Cyberstratégie de la France : la voie est-elle libre ?

Invitée à intervenir lors d’une conférence du Cercle Ramadier intitulée « Cyberguerre, cyberstratégie, souveraineté numérique : où en est la France », je souhaitais poursuivre le débat au-delà des frontières de la salle Colbert de l’Assemblée Nationale, où une quarantaine de personnes s’est réunie lundi, un public hétéroclite, dont certains découvrait ce sujet pour la première fois. J’avais en amont demandé à plusieurs spécialistes de la question ce qu’ils pensaient de la situation de la France, de ses atouts et de ses failles.

 ANNous vivons dans un monde où chaque déplacement, d’homme ou de marchandises, chaque comportement, chaque savoir, peut se traduire en langage informatique. « Tout devient donnée numérique », disait Stéphane Grumbach, directeur de recherche à l’Institut national de recherche en informatique et automatique (Inria). Dans ce contexte-là, la cyberstratégie est une guerre de technologie, dont le vainqueur sera le pays qui maîtrisera le mieux l’acquisition de ces données et leur traitement.

Au niveau social, scientifique et géostratégique, la question est donc de pouvoir remplacer le travail d’acquisition du renseignement par des machines. Comment surveiller, contrôler, un maximum de personnes, avec des appareils de haute technologie ? Face aux problématiques comme le terrorisme, l’espionnage industriel et le pillage économique, il apparaît aujourd’hui d’un intérêt primordial de maîtriser ces technologies. 

« Cyberguerre », une appellation mainstream

Bien que nous parlions depuis plusieurs années de « cyberguerre », ce mot est en fait inapproprié pour plusieurs raisons. En 2010, à l’heure du scandale de Stuxnet,  Cédric Blancher, un grand spécialiste de la sécurité qui travaillait pour EADS et qui nous a quitté bien trop tôt, m’expliquait lors des Assises de la Sécurité de Monaco, qu’il était inexacte de parler de « cyberguerre » : « Dans une guerre il y a deux ennemis « déclarés ».  Alors que dans le cyberespace, personne n’a jamais déclaré la guerre ouvertement à un autre pays

Cédric Blancher, surnommé "Sid", était chercheur en sécurité informatique chez EADS très respecté et auteur du blog "Ma petite parcelle d'Internet". Il s'est éteint le 10 novembre 2013 : sa disparition a notamment provoqué une vague de tristesse au sein de la communauté de hackers qui lui a rendu un grand hommage sur la toile.

Cédric Blancher, surnommé « Sid », chercheur en sécurité informatique chez EADS et auteur du blog « Ma petite parcelle d’Internet« , était très respecté et écouté. Il s’est éteint le 10 novembre 2013 : sa disparition a  provoqué une vague de tristesse au sein de la communauté de hackers qui lui a rendu un hommage sur la toile.

Pour d’autres, cet « abus de langage » fait peur inutilement, peut-être pour faire vendre des livres, pour vendre des services ou encore même pour faire passer des lois. Enfin, cette « cyberguerre » n’a encore tué personne et c’est en cela aussi que cette appellation semble surtout très critiquée. Selon le journaliste Jean-Marc Manach, spécialiste des questions de hacking et d’espionnage, « la cyberguerre n’existe pas, du moins pas encore, sauf pour le complexe militaro-industriel, qui s’y prépare depuis des années. »

Preuve que la cyberguerre fait vendre, les deux chaires qui ont été créées il y a deux ans en matière de cyberguerre, pour enseigner aux militaires comment se protéger, sont financées par des société comme Thalès ou EADS… « C’est un peu comme si les écoles de l’armée de l’air étaient subventionnées par Dassault », rajoute Jean-Marc Manach. Avant de poursuivre : « Plutôt que de cyberguerre, on peut peut-être plutôt parler d’une militarisation du Net. qui en transforme sinon la nature, tout du moins le fonctionnement. Les récentes révélations d’Edward Snowden montrent bien que l’infrastructure d’Internet est fragilisé par la NSA.»

