Nébuleuse et dangereuse cybersécurité nationale

Électrodollars

De 2007 à 2008, les réseaux informatiques gouvernementaux et industriels des États-Unis ont été victimes respectivement de 38 000 à 72 000 incidents : attaques, intrusions, pertes, vols et piratages de données. Dans son évaluation des niveaux de sécurité et de résilience des systèmes informatiques pour l’année fiscale 2007, le Congrès avait attribué un « C » à l’ensemble des administrations fédérales, « F » à l’Office de Régulation Nucléaire et au Département du Trésor, « D » au Pentagone, « A » au Département de la Justice...

D’où un plan de cybersécurité nationale - initié par l’ex-président George W Bush et renforcé par son technoïde successeur Barack Obama - portant sur cinq grands axes :

• la recherche & développement orientée cybersécurité imbriquant secteur informatique, industrie militaire et laboratoires universitaires,

• la protection et la résilience des infrastructures réseautiques vitales (administrations fédérales, électricité, transports, information & médias, finance, etc)

• le contre-espionnage industriel en réseaux,

• le développement de stratégies anti-cybercriminelles globales,

• l’élaboration de standards pour la protection physique et numérique des données personnelles, administratives et industrielles.

   

L’administration Obama, le Pentagone, les milieux académiques et ceux industriels ont également été fortement séduits et convaincus par les pertinentes recommandations du Center for Strategic and International Studies dans Securing Cyberspace for the 44th Presidency, document empreint d’une profondeur voire d’une vision « cyberstratégique ».

D’ores et déjà, le secteur de la cybersécurité enregistre une croissance annuelle de 7 à 8% depuis 2003 soit deux fois mieux que le secteur des TIC dans sa globalité. Selon le cabinet de prévisions INPUT, les investissements cumulés de l’état fédéral dans ce masterplan cybersécuritaire passeront de 7,4 milliards en 2008 à 10,7 milliards de dollars en 2013 (+44%). Des acteurs traditionnels de la cybersécurité comme McAfee et Symantec sont désormais confrontés aux grands noms de l’industrie militaire : Boeing (Cyber Solutions), Lockheed Martin (Information Systems & Global Services), Raytheon (Information Security Solutions) et L3 Communications (Cybersecurity Units), pour ne citer qu’eux. BAE Systems, General Dynamics, l’Université John Hopkins, Lockheed Martin, Northrop Grumman, Science Application International et Sparta - tous généreusement subventionnés - rivaliseront chacun d’imagination par cycles semestriels au sein du Cyber Range Startup, laboratoire cybersécuritaire et incubateur d’innovations crée et supervisé par le DARPA, le fameux centre de recherches du Pentagone.

De nombreux analystes technologiques ou militaires évoquent passablement un « cyberplan Marshall » ou quelque keynésianisme électronique censé amortir les effets de l’actuelle dépression économique. En fait, la cybersécurité est aussi le nouvel eldorado de l’intelligence économique d’Oncle Sam : à défaut de circonscrire et d’intercepter efficacement les démons de la toile, les synergies technologiques entre recherches universitaires, privées et militaires seront hautement bénéfiques pour les applications civiles hardware, software et netware et boosteront d’autant une industrie informatique américaine déjà en pointe.

Côté européen, chaque nation concocte ses lotions cybersécuritaires en solitaire face à une menace qui n’a pour seule limite que la pervasivité des protocoles. Dépourvue d’une industrie informatique matérielle et logicielle digne de ce nom et a fortiori d’une réelle volonté politique dédiée à l’enjeu cybersécuritaire, le Vieux Continent peinera longtemps à produire une masse critique intellectuelle en matières d’infosécurité et de cyberstratégie. Cependant, ne nous leurrons pas : côté américain, le diable sommeille également dans la Matrice...

Le code et le texte

Déclenchée à dix milles lieux d’ici, une sournoise cyberattaque paralyse puis infecte sévèrement les réseaux militaires ou gouvernementaux (comme ce fut réellement le cas pour le ministère britannique de la défense en janvier 2009), les administrateurs systèmes mettent aussitôt en oeuvre des parades conformes aux procédures en vigueur et découvrent trop tard que la cyberattaque a été indéfiniment reroutée via plusieurs ordinateurs situés sur le territoire national et dans plusieurs pays étrangers grâce aux merveilles des botnets.

Dans un tel scénario, quelle autorité est chargée de l’enquête consécutive et/ou de l’élaboration d’un cadre cybersécuritaire légal : une cyberdivision du ministère de la justice, de la sécurité intérieure, de la défense ou d’une agence de renseignement ? Toutes ensemble ? Vive le chaos administratif ! Inerties bureaucratiques et rivalités internes en sus.

