1,8 milliard. C’est le nombre d’attaques informatiques que subissent chaque jour les serveurs des agences américaines, selon un rapport interne cité la semaine dernière par l’huissier du Sénat. Ramené à des proportions plus intelligibles, ce chiffre équivaudrait à 75 millions d’actes de piratage par heure, 1,25 million par minute, près de 21.000 par seconde. Imaginez chaque Chinois, y compris le plus jeune, et chaque Européen, même le plus vieux, lancer du lundi au dimanche un mouchard, un virus ou un cheval de Troie. Vous avez le tournis?
Non, les premiers concernés se mobilisent…
Lorsque j’étais à Washington D.C. fin février, tous mes interlocuteurs ont reconnu les enjeux de la cyberguerre, que l’immense majorité d’entre eux érige en priorité nationale. Je vous ai déjà parlé des ajustements de l’armée, mais désormais, l’ensemble du paysage politico-diplomatique semble s’y résoudre: certaines batailles de demain auront lieu sur les réseaux. «En ce moment, c’est l’enjeu le plus important», me confiait John Morris, conseiller du Center for Democracy & Technology lors d’une émission de radio sur la régulation de l’internet. Quelques heures après, un gradé du Pentagone certifiait cette impression, sous couvert d’anonymat: «Nous sommes en train de muter, mais le sujet est encore sensible. Trop en tout cas pour que l’on communique dessus officiellement…» Si l’administration Obama a fait un grand pas vers la transparence en publiant en ligne nombre de ses décisions, la cyberguerre s’inscrit encore dans la culture séculaire du secret.
… Mais oui, les gouvernements sont à la peine
Le mois dernier, le Bipartisan Policy Center, un think tank composé d’huiles des administrations précédentes, a mené une simulation d’envergure, baptisée Cyber Shockwave. L’exercice mettait en scène un virus russe qui se propageait en l’espace de quelques heures sur 20 millions de smartphones, par le biais d’une fausse application de baseball, pour finalement affecter l’ensemble des réseaux de télécommunications américains. Il a finalement tourné à la démonstration, pour mettre en lumière les failles structurelles de la chaîne de commandement. Si Michael Chertoff, en charge du Département de la Sécurité intérieure sous la mandature de George W. Bush, estime qu’il faut accorder «autant d’importance aux menaces informatiques qu’aux armes de destruction massive en leur temps», certains acteurs du Cyber Shockwave n’ont pas manqué de relever des absences dans le processus décisionnel.
N’importe qui peut devenir un acteur de l’attaque, de celui qui la lance à celui qui télécharge par inadvertance le mouchard. Dans cet environnement poreux, les politiques doivent réagir au plus vite, en temps réel, mais ils se heurtent à deux obstacles de taille dans une démocratie: identifier les hackers (ce qui est loin d’être évident, on a pu le vérifier lors de l’incident entre Google et la Chine), et prendre des mesures qui risquent d’empiéter sur la vie privée de tout un chacun. Pour l’heure, il n’existe pas –encore– de loi martiale du numérique, qui autoriserait les gouvernements à court-circuiter les FAI pour prendre le contrôle du web.
Oui, il n’y a pas d’usage du web
Au gré de mes entretiens, du Pentagone au Government Accountability Office (la Cour des Comptes américaine), j’ai pu constater que la communication web se coinçait parfois dans des tuyaux pas habitués au flux. Tandis que les fonctionnaires du ministère de la Défense montrent une appétence certaine pour les réseaux, le Département lui-même manque de cohérence dans ses décisions. En fin de semaine dernière, on pouvait lire sur Danger Room qu’un administrateur de l’armée de l’air avait appris la nouvelle politique du Pentagone en matière de réseaux sociaux… en surfant le blog de Wired. Après avoir hésité à interdire Twitter l’été dernier, les autorités militaires essaient désormais de codifier l’usage officiel de Facebook. Mais avant de déminer cette stratégie schizophrène, il faudra se rappeler qu’une très large part des fonctionnaires américains utilise Internet Explorer au quotidien, pourtant pas réputé pour sa fiabilité.
Oui, les instances internationales sont attentistes
Face à la menace, il n’existe pas de consensus international. Et alors? Le caractère éminemment global du web nécessite la mise en œuvre d’initiatives concertées entre les pays impliqués (et je ne parle pas ici de l’ACTA). La Corée du Sud, à la pointe des technologies de l’information, a d’ores et déjà fait savoir qu’elle se portait candidate pour accueillir le siège d’une future agence des Nations unies dédiée à la cybersécurité, mais le projet est encore à l’état larvaire. Finalement, les atermoiements onusiens sont comparables à la situation en Europe. Entérinée à l’échelle nationale, la problématique de la cyberguerre n’arrive pas à transcender les contours d’une Défense européenne pas encore dessinée.
Olivier Tesquet
Photo: Flickr / CC @watt dabney
[…] Faut-il avoir peur des cyberattaques? […]