lundi 17 janvier 2011

Vers une analyse plus poussée du “cas” géorgien...

Le texte, peut-être trop long, que vous pouvez lire ici est le résultat d'un travail d'analyse et de synthèse effectué à partir d'un travail plus long et précis publié par un chercheur. Les lecteurs me pardonneront certains raccourcis et mes avis parfois péremptoires. Je suis, bien évidemment, intéressé par vos commentaires. L'article, si vous le souhaitez, pourrait être disponible en pdf par exemple.

======================================================

Si la cyberguerre est désormais un terme à la mode, force est de reconnaître que le mot n’est pas proprement décrit et qu’il ne désigne pour le moment que la sinistre joie des journalistes devant une actualité croustillante.

Pour étayer leurs convictions, ceux-ci affirment à grands cris que l’Estonie et la Géorgie représentent les premiers cas de cyberguerre avec toutefois une certaine préférence pour le premier. L’Estonie étant un pays fortement dépendant de ses services de télécommunications et dépendant d’une infrastructure de qualité moyenne a pu subir de réels désagréments lors des attaques en déni de service (parmi d’autres choses). Peu d’analyses cependant sur le nombre d’attaquants (si ce n’est beaucoup de fantaisie) ou encore sur la réalité des attaques.

Les affrontements entre la Géorgie et la Russie lors de l’été 2008 offrent cependant, selon moi, un visage bien plus probable de ce que pourrait être une utilisation militaire des capacités de perturbations offerts par Internet. En bref, un aperçu un peu plus crédible de la « cyberguerre » si l’on veut bien y croire !

Quelques faits maintenant !

La chute de l’Union Soviétique en 1991 a donné naissance à une multitude de républiques plus ou moins indépendantes de l’ex-pouvoir central, républiques dont les tracés ne sont pas sans rappeler la main lourde du colonisateur. La multiplicité des cultures, religions, mode de gouvernements ont tôt fait de renaitre alors que la pression de Moscou s’allégeait. Les résultats sont là : Afghanistan, Tchétchénie sont des exemples de guerres larvées et d’affrontements sans fin ou encore de « bourbiers ». On pourrait aussi parler de la Transnistrie (pour l’Ukraine et la Moldavie) ou du Haut Karabakh (pour l’Arménie et l’Azerbaïdjan).

Le cas spécifique de la Géorgie se cristallise autour de deux régions à tendance autonomistes et d’amitié russophone, Abkhazie et Ossétie du Sud. Deux guerres de territoires ont déjà agité ces régions en 1992 et 1993, avec comme résultat des zone quasi-autonomes, parfois reconnues internationalement (contrairement à d’autres), et évidemment défendues par la Russie. Généralement, ces communautés partagent une langue, des coutumes, une religion avec la Russie, justifiant ces positions.

Le conflit qui nous occupe se déroule en Août 2008 et est relativement court, quelques jours à peine mais il faut bien percevoir qu’il intervient après une période lourde de tension dont les racines, on vient de le voir, sont profondes.

En termes militaire, et malgré que l’initiative de l’agression soit géorgienne, c’est une défaite consommée à tous les niveaux. Au niveau naval par exemple, la maitrise russe est incontestable et ce sera également le cas de tous les autres domaines d’actions.

Revenons au cyberespace !

Après tout, c’est bien notre sujet et l’auteur de l’étude citée en référence a quelque part raison d’affirmer que ce conflit est presque historique de par un simple fait : les attaques sur Internet et l’ensemble des opérations liées à l’information sont largement coordonnées avec les attaques au sol ou plus généralement, « dans la réalité ».

Auparavant, on avait pu assister à :

- des opérations militaires virtuelles CONTRE l’information : les attaques informatiques décrites par Electrosphère, contre le système de lutte anti-aérienne syrien en soutien à des vols et bombardements israéliens.

- des opérations virtuelles sans lien militaires apparents : les attaques contre les infrastructures estoniennes mais également en Corée du sud, aux Etats-Unis….C’est presque le cas le plus commun !

- des opérations militaires réelles PAR ou CONTRE l’information : l’utilisation « innovante » de CNN par les Etats-Unis au moment de la guerre du Golf (souvent interprétée comme la 1ère Guerre de l’information) ou encore le bombardement d’installations de télécommunications.

