Représentation et utilisation de la menace dans le cyberespace

26.11.2012 cybergeopolitik

Le Washington Post, par la plume d'Ellen Nakashima, rapportait voilà quelques jours que de plus en plus d'alliés des Etats-Unis se tournaient vers l'expertise des sociétés privées américaines spécialisées dans la sécurité informatique pour sécuriser/protéger leurs réseaux nationaux, voire pour des sollicitations plus offensives. Au delà des problématiques de conscience ("que choisir entre la perte d'un marché potentiellement juteux et le risque de se voir accuser d'exactions pour le compte d'un autre Etat?"), et des risques inhérents à l'exportation de technologies militaires sensibles liées au cyberespace (mais ce problème existe pour l'ensemble des technologies militaires), cet article révèle une tendance qui se multiplie: l'utilisation par le politique de la "cyber-menace" pour justifier et légitimer l'adoption de mesures de contrôle et de surveillance renforcées, ou de politiques militaires plus actives, bénéficiant d'une augmentation budgétaire et donc d'une augmentation de moyens.

Ainsi, prétextant se préparer à faire face à la menace que représentent les cyberattaques, certains Etats font passer des mesures qui n'ont que peu ou rien à voir avec la protection des systèmes informatiques. Dans l'article du WP, E. Nakashima rapporte l'exemple du Qatar, qui voulait que la société américaine Booz Allen développe une unité de lutte informatique offensive pour le compte de l'Etat du golfe ; malin, ça laissait aux qataris la possibilité de rejeter toute responsabilité en cas d'utilisation de ces capacités si les choses eussent mal tourné.

Mais ce n'est pas tout. Suite aux attaques ayant ciblées la société Qatari RasGas et la société Saoudienne Saudi Aramco, attribuées à l'Iran, E. Nakashima rapporte que ces deux pays ainsi que le Koweït, le sultanat d'Oman, et les Emirats Arabes Unis auraient demandé à bénéficier de l'expertise américaine pour se prémunir de toutes attaques contre leur SI. La menace que représente les attaques contre les sociétés RasGas et S.A justifient aux yeux de ces pays du Golfe Persique l'acquisition de moyens de défense et très certainement des capacités offensives. Soit. Si ici l'Iran est désignée comme l'origine de la cyber-menace dans le Golfe (puisqu'accusée d'être à l'origine des attaques contre les compagnies qataris et saoudiennes), cette dernière a elle renforcé ses capacités de lutte informatique après la découverte des virus Stuxnet, Flame, Duqu, Gauss, Wiper, et maintenant Narilam qui ont infecté ses SI et ses réseaux. De plus, considérant que le virus Stuxnet s'est révélé être le fruit d'une opération israélo-américaine et que les virus cités seraient liés (dans leur conception), la position iranienne serait logiquement de se présenter en victime et non en agresseur. Alors que penser? L'Iran renforce depuis deux ans maintenant ses capacités et développe une véritable stratégie pour se défendre dans le cyberespace contre des agresseurs extérieurs, mais il ne faut pas oublier qu'en 2009, lors des contestions post-électorales, le régime iranien avait coupé la majorité des accès à Internet pour étouffer la rébellion civile, et qu'aujourd'hui il est prévu de créer un intranet national. Pour mieux protéger les réseaux du pays ou pour mieux contrôler et censurer les voies dissidentes ? Même les iraniens sont partagés quant à la réponse à apporter à cette question. Cependant, impossible de nier le rôle de Téhéran dans la censure qui a lieu chez leur voisin direct, la Syrie.

Et l'Iran n'est qu'un exemple parmi d'autres. On le voit, les gouvernements jouent sur l'alarmisme pour s'arroger des prérogatives qui, dans d'autres circonstances, auraient été vivement contestées. Ce n'est cependant pas la seule conséquence de l'utilisation des représentations des cyber-menaces.

