Enjeux et stratégie de l’arme cyber – Partie 2 : la lutte informatique offensive

Par Franck Cecile - TheExpert Cybersécurité Squad

Le 18 janvier 2019, Florence PARLY, Ministre des Armées, a dévoilée la doctrine française de Lutte Informatique Offensive (LIO). Cet ensemble d’activités, déjà évoqué 3 ans plus tôt par Jean-Yves LE DRIAN alors ministre de la Défense, incarne l’usage même de l’Arme Cyber par un Etat. L’établissement de la doctrine ouvre officiellement aux armées un nouveau terrain d’opération à part entière, au même titre que la terre, la mer, l’air et l’espace. Sa finalité : contribuer à la supériorité militaire française dans le cyberespace.

Pourquoi de la LIO ?

Si la nécessité de conduire et de coordonner des actions de cyberprotection et de cyberdéfense n’est plus une nouveauté en France (création de la DCSSI en 2001 devenue ANSSI en 2009, Loi de Programmation Militaire de 2013, revue stratégique de cyberdéfense par le SGDN en 2018…), celle de se doter d’une capacité offensive fait écho à l’augmentation croissante d’attaques informatiques dont l’Etat est la cible.

Les modes opératoires ont évolués, et ce ne sont plus de simples hackers isolés qui en sont à l’origine, mais bel et bien "des Etats pour le moins indiscrets, pour le moins décomplexés", selon notre Ministre. Si dans son rapport annuel de 2018 l’ANSSI cite la fraude en ligne et la génération de cryptomonnaies comme menaces grandissantes, elle redoute également les exfiltrations de données stratégiques, les attaques indirectes, et les opérations de déstabilisation ou d’influence. En d’autres termes, on ne s’inquiète plus seulement des attaquants ayant un simple objectif lucratif, mais bien des organisations structurées disposant de moyens conséquents, voire quasi illimités. On pense notamment aux Etats, au crime organisé, mais également aux terroristes et aux activistes. Cette crainte est confortée par une observation croissante d’attaques ayant pour but, non pas de nous impacter directement, mais de tester nos capacités de détection et de réaction, notamment au sein de nos infrastructures critiques. On peut se représenter ces modes opératoires par des patrouilles aériennes de plus en plus récurrentes à nos frontières, qui s’approchent toujours plus, sans jamais franchir la limite.

Si en apparence la création d’une force de frappe cyber se veut avant tout être un moyen de dissuasion, "la France se réserve le droit de riposter" et "sera prête à employer en opérations extérieures l’arme cyber à des fins offensives, isolément ou en appui de nos moyens conventionnels, pour en démultiplier les effets". 

Par ailleurs, le nombre de pays possédant une cyberarmée et des cybercombattants se veut croissant. Etats-Unis (environ 7000), Russie, Corée du Nord (6000), Chine, Grande-Bretagne, Allemagne, pour ne citer qu’eux, possèdent déjà officiellement un corps militaire cyber. Les chiffres sont incertains, dans la mesure où ce type d'information est rarement rendu public. Mais une chose est sûre ; de plus en plus de militaires opèrent dans le cyberespace pour préparer la guerre du futur. D’où la nécessité d’établir une doctrine de LIO pour la France, qui compte déjà environ 3000 cybercombattants, et dont les rangs devraient encore grandir avec la LPM 2019 (4000 en 2025).

Qu'est-ce que la LIO ?

La doctrine de LIO établie la stratégie militaire Française à tenir dans le cadre d'une cyberguerre. Dans sa partie publique (consultable en ligne), cette dernière précise concrètement quels types d’objectifs opérationnels elle permet d’atteindre :

• Le Renseignement : l’extraction d’information permettant l’évaluation des capacités ou de la situation militaire ennemie (situation géographique des forces, nombre d’hommes ou d’appareils déployés sur le terrain, transport des troupes …)
• La Neutralisation : La réduction des capacités offensives ennemies (indisponibilité d’un système de combat, d’un véhicule…)
• La Déception : La modification des informations ou des capacités d’analyse de l’ennemie (altération discrète des informations ou du mode de fonctionnement d’un système de combat…)

Il est important de rappeler que les impacts se font bel et bien dans la vie réelle ; les conséquences d'une cyberguerre ne se limitent pas au cyberespace. Il n’est pas ici question d’utiliser un ordinateur pour en rendre un autre indisponible, mais bien de chercher à corrompre des systèmes numériques pour extraire de l’information, altérer le fonctionnement d’une arme ou d’un système militaire (avion, navire, système de combat, moyen de détection…), ou encore induire en erreur un adversaire (ce qui pourrait s’appeler plus communément de la manipulation).

