Il n'y a pas si longtemps, les histoires de cyberguerre commençaient par des hypothèses effrayantes : Que se passerait-il si des pirates informatiques sponsorisés par des États lançaient des attaques généralisées qui mettraient des villes entières dans le noir, paralyseraient des banques et gelaient des distributeurs automatiques de billets dans tout un pays, fermeraient les entreprises de transport maritime, les raffineries de pétrole et les usines, paralyseraient des aéroports et des hôpitaux ?
Aujourd'hui, ces scénarios ne sont plus hypothétiques : chacun de ces événements s'est réellement produit. Incident par incident catastrophique, la cyberguerre a quitté les pages de la science-fiction exagérée pour devenir une réalité. Plus que jamais, il est clair que la menace du piratage informatique va au-delà du vandalisme, du profit criminel et même de l'espionnage pour inclure le type de perturbation du monde physique qui n'était autrefois possible qu'avec des attaques militaires et des sabotages terroristes.
Qu’est-ce que la cyberguerre ?
La cyberguerre consiste essentiellement en des attaques numériques contre les réseaux, les systèmes et les données d'un autre État, dans le but de provoquer des perturbations ou des destructions importantes. Il peut s'agir de détruire, d'altérer ou de voler des données, ou de rendre impossible l'accès à des services en ligne, qu'ils soient utilisés par l'armée ou par la société en général. Ces attaques numériques peuvent également être conçues pour causer des dommages physiques dans le monde réel, par exemple en piratant les systèmes de contrôle d'un barrage pour en ouvrir les vannes.
Une définition plus large de la cyberguerre pourrait également inclure certains éléments de ce que l'on appelle également la guerre de l'information, notamment la propagande et la désinformation en ligne, comme l'utilisation d'"armées de trolls" pour promouvoir une certaine vision du monde sur les médias sociaux.
Il n'existe pas de définition juridique établie de la cyberguerre, ni de lois y faisant spécifiquement référence. Cela ne signifie pas que le concept n'est pas couvert par le droit international, ni qu'il soit considéré comme insignifiant. Les États occidentaux s'accordent à dire qu'une attaque en ligne contre un État peut, si elle est suffisamment grave, être l'équivalent d'une attaque physique armée.
Une brève histoire de la cyberguerre
- Pour beaucoup de gens, c'est en 2007 que la cyberguerre est passée de la théorie à la réalité. Lorsque le gouvernement de l'Estonie, État d'Europe de l'Est, a annoncé son intention de déplacer un mémorial de guerre soviétique, il s'est retrouvé sous un bombardement numérique furieux qui a mis hors service des banques et des services gouvernementaux (l'attaque est généralement considérée comme le fait de pirates russes ; les autorités russes ont nié être au courant). Toutefois, les attaques DDoS (attaque par déni de service distribué) contre l'Estonie n'ont pas causé de dommages physiques et, bien qu'il s'agisse d'un événement important, elles ne sont pas considérées comme ayant atteint le niveau de la cyberguerre proprement dite.
- La même année, une autre étape importante de la cyberguerre a été franchie lorsque l'Idaho National Laboratory a prouvé, par le biais du test du générateur Aurora, qu'une attaque numérique pouvait être utilisée pour détruire des objets physiques, en l'occurrence un générateur.
- L'attaque du logiciel malveillant Stuxnet, qui a eu lieu en 2010, a prouvé que les logiciels malveillants pourraient avoir un impact sur le monde physique. Le ver Stuxnet (2010) est l'un des ransomware les plus puissants du monde. L’attaque a été menée contre l'infrastructure nucléaire de l'Iran en utilisant des portes dérobées de port USB.
