Compte rendu de la table ronde de l'IHEDN du 11 décembre 2008

Fri 19 December 2008 by Guillaume

L'Institut des Hautes Études de la Défense Nationale organisait à l'École Militaire à Paris une table ronde intitulée "Guerre de l'information et lutte informatique : état des lieux et enjeux". Animée par divers intervenants civils et militaires, elle a permis d'aborder ces notions sous des aspects techniques mais aussi juridiques, sociologiques ou géopolitiques. Voici un petit résumé des différentes interventions ...

Ouverture

par le général de corps aérien Laurent Labaye

Directeur de l’IHEDN, de l’Enseignement Militaire Supérieur (EMS) et du Centre des Hautes Etudes Militaires (CHEM)

Il a introduit le sujet en mettant l’accent sur la difficulté de définir les notions de guerre de l’information et de lutte informatique. Puis il a rappelé les références historiques du débat et son importance dans l’actualité récente, à la fois en France (la parution en juin 2008 du livre blanc sur la Défense et la Sécurité Nationale) et dans le monde (la publication au début du mois du rapport sur la sécurité du cyberespace par le CSIS, Center for Strategic & International Studies).

Introduction

par Daniel Ventre

CNRS, chercheur au Centre de recherches Sociologiques sur le Droit et les Institutions Pénales (CESDIP), chargé de cours à Telecom Paris Tech et à l’ESSEC

Il a lui aussi insisté sur la difficulté de donner une définition officielle du thème de la conférence, tout en soulignant la pertinence d’un tel débat au vu de l’actualité. Puis M. Ventre a opéré une description chronologique des usages officiels des notions de lutte informatique et de guerre de l’information, qui sont selon lui liées. La majorité des spécialistes s’entendent pour considérer la guerre du Golfe de 1990-1991 comme le point de départ de la guerre de l’information, étant donné le rôle joué par l’armée américaine et CNN dans ce conflit. Mais ce n’est qu’en 1992 que le département américain de la défense (DoD) inscrit la lutte informatique dans la doctrine militaire des États-Unis. Les américains sont ainsi les premiers à réfléchir à ces problématiques ; l’année suivante, en 1993, John Arquilla et David Ronfeld parlent pour la première fois de « cyberguerre » et en 1995 Martin Libicki pose les bases de la guerre de l’information (« warfare »). Quelques années plus tard, en 2001, avec l’augmentation des cyberattaques, le mot « netwar » commence à être employé. Mais en parallèle, d’autres pays s’intéressent également à ces notions, comme la Chine, la Russie ou la France, pour laquelle la guerre de l’information se divise en trois concepts : la guerre par/pour/contre l’information.En pratique, chaque pays a essayé de conceptualiser sa vision de la guerre de l’information, en l’agrémentant d’enjeux géopolitiques, militaires ou de souveraineté, mais sans y inclure la cybercriminalité. Daniel Ventre considère aussi la guerre de l’information comme le reflet des rêves et des utopies des hommes, ainsi que comme un ensemble de fantasmes traditionnels :

  • l’arme du faible contre le puissant
  • la suprématie d’un pays sur l’autre
  • la force (les États-Unis ont développé l’ancêtre d’Internet comme un réseau invulnérable à une attaque nucléaire)
  • la précision, la rapidité
  • l’invisibilité, à savoir la possibilité de se « cacher » en lançant une attaque

Pour finir, M. Ventre note que les problématiques abordées ne sont pas nouvelles, puisqu’elles circulent depuis le milieu des années 1990 ; selon lui il faudrait renouveler la vision qu’on a sur ces problèmes avant de pouvoir élaborer de nouvelles réponses efficaces.


Première partie

“Menaces informatiques : identification, étude de cas”

Président et modérateur

Philippe Wolf Direction de la Protection et de la sécurité de l’État au Secrétariat Général de la Défense Nationale (SGDN)

Intervenants :

Frédéric Raynal Responsable R&D à l’ESEC (European Security Expertise Center), Rédacteur en Chef de la revue MISC

Eric Filiol Directeur du laboratoire de virologie et de cryptologie opérationnelle de l’École Supérieure d’Informatique Électronique Automatique (ESIEA)