De la LIO, mais pour quelle cible ?

Qui dit partie publique dit également partie confidentielle. Cela est assez logique au vu de l’importance stratégique d’un tel document. Cependant, cela amène à s'interroger sur son contenu.

Si on peut aisément imaginer l’ampleur de l'impact d’une cyberattaque sur une cible militaire, celle-ci n’en serait pas moindre si la cible était civile. En fait, elle serait certainement bien pire. De plus, il faut également prendre en compte la visibilité ou non d'une cyberattaque. En effet, si la neutralisation de moyens de communications, de production d'énergie, ou d'institutions bancaires aurait un impact considérable - et visible - celui-ci serait somme toute mesurable. Mais une cyberattaque ayant pour objectif la déception de la nation - comprendre par la, là déstabilisation, ou la manipulation des foules (au travers d'internet et des réseaux sociaux par exemple) - auraient des conséquences extrêmement complexes à analyser et mesurer.

On peut donc largement supposer que la partie confidentielle de la doctrine s'intéresse aux possibilités de conduire des attaques informatiques à l'encontre d'institutions civiles, de manière directe, ou indirecte. Extraire des informations stratégiques dans le cadre d'un contrat à plusieurs milliards d'euros avec un fournisseur étranger, neutraliser une infrastructure vitale afin de déstabiliser l'économie d'un pays adverse à un moment inopportun (évènement sportif mondial, par exemple), ou encore, manipuler l'opinion publique pour donner le pouvoir au candidat que l'on souhaite voir gouverner…. Toujours dans le but de faire pencher la balance en sa faveur. Ça ne vous rappelle rien ?

Evidemment, si la France a mis en place une telle stratégie, c’est avant tout pour s’aligner face aux autres grandes puissances cyber ennemis…ou alliés ! Russie, Chine, Israël…. Mais aussi Royaume-Uni, Allemagne, Etats-Unis… Tous ces pays ont récemment élaboré leur propre stratégie de cyberdéfense et défini une doctrine de cyberattaque. N’oublions pas non plus les capacités offensives reconnues de la Corée-du-Nord dans ce domaine. D’une manière générale, le constat est sans appel, nous assistons à une course à l’armement cyber, similaire à celle opérée durant la guerre froide entre les Etats-Unis et l’URSS, mais avec des armes plus traditionnelles. A quelques différences près.

Qui sont nos alliés et nos ennemis dans le cyberespace ?

Là où il était facile de constater que le monde était coupé en deux durant la guerre froide, opposant d’un côté la société communiste, voulue par l’URSS, et de l’autre, la société capitaliste, portée par les Etats-Unis et ses alliés, il n’existe pas de séparation franche au sein du cyberespace entre les grandes puissances.

D’abord, parce qu’il n’y a pas de limite géographique distincte. Le cyber brouille les frontières traditionnelles entre les États, les acteurs, entre les secteurs. Qui plus est, les grandes puissances composants le cyberespace ne sont pas seulement des Etats, mais également des organisations criminelles, des entreprises, des hacktivistes, etc… tous agissant au nom de leurs propres intérêts. Mais surtout, si jusqu’à la fin du 20^ème siècle, dans le cadre d’un conflit classique, il était aisé d’attribuer avec certitude une attaque à celui qui l’a opéré (identification physique de l’attaquant, degré de technicité de l’attaque, moyens et méthodes employés, victimes touchées, éventuelles raisons géopolitiques sous-jacentes, etc…), la capacité d’attribution d’une cyberattaque est considérablement réduite dans le cyberespace. Les actions malveillantes font très rarement  l’objet d’une revendication par des acteurs identifiés, encore plus si il s’agit d’un Etat. Remonter jusqu’à la source d’une cyberattaque pour en identifier son auteur est techniquement très compliqué. Qui plus est, même si l’attaquant originel a pu être formellement identifié, il n’est que rarement le commanditaire de l’action. Les attaques menées dans le cyberespace sont rarement directes. L’absence de frontière de ce milieu et les multiples interconnexions qui le composent favorisent l’anonymat des attaquants.