Ce conflit dans le cyberespace est en tout cas aujourd’hui au cœur des préoccupations des pays. Dernièrement, une étude a été faite pour le journal américain Defense News. 352 responsables civils et militaires de la défense américaine ont été interrogés : parmi eux, des élus au Congrès en fonction au Pentagone, des consultants, des dirigeants d’entreprise du secteur de l’armement… Et pour environ 45 % d’entre eux, le risque de cyberattaque est au top de leurs préoccupations, devant le terrorisme, la Chine, l’Iran, le changement climatique et la Corée du Nord.

Souveraineté ou colonialisme numérique ?

anonymous-versus-israelEn ce qui concerne la souveraineté numérique, personne ne peut nier que la France est un nain dans le domaine,  par rapport aux Etats-Unis, par exemple. Nous utilisons des ordinateurs et des logiciels fabriqués aux Etats-Unis, des routeurs chinois… À par à ses déconnecter de tous les autres pays et à fabriquer nous-même tous nos équipements, la souveraineté numérique est illusoire. Toujours selon Manach, même si nos sites web et nos documents sont hébergés dans le cloud français, il y a souvent des backup aux Etats-Unis. Le site de l’Élysée, par exemple, est hébergé en France et au Royaume-Uni.  Le site des affaires étrangères, par Verizon Business etc.

Autre exemple, en 2009, le ministère de la Défense a signé un contrat avec une filiale de Microsoft basé à Dublin : la multinationale s’est engagée pour 4 ans à louer tout son catalogue de logiciel à prix préférentiels. Une offre qui a été baptisée « open bar » et a été vivement critiquée par les défenseurs du logiciel libre. un contrat qui vient d’ailleurs tout juste d’être renouvelé. Le logiciel libre peut être une porte de sortie de ce qui se rapproche plus du colonialisme numérique que de la souveraineté. C’est en plus une offre plus sécurisée et moins chère, qui aurait pour effet de privilégier et de développer l’industrie et les SSII locales. Et, qui contribuerait à un cercle vertueux tendant à ce que les utilisateurs  contrôlent eux-mêmes leurs machines et non l’inverse.

Sans revenir aux origines de l’Internet qui trouve leur source dans le domaine militaire, le virage pour la France a été plutôt tardif, en terme de cybersécurité. C’est seulement en 2008, que la France a amorcé un début de stratégie. Le livret blanc de 2008 a montré que le pouvoir politique avait enfin pris conscience de ces problématiques, ce qui a d’ailleurs conduit à la création de l’Agence nationale de la sécurité des systèmes d’information (l’ANSSI). Le but premier était alors de concentrer dans cette agence des compétences techniques et stratégiques sur le sujet, ainsi qu’un travail de recherches pour monter,  entre autre, un gros centre opérationnel muni d’équipements de détection d’attaque, etc. Ensuite en 2011, suites aux attaques de Bercy, d’Areva, et de l’Élysée qui suivront quelques semaines plus tard, un conseil des ministres s’est déroulé pour réfléchir à de nouvelles mesures. Il a alors été décidé de renforcer l’obligation de sécurité chez certains opérateurs d’importance vitale (OIV). Avec notamment un renforcement des pouvoirs de l’ANSSI. Enfin, en 2013, le livret blanc a souligné à nouveau l’importance de la cyberstratégie dans la défense des intérêts nationaux.

La crypto, une zone de souveraineté

15300_Crypto2Selon le vice-Amiral Benedittini, ancien directeur adjoint de l’ANSSI et secrétaire générale de la commission du livret blanc en 2013 : « en 2008, nous pensions surtout aux infrastructures critiques alors qu’en 2013, l’accent a été mis sur un autre risque : l’espionnage. » Pour rappel, en 2009, l’ANSSI comptait 100 personnes, actuellement il y en a  environ 350 et à l’horizon 2017, ils devraient atteindre les 500, comme les Anglais et les Allemands actuellement. La France rattrape peu à peu son retard.