En effet, prenons celle-ci d'un point de vue géopolitique internationale. Depuis l'élection de Barack Obama à la présidence des Etats-Unis en 2008, la protection et la défense du cyberespace est devenu une priorité stratégique pour Washington. Ainsi placée au devant de l'agenda politique, la cyber-menace allait être taclée par une modification profonde de l'organisation des institutions fédérales américaines en charge du dossier, ainsi que par la révision de la politique et de la stratégie américaine. L'augmentation des budgets est venue asseoir l'ensemble, permettant à Washington de se positionner comme leader dans le domaine.

Le fait que la cybersécurité soit aujourd'hui aussi importante aux USA est bien évidemment la conséquence de la représentation que se fait Washington de la menace issue du cyberespace. La tendance persistante à l'alarmisme, même au plus haut niveau, joue indubitablement en la faveur d'un renforcement des moyens pour parer les adversaires désignés: la Chine, la Russie, et l'Iran (et dans une moindre mesure, la Corée du Nord).

Examinons maintenant les conséquences de ces désignations par le Pentagone: nous avons que les voisins immédiats de l'Iran ont tous cherché à acquérir des capacités (défensives et offensives, même si elles ne sont pas officiellement avouées). Si on prend les voisins de la Chine, on constate le même phénomène. Le Japon, l'Inde, l'Indonésie, Taïwan, ou encore la Corée du sud ont tous annoncé le renforcement de leurs moyens de lutte informatique en avançant un argument commun, celui de parer les cyberattaques de Pékin.

Bien qu'il soit de notoriété que la Chine a développé d'importantes capacités de lutte informatique, liées à une stratégie longuement réfléchie de l'utilisation des NTIC comme levier de puissance, l'annonce des voisins s'est vue en général accompagnée d'un renforcement de l'arsenal militaire classique (flotte, défense anti-missile, amélioration des équipements en qualité et en quantité). Là encore, la cybersécurité invoquée semble n'être qu'un prétexte cachant mal des velléités et des tensions d'un autre ordre, telles que les revendications chinoises concernant la mer de Chine ou les îles Diaoyu/Senkaku, et le conflit latent relatif à Taïwan. Pour ces pays, la représentation de la cyber-menace semble ainsi jouer un rôle catalyseur de la perception de la menace incarnée par Pékin, et le fait que ce dernier soit régulièrement accusé d'être derrière tout et n'importe quelle affaire avec le préfixe "cyber" ne fait que cristalliser leurs positions vis-à-vis de la situation géopolitique. En conséquence, chacun utilise la menace cyber pour renforcer ses capacités militaires, créant à la fois une course à l'armement (d'abord cyber, mais aussi classique) et un déséquilibre de la stabilité de cette région.

Dans les deux cas, on a alors l'impression de la menace cyber est utilisée comme argument pour régler des tensions ou des conflits plus ou moins liés au cyberespace. J'entends par là que des cyberattaques massives et destructrices de l'Iran ou de la Chine contre leurs voisins ne sont pas la cause directe des renforcements capacitaires des pays. On pourrait m'opposer l'argument qu'elles ont peut être eues lieu mais qu'on n'en sait rien, ce qui me laisse dubitatif (l'Etat victime ayant une marge de manoeuvre bien plus large pour répondre à une cyberattaque provenant d'un de ces deux pays s'il les rend publiques).

Le détournement de la représentation de la menace cyber n'est sûrement pas la seule explication à son utilisation par les Etats pour acquérir massivement des moyens de lutte informatique (il faudrait notamment analyser le rôle des fournisseurs de ces capacités), mais cela pourra entraîner des conséquences géopolitiques importantes. Comprendre les véritables motivations derrière la construction des politiques de cybersécurité des Etats est donc essentiel pour avoir une lecture optimale de la situation et nécessite un vrai travail de recherche.

Bonus: pour aller plus loin dans l'institutionnalisation de la menace, voir le travail remarquable de Myriam Dunn Cavelty, que j'ai déjà évoquée dans ce blog.