Cyber Guerilla
Le film se termine sur un plaidoyer pour (on s'en doutait) encore plus de contrôle de l'Internet!
Synopsis
En moins de dix ans, le réseau internet est devenu accessible à tous. Les grandes puissances mondiales se préparent à la guerre sur Internet. Les services secrets recrutent des pirates informatiques. Ceux que l'on appelle les hackers vont être aux avant-postes de ces cyber conflits. Spams, escroqueries, attaques d'ordinateurs zombies, diffusion de virus destructeurs, autant de moyens pour faire fortune aux dépens des citoyens utilisateurs et des grandes corporations. La gradation du crime sur Internet est à l'image du média lui-même : une foire où la créativité individuelle ou collective prend des formes toujours plus étonnantes. Russie, USA, Estonie, Israël, cette enquête mène le téléspectateur sur les points chauds où les hackers et les gouvernements s'affrontent. Des personnages hauts en couleurs comme " Captain Crunch " qui inventa le piratage informatique dans les années 70 ou les frères Badir, trois Palestiniens non-voyants, qui ont infiltré les systèmes de Tsahal, l'armée d'Israël en sont les protagonistes. Ce film montre d'abord comment, grâce à Internet, l'industrie clandestine du logiciel malveillant accumule un arsenal d'armes de perturbation massive et ensuite explique pourquoi ceux qui contrôleront ces armes seront en mesure de décider de l'issue de la prochaine guerre.(Programme sous-titré par télétexte pour les sourds et les malentendants) Image ci-dessus : ©Gédéon programmes
CYBERPOUVOIRS
Des hackers à la Maison Blanche
20-04-2009
L'administration Obama lance un appel à embauche d’un type particulier. Les pirates sont les bienvenus
Les autorités fédérales ne les persécutent plus mais embauchent désormais les hackers. Suivant la tendance de nombre d’éditeurs de sécurité, les services de sécurité informatique américains lancent un appel à candidature.
Le département de l’information et celui du ministère de l’Intérieur ont donc proposé des emplois à ceux qui seraient en mesure de comprendre et d’analyser les outils utilisés par les pirates. Les promus auront aussi la tâche de déceler les vulnérabilités dans les systèmes fédéraux. Depuis la rallonge budgétaire demandée pour le Pentagone par le secrétaire d’Etat à la Défense, Robert Gates, l’objectif a été donné d’accroître de 80 à 250 le nombre de cyber-experts d’ici 2011.
Des actions qui interviennent après le poing sur table de Barack H. Obama et ses déclarations fracassantes sur l’état de déliquescence des réseaux américains face à une éventuelle menace. Le président américain critiquait en ce sens : "Le territoire des Etats-Unis n’est pas préparé à une attaque hostile de taille majeure contre ses intérêts et réseaux vitaux", un constat établi à l’issu d’une simulation de cyberguerre de 60 jours.
Dès lors, c’est un véritable plan général de protection informatique que lance Barack H. Obama en incluant les réseaux électriques, les systèmes de vols aériens, les échanges sur les marchés boursiers et les codes de lancement de missiles nucléaires.
Un signe de plus en faveur d’un renforcement des mesures de sécurité. Au début du mois d’avril, des hackers auraient réussi une manœuvre d’intrusion pour analyser l'architecture électrique du pays. Pire, ils auraient installé des programmes qui pourraient être utilisés pour perturber le système. A l’appui, un constat des services de renseignements qui auraient relevé de plus en plus d’intrusions dans les systèmes critiques du pays. La goutte d’eau qui aurait fait déborder le vase et conforté le président dans sa position.
On pourrait d’ailleurs, à peu de choses près, faire le rapprochement avec la politique initiée par John F. Kennedy de "nouvelles frontières" désirant agrandir la sphère d’influence de l’Oncle Sam aux frontières de l’espace. Sauf qu’ici, il s’agit bel et bien du cyber-espace.
Le 44ème président américain initie là une rupture avec l'administration Bush accusée d'avoir empiété sur les droits fondamentaux en renforçant le contrôle des réseaux de télécommunication et de l'internet. Un travail de fond est en train d’être réalisé. Obama, le "président 2.0" envisagerait-il pour autant une guerre 2.0 ?
