Site WWW de Laurent Bloch
Slogan du site

ISSN 2271-3905
Cliquez ici si vous voulez visiter mon autre site, orienté vers des sujets moins techniques.

Pour recevoir (au plus une fois par semaine) les nouveautés de ce site, indiquez ici votre adresse électronique :

Martin C. Libicki à propos de la cyberguerre
Cyberdissuasion, cyberreprésailles, cyberdéfense
Article mis en ligne le 30 octobre 2011
dernière modification le 1er novembre 2011

par Laurent Bloch

Note de lecture d’un rapport de Martin C. Libicki, de la Rand
Corporation
, Cyberdeterrence and Cyberwar.

Sommaire-

Cyberguerre stratégique, cyberguerre opérationnelle

Un des problèmes posé par la cyberguerre, c’est que non seulement vous
ne savez en général pas exactement qui vous attaque, mais vous ne
savez souvent même pas si vous êtes attaqué. Si un pays voisin masse
des divisions blindées à vos frontières, vous pouvez supputer qu’il a
des intentions hostiles et vous n’avez aucun mal à l’identifier. Mais
si vos systèmes d’information gouvernementaux et ceux de vos
infrastructures vitales sont piratés, la situation est beaucoup moins
claire, du moins en l’absence de revendication. Ce qui rend
extrêmement problématiques la dissuasion, la contre-attaque et les
représailles. Seule la défense et le vigilance ont vraiment toujours
un sens.

Si l’on envisage maintenant la cyberguerre stratégique, des actes de
cyberguerre peuvent-ils avoir sur l’adversaire les mêmes effets de
coercition que des bombardements aériens, par exemple ? Dans ce
dernier cas, l’adversaire soumis au bombardement sait que la situation
ne peut qu’empirer, que la millième bombe aura les mêmes effets que la
première. Il n’en va pas de même avec les attaques informatiques :
elles révèlent les vulnérabilités qu’elles exploitent, ce qui permet
de les corriger ou de les contourner, et ainsi l’adversaire augmente
sa capacité de résistance à la coercition (p. xv du résumé). Mais
comme il est difficile de savoir quand les actes de guerre ont
commencé, ou même s’ils ont eu lieu, il est également difficile de
mettre fin à la guerre. Bref, la cyberguerre stratégique ne peut
probablement pas emporter la décision par attrition.

Quant à la cyberguerre opérationnelle, destinée, au cours d’un conflit,
à atteindre des cibles militaires et à les mettre hors de combat, elle
est soumise aux incertitudes mêmes qui la rendent possible : il faut
que les cibles soient vulnérables et que leurs vulnérabilités soient
exploitables, mais cette situation peut changer instantanément à
tout moment. Les effets d’une cyberattaque sont donc très difficiles
à prévoir, surtout dans la durée. Même après coup, il semble bien que
le ver Stuxnet ait effectivement paralysé les installations nucléaires
iraniennes pendant quelques mois, mais on ne peut guère être plus
précis.

Cyberdissuasion et contre-attaque

En ce qui concerne la cyberdissuasion : elle repose sur la conviction
d’éventuels attaquants que l’attaqué saura qui l’a attaqué, et sera en
mesure d’appliquer des représailles à bon escient. Libicki énumère
trois questions essentielles et six questions subordonnées qu’il faut
se poser à ce sujet :

 Savons-nous qui a commis la cyberattaque supposée ?
 Pouvons-nous tenir sous la menace leurs installations vitales ?
 Pouvons-nous le faire de façon répétée ? En effet chaque déclenchement de
cyberreprésailles révèle les vulnérabilités qu’elle utilise, et ce faisant
affaiblit les chances d’efficacité des suivantes.

Les six questions subordonnées :

 Si les représailles ne dissuadent pas, pouvons-nous au moins désarmer l’adversaire ?
(la réponse est non, les moyens dont il faut disposer pour une cyberattaque sont
dérisoires et se trouvent au super-marché du coin).
 Des tiers se joindront-ils au combat ?
 Les représailles envoient-elles le bon message à notre propre camp ?
 Avons-nous fixé un seuil de réponse ?
 Pouvons-nous éviter l’escalade ?
 Que faire si l’attaquant ne possède rien qui vaille la peine de le détruire ?

Bref, toutes ces questions montrent que l’art de la cyberdissuasion est rien moins
que facile, et que la contre-attaque ne semble pas une option plus prometteuse.
Il faut donc plutôt compter sur la défense et la vigilance.

Cyberdéfense et cybervigilance

Les moyens de surveillance et de protection des réseaux et des systèmes
informatiques sont multiples et documentés, par exemple dans mon livre
sur le sujet.

Suivons la démarche de Libicki, qui envisage essentiellement la défense et
la protection des systèmes militaires, mais dont la plupart des idées sont
également applicables à des systèmes civils.

  • « Connais-toi toi-même », en d’autres termes avoir une politique de cybersécurité :
    • savoir quoi défendre, pourquoi, et quel niveau de détérioration est acceptable
      pour chaque actif ;
    • savoir, pour chaque actif, ce qu’il en coûterait d’une attaque réussie contre lui ;
    • savoir qui a droit à quoi dans le réseau et dans le SI ;
    • savoir où sont les points forts et les points faibles.
  • Techniques opérationnelles :
    • Libicki mentionne très judicieusement la technique des « pots de miel » ("honeypots"), qui sont des leurres, sous forme de sites factices munis de toutes les vulnérabilités et de tous les appâts possibles, afin d’attirer les attaquants et d’observer leurs méthodes ; il y a au moins une très bonne équipe française dans ce sport ;
    • signature électronique et chiffrement doivent être omniprésents évidemment ; la récente usurpation de certificats de sécurité par des acteurs iraniens, et d’autres incidents analogues (RSA), montrent des failles critiques dans une infrastructure de sécurité très utilisée ;
    • camouflage du réseau et des systèmes, par exposition d’une vue fallacieuse des systèmes ;
    • organisation de manœuvres de cyberguerre.