Même si le monde, à ce niveau-là, reste dominé par les anglo-saxons et de plus en plus par les Chinois, qui fabriquent des équipements informatiques, il existe tout de même des « zones de souveraineté », selon le vice-amiral Benedittini. La cryptographie est un bon exemple des points forts de la France, notamment pour protéger les besoins de l‘État, par rapport au secret-défense.

Mais les révélations de Wikileaks et de Snowden montrent bien que nous avons malgré tout peu de secrets bien gardés. Nous avons beau donner des outils ultra sécurisés aux agents de l’États ou aux entreprises stratégiques, certains hauts responsables ou employés continuent d’utiliser leur propres téléphones ou leur tablettes. Ces outils, préférés pour l’utilisation au quotidien, sont plus ergonomiques, plus facile à utiliser pour communiquer. En 2008, l’ANSSI avait recommandé de ne pas traiter les secrets de l’État sur des Blackberry et beaucoup avait pensé à l’époque que l’agence était quelque peu paranoïaque… Or ces communications passaient bien toutes par des centres basés en Angleterre et aux Etats-Unis.

L’humain, au sommet des facteurs de risque

Vincent Lemoine, docteur en droit  et expert en cybercriminalité pour la justice, témoigne : « Je vois passer tous les jours des dossiers sur ces sujets où des collaborateurs outrepassent les mesures de sécurité, que ce soit au niveau du matériel pur ou des périphériques amovibles. Peu d’entres eux passent par exemple les clefs USB à l’antivirus avant de les utiliser. L’excuse est souvent que « ça demande trop de temps« . »

merkel-obamaEn ce qui concerne nos voisins, les Allemands semblent avoir un sens plus aigu de la protection des données et du respect de la vie privée. Ils se sont dits particulièrement choqués des scandales d’espionnage autour de la NSA, surtout qu’il a été révélé que Angela Merkel elle-même avait fait l’objet de surveillance. En Chine, elle s’est montrée très ferme sur l’espionnage technologique et industriel, face aux responsables du pays. Même si ça ne changera sûrement pas grand chose, cela en dit long sur l’esprit différent des Allemands, autour de ces questions-là. Taper du poing sur la table doit être une stratégie qui marche puisque Obama a annoncé que la chancelière pourrait ne plus être écouter (ou peut-être moins, ou peut-être de manière plus discrète) comme ses homologues.

La French Touch Connection

Matthieu Suiche, fondateur de MoonSols, une société privée spécialisée dans la réponse de menaces avancées auprès des organismes d’importance vitaux (OIV), n’habite plus en France depuis 4 ou 5 ans. Aujourd’hui basé à Londres, il apporte un regard extérieur : « Il n’est pas rare de voir les acteurs français choisir des compétiteurs étrangers car ils sont moins chers. » Et c’est l’expérience qui parle : il vient de répondre avec sa société à un appel d’offre pour de la formation auprès du Secrétariat général de la défense et de la sécurité nationale. Le formateur en face n’était pas français, mais il était moins cher ! « Pour avoir une souveraineté nationale, ils font avoir la compétence et la main d’œuvre. Mais aussi marché attractif pour attirer et encourager les entrepreneurs ! Ce qui n’est pas forcement le cas de la France. On l’a bien vu avec la fuite des cerveaux, qu’on observe depuis 90, » poursuit Matthieu Suiche.

Dans un sens, l’affaire PRISM devrait donner de l’air aux acteurs français dans des domaines tels que le cloud et la sécurité, mais pour le moment, à part OVH, les entreprises françaises de réseau et de sécurité semblent encore trop petites pour occuper la place qui leur revient, explique Laurent Bloch, chercheur à l’Institut français d’analyse stratégique (IFAS).

« Les élites qui prennent les décisions ne connaissent pas assez les industries et n’ont pas vraiment les compétences techniques nécessaire pour juger si une idée est bonne ou pas. On le voit avec Fleur Pellerin et son cloud français qui est un échec jusqu’a maintenant. 75 millions d’euros de l’argent du contribuable ont été investis dans le projet du cloud à la française qui associent Orange, Thalès. Et son efficacité est jusqu’ici très discutable », continue Matthieu Suiche. La France détient donc un grand nombre de gens brillants. Mais elle se cherche encore pour trouver la meilleure recette pour utiliser ses élites.

