« La cybersécurité, un enjeu majeur face au terrorisme », par Vincent Joubert
Vincent Joubert, chargé de recherche auprès de la Fondation pour la Recherche stratégique, est spécialiste des questions relatives à la cybersécurité et à la cyberdéfense. Deux thématiques dont les tenants et aboutissants demeurent relativement méconnus mais qui pourtant pèsent d’un poids non - et de moins en moins - négligeable en ce qui concerne la lutte contre la grande criminalité et le terrorisme. Le 16 novembre, soit, trois jours après les attentats qui ont endeuillé la capitale, je l’ai contacté et lui ai soumis quelques questions visant un éclaircissement de tous ces points. Ses réponses, qui me sont parvenues le 20 novembre, sont très instructives et fort intelligibles malgré la complexité du sujet - ce dont je vous remercie, Vincent. Une exclusivité Paroles d’Actu. Par Nicolas Roche.
ENTRETIEN EXCLUSIF - PAROLES D’ACTU
« La cybersécurité, un enjeu majeur
face au terrorisme »
Interview de Vincent Joubert
Illustration évoquant le collectif Anonymous ; source : www.maxisciences.com
Paroles d’Actu : Bonjour Vincent Joubert, merci d’avoir accepté mon invitation. Votre spécialité d’étude au sein de la Fondation pour la Recherche stratégique, c’est la double problématique de la cybersécurité et de la cyberdéfense...
Vincent Joubert : Bonjour, merci à vous de votre sollicitation. Je travaille effectivement au sein de la FRS, fondation reconnue d’utilité publique dont le rôle est de conseiller et proposer des analyses sur les questions de défense et de géopolitique. Je termine également une thèse en géopolitique sur les enjeux de la politisation de cyberdéfense en Europe, sous la direction de Mme Frédérick Douzet à l’Institut français de Géopolitique, et secrétaire scientifique de la Commission TIC de l’Académie des Technologies.
PdA : Quels sont, en matières de cybersécurité et de cyberdéfense, les enjeux dont il est question s’agissant, d’une part, des activités de l’État islamique, d’autre part de la lutte contre cette organisation terroriste ?
V.J. : L’État islamique, en tant que groupe armé hiérarchisé et organisé, a très vite identifié le rôle majeur des technologies de l’information et de la communication dans la mise en œuvre de sa stratégie. Les actions dans le cyberespace, qu’elles soient défensives ou offensives, font aujourd’hui partie intégrante des opérations militaires étatiques ; depuis quelques années cependant, la question se pose de savoir dans quelle mesure les groupes non-étatiques peuvent utiliser des capacités cyber pour mener à bien leurs opérations, qu’il s’agisse de criminalité organisée transnationale, de terrorisme, ou de soutien à une action étatique. L’enjeu est de savoir si ces groupes peuvent avoir accès à des capacités offensives susceptibles de constituer une menace réelle et probable pour les États, en lançant par exemple des cyberattaques contre des opérateurs d’importance vitale (OIV) tels qu’identifiés à l’article R1332-2 du Code de la Défense : les infrastructures contrôlant la gestion des réseaux et systèmes de transports en commun, des systèmes industriels connectés assurant la distribution en énergie, etc.
Dans le cas d’un groupe terroriste tel que l’ÉI, il existe plusieurs moyens d’agir dans le cyberespace, qui renvoie à ce que l’on appelle « cyberterrorisme » : utilisation de cyberattaques à des fins criminelles (financement du groupe par le vol d’argent en ligne), l’utilisation du cyberespace à des fins d’organisation et de planification des activités du groupe (dans le sens d’un C2 militaire), l’utilisation du cyberespace comme outil de propagande (pour de la revendication, de la « justification » idéologique, mais également du recrutement passif et actif) et enfin, cas extrême, l’utilisation de cyberattaques à des fins destructrices (que l’on pourrait maladroitement qualifier de « cyber-attentat »). L’ensemble de ces actions servent la stratégie globale du groupe terroriste, qui peut ainsi étendre son réseau à l’échelle internationale en raison de l’accès quasiment universel à ces technologies.
En ce qui concerne l’ÉI, les activités dans le cyberespace dont nous pouvons avoir connaissance en sources ouvertes sont bien évidemment les activités de propagande d’une part, et celles d’organisation et planification d’autre part. Les exemples de propagande (vidéos et sites internet) sont nombreux et constituent un outil essentiel pour l’ÉI, notamment pour l’endoctrinement et le recrutement de nouveaux djihadistes. En matières d’organisation et de planification, outre les technologies classiques de communication (logiciels et applications de messagerie, notamment), les technologies de cryptologie permettant de chiffrer les échanges ont récemment été pointées du doigt par certains responsables politiques. En la matière, il ne faut pas être dupe et ne pas sous-estimer les organisations telles que l’ÉI : l’utilisation de technologies et de capacités permettant de camoufler leurs échanges sera privilégiée dès que possible. Concernant les activités de type cybercriminalité, destinées à voler des fonds pour financer l’organisation, si de telles actions ont eu lieu, seules les personnes ayant besoin d’en avoir connaissance (institutions bancaires ciblées, autorités étatiques de cybersécurité) peuvent confirmer ou infirmer que l’ÉI y a recours. Cette hypothèse reste toutefois possible. Enfin, aucun « cyber-attentat » n’est à déplorer pour l’instant, et ce scénario, qui constitue une crainte majeure des autorités publiques, reste encore peu probable.