Le département de l’information et celui du ministère de l’Intérieur ont donc proposé des emplois à ceux qui seraient en mesure de comprendre et d’analyser les outils utilisés par les pirates. Les promus auront aussi la tâche de déceler les vulnérabilités dans les systèmes fédéraux. Depuis la rallonge budgétaire demandée pour le Pentagone par le secrétaire d’Etat à la Défense, Robert Gates, l’objectif a été donné d’accroître de 80 à 250 le nombre de cyber-experts d’ici 2011.
Des actions qui interviennent après le poing sur table de Barack H. Obama et ses déclarations fracassantes sur l’état de déliquescence des réseaux américains face à une éventuelle menace. Le président américain critiquait en ce sens : "Le territoire des Etats-Unis n’est pas préparé à une attaque hostile de taille majeure contre ses intérêts et réseaux vitaux", un constat établi à l’issu d’une simulation de cyberguerre de 60 jours.
Dès lors, c’est un véritable plan général de protection informatique que lance Barack H. Obama en incluant les réseaux électriques, les systèmes de vols aériens, les échanges sur les marchés boursiers et les codes de lancement de missiles nucléaires.
Un signe de plus en faveur d’un renforcement des mesures de sécurité. Au début du mois d’avril, des hackers auraient réussi une manœuvre d’intrusion pour analyser l'architecture électrique du pays. Pire, ils auraient installé des programmes qui pourraient être utilisés pour perturber le système. A l’appui, un constat des services de renseignements qui auraient relevé de plus en plus d’intrusions dans les systèmes critiques du pays. La goutte d’eau qui aurait fait déborder le vase et conforté le président dans sa position.
On pourrait d’ailleurs, à peu de choses près, faire le rapprochement avec la politique initiée par John F. Kennedy de "nouvelles frontières" désirant agrandir la sphère d’influence de l’Oncle Sam aux frontières de l’espace. Sauf qu’ici, il s’agit bel et bien du cyber-espace.
Le 44ème président américain initie là une rupture avec l'administration Bush accusée d'avoir empiété sur les droits fondamentaux en renforçant le contrôle des réseaux de télécommunication et de l'internet. Un travail de fond est en train d’être réalisé. Obama, le "président 2.0" envisagerait-il pour autant une guerre 2.0 ?
Les Etats-Unis sont-ils les premiers hackers de la planète?
Etats-Unis : des hackers militaires ?
La Défense US forme une unité de hackers d'élite
Cyber-terrorisme: l'Amérique se prépare
Cyops ou opérations cyberpsychologiques
Les pirates informatiques peuvent-ils vaincre les armées?
La cyberguerre fait rage
Le FBI hanté par la menace d'une apocalypse cybernétique
Cybergeddon: can it be stopped?US struggles to pinpoint cyber attacks: Top official
Le réseau électrique américain infiltré par des cyberespions
Cyber Warfare Attack Tools For Mass Destruction
US military recruiting ’hacker soldiers’
ISRAEL IBM - TSAHAL 8200 - Une Start-up israélienne rachetée par IBM pour 350 millions de dollars
Pentagon Cyber Command seen as threat to civil liberties
Cyber-tactics gain growing importance in Israel's warfare
Israel turns to cyberware to foil Iran nukes
That commenter on your blog may actually be working for the Israeli government
Internet surfers paid to spread Israeli propaganda
Israël déploie une équipe de cybernautes pour diffuser de la désinformation positive
Des internautes payés pour diffuser la propagande israélienne
9/11 and Cyberterrorism
US Cybersoldiers Suit Up
Omitted from Obama’s speech was any mention of the ongoing employment of ‘hacker soldiers’ by the US military that are engaged in a cyberoffensive against other foreign state and non-state targets. Further missing from mainstream coverage is that this offensive is overwhelmingly privatized and is controlled by the largest of private defense contractors that have typically been in the business of selling to the US government jetfighters and complex missile and satellite systems.