La table ronde, dirigée par Philippe Wolf, est consacrée à la présentation des menaces informatiques. Eric Filiol a commencé par rappeler une anecdote qui date de 2004. Il s’agit d’une affaire qu’il a étudiée et dont la victime était une petite entreprise. Un virus relativement simple mais bien pensé était responsable de la fuite de données stratégiques de l’entreprise. Les auteurs n’ont jamais été retrouvés… Frédéric Raynal a d’abord souligné que la guerre de l’information a pour but d’obtenir la domination informationnelle et que l’information est à considérer comme une arme. Pour cela, il a détaillé dans une première partie quelques techniques permettant d’utiliser l’information contre des concurrents, la plupart du temps de manière légale. Puis il a montré l’intérêt de ces techniques en présentant un cas d’étude virtuel, mais qui ne saurait relever de la science-fiction, dans lequel une entreprise étrangère tente de prendre le contrôle d’une SSII française, en suivant une stratégie particulièrement machiavélique. Elle a recours à des outils et des méthodes destinés par exemple à dégrader l’image de sa concurrente, à la faire quasiment « disparaître » des moteurs de recherche, à attaquer son système informatique en interne, à débaucher progressivement ses commerciaux, etc... Au final, en combinant intelligemment un certain nombre de techniques à la portée d’un grand nombre de personnes, il est possible de construire des scénarios redoutables et d’atteindre des objectifs ambitieux, tout simplement en utilisant l’information de manière pertinente et offensive. Les questions posées par le public aux intervenants sont l’occasion de préciser quelques points :

  • Un antivirus est rarement efficace.
  • La sécurité du BlackBerry est critique. A ce jour, on ne peut pas prouver qu’il n’existe pas de trappe dans le système, mais on ne peut également pas prouver le contraire ! L’autre problème concerne les méta données ; ce sont l’ensemble des données qui permettent à l’opérateur (RIM en l’occurrence) de savoir qui communique avec qui et à quelle fréquence… Et ces informations sont parfois plus importantes que le contenu.
  • Il faut faire attention avec la notion de preuve informatique. En matière numérique, il est en effet souvent difficile voire impossible de prouver que quelqu’un a fait quelque chose.
  • Contrairement à une idée reçue, le choix de l’open-source ne règle pas tous les problèmes. En effet, toutes les plateformes sont vulnérables. L’étude du code source ne garantit pas une sécurité totale, car on ne maîtrise pas toute la chaîne : code source bien relu -> compilateur -> processeur. Seuls les États-Unis sont capables aujourd’hui de contrôler cette chaîne.
  • Enfin, il a été fait mention du danger potentiel du cloud computing. Il s’agit de l’utilisation de la mémoire et des capacités de calcul de serveurs répartis dans le monde et gérés par internet. Ce concept est amené à se développer dans les prochaines années ; le stockage à distance d’informations, même non confidentielles, est loin d’être recommandable.

Seconde partie

“Attaques informatiques : prévention et protection”

Président et modérateur

Christian Aghroum Commissaire divisionnaire, chef de l’Office Central de Lutte contre la Criminalité liée aux Technologies de l’Information et de la Communication (OCLCTIC),Direction Centrale de la Police Judiciaire (DCPJ)

Intervenants :

Maître Eric Barbry Avocat à la Cour d’Appel de Paris, directeur du pôle « Droit du Numérique », Alain Bensoussan Avocats

François-Bernard Huyghe Docteur d’État en Sciences Politiques, habilité à diriger des recherches en Sciences de l’Information et de la Communication,Expert associé à l’Institut de Relations Internationales et Stratégiques (IRIS)