Quand un ordinateur ou un PDAphone devient une arme, les distinctions entre menace intérieure (impliquant police et justice) et menace extérieure (impliquant défense et renseignement), entre cybercriminalité, cyberterrorisme et cyberguerre (usant très souvent des mêmes modes opératoires), s’effacent promptement. Dès lors, les attributions intra-gouvernementales et les cadres légaux afférents devront être rapidement et drastiquement revus afin de mieux adapter la bureaucratie à l’enjeu cybersécuritaire. Méfions-nous du sempiternel discours ministériel jurant par tous les alinéas « qu’un dispositif approprié est déjà en place », la ligne de code Maginot du fonctionnaire ne dissuade point le hacker.

Quand bien même les services de renseignement seraient parfaitement informés de l’imminence d’un attentat, il leur est quasiment impossible de déterminer où, quand et comment il se produira. Motifs : le nombre de cibles est potentiellement infini et le coût d’un changement de cible est tout simplement négligeable pour l’action terroriste. Quelques mois ont suffi aux Panzer et aux Stuka pour défaire toute l’Europe pourtant très au fait du mode opératoire de l’armée allemande. L’expérience sécuritaire et l’histoire de la guerre nous ont amplement démontré à quel point des techniques, tactiques et stratégies totalement novatrices surprennent voire « hypnotisent » littéralement les appareils sécuritaires ou militaires visés. À leurs façons, cybercriminalité, cyberterrorisme et cyberguerre - concepts variants, poreux et connexes - nous réserveront aussi leurs sournoises embuscades et leurs déflagrantes malices durant les prochaines décénnies.

À quand une cyberattaque brutale aux effets prolongés des réseaux Bloomberg et Reuters afin de priver médias et places financières de leurs incontournables pourvoyeurs d’informations ? Imaginons les répercussions tous azimuts à l’échelle intercontinentale de plusieurs cyberattaques de précision contre Silicon Triangle (Bangalore, Chennai et Hyderabad), aujourd’hui considéré comme le gardien des infrastructures informatiques mondiales mais décrit par de nombreux spécialistes indiens en cybersécurité comme « un tigre édenté »...

Ennemi d’état

Dans maintes nations démocratiques - notamment celles occidentales - les armées et les agences de renseignement (CIA, MI-6, DST, etc) sont sollicités sur le territoire national lors d’exceptionnelles circonstances (désastres naturels, lutte anti-drogue, veille anti-terroriste, contre-espionnage, etc) et selon des conditions strictement définies par les constitutions ou par les gouvernements. De part et d’autre de l’Atlantique, le fétichisme sécuritaire de l’après-11 Septembre a effectivement conféré plus de pouvoir aux militaires et aux services de renseignement dans la sphère intérieure et suscité, à juste titre, de multiples interrogations et protestations.

Néanmoins, quoiqu’en disent plusieurs Cassandre, l’état prétorien n’a pas cours en Amérique du nord et en Europe. En guise d’exemple, la Turquie fait figure d’état prétorien moderne qui « se caractérise par un système politique dont l’armée occupe le coeur et assume potentiellement la direction », selon Levent Ünsaldi, docteur en sociologie à l’université de Paris I ; d’autres caractéristiques socioculturelles et politiques propres à la nation ottomane expliquent largement cet état de fait. Une patrouille militaire dans une aérogare, l’écoute téléphonique d’un caïd de la drogue et la surveillance électronique d’un attaché diplomatique ne font pas de la France, des États-Unis, du Royaume-Uni, du Canada ou de l’Allemagne un état prétorien... Du moins, pas encore.

Sous l’administration W. Bush, le plan de cybersécurité nationale était supervisé par le Homeland Security (le DHS ou département de la sécurité nationale), idem pour le National CyberSecurity Center (NCSC) placé sous son autorité et fraîchement crée par l’administration Obama. Savamment positionnée au croisement des agences de renseignement (CIA, NSA), du FBI et des départements de la justice et de la défense, la tutelle du DHS fournirait au NCSC un rôle fédérateur et coordinateur en matière de cybersécurité.

Début mars 2009, coup de théâtre : le tout nouveau directeur Rod Beckström de cette toute nouvelle agence démissionne brutalement de son poste et avance les deux raisons ayant conduit à cette décision : « la première est que les financements nécessaires à sa mission n’ont pas suivi. La seconde tient au fait que le NCSC, jusque-là rattaché au département de la sécurité nationale devrait rejoindre prochainement celui de la défense, et être placé sous la tutelle de la NSA, l’organe de renseignement électronique qui suscite la polémique avec le réseau Echelon ». En outre, Beckström estime que « les deux missions, l’une qui concerne la protection et l’autre, le renseignement, seraient incompatibles car ce sont deux métiers différents et leur rapprochement serait de nature à porter atteinte à la démocratie étant donné qu’un seul et même organisme aurait ainsi la charge de veiller sur les réseaux gouvernementaux  » (cf. Zone Militaire). En effet, son administration n’avait obtenu en tout et pour tout que cinq semaines de financement du DHS durant toute l’année 2008 !