L'armée américaine reconnaît disposer d'une unité de hackers
On s'en doutait depuis un moment, mais l'armée américaine vient de le confirmer : elle dispose d'une unité spécialisée dans l'attaque des infrastructures informatiques. Cette structure, probablement inter-armes, est placée sous le commandement du Strategic Command américain, responsable par ailleurs du feu nucléaire.
L'unité a un nom plutôt barbare : Joint Functional Component Command for Network Warfare (JFCCNW). Mais une fois débarrassée du jargon militaire, il reste ce qu'elle est réellement : une équipe de pirates informatiques au service de l'armée américaine. Placée sous le contrôle du U.S Strategic Command, cette unité a deux missions : protéger l'infrastructure informatique critique des États-Unis et mener des attaques contres les réseaux et les équipements informatiques ennemis.
© Delucq Gueules d'Humour pour Futura-Sciences
C'est cette dernière partie, baptisée Computer Network Attack (CNA), qui est vraiment originale. Car si se protéger des attaques de pirates contre ses propres réseaux est une chose, lancer des assauts contre ceux des voisins est une tout autre affaire.
Il n'y a bien sûr aucune information publique concernant les capacités de cette unité, et nous n'allons pas nous livrer à des pronostics hasardeux. Il suffira d'imaginer ce que peuvent faire quelques groupes de pirates un peu compétents sans le support d'une nation pour imaginer ce que de tels corsaires pourraient infliger.
Il est bien sûr impossible d'exclure totalement une opération d'intox, propagande visant à effrayer des adversaires potentiels. Mais il s'agirait alors d'une opération de longue date : il y a quatre ans déjà nous annoncions la volonté du gouvernement de disposer d'une telle unité pleinement opérationnelle en 2007. Plus récemment, enfin, l'armée de l'Air américaine publiait un appel d'offre tout à fait officiel pour acheter la capacité d'attaquer des réseaux ennemis.
Bref, il semble plus simple et plus probable d'estimer que les États-Unis disposent désormais "officiellement" de la capacité à neutraliser des réseaux informatique et, lorsqu'ils ne sont pas franchement protégés, probablement à en manipuler les informations à sa guise, que ce soit en exploitant des vulnérabilités "exclusives" ou des portes dérobées encore inconnues. Après tout, la quasi-totalité de nos équipements réseaux et outils de sécurité sont d'origine américaine et commerciale (non libre), et leur code source n'a jamais vraiment été audité...
Nébuleuse et dangereuse cybersécurité nationale
Mêlant justice, sécurité intérieure, défense et renseignement dans un flou artistique, l’enjeu cybersécuritaire exacerbe les rivalités entre administrations fédérales américaines et menace les libertés électroniques.
Électrodollars
De 2007 à 2008, les réseaux informatiques gouvernementaux et industriels des États-Unis ont été victimes respectivement de 38 000 à 72 000 incidents : attaques, intrusions, pertes, vols et piratages de données. Dans son évaluation des niveaux de sécurité et de résilience des systèmes informatiques pour l’année fiscale 2007, le Congrès avait attribué un « C » à l’ensemble des administrations fédérales, « F » à l’Office de Régulation Nucléaire et au Département du Trésor, « D » au Pentagone, « A » au Département de la Justice...
D’où un plan de cybersécurité nationale - initié par l’ex-président George W Bush et renforcé par son technoïde successeur Barack Obama - portant sur cinq grands axes :
- la recherche & développement orientée cybersécurité imbriquant secteur informatique, industrie militaire et laboratoires universitaires,
- la protection et la résilience des infrastructures réseautiques vitales (administrations fédérales, électricité, transports, information & médias, finance, etc)
- le contre-espionnage industriel en réseaux,
- le développement de stratégies anti-cybercriminelles globales,
- l’élaboration de standards pour la protection physique et numérique des données personnelles, administratives et industrielles.
L’administration Obama, le Pentagone, les milieux académiques et ceux industriels ont également été fortement séduits et convaincus par les pertinentes recommandations du Center for Strategic and International Studies dans Securing Cyberspace for the 44th Presidency, document empreint d’une profondeur voire d’une vision « cyberstratégique ».
