La cyberguerre n’a pas eu lieu (2/2)

Après avoir recensé les principaux biais de ce conflit au niveau cyber, regardons ensemble ce qu’on peut en tirer comme enseignements. Nous avons pu échanger avec Julien Nocetti, chercheur associé à l’IFRI et directeur de la chaire cybersécurité à Rennes School of Business.

Durant sa présentation au FIC 2022, il est revenu sur la notion de cyberguerre, et a présenté quatre enseignements que l’on pouvait tirer du conflit entre la Russie et l’Ukraine qui est maintenant établi depuis plus de quatre mois. Or ce terme de cyberguerre est trop souvent mal utilisé, mal compris, et nous entraîne à redouter à tort des menaces peu probables au lieu de nous focaliser sur ce qui se passe vraiment et ce qu’il faudrait faire pour s’y préparer.

À l’origine du terme de cyberguerre

« À la suite de la chute de l’URSS, les États-Unis doivent redéfinir leur rôle dans le monde, car ils se retrouvent seuls avec un statut de superpuissance », nous indique Julien Nocetti. En même temps, la technologie informatique prend également une place prépondérante dans le panorama économique mondial, avec le début de la démocratisation d’internet à travers le world wide web. 

En 1994, les magazines Newsweek et Time Magazine commencent à employer ce terme dans le prolongement de la Revolution in Military Affairs (RMA), un concept né aux États-Unis sous l’impulsion de groupes de pensées tels que la RAND Corporation où David Ronfeldt et John Arquilla utilisent ce terme à partir de 1993. Cette doctrine pose l’idée de combattants de type différents mais interconnectés entre eux (« network-centric warfare »), en intégrant la dimension technologique, notamment de l’informatique mais pas uniquement (drones, nanotechnologie, robotique, biotechnologie, etc.). 

• La cyberguerre n’a pas eu lieu (1/2)

La technologie informatique et internet semblent être des solutions à de nombreux problèmes tout en permettant aux États-Unis de conforter le statut de leader et d’acquérir ainsi une certaine confiance en eux, confiance qui retombera au fil des ans, alors qu’en parallèle les capacités cyber-offensives des autres nations augmentent. Il y a dix ans on comptait les pays ayant des capacités cyberoffensives sur les doigts d’une main, on estime qu’il y en a plusieurs dizaines aujourd’hui (mais pas toutes au même niveau de puissance).

Les effets des opérations cyber sont de deux ordres : un effet sur le réseau et les équipements techniques, et un autre sur l’information, lequel est d’ailleurs vu de façon assez décomplexée chez certains acteurs comme les Russes.

Julien Nocetti propose (par exemple) un terme tel que « conflictualité numérique » qui pourrait être plus approprié si on souhaite écarter le terme « guerre ».  De plus, il ne reflète pas forcément la complexité de ce qu’il y a derrière, et dans le sens commun la guerre oppose des états et des armées, alors qu’un terme plus neutre, « conflictualité », permet aussi de remettre le secteur privé dans la boucle. En effet, ce sont des acteurs privés qui maîtrisent et opèrent l’essentiel des équipements, comme nous le verrons par la suite.

On peut aussi remarquer que le terme a été repris par les « marchands de peur » ainsi que dans les discours IT et diverses conférences avant qu’on pense à la possibilité d’une guerre physique, qui semblait moins probable que cette cyberguerre.

Le rôle des cyberopérations

En premier lieu, on peut constater assez facilement que les cyberopérations ne remplissent pas la même fonction selon l’état du conflit et surtout en fonction du niveau de tension entre les protagonistes. Même en temps de paix, des cyberopérations ont lieu, mais avec des objectifs différents.

Pour espionner son ennemi, on a remplacé la pose de micros par d’autres pièges numériques sous des formes variées, souvent plus faciles et plus discrètes à installer. En 1971, lors d’un « dépoussiérage » de l’ambassade de France en Pologne, les agents du SDECE (Service de documentation extérieure et de contre-espionnage) ont découvert pas moins de 42 micros cachés dans le bâtiment. Or, aujourd’hui, il est bien plus discret d’acheter du Pegasus, quoique côté discrétion ils commencent à être grillés, mais « heureusement » la concurrence fait rage.

