Cette semaine, l’édito du lundi se transforme en édito du mardi. Hier j’ai assisté à une conférence-débat organisée à l’Ecole Miliaire dans le cadre des « Lundi de l’IHEDN ». Animée par le (cyber) sénateur Jean-Marie Bockel, elle portait évidemment sur le thème de la cyberdéfense et sur le fameux rapport « Bockel » publié en juillet dernier. Devant un public mixte, entre civils et militaires, experts et non spécialistes, Jean-Marie Bockel a une nouvelle fois fait un état des lieux (très pédagogique) de la cyberdéfense en France tout en n’hésitant pas à nous comparer avec nos alliés (ou pas).
J’avais déjà lu son rapport et écouté sa conférences des Assises donc je ne vous surprendrai pas en vous disant que je n’ai rien appris de nouveau. J’ai toujours ce petit espoir qu’une petite information croustillante sera distillée pendant ce genre de discours…
Hier soir, on a donc entendu parler de Stuxnet, de l’ANSSI, du cyber espionnage et bien entendu des diaboliques routeurs chinois. La France est toujours en retard dans le domaine cyber par rapport à ses alliés (Allemagne, Grande-Bretagne et Etats-Unis entre autres) mais elle progresse rapidement car les moyens affectés à l’ANSSI mais aussi au Ministère de la Défense deviennent de plus en plus importants (et même en période de rigueur budgétaire). Mais le sénateur en veut toujours plus.
Quand il parle de retard, Jean-Marie Bockel parle de défense et donc de la protection de nos systèmes d’information les plus critiques (qu’ils soient privés ou publics). Il nuance sa critique en indiquant que les américains reconnaissent néanmoins nos compétences dans certaines disciplines (à notre petite échelle). Mais dès qu’on aborde la question de l’attaque ou de la lutte informatique offensive, le ton change mais peu d’informations filtrent (mais la DGSE recrute et c’est Twitter qui le dit). « On n’est pas des manchots » est l’expression (déjà) utilisée (et plusieurs fois hier soir) par le sénateur pour définir les capacités offensives françaises. Nos moyens offensifs seraient « mutualisés » et mis en oeuvre depuis des années (on n’entend pas ou peu parler, cela signifierait que nous sommes discrets et donc peut être efficaces ?). Mais nous n’en apprendrons pas plus (malheureusement) même si Bockel insiste une nouvelle fois pour définir une doctrine publique sur nos capacités offensives.
Il semble là qu’on atteint le point « cyber dissuasion » (même si le sénateur, dans son rapport, réfute ce terme et sa comparaison avec la dissuasion nucléaire). Une dissuasion très différente de la dissuasion nucléaire car les armes informatiques sont développées pour être utilisées et elles le sont ! Bockel revient notamment sur ce point sur ‘l’exemple » américain de Stuxnet et des révélations faites dans le livre du journaliste du New York Times David E. Sanger. Ces révélations avaient créé la polémique, non pas sur le fond avec (l’utilisation offensive d’armes informatiques dans un but de sabotage validée en haut lieu) mais sur la fuite de ces informations très sensibles rapidement soupçonnées de provenir de la Maison Blanche (pour réaffirmer l’autorité de Barack Obama, en pleine campagne électorale, en matière de cyber et de sécurité nationale face à la menace d’un Iran nucléaire ?).
Vient ensuite le plus intéressant (en théorie), le moment du débat ou tout du moins des questions – réponses. Je vous avoue que 80% des questions étaient soit incompréhensibles (et inutiles) soit des monologues affirmatifs. Pour troller je pourrais dire que la moyenne d’âge très élevé d’une partie de l’assistance en est globalement responsable… Malgré tout, un militaire a posé deux questions très intéressantes :
– sur la problématique de l’attribution et des déclarations de Leon Panetta, le ministre américain de la Défense, qui a affirmé récemment que les Etats-Unis avaient amélioré de façon significative leur capacité d’identifier les cyber attaquants.
– sur la possibilité pour les Etats membres de l’OTAN d’invoquer l’article 5 du traité Nord Atlantique en cas de cyber attaque (rappelons que cet article précise qu’une attaque dirigée contre un membre de l’Alliance Atlantique équivaut à une attaque contre tous ces membres et qu’une riposte collective est possible…).
Deux questions très liées mais compliquées qui ont amenées des réponses partielles car ces problématiques sont loin d’être tranchées tant au niveau juridique que technique. Mais voici mon avis sur ces questions enfin sur celle portant sur l’attribution. Comme le sénateur Bockel, je ne pense pas que les déclarations américaines soient seulement une forme de communication dissuasive (des analystes américains doutent néanmoins de ses déclarations…). Il est évident que les méthodes et techniques permettant d’attribuer une cyber attaque évoluent malgré la difficulté de l’exercice.
Non, l’attribution n’est pas un mythe. Non, ce n’est pas impossible d’identifier les responsables d’une cyber attaque (mais le risque de se tromper existe toujours). Car non, ce n’est pas seulement une problématique technique comme beaucoup semblent le penser. C’est aussi et surtout une question d’investigation (numérique mais seulement) et de renseignement plus classique. On peut également penser à de la défense active ou légitime défense numérique en lisant ce rapport du CERT géorgien qui a démasqué le hacker à l’origine d’une campagne de cyber attaques en le piratant.
Investir massivement dans le forensics et dans le renseignement et définir des cadres juridiques plus adaptés au cyber me semblent indispensables pour renforcer nos capacités d’attribution des cyber attaques.
Le cyber débat continue.