D’ores et déjà, le secteur de la cybersécurité enregistre une croissance annuelle de 7 à 8% depuis 2003 soit deux fois mieux que le secteur des TIC dans sa globalité. Selon le cabinet de prévisions INPUT, les investissements cumulés de l’état fédéral dans ce masterplan cybersécuritaire passeront de 7,4 milliards en 2008 à 10,7 milliards de dollars en 2013 (+44%). Des acteurs traditionnels de la cybersécurité comme McAfee et Symantec sont désormais confrontés aux grands noms de l’industrie militaire : Boeing (Cyber Solutions), Lockheed Martin (Information Systems & Global Services), Raytheon (Information Security Solutions) et L3 Communications (Cybersecurity Units), pour ne citer qu’eux. BAE Systems, General Dynamics, l’Université John Hopkins, Lockheed Martin, Northrop Grumman, Science Application International et Sparta - tous généreusement subventionnés - rivaliseront chacun d’imagination par cycles semestriels au sein du Cyber Range Startup, laboratoire cybersécuritaire et incubateur d’innovations crée et supervisé par le DARPA, le fameux centre de recherches du Pentagone.
De nombreux analystes technologiques ou militaires évoquent passablement un « cyberplan Marshall » ou quelque keynésianisme électronique censé amortir les effets de l’actuelle dépression économique. En fait, la cybersécurité est aussi le nouvel eldorado de l’intelligence économique d’Oncle Sam : à défaut de circonscrire et d’intercepter efficacement les démons de la toile, les synergies technologiques entre recherches universitaires, privées et militaires seront hautement bénéfiques pour les applications civiles hardware, software et netware et boosteront d’autant une industrie informatique américaine déjà en pointe.
Côté européen, chaque nation concocte ses lotions cybersécuritaires en solitaire face à une menace qui n’a pour seule limite que la pervasivité des protocoles. Dépourvue d’une industrie informatique matérielle et logicielle digne de ce nom et a fortiori d’une réelle volonté politique dédiée à l’enjeu cybersécuritaire, le Vieux Continent peinera longtemps à produire une masse critique intellectuelle en matières d’infosécurité et de cyberstratégie. Cependant, ne nous leurrons pas : côté américain, le diable sommeille également dans la Matrice...
Le code et le texte
Déclenchée à dix milles lieux d’ici, une sournoise cyberattaque paralyse puis infecte sévèrement les réseaux militaires ou gouvernementaux (comme ce fut réellement le cas pour le ministère britannique de la défense en janvier 2009), les administrateurs systèmes mettent aussitôt en oeuvre des parades conformes aux procédures en vigueur et découvrent trop tard que la cyberattaque a été indéfiniment reroutée via plusieurs ordinateurs situés sur le territoire national et dans plusieurs pays étrangers grâce aux merveilles des botnets.
Dans un tel scénario, quelle autorité est chargée de l’enquête consécutive et/ou de l’élaboration d’un cadre cybersécuritaire légal : une cyberdivision du ministère de la justice, de la sécurité intérieure, de la défense ou d’une agence de renseignement ? Toutes ensemble ? Vive le chaos administratif ! Inerties bureaucratiques et rivalités internes en sus.
Quand un ordinateur ou un PDAphone devient une arme, les distinctions entre menace intérieure (impliquant police et justice) et menace extérieure (impliquant défense et renseignement), entre cybercriminalité, cyberterrorisme et cyberguerre (usant très souvent des mêmes modes opératoires), s’effacent promptement. Dès lors, les attributions intra-gouvernementales et les cadres légaux afférents devront être rapidement et drastiquement revus afin de mieux adapter la bureaucratie à l’enjeu cybersécuritaire. Méfions-nous du sempiternel discours ministériel jurant par tous les alinéas « qu’un dispositif approprié est déjà en place », la ligne de code Maginot du fonctionnaire ne dissuade point le hacker.