Cela dit, il semble bien que c’est une première que de voir l’association dans le cadre d’un conflit impliquant les 3 dimensions de l’ensemble des actions en matière de guerre de l’information (par, pour et contre l’information). C’est là tout l’intérêt de l’étude de ce conflit.

Gardons toutefois à l’esprit que si la Russie peut difficilement nier les opérations militaires « sur le terrain », jamais le gouvernement n’a reconnu toutes les autres opérations dans le « cyberespace » qui lui ont été attribuées.

De même, je pense qu’il est difficile de considérer comme un cas d’école, les attaques dans le cyberespace pour une raison simple : contrairement à l’Estonie, la Géorgie n’était pas un pays très connecté. Bien que la dépendance aux nouvelles technologies soint moindre, les résultalts restent largement visibles et perceptibles et sont intéressants à analyser. Ils n’ont pas forcément produit les effets qu’on peut parfois leur prêter.

Qu’a-t-on pu observer ?

=> Tout d’abord, des attaques qui semblent être de nature patriotiques ou encore de type hacktivistes visent la Géorgie et paralysent des sites d’informations officiels, obérant de fait la capacité de réaction et d’information des citoyens ou de certaines organisations. Ces attaques ont été observées dans les 2 sens, les pirates pro-russes tentant d’amoindrir la coordination de hacktivistes géorgiens en sabotant un de leurs forums et ces derniers répondant par diverses attaques dont certaines contre RIA Novosti par exemple.

=> Des attaques de nature diverses : Déni de service, vols d’informations, défaçages de sites web…On gardera en mémoire un fait étonnant : les attaques ont commencé bien avant les opérations militaires et les analystes suggèrent que la communauté russe hacktiviste bruissait bien avant le lancement de ces opérations. Ainsi, par exemple, les sites officiels d’informations de la ville de Gori ont été attaqués juste avant que les bombardements commencent. Plus généralement, les analyses montrent que les attaques informatiques ont pu concerner des médias locaux ou des sites officiels locaux correspondant aux zones où justement les combats ont pu avoir lieu.

=> La notion de cohérence stratégique entre cyberespace et réalité se base sur plusieurs éléments : le début des attaques informatiques avant les opérations militaires et la concomitance, ensuite, de ces attaques. Selon certains auteurs, le fait que les attaques n’aient pas ciblé des sites ou des systèmes appartenant à des industries ou des organismes vitaux plaident également pour une approche politique et coordonnée de la chose.

Que peut-on en dire ?

=> Encore une fois, l’hacktivisme reste le mode d’action privilégié dans ces attaques informatiques. A ce jour, les autorités russes n’ont pas reconnu avoir lancé de telles opérations sur Internet. Toutefois, on retiendra que le recrutement, la coordination et la maitrise de ces « hacker patriotiques et de ces cybers-milices » (cf. source) restent le point crucial de ces actions.

=> Pour ce faire, il parait nécessaire de disposer des capacités de renseignement adéquates. J’aurais tendance à penser que ces capacités sont essentiellement humaines : il s’agit d’infiltration, de cartographie et de connaissance des groupes susceptibles d’être impliqués dans de telles opérations. Une telle recommandation a été faite par notre groupe d’étude dans le cadre des publications C&ESAR que j’ai pu évoquées. Évidemment, nous n’en avons pas la primeur ni théorique, ni pratique mais cela parait important de le rappeler.

=> Les capacités opérationnelles sont également importantes. Cela suppose donc des qualités techniques (connaissance, maitrise et capacités) mais également des qualités d’organisateur et de logisticien. Un scénario très intéressant est proposé par Éric Filiol dans le dernier ouvrage coordonné par Daniel Ventre. Parmi ces capacités opérationnelles, on n’oubliera pas la manipulation ou l’instrumentalisation qui permet de « vendre » le projet à ces groupes et organisations.

=> En matière de logistique, on retiendra les points suivants : l’identification des cibles parait être déterminante de même qu’une relative certitude sur la capacité d’action ou de nuisance qu’on peut lui infliger. Par ailleurs, cette phase de reconnaissance pourra tenir compte des critères suivants : capacités effectives de lutte informatique défensive de l’adversaire, niveau de sécurité moyen pour en déduire une approche préalable lente et prudente.

