Bockel. J. M, Rapport, Sénat, Paris, juillet 2012, 158 p.
1- En introduction à ce rapport, l'on lit: "les moyens d’information et de communication sont devenus les systèmes nerveux de nos sociétés, sans lesquels elles ne peuvent plus fonctionner. Or, le cyberespace, constitué par le maillage de l’ensemble des réseaux, est radicalement différent de l’espace physique : sans frontière, évolutif, anonyme, l’identification certaine d’un agresseur y est délicate".
La menace est ainsi multiforme : blocage malveillant, destruction matérielle (par exemple de satellites ou d’infrastructures de réseau névralgiques), neutralisation informatique, vol ou altération de données, voire prise de contrôle d’un dispositif à des fins hostiles.
Dans les quinze ans à venir, "la multiplication des tentatives d’attaques menées par des acteurs non étatiques, pirates informatiques, activistes ou organisations criminelles, est une certitude. Certaines d’entre elles pourront être de grande ampleur".
Aujourd’hui, le sentiment qui prédomine est que l’ampleur de la menace a été largement sous-estimée.
En effet, depuis 2008, "les risques et les menaces qui pèsent sur le cyberespace se sont nettement confirmés, à mesure que celui-ci devenait un champ de confrontation à part entière avec la montée en puissance rapide du cyber espionnage et la multiplication des attaques informatiques en direction des Etats, des institutions ou des entreprises".
Autrement, il ne se passe pratiquement pas une semaine sans que l’on annonce, quelque part dans le monde, une attaque informatique importante contre de grandes institutions, publiques ou privées, qu’il s’agisse de cybercriminalité ou d’espionnage informatique.
Que faut-il entendre par cyberdéfense?
On entend souvent employer indistinctement les termes de cybersécurité, de cybercriminalité, voire de cyberguerre.
Pour ce rapport, la cyberdéfense est "une notion complémentaire de la cybersécurité, qui englobe la protection des systèmes d’information, la lutte contre la cybercriminalité et la cyberdéfense".
Elle désigne "l’ensemble des mesures techniques et non techniques permettant à un Etat de défendre dans le cyberespace les systèmes d’information jugés essentiels".
2- La vulnérabilité des réseaux informatiques n’est pas une préoccupation récente. C’est en 1988 que le premier ver informatique est apparu sur l’internet qui connaissait alors ses premiers développements. Depuis lors, "particuliers, entreprises ou institutions se sont familiarisés avec le risque de propagation de virus altérant, parfois gravement, le fonctionnement des systèmes informatiques, ou encore la prolifération des courriers électroniques indésirables, les spams, dont certains visent à obtenir frauduleusement les identifiants de connexion ou les coordonnées bancaires de l’utilisateur".
Par rapport à d’autres modes d’action, comme l’espionnage ou la destruction physique, "le recours à une attaque informatique présente de nombreux avantages, car il s’avère moins risqué, moins coûteux et beaucoup plus discret, l’identification de son auteur étant extrêmement difficile. Par ailleurs, il est complexe de se protéger contre les attaques informatiques, car les techniques évoluent sans cesse et il n’existe pas de parade absolue dans le cyberespace".
Autre difficulté, la sécurité informatique est largement dépendante des comportements des utilisateurs des systèmes d’information, qui considèrent souvent les règles de sécurité comme autant de contraintes.
Si les risques soulevés par la cybercriminalité sur l’économie avaient déjà été identifiés depuis longtemps, la perception d’un risque pesant plus particulièrement sur la sécurité des Etats est plus récente.
Elle recouvre principalement deux types de préoccupations. "La première porte sur les services essentiels au fonctionnement du pays ou à sa défense, tributaires de systèmes d’information qui pourraient être visés par des attaques tendant à les paralyser. La seconde concerne la protection des informations sensibles du point de vue politique, militaire ou économique, face à des techniques d’intrusion informatique de plus en plus sophistiquées".
La menace représentée par les attaques contre les systèmes d’information se caractérise par sa très grande diversité, qu’il s’agisse des techniques utilisées, des cibles visées ou de leurs auteurs présumés.
