jeudi 11 février 2010

Consécration de la cyber-dissuasion ! ...(ou pas)

Le Gen. Eugene Habiger, USAF, ancien pilote, chef d'état-major du Stratcom et "Security Czar" du département de l'Energie, a récemment publié, sous l'égide du Cyber Secure Institute, un rapport intitulé : Cyberwar and Cyberterrorism: The Need for a New U.S. Strategic Approach,”.

La dissuasion en matière de lutte informatique n'est pas sujet nouveau aux Etats-Unis : elle accompagne généralement la crainte d'un "Pearl Harbor" électronique qui, comme quelques autres évènements, constituent des clés de compréhensions fortes des doctrines et réactions américaines.

On se souviendra également qu'un colonel de l'USAF, Col. Ch. Williamson III, avait lancé l'idée de construire des réseaux de botnets "militaires" en vue de lutter directement contre les attaques informatiques des autres botnets (ICI).

A ce propos, l'USAF a été rapidement en pointe dans le domaine des cyberconflits, étant la première à créer un Cybercommand qui a connu divers déboires avant de revenir, en premier à nouveau, dans le giron du STRATCOM et de son CYBERCOM.

Mais, pour aussi importante que peut-être la position d'un colonel, celle d'un Général, même à la retraite, publiant sous le sceau d'un important organisme en matière de cyberwarfare, prend une valeur déterminante. C'est en tout cas, mon opinion vis-à-vis de ce rapport.

Celui-ci donne d'ailleurs très rapidement le ton en citant les divers discours affirmant que la dissuasion s'applique en matière de cyberwarfare comme ailleurs développant les notions de frappes préventives ou encore de dommages insupportables.

Cependant, si ces propos relient symboliquement le nucléaire et le cyberespace, c'est bel et bien pour une raison fondamentale : l'égalité de nature...Cela signifie purement et simplement que pour les auteurs, à l'instar du nucléaire, l'informatique est une arme de destruction massive.

Je me permets ici une critique : il faut différencier arme par nature, par destination et technologie ! La technologie est "neutre": le P2P par exemple est un système intéressant mais tout à fait détourné de l'usage originel prévu. Le nucléaire (fission ou fusion) est un ensemble de technologies ou de données physiques. Une bombe nucléaire est définitivement une arme par nature : on ne peut pas faire autre chose avec. Mais Internet, les réseaux, l'informatique ne sont pas des armes : leur utilisation peut éventuellement en faire une "arme" par destination. C'est la raison essentiel pour lequel cette analogie me parait contestable.

Au delà de ces divergences, rendons justice à l'auteur : il considère justement la difficulté de riposter face à un ennemi insaisissable qui a pu lancer son attaque du "Starbuck" du coin de la rue ou d'un pays tiers allié...et propose donc un modèle de dissuasion fondé sur le déni et non pas la frappe en représailles.

Détaillons les points-clés de son raisonnement :

- la défense ne peut-être périmétrique : égratignant la France,il affirme qu'une ligne Maginot électronique ne pourra pas mieux défendre les systèmes électroniques US que sa consoeur "physique" ne sut le faire face à l'Allemagne.

- la gestion privée des systèmes IT majeurs ne suffit pas : elle produit trop d'externalités négatives en considérant la cybersécurité comme un coup. L'intervention de l'Etat est donc nécessaire pour produire des effets positifs.

- Contrairement à quasiment TOUS les domaines militaires, les Etats-Unis ne possèdent ici aucun avantage majeur, aucune domination incontestable.

- la ligne démarquant l'espionnage via l'informatique de la guerre a été franchie : il s'agit désormais d'opérations militaires, de lutte..de guerre

- la situation géostratégique est cohérente : Chine et Russie, les deux superpuissances montantes ont développé et fait la preuve de leur capacité à mener une cyberguerre.

- le cyberterrorisme est une réalité. A ce sujet, on peut fortement contester les informations produites. Aucune attaque recensée n'a mis en danger des vies humaines, réellement. Quant à Al-Quaeda, l'auteur parle de l'utilisation des mails par les auteurs du 9/11...On se rapproche plutôt d'une forme classique de l'utilisation par une faction revendicative des opportunités de communication et de financement. Si on ne peut contester l'attrait réel : quoi de mieux pour un terroriste que de faire passer un message symbolique (catastrophes, attentats) à distance, les éléments avancés sont encore trop flous ! En revanche, rien n'est moins vrai que l'assertion suivante : vu le nombre de cyber-criminels, acheter des capacité importantes de lutte informatique n'est pas difficile et très probable

- Les cyber-armes sont des armes de perturbations massives : refutant, contrairement à certains des discours qu'il reproduit la qualification d'ADM, l'auteur affirme que les cyber-armes peuvent causer de nombreuses perturbations. Or, ici, on ne peut qu'être d'accord avec lui.

