Le code fait la guerre
Déconcertés par la puissance de feu d’Internet, plusieurs Etats affinent leur doctrine militaire pour l’adapter au champ numérique. Une nouvelle forme de contrôle de la gouvernance?
Le Pentagone s’apprête à publier un document à l’en-tête duquel devrait figurer cette recommandation: désormais, les attaques informatiques pourront être considérées comme “des actes de guerre”. Quinze jours après avoir annoncé leur nouvelle stratégie en matière de cybersécurité par le biais d’Howard Schmidt, le “cyber tsar” de la Maison-Blanche, les Etats-Unis s’apprêtent ainsi à briser un tabou ultime. Le Wall Street Journal, qui a révélé l’information, cite d’ailleurs les propos d’un officiel, dénués d’ambiguïté:
Si vous éteignez notre réseau électrique, nous nous réservons le droit d’envoyer un missile sur l’une de vos cheminées.
Dix ans après Code is Law (“le code fait loi”, traduit ici par Framasoft) de Lawrence Lessig, formulons une nouvelle hypothèse: et si le code faisait la guerre? En 2000, sur le campus d’Harvard, l’éminent professeur de droit planche sur un article universitaire qui fera date chez les penseurs d’Internet. En définissant le code informatique comme nouvelle architecture de nos sociétés démocratiques, il interpelle tout un chacun sur la nature éminemment modifiable de cette norme.
Ce code, ou cette architecture, définit la manière dont nous vivons le cyberespace. Il détermine s’il est facile ou non de protéger sa vie privée, ou de censurer la parole. Il détermine si l’accès à l’information est global ou sectorisé. Il a un impact sur qui peut voir quoi, ou sur ce qui est surveillé. Lorsqu’on commence à comprendre la nature de ce code, on se rend compte que, d’une myriade de manières, le code du cyberespace régule.
Pris au dépourvu par les attaques DDoS des Anonymous, traumatisés par le mystérieux virus Stuxnet, exposés à un risque toujours plus important d’espionnage industriel, les pays du G8 – les premiers concernés – sont à la recherche d’un cadre légal (un code) aujourd’hui inexistant. A tel point que Lord Jopling, le rapporteur général de l’OTAN, a commencé à rédiger un rapport sur cette nouvelle guerre de l’information, qui brasse WikiLeaks, hacktivisme et coopération internationale. Soumis à la lecture, ce document pourrait être approuvé avant la fin de l’année.
Nouvelle doctrine
Ce coup de grisou en accompagne bien d’autres. En moins d’un mois, plusieurs puissances mondiales sont sorties du bois. La Chine a reconnu l’existence d’une cellule de guerre électronique, tandis que le Royaume-Uni a annoncé son intention de se doter d’un arsenal offensif pour défendre ses infrastructures critiques. C’est un secret de Polichinelle, certains gouvernements se sont déjà livrés à des attaques qui n’étaient pas des ripostes pour sauvegarder leurs intérêts. En septembre 2007, lors de l’opération Orchard, Israël n’a pas hésité à court-circuiter les défenses aériennes syriennes pour mener un raid contre la centrale nucléaire d’Al-Kibar.
Dans le monde militaire “ouvert”, la cyberguerre n’était jusqu’à présent qu’un levier à crédits actionné par les acteurs du complexe militaro-industriel américain. Des poids lourds comme Raytheon, Northtrop Grumman ou Lockheed Martin, directement affectés par l’arrêt programmé de la production de certains appareils comme le chasseur F-22, ont tous développé une gamme de conseil technologique, jusqu’à en tapisser les couloirs du métro de Washington D.C.
Désormais, non seulement d’autres pays placent leurs pions sur l’échiquier, mais c’est un véritable changement de doctrine qui se dessine à l’horizon. Dans une tribune pour le Guardian, Lord John Reid, ancien secrétaire à la Défense de Tony Blair, appelle de ses voeux une véritable révolution, en insistant sur le fait que les structures d’aujourd’hui ne sont pas suffisamment résilientes pour absorber les chocs du réseau:
Il y a toujours un certain degré de continuité dans le changement, même radical. Mais la nature du cyberespace signifie que nos vieilles doctrines de défense ne marcheront pas. Tant que nous n’aurons pas reconnu ça, nous risquons de succomber à une dangereuse cyber-complaisance.
Sur qui tire-t-on?
De la bulle économique, la “cyberguerre” est en train de glisser vers la gouvernance, un ajustement politique qui n’est pas sans risque. Derek E. Bambauer, de la Brooklyn Law School, s’est récemment penché sur les défis posés aux Etats par la cybersécurité, qu’il considère comme une “énigme” (conundrum en anglais). A ses yeux, les recommandations de l’administration Obama – fondées sur l’identification de l’agresseur pourraient “mettre en péril l’architecture générative d’Internet mais aussi des engagements clés par rapport à la liberté d’expression”.
Bambauer touche ici un point critique: les attaques informatiques ne disent presque jamais leur nom. Leurs commanditaires choisissent cette méthode précisément parce qu’elle offre le triple confort de la rapidité, de la volatilité et de l’anonymat. Dès lors, selon la rhétorique américaine, à qui déclarer la guerre? Au botnet russe par lequel a transité le virus? Au serveur chinois identifié par le Cyber Command?
Le G8 s’intéresse depuis de nombreuses années à ces questions. Elles ont longtemps été traitées – de façon très confidentielle – au sein du Groupe de Lyon (après le G8 de Lyon de 1996) consacré aux échanges informels sur la grande criminalité organisée. À l’intérieur du Groupe de Lyon, un Sous-groupe lié aux risques technologiques s’était créé en réunissant notamment le SGDSN (France), le GCHQ (UK) la NSA (US) où en réalité les uns et les autres discutaient beaucoup de façon informelle des armes de la cyberguerre et de leurs “partenariats” avec les industriels et les réseaux de logiciels libres afin d’harmoniser ces moyens, pour qu’un jour ils répondent aux impératifs normatifs de l’OTAN.
Le Pentagone prépare depuis près de 8 ans ces évolutions. En 2002, le US Space Command a été intégré au US Strategic Command car, précisément, le Space Command, en raison de son importance sur la gestion de la guerre de l’information avait vocation à devenir un centre de décision stratégique.
En France, lors du piratage de Bercy – qui constitue difficilement un casus belli - le patron de l’Agence nationale de sécurité des systèmes d’information (ANSSI), Patrick Pailloux a lourdement insisté sur la difficulté de l’attribution des attaques. Dès lors, on imagine mal un Etat s’affranchir des conventions de Genève pour riposter de manière conventionnelle et aveugle à un hacker dont il ignore tout. Dans la dialectique de Lessig, le code est une loi, il ne s’en affranchit pas.
Crédits photo: Flickr CC zanaca, :ray, Will Lion
Laisser un commentaire