Néanmoins, quel que soit le niveau de tension, cela reste un outillage additionnel ou complémentaire, les contraintes opérationnelles restent très fortes et la mise en œuvre est complexe, limitant l’usage à un niveau tactique (c’est-à-dire ponctuel), avec une nuisance certaine surtout lorsqu’elle est fortement symbolique. « Les effets stratégiques les plus importants sont dans le domaine conventionnel » pour Julien Nocetti.

L’importance de la défense

Le deuxième grand enseignement est que la question défensive doit être remise en avant dans la préparation aux conflits futurs. De ce point de vue, la NSA a eu une très forte influence sur les orientations stratégiques car elle a très longtemps négligé cette partie défensive (qui lui incombe pourtant) en privilégiant l’attaque, principalement dans un but de renseignement comme lors de la traque de Ben Laden.

Or l’Ukraine a bien résisté aux opérations cyber russes grâce à sa préparation défensive. Il faut dire que le pays est sous pression depuis pas mal de temps, surtout depuis 2014 et l’annexion de la Crimée. Certains pays parmi les cibles potentielles du Kremlin ont également entrepris de se préparer sur le volet cyber à une éventuelle invasion. Des fournisseurs proposent même des produits spécifiques pour ces pays.

En France, l’ANSSI porte aussi le même message et l’OTAN fait clairement de la résilience un objectif essentiel.

La puissance et la nature des acteurs

Le troisième point concerne le halo qui entourait la puissance russe en ce domaine, car de nombreux cybercriminels sont russophones, ce qui militait en faveur d’une réputation de puissance importante en matière cyberoffensive.

Mais l’activité la plus notable et la plus courante au niveau étatique reste le renseignement et l’espionnage : les groupes cybercriminels russes sont utilisés comme des « proxies », des aides puissantes à la demande, mais sans que cela ne donne un avantage stratégique certain. C’est une facilité dont dispose le gouvernement russe, sans que cela ne constitue une force décisive dans un conflit d’ampleur.

Aujourd’hui, dans les conflits, il y a de plus en plus d’intermédiaires, ces « proxies », qui prêtent allégeance partiellement ou totalement à des états. On sait aujourd’hui que la Russie utilise ce type d’acteur. « Retracer les liens organiques avec le Kremlin reste délicat, mais la guerre en Ukraine a apporté une dose de clarté vis-à-vis de certains acteurs, tels que Conti » prévient Julien Nocetti. Néanmoins, il précise : « il y aura toujours une part de doute ». Et, dans le cas de Conti, les dissensions internes peuvent mener à d’autres dangers avec des acteurs qui ont véritablement pignon sur rue.

A contrario, on a vu la naissance d’une armée numérique venant à l’aide de l’Ukraine – l’IT Army – composée de volontaires pour mener des cyberattaques, mais surtout pour lutter contre la propagande russe sur les réseaux sociaux. À ce jour, les opérations d’attaques restent anecdotiques, mais cela soulève un autre point, juridique cette fois : quel est le statut de telles organisations et des individus les composant dans un conflit ? Peuvent-ils être considérés comme des protagonistes à part entière, avec toutes les implications que cela peut avoir ?

Toujours sur le point de la défense, on voit aussi que la Russie est également vulnérable, la preuve étant les nombreuses fuites d’information depuis le début du conflit. On constate aussi que les opérations cyber habituelles continuent, même de la part des « alliés » chinois qui profitent de la situation pour taquiner l’ours russe.

En corollaire, on observe aussi une dépendance de la Russie aux logiciels occidentaux, l’interdépendance étant une difficulté supplémentaire qu’on ne retrouve pas forcément sur les armements conventionnels (sauf lorsqu’ils utilisent eux-mêmes des composants sous embargo).