Un autre problème pour ses élites dans le domaine est que la DST, dans les années 80, n’a pas arrêté d’espionner les hackers notamment avec de la création en 89 du Chaos Computer Club France, qui était un faux regroupement de hacker dont la tâche consistait à espionné les « vrais hackers ». Ce groupe avait été créé par Jean-Bernard Condat, sur ordre officieux de la DST. Du coup, les hackers français n’ont jamais pu se définir en ces termes et beaucoup d’entre eux, sans pouvoir avoir une réelle étiquette de spécialistes de la sécurité informatique, ont préféré fuir la France pour travailler à l‘étranger ou se définissent aujourd’hui plus comme des défenseurs du logiciel libre, ou des développeurs. Cet épisode aura terni l’image des autorités auprès de cette communauté. Certains vont même jusqu’à dire que le FBI ne serait pas pleinement étranger à cet échec puisque Jean-Bernard Condat aurait été « approché » par un agent du FBI peu avant sa rencontre avec la DST. Une « manip » américaine pour anéantir la volonté française d’approche des communautés hackers, clé de voûte d’une vraie stratégie de cyber-défense ?

Le Chaos Computer Club (le vrai) est une organisation de hackers parmi les plus influente en Europe. Ils organisent chaque année le Chaos Computer Congress ici celui de 2012) Photo : Patrick Lux/Getty Images.

Le Chaos Computer Club (le vrai) est une organisation de hackers parmi les plus influente en Europe. Ils organisent chaque année le Chaos Computer Congress ici celui de 2012) Photo : Patrick Lux/Getty Images.

La DGSE est dotée aujourd’hui de capacité de « lutte informatique offensive » qui n’est pas aussi poussées que celles de la NSA, pour des questions de moyens, mais selon le directeur technique de la DGSE en charge notamment de l’écoute et de l’espionnage des télécommunications, dit que le DGSE est en « 1ère division » en matière de surveillance et d’espionnage des télécom. Mais cela passe quand même majoritairement par des routeurs et des machines et logiciels made in USA ou made in China

Pour finir, la cyberstratégie, si elle reste cantonnée à des conflits entre États, pourrait réduire notre capacité d’anticipation des menaces nouvelles, imposées par le cyberespace, comme la propagande sur les réseaux sociaux qui permet le recrutement et la radicalisation à « distance » par des groupes terroristes, mais aussi l’importance de la cybercriminalité qui rappelons-le rapporte plus en Europe que le trafic de drogue, et autre menace : le pouvoir de nuisance et de propagande du cyberespace qui peut soulever des révolutions. C’est en tout cas l’avis d’Yves-Marie Peyry, qui a écrit le livre « Menace cybernétique, le manuel du combattant ». Il est aussi chercheur au Centre français de recherche sur le renseignement (CF2R).

Pour ce chercheur, notre approche française est offensive et guerrière. Elle ne tend pas ou peu vers la recherche d’un équilibre entre libertés individuelles et la sécurité. Or, ce serait cette voie-là, qui conduirait à une réelle adhésion. Le volet surveillance d’internet de notre dernière loi de programmation militaire la bien montré. « Personne n’a la propriété du cyberespace. Nous en sommes tous les propriétaires et sa sécurité est l’affaire de tous », continue ce chercheur. Il affirme que c’est une stratégie collective qu’il faut trouver avec, en toile de fond, une notion de cyber-citoyenneté qui doit s’apprendre dès l’école : « Le Do It Yourself des hackers n’est pas une menace s’il s’inscrit, collectivement, dans une démarche citoyenne destinée à améliorer notre approche du cyberespace.»

Margaux Duquesne

Un remerciement spécial à Charles Bwele, de l’Alliance Géostratégique, pour ses excellents conseils de lectures.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s