Dark Territory. The Secret History of Cyber War

Compte rendu d’ouvrage : Fred KAPLAN, Dark Territory. The Secret History of Cyber War, 2016

A la manière de Jean Guisnel en France, Fred Kaplan, journaliste spécialiste des questions de sécurité nationale aux Etats-Unis pour le journal Slate, s’immisce dans les arcanes du domaine cyber pour en dresser un historique complet. Kaplan procède ainsi à une analyse fine des évolutions et des enjeux apparus avec l’avènement de l’ère numérique, des avancées qui ont été réalisées mais aussi des limites qui sont apparues dans le domaine depuis les années 1960 aux Etats-Unis.

Un enjeu très ancien …

L’enjeu de sécurité numérique existe depuis déjà plus d’un demi-siècle. Dès les années 1960, certains informaticiens commencent à alerter les autorités américaines sur la sécurité des systèmes utilisés par les ordinateurs de l’armée. Néanmoins, c’est l’impact de la sortie du film WarGames (1983) qui conduit à la toute première législation sur le cyber. Dans ce film dystopique, un jeune collégien, pirate informatique durant son temps libre, accède involontairement à un supercalculateur militaire programmé pour prédire les résultats d’une guerre nucléaire, et lance une simulation, pensant qu’il ne s’agit que d’un jeu informatique. Cette simulation, gérée par l’ordinateur, manque de déclencher une Troisième Guerre mondiale. Après avoir vu ce film, et après avoir eu la confirmation par ses chefs militaires que ce scénario était à l’époque déjà tout à fait plausible, Reagan signe la directive NSDD-145 et donne la responsabilité de la sécurité numérique à la NSA (National Security Agency), l’agence américaine de renseignement spécialisée dans la collecte de télécommunications (SIGINT – signal intelligence).

… mais pris au sérieux relativement tardivement

Pourtant, entre les années 1980 et le début des années 2000, c’est-à-dire sous les présidents Reagan, Bush, Clinton et Bush fils, le domaine du cyber évolue difficilement. Bien que la NSA se spécialise en interne sur ses capacités cyber-offensives comme cyber-défensives, elle dispose d’un budget très faible. Par ailleurs, les généraux de l’armée américaine, qui n’ont pas grandi avec le numérique, ont tendance à écarter toute éventualité de recours à la cybersurveillance ou à une cyberattaque comme un outil qui puisse être utilisé  dans une guerre. Ce n’est que durant la guerre en Afghanistan que l’armée américaine travaille pour la première fois avec les équipes de la NSA pour infiltrer les infrastructures ennemies, collecter des informations essentielles sur leur localisation et véhiculer de fausses informations.

Une activité cyber concentrée au sein d’une seule agence, la NSA

Avec la progression des capacités offensives, la question de la cyberdéfense se pose également : selon Fred Kaplan, « ce que l’on inflige à nos ennemis, nos ennemis pourront le faire aussi ». C’est au sein d’une seule et même structure, la NSA, que se développent alors non seulement des moyens offensifs (Computer Network Operation et Computer Network Exploitation) mais aussi un appareil défensif. Tous les pouvoirs d’action et de coordination sont également concentrés au sein de cette agence de renseignement, qui voit son budget s’envoler en 2008 pour atteindre 17,3 milliards de dollars planifiés sur cinq ans. Cette organisation de la cyberdéfense est très différente de celle que l’on peut trouver en France, où l’offensif relève du domaine strictement militaire (Comcyber, DGSE), tandis que le défensif est partagé entre les domaines civils (ANSSI) et militaires (Comcyber). 