Quand bien même les services de renseignement seraient parfaitement informés de l’imminence d’un attentat, il leur est quasiment impossible de déterminer où, quand et comment il se produira. Motifs : le nombre de cibles est potentiellement infini et le coût d’un changement de cible est tout simplement négligeable pour l’action terroriste. Quelques mois ont suffi aux Panzer et aux Stuka pour défaire toute l’Europe pourtant très au fait du mode opératoire de l’armée allemande. L’expérience sécuritaire et l’histoire de la guerre nous ont amplement démontré à quel point des techniques, tactiques et stratégies totalement novatrices surprennent voire « hypnotisent » littéralement les appareils sécuritaires ou militaires visés. À leurs façons, cybercriminalité, cyberterrorisme et cyberguerre - concepts variants, poreux et connexes - nous réserveront aussi leurs sournoises embuscades et leurs déflagrantes malices durant les prochaines décénnies.
À quand une cyberattaque brutale aux effets prolongés des réseaux Bloomberg et Reuters afin de priver médias et places financières de leurs incontournables pourvoyeurs d’informations ? Imaginons les répercussions tous azimuts à l’échelle intercontinentale de plusieurs cyberattaques de précision contre Silicon Triangle (Bangalore, Chennai et Hyderabad), aujourd’hui considéré comme le gardien des infrastructures informatiques mondiales mais décrit par de nombreux spécialistes indiens en cybersécurité comme « un tigre édenté »...
Ennemi d’état
Dans maintes nations démocratiques - notamment celles occidentales - les armées et les agences de renseignement (CIA, MI-6, DST, etc) sont sollicités sur le territoire national lors d’exceptionnelles circonstances (désastres naturels, lutte anti-drogue, veille anti-terroriste, contre-espionnage, etc) et selon des conditions strictement définies par les constitutions ou par les gouvernements. De part et d’autre de l’Atlantique, le fétichisme sécuritaire de l’après-11 Septembre a effectivement conféré plus de pouvoir aux militaires et aux services de renseignement dans la sphère intérieure et suscité, à juste titre, de multiples interrogations et protestations.
Néanmoins, quoiqu’en disent plusieurs Cassandre, l’état prétorien n’a pas cours en Amérique du nord et en Europe. En guise d’exemple, la Turquie fait figure d’état prétorien moderne qui « se caractérise par un système politique dont l’armée occupe le coeur et assume potentiellement la direction », selon Levent Ünsaldi, docteur en sociologie à l’université de Paris I ; d’autres caractéristiques socioculturelles et politiques propres à la nation ottomane expliquent largement cet état de fait. Une patrouille militaire dans une aérogare, l’écoute téléphonique d’un caïd de la drogue et la surveillance électronique d’un attaché diplomatique ne font pas de la France, des États-Unis, du Royaume-Uni, du Canada ou de l’Allemagne un état prétorien... Du moins, pas encore.
Sous l’administration W. Bush, le plan de cybersécurité nationale était supervisé par le Homeland Security (le DHS ou département de la sécurité nationale), idem pour le National CyberSecurity Center (NCSC) placé sous son autorité et fraîchement crée par l’administration Obama. Savamment positionnée au croisement des agences de renseignement (CIA, NSA), du FBI et des départements de la justice et de la défense, la tutelle du DHS fournirait au NCSC un rôle fédérateur et coordinateur en matière de cybersécurité.
Début mars 2009, coup de théâtre : le tout nouveau directeur Rod Beckström de cette toute nouvelle agence démissionne brutalement de son poste et avance les deux raisons ayant conduit à cette décision : « la première est que les financements nécessaires à sa mission n’ont pas suivi. La seconde tient au fait que le NCSC, jusque-là rattaché au département de la sécurité nationale devrait rejoindre prochainement celui de la défense, et être placé sous la tutelle de la NSA, l’organe de renseignement électronique qui suscite la polémique avec le réseau Echelon ». En outre, Beckström estime que « les deux missions, l’une qui concerne la protection et l’autre, le renseignement, seraient incompatibles car ce sont deux métiers différents et leur rapprochement serait de nature à porter atteinte à la démocratie étant donné qu’un seul et même organisme aurait ainsi la charge de veiller sur les réseaux gouvernementaux » (cf. Zone Militaire). En effet, son administration n’avait obtenu en tout et pour tout que cinq semaines de financement du DHS durant toute l’année 2008 !