L'on distingue généralement trois modes principaux de guerre informatique, dit le rapport :
- la guerre par l’information, qui utilise le vecteur informatique dans un but de propagande, de désinformation ou d’action politique,
- la guerre pour l’information, qui vise à pénétrer les réseaux en vue de récupérer les informations qui y circulent ou y sont stockées,
- la guerre contre l’information, qui s’attaque à l’intégrité de systèmes informatiques pour en perturber ou en interrompre le fonctionnement.
On peut également, continue le rapport, classer les différents types d’attaques contre les systèmes d’information en trois catégories selon leurs objectifs :
- les attaques visant à déstabiliser des particuliers, des entreprises ou des Etats, par la perturbation de sites internet ou encore par l’altération ou la révélation de données obtenues via les systèmes d’information,
- les attaques ayant pour objectif d’espionner des particuliers, des entreprises ou des Etats afin de s’approprier leurs ressources,
- les attaques visant à saboter ou à détruire des ressources informatiques ou des équipements matériels.
A cela, l'on pourrait distinguer trois types de vulnérabilités :
- les vulnérabilités qui tiennent à la conception même des systèmes ou aux défauts de réalisation. Le défaut de conception résulte du choix initial du concepteur et peut difficilement être corrigé, alors que le défaut de réalisation résulte de la fabrication (mauvais codage par exemple) et peut être atténué par des opérations correctrices,
- les failles liées à l’organisation ou à l’environnement. Il s’agit de vulnérabilités liées aux mauvaises conditions d’emploi, qu’il s’agisse de leur processus d’emploi (le paramétrage par exemple) ou de leur environnement,
- les vulnérabilités qui résultent de l’usage fait par les utilisateurs. Elles tiennent notamment au non respect des mesures de sécurité associées à l’exploitation d’un produit.
3- L’identification de l’origine d’une attaque informatique est particulièrement difficile. Les procédés utilisés font le plus souvent appel à une succession d’ordinateurs pouvant être situés dans plusieurs pays.
Et "remonter la chaîne des machines impliquées supposerait des enquêtes extrêmement longues, tributaires des aléas de la coopération judiciaire internationale. Les méthodes de dissimulation sont nombreuses et vont du détournement d’ordinateurs à l’insu de leur propriétaire, au recours à des ordinateurs publics et anonymes, comme ceux situés dans les cybercafés".
Mais le risque de cyberterrorisme, via l’utilisation de l’arme informatique par des groupes terroristes, soit directement, soit indirectement par l’intermédiaire de pirates informatiques qu’ils rémunèreraient, est un risque fréquemment évoqué.
Les groupes terroristes "utilisent largement internet à des fins de propagande et de prosélytisme, ainsi que comme moyen de communication, y compris semble-t-il, aux moyens de systèmes de chiffrement".
C'est que les organisations terroristes ont acquis une maîtrise significative des outils informatiques et de l’internet qui pourrait leur permettre de mener des attaques plus sérieuses. D'autant plus que les groupes de pirates restent susceptibles de monnayer leurs services auprès de ces organisations.
Peut-on alors, s'interroge le rapport, parler de cyberguerre et "imaginer que les attaques informatiques se substitueront aux modes d’action militaires traditionnels et que l’issue des conflits se jouera à l’avenir sur ce nouveau champ de bataille ?
Il s’agit ici d’une hypothèse assez extrême, répond le rapport. Mais "il semble acquis en revanche, que l’on ne peut guère concevoir désormais de conflit militaire sans qu’il s’accompagne d’attaques sur les systèmes d’information".
Car le cyberespace constitue "un nouveau milieu qui se superpose aux milieux traditionnels (terre, mer, air), à l’espace et au nucléaire, ce qui n’implique pas pour autant qu’il domine les autres ou que la cyberguerre constitue à elle seule un milieu autonome de la guerre. Ce nouveau facteur nécessite toutefois des stratégies et des modes d’action très spécifiques".
Rubrique « Lu Pour Vous »
30 août 2012