Régulièrement les Etats ou sociétés victimes de cyberattaque dirigent leurs soupçons (voire pointent directement du doigt) contre les grandes puissances cyber. Tantôt la Chine, tantôt les Etats-Unis, souvent la Russie… Les uns accusent les autres, et inversement. Les difficultés techniques rencontrées font que ces déclarations restent officiellement au stade de soupçons (fortement appuyés). Mais ceux-ci sont impossibles à vérifier avec une absolu-certitude. On peut y voir une sorte de parallèle avec le terrorisme et les guerres du 21^ème siècle, ayant cassés les codes des affrontements traditionnels, ou deux camps en ordre de bataille se font la guerre en terrain ouvert. Les attaques sont maintenant brèves, furtives, difficiles à prévoir et à estimer, et nécessitent peu de moyens à mettre en œuvre. Les attaquants sont plus ou moins connu, et on ne sait pas toujours formellement les identifier, ni où ils se trouvent, rendant extrêmement difficile l’élaboration d’une réponse directe. De ce fait, si régulièrement les grandes puissances ennemies historiques, comme les Etats-Unis et la Russie par exemple, jouent au chat et à la souris en s’attaquant indirectement et en s’accusant de cybermalveillance (que cela soit justifié ou non), il apparait également de plus en plus que les puissances considérées comme étant alliées (France, Allemagne, Royaume-Uni…) s’espionnent, voire se perturbent… Mais on ne peut jamais en être réellement sur.

Plus que cela n’a jamais été le cas dans le monde réel, la mise en œuvre de moyens de détection et de réaction aux incidents (Lutte Informatique Défensive – Cyberdéfense) est d’autant plus cruciale si l’on veut pouvoir contre attaquer, et, d’une certaine manière, se défendre (en disposant des moyens de pression nécessaires).

Quelles limites ?

Autant de soupçons ou de suppositions - loin d'être fantaisistes - qui amènent à se poser d’autres questions. Quelles sont les limites que se pose la France en matière de cyberguerre ? Et si la France se les pose, qu’en est-il pour nos alliés, ou nos ennemis ? Le risque d’une cyberguerre ou d’une cyberattaque de grande ampleur est-il vraiment réel ?

Après tout, un nombre croissant d’études citent régulièrement le risque cyber comme étant le plus redouté de tous, en entreprise, ou plus globalement. De nombreux experts tous domaines confondus estiment que les conséquences d’une cyberattaque d’ampleur auraient un effet plus dévastateur qu’une catastrophe naturelle / écologique, qu’un contexte géopolitique instable ou qu’une évolution de marché défavorable. En cause, la diversité des scénarios et des conséquences possibles d’une cyberattaque.

Pendant de nombreuses années, et aujourd’hui encore (bien qu’un net virage ait été amorcé à ce niveau), les experts du domaine jouaient avec la peur pour amener à la prise de conscience du risque cyber. Si aujourd’hui on s’intéresse d’avantages aux apports business de la sécurité numérique qu’aux inquiétudes qu’elle suscite, un Cyber-Pearl-Harbor est de plus en plus redouté. Mais en quoi consisterait-il concrètement ? Arrêt net et brutal de la société ? Simple indisponibilité d’un service en ligne ? Guerre contre les machines ? De nombreux scénarios, plus ou moins fantaisistes, à l’instar de série comme Mr. Robot, ont été imaginés pour essayer de dessiner les contours d’une cyberattaque de grande ampleur. Il est donc légitime, en tant que particulier, de se demander jusqu’où peut aller une cyberattaque en termes d'impact ?

A lire aussi sur le même sujet :