Comme son ex-homologue du NCSC, l’Amiral Dennis Blair du National Intelligence Council (NIC : organe rattaché à la Maison Blanche qui synthétise et analyse les informations provenant de toutes les divisions et agences américaines de renseignement électronique et du GCHQ britannique) a admis devant le Comité d’Intelligence du Congrès que seule la sulfureuse National Security Agency dispose de la puissance électronique et des compétences informationnelles nécéssaires à la sécurisation du cyberespace américain, mais qu’elle souffre d’un sérieux handicap de notoriété auprès du public et devrait donc impérativement renverser la vapeur grâce un travail de publicité et de relations publiques. Courage et bonne chance ! Aux yeux du FBI, du département de la justice et même d’une bonne partie du DHS et du Pentagone, la « No Such Agency  » incarne également le mal absolu. Ses abus en matières de surveillance électronique et d’écoute téléphonique, sa culture très poussée du secret et son futur rôle central dans le domaine cybersécuritaire ne font qu’exacerber l’opprobe et la hantise dont elle est l’objet.

Toutefois, les craintes majeures de diverses administrations fédérales vis-à-vis de la NSA tiennent en deux mots : « Red Teams ». Considérées comme la crème des hackers fédéraux, ces cyber-unités spéciales de la NSA sont mandatées par le Pentagone pour analyser et évaluer ses propres réseaux informatiques et ceux de ses contractants privés en les soumettant à de très ingénieuses attaques cybernétiques (DDoS, troyens, virus, botnets, etc). Régulièrement, une Red Team sauvegardera d’ostentatoires fichiers-signatures inoffensifs dans des zones ultra-sécurisées des réseaux afin de démontrer « aux clients » leurs plus infimes failles critiques.

NB : Le réseau infaillible est celui par lequel aucune donnée n’est transmissible. Conclusion : le réseau infaillible n’existe pas. D’où l’importance accordée à la résilience des infrastructures réseautiques vitales dans le plan de cybersécurité nationale.

Dans le cadre du plan de cybersécurité nationale désormais supervisé par la NSA, tous les départements gouvernementaux seront inéluctablement soumis à ces audits cybernétiques certes très particuliers mais hautement indispensables. Pour le FBI, le DHS et le département de la justice, la NSA disposera de toutes les attributions légales pour « fourrer son nez dans leurs affaires y compris les plus confidentielles ». De quoi hérisser les cheveux de l’agent Clarisse Starling et du procureur Jack McCoy hurlant déjà à une violation progressive de la Constitution - et au viol réglementaire de leurs cachotteries ? - sous couvert de l’impératif cybersécuritaire. Les multiples associations américaines pour les droits civiques et pour les libertés électroniques ont vite levé leurs drapeaux rouges : selon elles, le département de la défense fixera peu ou prou (par le biais de la NSA) les normes cybersécuritaires et aura librement et surtout légalement accès à toute l’information gouvernementale et donc à toutes les données administratives personnelles.

On le voit, l’enjeu cybersécuritaire surpasse voire outrepasse peu à peu le cadre constitutionnel et légal, bouleverse complètement les schémas organisationnels au sein du gouvernement et de facto les rapports entre gouvernement, armée, renseignement et citoyens. Les théoriciens du droit constitutionnel et les experts en droit numérique ont un immense champ à défricher devant eux. À l’image de l’état prétorien moderne défini par Levent Üsaldi, l’état cyberprétorien se caractérise-t-il par « un super-système d’informations gouvernemental dont l’armée et les services de renseignement occupent le coeur et assume effectivement la direction  » ?

Enfin, on ne peut qu’espérer que cette multitude d’acteurs se souvienne constamment des quatre principes de base de la cyberguerre énoncés par le Dr Lani Kass du Cyberspace Task Force (US Air Force) :

1. Le cyberespace fournit d’emblée un point d’appui à des attaques physiques parasitant/retardant/entravant votre réaction.

2. Tout ce que vous pouvez faire dans le cyberespace peut également vous être infligé beaucoup plus vite et pour beaucoup moins cher.

3. Les vulnérabilités sont disponibles à ciel ouvert, n’importe où et à n’importe qui ayant la capacité et l’intention de les exploiter.

4. Le cyberespace procure les voies et moyens à des attaques distantes organisées contre votre infrastructure à la vitesse de la lumière.

    

Il ne reste plus à la NSA qu’à débusquer l’algorithme incendiaire derrière toutes ces pages e-publicitaires évoquant les turpitudes de Britney Spears ou de Rihanna...

Articles liés :

1. The Register : Obama unfurls master plan for US cybersecurity

2. Center for Strategic and International Studies : Securing Cyberspace for the 44th Presidency (PDF)

3. Électrosphère  : Déclaration de cyberguerre

4. Bloomberg  : Lockheed, Boeing Tap $11 Billion Cybersecurity Market

5. Aviation Week : DARPA To Fund National Cyber Range Startup

6. Électrosphère  : La perfide Albion cyberattaquée

7. Security Focus : Spy agency gains support for key cyber role

8. Zone Militaire : Démission du responsable de la cybersécurité américaine

    

Bibliograhie : Le militaire et la politique en Turquie, par Levent Ünsaldi, (éditions L’harmattan, 2005)