Des Big Techs et internet pas si neutres que ça

Le dernier grand enseignement sera l’implication des Big Techs (on ne peut plus parler de GAFAM à la suite des changements de nom des holdings). Ils se retrouvent désormais en position d’arbitrage, à devoir faire des choix faisant d’eux des acteurs géopolitiques sans qu’ils n’aient de statut, de régulation ou de contrôle en rapport avec leur puissance.

La rapidité et l’impact de leurs actions (déréférencement, démonétisation des trolls russes, etc.) est à comparer à celle de l’IT Army dont le rôle reste symbolique. L’implication des Big techs ne se limite pas à la lutte contre la manipulation de l’information : ils contribuent aussi à des opérations cyberdéfensives en protégeant et en sécurisant activement des sites web ou des individus, comme avec le programme Google Shield.

Certains peuvent alors se demander s’il ne faudrait pas une régulation de ces sociétés au vu de leur rôle géopolitique. Mais si le spectre de la régulation peut planer au-dessus des Big Techs, il est très peu probable que cela se produise à court terme, surtout aux États-Unis où un démantèlement (ou des sanctions trop importantes) des grosses sociétés technologiques favoriserait l’émergence des concurrents principalement chinois.

On voit que les strates économiques, commerciales, stratégiques, politiques se superposent et participent à cette conflictualité. Il faut aussi garder à l’esprit que du point de vue des équipements techniques, le marché se partage entre Américains et Chinois, ce qui polarise encore plus le débat sur le positionnement des acteurs qu’on pensait purement techniques dans le monde géopolitique.

Sous la pression de l’opinion publique, mais aussi du Congrès américain qui s’est montré véhément à certains moments, avec la menace de procès contre les Big Techs, « chacun a été sommé de prendre position. […] La mise en retrait est très délicate. Même des acteurs qui étaient en retrait, comme Palantir, ont communiqué après le début des opérations militaires ». Palantir a même envoyé des représentants à Kyiv.

C’est un pas qui a été franchi, et il n’est pas certain qu’on puisse revenir en arrière. Jusqu’à présent les Big Techs essayaient de rester « neutres », de passer sous les radars, quitte parfois à accepter des compromis, comme dans le cas de Google China. Cette fois-ci, les Big Techs ont pris parti ouvertement d’autant plus qu’elles avaient à faire oublier leur collaboration avec des agences telles que la NSA, espérant ainsi redorer leur blason auprès de leurs utilisateurs occidentaux.

De façon plus anecdotique, certains acteurs mettent carrément les pieds dans le plat : Mandiant, lors d’une présentation au FIC, relie directement des APT à Vladimir Poutine !

La question de l’attribution, pourtant délicate, devient de plus en plus décomplexée et on affiche de plus en plus clairement les auteurs, à l’image de la diplomatie américaine bien sûr, mais aussi balte ou scandinave. On peut aussi penser que cela permet l’attribution des attaques sans que les états ne le fassent eux-mêmes, ce qui risquerait d’engager des tensions diplomatiques supplémentaires, même si les États-Unis sont plus enclins à l’attribution publique des attaques depuis le second mandat Obama.

Du côté européen, il n’y a pas vraiment de consensus (quelle surprise !) sur la politique d’attribution même si la tendance de fond va quand même à l’attribution publique.

La manipulation de l’information… il va falloir vivre avec

Pour terminer, ces sociétés jouent un rôle crucial au sujet de la lutte contre la manipulation de l’information. Malheureusement, à l’image de Facebook qui utilise des outils d’IA pour accélérer la modération (face au volume de ce qui circule sur son réseau), les performances sont loin d’être au rendez-vous et ces outils sont nettement moins pointus qu’une modération humaine.

La créativité des acteurs malveillants permet de rapidement contourner les mesures de modération. Un autre point adressable serait de jouer directement sur les algorithmes, par exemple en rétrogradant les résultats sur les sujets trop polémiques ou non vérifiés.

Mais plus vraisemblablement il va falloir vivre avec, car aucune des solutions ne sera totalement satisfaisante. Ces entreprises ont un modèle économique basé sur la publicité ciblée, ce qui est par essence un excellent moteur de propagation pour des entreprises malveillantes.