- Depuis lors, il y a eu un flux constant d'histoires : en 2013, la NSA a déclaré qu'elle avait mis fin à un complot d'une nation anonyme - que l'on croit être la Chine - visant à attaquer la puce BIOS des PC, les rendant ainsi inutilisables. En 2014, il y a eu l'attaque contre Sony Pictures Entertainment, attribuée par beaucoup à la Corée du Nord, qui a montré que les systèmes et les données du gouvernement n'étaient pas les seuls à pouvoir être visés par des pirates sponsorisés par des États.
- Peut-être plus grave encore, juste avant Noël 2015, des pirates ont réussi à perturber l'alimentation en électricité dans certaines régions d'Ukraine, en utilisant un cheval de Troie bien connu appelé BlackEnergy. En mars 2016, à New-York, sept pirates iraniens ont été accusés d'avoir tenté de mettre hors service un barrage dans un acte d'accusation du grand jury fédéral.
Les nations se dotent rapidement de capacités de cyberdéfense et d'attaque et l'OTAN a franchi en 2014 une étape importante en confirmant qu'une cyberattaque contre l'un de ses membres serait suffisante pour leur permettre d'invoquer l'article 5, le mécanisme de défense collective au cœur de l'alliance. En 2016, elle a ensuite défini le cyberespace comme un "domaine opérationnel" - une zone dans laquelle un conflit peut se produire : Internet était officiellement devenu un champ de bataille.
Qu’est-ce qui n’est pas un acte de cyberguerre ?
La question de savoir si une attaque doit être considérée comme un acte de cyberguerre dépend d'un certain nombre de facteurs. Il s'agit notamment de l'identité de l'attaquant, de ce qu'il fait, de la manière dont il le fait - et de l'ampleur des dommages qu'il inflige.
Comme d'autres formes de guerre, la cyberguerre au sens le plus pur est généralement définie comme un conflit entre États, et non entre individus. Pour être qualifiées, les attaques doivent vraiment être d'une ampleur et d'une gravité significatives.
Les attaques menées par des pirates individuels, ou même des groupes de pirates, ne sont généralement pas considérées comme une cyberguerre, à moins qu'elles ne soient aidées et dirigées par un État. Pourtant, dans le monde obscure de la cyberguerre, les lignes de démarcation sont souvent floues : les États qui soutiennent les pirates informatiques afin d'obtenir un déni plausible de leurs propres actions sont toutefois une tendance dangereusement courante.
Par exemple, les cyber-escrocs qui plantent les systèmes informatiques d'une banque en tentant de voler de l'argent ne seraient pas considérés comme commettant un acte de cyberguerre, même s'ils proviennent d'une nation rivale. En revanche, des pirates soutenus par un État qui font la même chose pour déstabiliser l'économie d'un État rival pourraient bien être considérés comme tels.
La nature et l'échelle des cibles attaquées sont un autre indicateur : il est peu probable que le fait de défigurer le site web d'une entreprise soit considéré comme un acte de cyberguerre, mais la mise hors service du système de défense antimissile d'une base aérienne en serait certainement proche.
Les armes utilisées sont également importantes. La cyberguerre fait référence aux attaques numériques contre des systèmes informatiques : tirer un missile sur un centre de données ne serait pas considéré comme un acte de cyberguerre, même si le centre de données contient des dossiers gouvernementaux. Et l'utilisation de pirates informatiques pour espionner ou même voler des données ne serait pas en soi considérée comme un acte de cyberguerre, mais relèverait plutôt du cyberespionnage, une activité à laquelle se livrent presque tous les gouvernements.
Il est certain qu'il existe de nombreuses zones d'ombre (la cyberguerre est de toute façon une grande zone d'ombre), mais qualifier chaque piratage d'acte de cyberguerre est au mieux inutile et au pire alarmiste, ce qui pourrait conduire à une escalade dangereuse.
Quelles sont les cibles de la cyberguerre ?
Les systèmes militaires sont une cible évidente : empêcher les commandants de communiquer avec leurs troupes ou de voir où se trouve l'ennemi donnerait un avantage majeur à un attaquant.