M. Barbry distingue quatre composantes dans la lutte contre les attaques informatiques :

  • Il s’agit d’abord d’identifier les risques, qui peuvent être classiques (keylogger, virus, vol d’informations, etc…) ou techniques (liés au wifi, aux logiciels, au web 2.0, etc…). Certains facteurs multiplient les risques :
    • Les outils informatiques sont des produits de tous les jours pour lesquels les utilisateurs oublient souvent la sécurité
    • Il n’y a pas de réel droit à l’oubli sur internet : les informations sont archivées
    • Il est difficile de lutter contre les sites qui notent ou parodient les entreprises
    • La philosophie du web 2.0 est de tout partager. En matière d’informations, « l’ennemi public numéro 1 », c’est l’utilisateur.
  • les acquis pour les juristes. La France a été l’un des premiers pays à disposer depuis la fin des années 80 d’un arsenal législatif destiné à pénaliser la criminalité informatique. Aujourd’hui la France est en avance sur le droit de la sécurité des systèmes d’information (citons les lois LSQ, LSI, LSF, LCEN, etc…). L’aspect qualitatif de la réglementation n’est pas en reste, puisque la loi du 24 janvier 1995 définit la sécurité comme « un droit fondamental et l’une des conditions de l’exercice des libertés individuelle et collective ».
  • les difficultés, qui résultent des insuffisances des acquis. La jurisprudence complique dans certains cas la tâche des entreprises, comme le montrent certaines affaires bien connues : IBM/Flammarion, Tati, Alcatel-Lucent/Escota, Nikon. Par ailleurs, il existe des « interdits » : les données à caractère personnel, ainsi que tout ce qui touche à la vie privée. L’anonymat relatif que procure Internet, associé au caractère mondial d'Internet, constitue un « cocktail explosif » qui dans certains cas rend très difficile de poursuivre un individu.
  • le déploiement des outils dans un cadre respectueux de la réglementation. Le problème qui touche les entreprises relève de la schizophrénie : elles sont responsables de tout, elles doivent veiller à tout en respectant des règles strictes… la problématique importante est de trouver la manière de se protéger sans violer la loi. C’est un exercice délicat ; il existe ainsi des outils comme les journaux ou les filtres URL, mais on ne sait pas quel droit s’applique à ces outils ! Dans tous les cas il est indispensable de respecter la vie privée et de rédiger une charte de la manière la plus exhaustive possible.

Dans une seconde partie, M. Huyghe a traité de l’aspect sociologique des attaques informatiques. Le but d’un déni d’accès est de faire perdre du temps. A grande échelle, cela inflige des dommages et crée le chaos et la panique. C’est pourquoi la préparation à la cyberguerre implique d’analyser la sociologie du chaos, c’est-à-dire comment la perturbation et la panique se propagent dans le cas d’attaques contre les infrastructures vitales. Les réactions humaines sont un aspect capital dans ce genre d’évènement ; tenter de les prévoir fait partie de la prévention.Par ailleurs, M. Huyghe rappelle que dans une attaque informatique, on a une triple ambigüité : qui est à la source de l’attaque, quel est le dommage exact et quelle est la finalité précise de cette attaque. C’est aux services de renseignement de répondre à ces questions, mais ce n’est pas une tâche facile car cela dépasse le cadre de la technique. Ainsi, comment mesurer le dommage ? Comment intégrer le côté psychologique ? A partir de quand est-ce considéré comme un acte de guerre ? Un état est-il derrière les attaques ou soutient-il des pirates « indépendants » ? Quel est le but politique des attaques ? Est-ce uniquement un avertissement ? Faut-il se protéger contre le même type d’attaque par la suite ? Toutes ces questions imposent aux états et aux responsables politiques de définir une doctrine offensive et défensive, adaptée aux doctrines des états cibles.


Epilogue

Colonel François Chauvancy Chef de projets au Centre Interarmées de Concepts, Doctrines et Expérimentations (CICDE)

Il a rappelé que le livre blanc de la défense donne une grande place à la lutte informatique offensive. L’arme informatique est un outil important mais il faut la considérer comme un vecteur derrière lequel il y a des hommes avec un objectif. La lutte informatique est un des outils des opérations militaires d’information.Il a ensuite cité l’exemple des islamistes qui mènent une guerre de l’information contre l’occident qui est perçu comme agressif. Ces actions font douter les démocraties occidentales et empêchent de réagir : la politique est aujourd’hui encore trop défensive à ce sujet.

Conclusion

Frédérick Douzet Maître de conférences à l’Institut français de géopolitique (IFG) à l’Université Paris VIII

Mme Douzet a souligné que si Internet est physiquement territorialisé, les échanges sont eux déterritorialisés, ce qui pose le problème de la souveraineté des états et des rivalités de pouvoir sur des territoires. A l’origine, Internet devait engendrer plus de démocratie dans le monde. Mais on voit bien que le but n’a pas été atteint. Par ailleurs, on observe de plus en plus de conflits dans le cyberespace et pour le contrôle de ce dernier. Internet dispose d’un potentiel formidable mais est difficile à contrôler. La maîtrise de l’information est donc un enjeu capital dans les conflits. Pour les organisations (terroristes ou autres), Internet représente un outil de levée de fonds, d’espionnage, de surveillance et de propagande. Après avoir expliqué comment la Chine avais mis en place des structures de contrôle d’Internet, Mme Douzet a rappelé pour conclure que le cyberespace ne signifiait en aucun cas la fin de la géopolitique ni l’avènement de la démocratie à l’échelle mondiale.