Comme son ex-homologue du NCSC, l’Amiral Dennis Blair du National Intelligence Council (NIC : organe rattaché à la Maison Blanche qui synthétise et analyse les informations provenant de toutes les divisions et agences américaines de renseignement électronique et du GCHQ britannique) a admis devant le Comité d’Intelligence du Congrès que seule la sulfureuse National Security Agency dispose de la puissance électronique et des compétences informationnelles nécéssaires à la sécurisation du cyberespace américain, mais qu’elle souffre d’un sérieux handicap de notoriété auprès du public et devrait donc impérativement renverser la vapeur grâce un travail de publicité et de relations publiques. Courage et bonne chance ! Aux yeux du FBI, du département de la justice et même d’une bonne partie du DHS et du Pentagone, la « No Such Agency » incarne également le mal absolu. Ses abus en matières de surveillance électronique et d’écoute téléphonique, sa culture très poussée du secret et son futur rôle central dans le domaine cybersécuritaire ne font qu’exacerber l’opprobe et la hantise dont elle est l’objet.
Toutefois, les craintes majeures de diverses administrations fédérales vis-à-vis de la NSA tiennent en deux mots : « Red Teams ». Considérées comme la crème des hackers fédéraux, ces cyber-unités spéciales de la NSA sont mandatées par le Pentagone pour analyser et évaluer ses propres réseaux informatiques et ceux de ses contractants privés en les soumettant à de très ingénieuses attaques cybernétiques (DDoS, troyens, virus, botnets, etc). Régulièrement, une Red Team sauvegardera d’ostentatoires fichiers-signatures inoffensifs dans des zones ultra-sécurisées des réseaux afin de démontrer « aux clients » leurs plus infimes failles critiques.
NB : Le réseau infaillible est celui par lequel aucune donnée n’est transmissible. Conclusion : le réseau infaillible n’existe pas. D’où l’importance accordée à la résilience des infrastructures réseautiques vitales dans le plan de cybersécurité nationale.
Dans le cadre du plan de cybersécurité nationale désormais supervisé par la NSA, tous les départements gouvernementaux seront inéluctablement soumis à ces audits cybernétiques certes très particuliers mais hautement indispensables. Pour le FBI, le DHS et le département de la justice, la NSA disposera de toutes les attributions légales pour « fourrer son nez dans leurs affaires y compris les plus confidentielles ». De quoi hérisser les cheveux de l’agent Clarisse Starling et du procureur Jack McCoy hurlant déjà à une violation progressive de la Constitution - et au viol réglementaire de leurs cachotteries ? - sous couvert de l’impératif cybersécuritaire. Les multiples associations américaines pour les droits civiques et pour les libertés électroniques ont vite levé leurs drapeaux rouges : selon elles, le département de la défense fixera peu ou prou (par le biais de la NSA) les normes cybersécuritaires et aura librement et surtout légalement accès à toute l’information gouvernementale et donc à toutes les données administratives personnelles.
On le voit, l’enjeu cybersécuritaire surpasse voire outrepasse peu à peu le cadre constitutionnel et légal, bouleverse complètement les schémas organisationnels au sein du gouvernement et de facto les rapports entre gouvernement, armée, renseignement et citoyens. Les théoriciens du droit constitutionnel et les experts en droit numérique ont un immense champ à défricher devant eux. À l’image de l’état prétorien moderne défini par Levent Üsaldi, l’état cyberprétorien se caractérise-t-il par « un super-système d’informations gouvernemental dont l’armée et les services de renseignement occupent le coeur et assume effectivement la direction » ?
Enfin, on ne peut qu’espérer que cette multitude d’acteurs se souvienne constamment des quatre principes de base de la cyberguerre énoncés par le Dr Lani Kass du Cyberspace Task Force (US Air Force) :
- Le cyberespace fournit d’emblée un point d’appui à des attaques physiques parasitant/retardant/entravant votre réaction.