Cependant, comme la plupart des économies développées reposent sur des systèmes informatisés pour tout, de l'électricité à l'alimentation en passant par les transports, de nombreux gouvernements sont très inquiets de voir des États rivaux s'attaquer aux infrastructures nationales critiques. Les systèmes de contrôle de surveillance et d'acquisition de données (SCADA), ou systèmes de contrôle industriel - qui font fonctionner les usines, les centrales électriques et d'autres processus industriels - sont une cible importante, comme l'a montré Stuxnet.
Ces systèmes peuvent avoir des dizaines d'années et ont rarement été conçus avec la sécurité comme priorité, mais ils sont de plus en plus souvent connectés à l'internet pour les rendre plus efficaces ou faciles à surveiller. Mais cela rend également ces systèmes plus vulnérables aux attaques, et la sécurité est rarement mise à niveau car les organisations qui les exploitent ne se considèrent pas comme une cible.
Qui est à l'origine de la cyberguerre ?
La plupart des nations ont un projet de cyberdéfense en cours, et peut-être une trentaine d'entre elles ont également une stratégie de cyberattaque. Les pays les plus avancés sont généralement considérés comme étant les États-Unis, la Chine, la Russie, le Royaume-Uni, l'Iran et la Corée du Nord.
L'utilisation de tactiques de cyberguerre par les États-Unis est la plus documentée. Il est généralement admis que les États-Unis et Israël sont à l'origine de Stuxnet.
La mise au point d'un système comme Stuxnet coûterait des millions de dollars, car il reposerait sur des attaques de type "zero-day", qui exploitent des failles logicielles inédites et sont donc coûteuses à trouver ou à acheter aux chercheurs. Une telle approche sur mesure est nécessaire pour ces attaques sophistiquées, car la composition de chaque réseau informatique varie et nécessite une approche différente pour le compromettre, ce qui fait que ce type d'attaques destructrices n'est réellement accessible qu'aux États-nations disposant de ressources importantes. D'autres outils de piratage plus traditionnels sont beaucoup moins chers et faciles à acquérir, mais ils peuvent aussi être moins puissants.
Cependant, une autre question se pose ici. Il est très difficile de savoir quelles nations sont à l'origine d'une attaque : si la criminalistique numérique s'est améliorée, les attaquants sont également habiles à laisser de faux indices dans leur code, ce qui peut les mener dans la mauvaise direction. Les grandes puissances se livrent entre elles une véritable guerre périphérique grâce à l’outil informatique. Les cyberattaques sont difficiles à remonter et il n’est pas simple de prouver qui les a commanditées. C’est un moyen efficace pour les grandes puissances car elles peuvent toucher des points stratégiques des nations ennemies sans pour autant risquer de le faire frontalement et subir des dégâts physiques. Par exemple, en 2016, les Etats-Unis ont accusé la Russie d’ingérence dans les élections américaines. Les hackers russes ont utilisé la technique de l’attaque par déni de service ou DDos (Distributed Denial of Service attack) dans le but de déstabiliser les différents partis américains.
Comment se préparer ?
Dans son rapport 2021 sur les menaces mondiales, Crowdstrike recommande les mesures suivantes pour remédier aux faiblesses potentielles de la sécurité :
- Protéger les identités et les accès par une authentification multifactorielle (MFA) accompagnée d'un processus de gestion des accès privilégiés.
- Investir dans des experts en chasse aux menaces qui aideront les entreprises à découvrir des techniques furtives ou inédites pour contourner la surveillance et la détection automatisées.
- Prédire l'action d'un pirate grâce aux renseignements sur les menaces afin de mieux comprendre ses motivations, ses compétences et ses techniques pour se préparer à de futures attaques.
- Créer une politique de cybersécurité qui tienne compte du travail à distance dans le monde post-pandémique.
- Instaurer une culture centrée sur la sécurité nationale et créer des programmes de sensibilisation des utilisateurs pour détecter et arrêter les intrusions.