=> L’usage des hacktivistes comme « bouc-émissaire » peut évidemment représenter une forme de « deception » ou de mensonge destiné à leurrer l’adversaire. De même, on peut dorénavant considérer que la perte des communications et activités Internet dans une région donnée peut-être le prélude à des attaques d’autre nature. On se gardera cependant de généraliser pour une raison simple : de multiples raisons peuvent induire des effets similaires à commencer par des pannes…

=> L’usage de ces hacktivistes est l’évolution d’une pratique ancienne et admise (corsaires, mercenaires…). On pourrait avancer que la Guerre Froide a été l’aboutissement des ces pratiques d’affrontements indirects. Cela dit, l’usage des sphères criminelles peut représenter une nouveauté. Une leçon à en tirer serait cependant que des attaques virulentes et soudaines d’une communauté hacker nationale par une autre peuvent être le signe de problématiques sous-jacentes plus profondes.

Résumons !

Cet exercice a été l’occasion de plonger un peu plus profond dans les arcanes d’un conflit moderne utilisant sans retenue l’ensemble des moyens à sa disposition. Les très forts éléments attestant de la corrélation entre activités virtuelles et réelles tendent à prouver une collusion de fait.

De cela, on peut tirer quelques « bonnes pratiques » qui me paraissent essentielles et universelles dans le sens où toute organisation susceptible d’être impliquées dans de tels conflits peut les mettre en pratique.

Veille, renseignement…sont à intégrer dans le quotidien des pratiques de sécurité. Malgré les connotations négatives, la maitrise de son environnement représente une constante stratégique à ne pas négliger. La puissance grandissante des groupes constitués d’acteurs influents sur Internet (pirate ou leaders d’opinion) constitue un nouvel agrégat à connaître et à intégrer dans les analyses.

Plus encore, comme le montre l’exemple géorgien, les groupes de pirates ont été « pré-positionnés » bien avant le déroulement réel des opérations de combats. Le déclenchement des hostilités dans le cyberespace doit donc justifier un regain d’intérêt soit en raison des répercussions dans le monde réel mais également en raison des dégâts potentiels sur les systèmes.

Un dernier argument à cet égard serait dans la notion de tromperie ou de duperie. Il a été répété à de très nombreuses reprises que l’authenticité des informations sur Internet est sujette à caution (ex. le cas des adresses IP…). Cela signifie que très facilement, un pays ou une organisation peut être impliqué dans un conflit soit en tant que tiers soit en tant que pseudo-responsable. La facilité avec laquelle la Chine ou la Russie sont mis en cause font par exemple oublier l’Inde, le Brésil ou la Corée du Sud, très actifs également en matière de conflits informatiques…

La considération de l’hacktivisme doit être renforcée. Traditionnellement, les moyens sont concentrés sur la cybercriminalité et la lutte contre les trafics ou les infractions. Ce mode d’action que constitue le recours à des prête-noms habiles et motivés par de l’argent ou une idéologie se rapproche des toutes les tendances observables à l’heure actuelle notamment en matière de terrorisme.

Or, la nature même de l’activisme moderne ne repose plus dans la clandestinité et l’engagement dans des groupuscules plus ou moins violents. Comme nous le faisions remarquer lors du C&ESAR, la notion d’identité et de valeurs devient quelque peu malléable. L’hacktiviste peut être opportuniste et s’engager pour une cause/un combat/une opération…L’identifier et le circonvenir éventuellement devient donc plus complexe.

Conclusion : alors que la cyberguerre anime les cercles et les colonnes des blogs, le travail de recherche effectuée par David HOLLIS dans l’article en référence permet d’avoir une vision plus précise de ces évènements.

Circonscrire précisément la nouveauté du traditionnel reste délicat mais l’opinion toute personnelle de l’auteur de ces lignes est que l’usage militaire du cyberespace est presque tout entier concentré dans ces évènements.

Les stratégiques et tactiques sont innovantes mais classiques. Classiques par la pratique, innovantes par l’outil.

Les leçons et bonnes pratiques qu’on peut tirer sont à l’aune de ces constatations : faire évoluer le champ des pratiques tout en conservant des approches somme toute classiques (veille, renseignement, infiltration…) mais penser à ces acteurs qui se renouvellent sans cesse que sont les hack/activistes.

Source :

http://smallwarsjournal.com/blog/2011/01/cyberwar-case-study-georgia-20/

Aucun commentaire:

Enregistrer un commentaire