sur une cible, et que le succs de lopration soit communiqu aux

parfaitement matris par les Etats, laisse comprendre aux observateurs que tel Etat a des capacits

autres puissances. Or, en agissant ainsi, et sans faire de prospective complexe, on peut lgitimement

cyberntiques puissantes, mais sans donner davantage de dtails, aussi bien pour des questions de scurit

penser que les autres puissances semploieraient trouver une parade, rendant inutile la cyber arme suppose surpuissante et phmre la

nationale que pour des problmatiques de propagande et de dsinformation. Ainsi, des virus comme Stuxnet ou Flame constituent ce qui sest fait de mieux sur le march des virus
cyberstrategia@gmail.com - Tous Droits Rservs

capacit de dissuasion numrique de lEtat lorigine du programme. 3. Enfin, et cela fait cho au
Page 7

Cyberstrategia Note De Rflexion 2 (mars 2013)

prcdent paragraphe, aucun savoir informatique nest aujourdhui mme de donner les cls pour concevoir une cyber arme de

numrique exclusivement dfensive serait plus aise mettre en place, de par la technicit des savoirs

informatiques disponibles pour les Etats. Mais force est de constater que le problme est le mme que pour une cyber arme. Outre le fait que le cot dune relle cyber dfense dissuasive serait

dissuasion. Contrairement au savoir scientifique ncessaire la dissuasion nuclaire, le savoir informatique est bien plus rpandu dans nos socits. Cest la fois un avantage et un inconvnient : lchantillon grandissant de connaisseurs de linformatique, utile pour une prise de conscience des enjeux du cyberespace, rend plus probable la possibilit de dcouvrir les vulnrabilits dune cyber arme.

particulirement lev, ce qui serait problmatique dans un contexte de rduction lexcs- du budget de la Dfense, elle ne saurait tre efficace. La pluralit des cyberattaques

possibles rend dj la tche des responsables de scurit informatique

Cyber dfense dissuasive ? Aprs avoir vu linadquation entre dissuasion et cyber arme, cherchons de voir si la dissuasion pourrait sappliquer une cyber dfense. En effet, la dissuasion vise au dpart assurer lintgrit territoriale de lEtat

complexe.

De

plus,

au

niveau

conceptuel, les mesures habituelles consistent principalement trouver des parades des menaces existantes . Certains systmes de scurit tentent dtre plus efficaces avec des

dtections

comportementales,

scrutant lactivit des programmes, mais les rsultats sont complexes analyser car il y a beaucoup de faux positifs.

possdant un outil de dissuasion. Il sagit en dautres termes du meilleur moyen pour se prvenir de toute intrusion ennemie. On pourrait penser premire vue quune cyber dissuasion
cyberstrategia@gmail.com - Tous Droits Rservs

Page 8

Cyberstrategia Note De Rflexion 2 (mars 2013)

Par ailleurs, il faudrait que cette cyber dfense dissuasive soit teste pour en apprcier la puissance et le risque de processus de rtroingnirie de la part des ennemis nest clairement pas ngliger. Enfin, lide mme de globalit pour une cyber dfense dissuasive pose problme : les proccupations en

par

dfinition,

une

dissuasion

numrique ne peut tre envisage concrtement. Aucune technologie du cyber disponible aujourdhui nest

suffisamment puissante pour infliger des dgts similaires ceux dune attaque nuclaire. Le risque dune parade une cyber arme est prendre en compte. Nanmoins, cela ne doit en aucune manire inciter les dcideurs politiques et militaires baisser les bras face un champ daffrontements il est vrai particulirement complexe. Mme si la cyber arme ou la cyber mesure de scurit ultimes nexistent pas, il faut tout faire pour sen rapprocher. Certes, cela rejoint lide dune course aux cyber armes avec le risque dune escalade de la violence, mais renoncer sous prtexte que cest impossible reviendrait tout simplement

matire de cyberscurit ne seront pas les mmes en fonction de tel ou tel ministre, voire mme entre telle ou telle structure du Ministre de la Dfense. Un outil unique et global constituerait une cible facile pour les adversaires de la France tandis que la cration doutils spcifiques, rpondant aux besoins de chaque sous-ensemble de la structure ministrielle ou

oprationnelle, compliquerait la tche des cyber attaquants, mme si le risque 0 nexiste pas pour autant.

dclasser la France vis--vis des autres puissances numriques. Cest sans doute dans cette dernire phrase que rside la cl danalyse pour la cyberstratgie de dfense. Les dcideurs politiques et militaires doivent accepter lide que
cyberstrategia@gmail.com - Tous Droits Rservs

La France a une carte jouer dans ce domaine : face des gants du cyber comme les Etats-Unis et la Chine, elle a dmontr jusqu prsent quavec des
Page 9

Cyberstrategia Note De Rflexion 2 (mars 2013)

moyens trs faibles en comparaison des autres puissances du cyber, elle parvenait tre ractive et efficace face aux menaces. Elle doit persvrer, innover, et surtout concevoir avec clart ce que doit tre sa

cyberstratgie de dfense, ce qui nest pas vraiment le cas aujourdhui, les non-dits politiques lempchant de safficher comme une puissance

autonome du cyberespace.

**********

cyberstrategia@gmail.com - Tous Droits Rservs

Page 10