- Tout ce que vous pouvez faire dans le cyberespace peut également vous être infligé beaucoup plus vite et pour beaucoup moins cher.
- Les vulnérabilités sont disponibles à ciel ouvert, n’importe où et à n’importe qui ayant la capacité et l’intention de les exploiter.
- Le cyberespace procure les voies et moyens à des attaques distantes organisées contre votre infrastructure à la vitesse de la lumière.
Il ne reste plus à la NSA qu’à débusquer l’algorithme incendiaire derrière toutes ces pages e-publicitaires évoquant les turpitudes de Britney Spears ou de Rihanna...
Articles liés :
- The Register : Obama unfurls master plan for US cybersecurity
- Center for Strategic and International Studies : Securing Cyberspace for the 44th Presidency (PDF)
- Électrosphère : Déclaration de cyberguerre
- Bloomberg : Lockheed, Boeing Tap $11 Billion Cybersecurity Market
- Aviation Week : DARPA To Fund National Cyber Range Startup
- Électrosphère : La perfide Albion cyberattaquée
- Security Focus : Spy agency gains support for key cyber role
- Zone Militaire : Démission du responsable de la cybersécurité américaine
Bibliograhie : Le militaire et la politique en Turquie, par Levent Ünsaldi, (éditions L’harmattan, 2005)
Cyber Warfare 2009 : les militaires investissent le cyber-espace
Edition du 06/02/2009 - par Florence Puybareau
Certaines armées considèrent le monde cybernétique comme un domaine de combat. Elles réclament donc des moyens pour le défendre mais aussi pour être capables d'attaquer. Tel fut le thème dominant de Cyber Warfare 2009, manifestation qui s'est tenue à Londres fin janvier.
Le cyber-espace peut-il être considéré comme un domaine de combat militaire, à l'image de la terre, de l'air, de la mer et de l'espace ? Cette question que se pose rarement le grand public pour qui cybercriminalité est synonyme de virus et de phishing, était au coeur des débats de Cyber Warfare 2009, manifestation sur la cyber-guerre qui s'est tenu à Londres les 28 et 29 janvier dernier.
Composée de nombreux militaires essentiellement américains et des représentants gouvernementaux de pays occidentaux, la manifestation a été l'occasion de décrypter les cyber-attaques qui ont touché l'Estonie en 2007 et la Géorgie en 2008, mais aussi de partager les « bonnes pratiques » mises en place par certains pays.
Pour les militaires américains et notamment l'US Air Force qui a beaucoup travaillé sur cette problématique, il n'y a aucun doute : le cyber-espace est un vrai domaine de combat. Sa protection doit donc être confiée à l'armée de l'air. Par conséquent, il faut aussi doter le cyber-espace de ressources lui permettant de se défendre mais aussi d'attaquer car, explique le colonel Glenn Zimmerman, « la supériorité dans le cyber-espace est nécessaire pour nous donner la liberté opérationnelle d'ag
Certes, malgré ce discours martial, les militaires admettent que rien ne peut se faire sans la collaboration des civils, que ce soit les organisations internationales (comme l'Union Européenne), les Etats, les grands éditeurs (Microsoft, Symantec ou McAfee) mais aussi les fournisseurs d'accès à Internet, accusés de ne pas suffisamment contribuer à la cyber-sécurité.
C'est pourquoi il faut renforcer la législation et les sanctions contre les Etats voyous et les cyber-criminels. Mais la tâche est difficile car dans le cyber-espace, il est parfois très difficile de repérer le donneur d'ordre, comme ce fut le cas en 2007 en Estonie qui, aux dires de l'avocate Eneken Tikk, «s'est retrouvée comme une ile isolée ».
Le Net n'a pas eu son 11 septembre mais le pire serait à craindre
Tout indiquait que les attaques venaient de Russie mais Moscou a toujours démenti être impliqué dans cette affaire. Même problème dans la guerre qui oppose Israël et le Hamas et qui trouve son relais sur Internet (propagation de fausses informations, recrutement de combattants, destruction de ressources informatiques) à travers des serveurs situés hors des territoires concernés.