- les capacités opérationnelles militaires ont déjà été perturbées par des intrusions diverses..

En conséquence, les moyens préconisés sont :

- persister dans la dissuasion : celle-ci est limitée car elle est basée sur la hausse du coût de l'attaque vis-à-vis du bénéfice. De façon subtile, l'auteur suggère que de fait, il s'agit clairement du premier moyen de défense mis en place. A cet égard, on peut noter qu'aucun pays n'a officiellement attaqué par la voie informatique les Etats-Unis...Limitée mais réelle !

- De la même manière, les représailles ne peuvent être simplement comparés avec la voie nucléaire. L'auteur affirme même qu'ici, l'histoire est peut-être un mauvais guide. Mieux vaudrait au contraire ré-inventer une forme de dissuasion appropriée au contexte.

- 4 contraintes doivent être résolues :

=> Déterminer l'origine de l'attaque (Problème de connaissance de la réalité). Ainsi, selon le rapport, dans le cas estonien, de nombreux doutes subsistent, ce qui ne cadre pas avec la dissuasion

=> Créer la "peur" : faire sentir à l'attaquant quels sont les risques qu'il prend. Il s'agit autant de faire appel à l'esprit rationnel d'un attaquant (et tous ne le sont pas) que de pouvoir déterminer l'acte de guerre.

=> Avoir une réponse crédible : éviter au maximum les dommages collatéraux et obtenir la certitude d'avoir suffisamment atteint l'ennemi pour qu'il ne puisse pas répondre

=> Respecter les lois de la guerre, internationales et la coutume. Pouvoir également apporter la preuve des attaques.

- mettre en place une défense en profondeur des systèmes IT, SCADA et enrichir un modèle de dissuasion par déni. C'est à dire, perturber le calcul rationnel de l'attaquant qui devra être conscient que, vu la stabilité et la sécurisation du système, les moyens nécessaires devront être colossaux.

En résumé, l'auteur nous livre donc une analyse ponctuée d'éléments connus et plus originaux. Par ailleurs, certaines de ses propositions révèlent un esprit d'analyse puissant et des idées tout à fait intéressantes. Cependant, si le modèle adaptant l'esprit de dissuasion au cas du cyberwarfare est innovant, on ne peut s'empêcher de le percevoir comme une raison supplémentaire pour les Etats-Unis d'élever considérablement leur niveau de cyber-sécurité.

Source : http://news.hostexploit.com/index.php?option=com_content&%3Bview=article&%3Bid=3091%3Acyber-secure-us-strategy-for-cyberwar-and-cyberterrorism-by-gen-eugene-habiger-usaf-ret-doenergy-security-czar&%3Bcatid=1%3Acyber-warfare&%3BItemid=28&utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+HostexploitNewsRss+%28Hostexploit+News+RSS%29&utm_content=Google+Reader


http://www.cybersecureinstitute.org/


Le rapport

3 commentaires:

  1. J'ai bien qu'Alliance Géostratégique a une petite longueur d'avance et ce n'est pas prêt de s'arrêter. Un peu de lubrifiant pour l'égo (LOL). Mais, cela tu le savais déjà.. ;-)

    Un brouillon sur la cyber-dissuasion - part 3 :
    http://www.alliancegeostrategique.org/2009/12/17/un-brouillon-sur-la-dissuasion-cybernetique-%E2%80%93-part3/

    Cordialement

    RépondreSupprimer
  2. Il est formidable d'être ainsi lu et commenté par les plus grands...;)

    Sinon, j'avais effectivement lu les 3 articles consacrés à la cyber-dissuasion. Pour ma part, je n'avais rien à apporter de très nouveau et il me semble d'ailleurs avoir fait un lien dans mon blog vers le tien..

    Mais lorsque ce rapport est sorti, il m'a paru opportun d'en faire une analyse à laquelle je pourrais ajouter mon grain de sel...

    Merci encore,

    RépondreSupprimer
  3. Arrête, j'ai les chevilles qui enflent !-) Encore merci pour ce lien du Cyberinstitute.

    RépondreSupprimer