Autre point notable, les réseaux plus ou moins organisés de sympathisants à la cause du groupe, qu’on appelle hacktivistes. Ces individus ne sont pas officiellement affiliés au groupe terroriste, mais prennent parti pour leur cause soit par sympathie, soit par opposition aux contradicteurs du groupe. Ils décident alors d’agir en soutien au groupe terroriste, de manière plus ou moins organisée, par des techniques souvent peu sophistiquées.
Pour les autorités publiques, l’enjeu est d’empêcher l’ÉI de bénéficier des avantages stratégiques que procure le cyberespace. Pour cela, il faut décrédibiliser les discours de propagande, renforcer la sécurité des OIV, empêcher l’accès aux sources financières dans/par le cyberspace, et disposer de capacités permettant d’intercepter les communications. La mise en œuvre de telles capacités requiert une action concertée de l’ensemble des institutions de sécurité et de défense engagées dans la lutte contre le terrorisme et dans la cybersécurité, et doit s’inscrire dans un cadre juridique approprié.
PdA : Les frontières entre cyberterrorisme et cybercriminalité sont-elles aussi poreuses qu’on le dit ?
V.J. : Comme nous l’avons exposé, la cybercriminalité peut servir le terrorisme (et le cyberterrorisme). Si nous avons évoqué l’intérêt que représente pour un groupe terroriste le recours à des cyberattaques pour financer l’organisation, il convient d’évoquer le recours à des « cyber-mercenaires » par des groupes terroristes.
Il existe un réseau mondial appelé le « dark web » qui constitue une plateforme d’acquisition de biens et de services illégaux : armes, drogues, etc. De nombreuses études ont démontré que les offres de produits et de services de cyberattaques se sont multipliées de manière exponentielle au cours des cinq dernières années. Ces attaques sont soit destinées à de la cybercriminalité, à du cyberespionnage, ou à des fins destructrices. Énormément de groupes proposent ainsi leurs services ou des solutions « plug-n-play » permettant de mener des cyberattaques contre des infrastructures avec comme objectif d’empêcher leur fonctionnement voire de les détruire. Ces services s’acquièrent de manière anonyme moyennant un prix adapté à la cible et la sophistication de l’outil.
Si une grande majorité des logiciels de cyberattaque vendus sur le dark web sont destinées à la recherche de gain financier (fraude à la carte bancaire, accès au compte en banque en ligne, etc.), l’amélioration croissante des techniques d’attaques proposées poussent aujourd’hui les observateurs à réévaluer le risque posé par le recours à des cyber-mercenaires par des groupes terroristes.
PdA : Les gouvernements, et notamment le gouvernement français, prennent-ils à votre sens la pleine mesure de ces enjeux, en ce qui concerne en particulier la formation et les moyens alloués aux forces de sécurité et de défense ? Les annonces que vient de faire le président de la République devant le Parlement réuni en Congrès vous paraissent-elles de nature à rattraper un retard - si retard il y a ?
V.J. : La France a parfaitement pris conscience des enjeux de cybersécurité et de cyberdéfense. Le Livre blanc 2008 évoquait déjà la menace posée par les cyberattaques, et a mené à la création de l’Agence nationale de la Sécurité des Systèmes d’information (ANSSI) en 2009. Dans le même temps, le ministère de la Défense a intégré la cyberdéfense à ses activités sur le plan opérationnel et en matière de formation, de R&D et de coopération avec l’industrie ; le Pacte Défense Cyber présenté par Jean-Yves Le Drian en février 2013 expose les actions allant dans ce sens.
Les actions de cybersécurité des autorités publiques dans le cadre de la lutte contre le terrorisme comprennent cependant autant d’actions de cybersécurité/cyberdéfense que de renseignement. À ce titre, les actions de la DCRI et de la DGSE viennent compléter en tant que de besoin les actions de l’ANSSI et du ministère de la Défense. La Loi de Programmation militaire adoptée en novembre 2014 a défini un cadre juridique des opérations de renseignement qui, bien qu’il ait soulevé plusieurs controverses, s’avère essentiel pour permettre aux autorités de disposer des moyens nécessaires à la lutte contre le terrorisme.
Par rapport à ses partenaires et alliés (États-Unis, Royaume-Uni, Allemagne), la France n’est pas en retard. Elle est une puissance dans le cyberespace reconnue sur la scène internationale, notamment pour ses capacités de gestion de crise ; les attaques contre les systèmes d’information de TV5 Monde ont à ce titre constitué une illustration du savoir-faire des institutions françaises en matière de cybersécurité.
PdA : Quelles avancées appelez-vous de vos vœux dans ces domaines ?