En prenant cet exemple, les militaires n'ont pas manqué de souligner, pour ceux qui en douteraient, que le « cyber-terrorisme existe vraiment » et que si pour le moment, nous n'avons pas eu l'équivalent du 11 septembre sur le Net, « le pire est toujours à craindre ».
13 avril 2009
Lors de la campagne présidentielle, Barack Obama avait annoncé qu’il ferait de la cybersécurité une de ses priorités. Il vient d’ailleurs de lancer un grand audit des politiques de sécurité informatique des organes gouvernementaux dont le budget 2010 s’élève à 355 millions de dollars (267 millions d’euros).
Mais un projet de loi proposé au Sénat pourrait aller encore plus loin, et attribuer au président des Etats-Unis des pouvoirs sans précédent sur le contrôle du réseau des réseaux.
Le projet est porté par deux sénateurs, John Rockefeller (démocrate) et Olympia Snowe (républicaine), qui entendent prévenir ni plus ni moins qu’un possible “cyber-Katrina”, du nom de l’ouragan qui a ravagé la région de La Nouvelle-Orléans en 2005. Le projet de loi, intitulé Cybersecurity Act of 2009 , promet de mettre à jour les défenses américaines face aux menaces cybernétiques. L’enjeu est de taille puisqu’il pourrait permettre au président des Etats-Unis de décider de coupures de pans entiers du Web.
Certaines mesures du Cybersecurity Act of 2009 sont plutôt accueillies positivement par les spécialistes d'Internet aux Etats-Unis. La loi créerait de nombreuses bourses et programmes de recherche visant à former des experts de la cybercriminalité. Les législateurs veulent aussi rassembler les différents organes qui sont actuellement chargés de superviser les questions de sécurité des réseaux informatiques, pour l’instant divisés entre réseaux civils privés et infrastructures publiques et militaires.
COUPER INTERNET
La mesure la plus discutée du projet de loi est aussi la plus floue : en cas de menaces sur les “infrastructures sensibles”, le projet de loi prévoit que le président des Etats-Unis pourrait décréter “l’état d’urgence informatique” et couper les accès Internet mettant en cause la sécurité de ces infrastructures. Pour le moment, la loi ne définit ni ce que sont les “infrastructures sensibles” ni l’ampleur des possibles coupures. John Rockefeller a donné une description très large de ce terme, qui va des données relatives “à l’eau jusqu’à l’électricité, en passant par les banques, les feux de circulation et les données médicales – et la liste est encore plus longue”.
Sur tous ces secteurs, l’administration pourra aussi recueillir toutes les données qu’elle estime nécessaires, aussi personnelles qu’elle soient et ce “sans qu’aucune restriction prévue par la loi s’applique”. Enfin, pour chapeauter le tout, l’administration prévoit la création d’une autorité centrale de régulation chargée de définir des normes communes de sécurité devant s’appliquer à toutes les infrastructures sensibles, et à tous les logiciels qui y seront utilisés, que l’infrastructure en question soit publique ou privée. L’administration est aussi invitée à mener des négociations internationales pour que ces normes soient appliquées par d’autres pays.
Le projet de loi n’est pas encore adopté. Cependant, l’administration dit craindre la possibilité d’un “11-Septembre informatique” et entend bien s’en prémunir. Mais les représentants de la société civile, comme le Center for Democracy and Technology http://cdt.org (CDT), estiment d’ores et déjà que le prix à payer en matière de protection des données personnelles est trop élevé. D’autant plus que selon Leslie Harris, présidente du CDT, “des interventions aussi drastiques dans les systèmes et réseaux de communication privés pourraient mettre en danger à la fois leur sécurité et les données privées”.
Le Monde, 7 avril 2009
Schizophrénie paranoïaque: à la fois terroriste et chasseur de terroristes:
Phishing : Google aiderait les hackers…
Internet: une zone de guerre?
Le réseau informatique de l'OTAN hacké
La propagande par la toile
L'appel de la terre promise
Lobbying et conséquences
911: tout finit par se savoir...
Sen. Rockefeller: Internet Should Have Never Existed
The Jewish Hand Behind The Internet: Google, Facebook, etc.