La transformation du cyberespace avec les premières cyberattaques de grande ampleur

Au début des années 2010, les Etats-Unis se dotent d’une doctrine sur le cyberespace. Ils revendiquent ainsi leur utilisation du cyber comme une arme complémentaire à celles utilisées sur le champ de bataille, pouvant limiter les pertes humaines et les dommages collatéraux. Washington est d’ailleurs à l’origine de la première cyberattaque interétatique de grande ampleur : l’opération Olympic Games. Visant l’Iran, cette opération consiste dans le développement et l’inoculation d’un ver informatique, appelé Stuxnet, dans le système informatique des centrifugeuses iraniennes d’enrichissement d’uranium afin de les détruire. C’est la première fois qu’une attaque a des conséquences physiques, s’étendant au-delà du cyberespace. Par la suite, ce ne sont plus seulement les Etats mais également les entreprises, en particulier américaines, qui font l’objet de cyberattaques (sabotage ou espionnage) conduites par des Etats ou des individus isolés. Ainsi, le spectre de la guerre cybernétique s’élargit car les rapports de force deviennent asymétriques avec l’émergence de nouveaux acteurs capables de perpétrer des attaques avec peu de moyens, trouvés sur le darkweb.

Une législation nationale progressive, mais une législation internationale inexistante

La législation sur le domaine cyber s’intensifie à partir des années 2000, en particulier sous le mandat du président Barack Obama, afin de soutenir les développements offensifs et défensifs du cyber, mais aussi pour répondre aux scandales de surveillance dont a été accusée la NSA en 2013 avec l’affaire Snowden. Les autorités américaines tentent d’accroître la transparence des procédures juridiques encadrant le recours à l’analyse des données collectées par la NSA. Néanmoins, ces procédures ne s’appliquent pas aux télécommunications à l’étranger. La cybersurveillance interétatique est d’ailleurs pratiquée par un grand nombre d’Etats, comme en témoigne la récente affaire Pegasus. Or, il n’existe aucune régulation internationale du cyberespace, et les leviers de pression militaires traditionnels sont difficilement applicables dans ce domaine. En effet, la dissuasion y est très peu efficace car elle requiert la capacité d’attribuer rapidement une cyberattaque (aujourd’hui, il peut se passer plusieurs mois avant qu’une intrusion soit identifiée) et d’y répondre suffisamment fort pour dissuader l’ennemi de toutes ripostes.

La difficile régulation des acteurs du secteur privé aux Etats-Unis

Par ailleurs, les Etats-Unis ont fait face à des difficultés quant à la législation relative au comportement du secteur privé. En 2016, lorsque l’ouvrage a été publié, un grand nombre d’entreprises américaines refusaient encore toute forme de régulation, et préféraient payer les coûts d’une cyberattaque, s’élevant parfois à des dizaines de millions de dollars – comme l’a illustrée la cyberattaque contre Sony par les nord-coréens en 2014 – plutôt que de les anticiper et de s’en protéger en vain. En effet, les techniques de cyberdéfense ne sont jamais totalement infaillibles, et finissent éventuellement par être insuffisantes face à certaines cyberattaques. En France, et plus globalement en Europe, le secteur privé se plie davantage aux régulations relatives à la cybersécurité : par exemple, la directive NIS votée en 2016, permet de contraindre les acteurs privés des domaines stratégiques (infrastructures, eau, électricité, etc.) à respecter des normes strictes de cybersécurité.

L’ouvrage de Kaplan est une mine d’or sur la construction de la politique cyber des Etats-Unis. Bien que l’ouvrage mette uniquement en avant, voire embellisse, les capacités cyber étatsuniennes, Kaplan cherche à dresser les limites éthiques et politiques auxquelles le pays fait face. Par ailleurs, l’ouvrage est particulièrement bien documenté et sourcé, se fondant sur un peu plus d’une centaine de témoignages des acteurs « intérieurs », aussi bien des fonctionnaires que des militaires ou des agents de la NSA. Depuis la publication de ce livre, la situation dans le cyberespace a néanmoins évolué, bien que les Etats-Unis en restent les leaders. Dans un contexte de forte augmentation du nombre de cyberattaques, le président Joe Biden a réuni, le 25 août 2021, les grandes entreprises de la tech pour les encourager à prendre des mesures concrètes de cybersécurité ; le secteur privé américain semble enfin se saisir des enjeux de sécurité numérique.

Par Camille Maindon

Camille Maindon

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Revenir en haut de page