V.J. : D’un point de vue technico-opérationnel, la France s’affaire à maintenir ses capacités à l’état de l’art. C’est un aspect positif et nécessaire au maintien d’un niveau de cybersécurité répondant aux risques actuels. Les autorités publiques n’ont cependant que peu de moyens à disposition pour lutter contre les discours de propagande largement diffusés par Daesh et les quelques initiatives lancées n’ont pas encore fait preuve de leur succès. La contre-narration des messages de Daesh sur les réseaux sociaux constitue un des enjeux prioritaires dont la mise en œuvre s’annonce difficile.
PdA : Le collectif hacktiviste Anonymous a dit sa ferme intention, juste après les tragiques attentats de Paris, de prendre sa part dans la cyberguerre contre l'État islamique. Le citoyen est-il et a-t-il vocation à être un acteur à part entière de la part des conflits d'État amenée à se tenir sur internet ?
V.J. : L’implication de citoyens dans une action contre l’ÉI dans le cyberespace n’est pas un phénomène nouveau ; les réactions partisanes d’hacktivistes sont aujourd’hui quasiment systématiques et constituent un élément des conflits internationaux. Les attaques contre l’Estonie en 2007, contre la Géorgie en 2008, contre les États-Unis, la Russie, la Chine, l’Iran, Israël, celles contre la France suite à l’entrée en guerre au Mali puis aux attentats de janvier 2015 sont autant d’exemples qui illustrent cette réalité. Toutefois, dans une très grande majorité des cas, le niveau technique des attaques reste faible et les effets produits ne sont que de l’ordre de l’interruption temporaire d’accès.
Il convient néanmoins de prendre en considération les effets de l’action volontaire et spontanée de citoyens dans le cyberespace dans le cadre de situations conflictuelles sur la scène internationale. En effet, bien que les effets, comme nous l’avons dit, ne sont que rarement conséquents (la suppression de comptes Twitter, le défacement de sites web du ministère de la Défense, etc.), ces actions peuvent monopoliser l’attention du public et contraindre les autorités à communiquer plus rapidement sur une situation au risque d’affecter le bon déroulé d’une opération militaire sensible. L’exemple de la Géorgie est parlant : les attaques ont empêché la population d’accéder à des sources d’information et les rumeurs entourant les opérations militaires russes sur le territoire géorgien ont contraint le gouvernement Saakachvili à rassurer les populations par une communication réactive, au détriment de la gestion de l’intrusion militaire sur le territoire.
La gestion de crise dans le cyberespace est un sujet extrêmement compliqué qui souffre encore de précédents pour guider les autorités politiques. La participation spontanée de citoyens, plus ou moins organisés (les structures vont de l’individu isolé aux groupes hiérarchisés qui peuvent être en lien avec les autorités étatiques), doit donc être systématiquement prise en compte lors de la planification et de la gestion des crises afin d’anticiper au maximum les interférences pouvant émerger d’actions inattendues. Les actions des groupes tels qu’Anonymous contre des comptes Twitter peuvent ainsi nuire aux opérations des services et des institutions de sécurité, qui peuvent utiliser ces médias pour surveiller, infiltrer, et démanteler des réseaux. De plus, dans le cyberespace, les suppressions de comptes sur des réseaux sociaux, de vidéos, de contenus multimédias quel qu’il soit n’aura qu’un effet temporaire. De très nombreux moyens de contourner les blocus, les interdictions, les pare-feu, ou de retrouver des médias supposément effacés existent, et pour un compte supprimé sur un réseau social, trois autres seront créés.
La participation des citoyens dans les « cyber-conflits » peut s’inscrire dans le cadre de réserves citoyennes cyber, comme c’est le cas en France ou dans d’autres pays (Estonie, États-Unis, Royaume-Uni). Ces structures permettent aux citoyens « sachant » de proposer leur expertise sur demande des autorités dans le cas d’une crise de grande envergure dans le cyberespace. Outre ce type de participation active, volontaire et encadrée, le coopération des autorités publiques avec le secteur privé reste de toutes façons cruciale ; les entreprises du numérique, de la cybersécurité, de la défense, disposent généralement des expertises les plus recherchées ainsi que de capacités techniques de qualité. Les équipes de techniciens peuvent ainsi compléter celles des agences gouvernementales afin d’accélérer une sortie de crise puis une identification des auteurs (comme ce fut le cas lors des attaques en Estonie, par exemple).
PdA : Un dernier mot ?
V.J. : La cybersécurité et la cyberdéfense sont des enjeux stratégiques majeurs pour les États, mais également pour les citoyens. Les sociétés sont aujourd’hui entièrement dépendantes des technologies de l’information et de la communication et sont donc vulnérables aux attaques qui pourraient être lancées contre les infrastructures permettant leur bon fonctionnement. Un travail de sensibilisation et de formation est nécessaire pour l’ensemble de la population ; ce n’est que par une connaissance des enjeux que les autorités publiques et la société civile trouveront le bon équilibre entre les mesures nécessaires à la sécurité et le respect des libertés individuelles.
Un commentaire ? Une réaction ?
Suivez Paroles d’Actu via Facebook et Twitter... MERCI !