03/07/2013 de Guerric Poncet - Le Web en lignes / Le Point.fr

Les experts en cybersécurité dénoncent la mauvaise foi des institutions européennes et des États membres de l'UE, qui feignent de découvrir le pot aux roses.

Le scandale Prism n'en finit pas de rebondir. Outre les internautes "lambda" du monde entier, l'Union européenne et ses États membres ont été la cible de l'espionnage américain mené par la NSA, l'agence de sécurité qui avait déjà mis en oeuvre le programme Échelon dès les années 1970. Depuis les révélations du magazine allemand Der Spiegel le week-end dernier, les dirigeants européens se sont tous émus d'être la cible d'un "allié", d'un "ami", et ont exigé des comptes. Mais ces réactions offusquées ne sont qu'une façade : ils étaient au courant depuis des mois, voire des années, qu'un système comme Prism ciblait l'ensemble des pays du monde, sans discernement.

La levée de boucliers des dirigeants européens est "surréaliste", car "ils savaient bien entendu depuis des années" qu'ils étaient espionnés, selon Hervé Schauer, administrateur au Club de la sécurité de l'information français (Clusif), qui regroupe des centaines d'entreprises high-tech présentes en France, dont des géants américains. "Les services de renseignements européens savaient depuis longtemps, donc leurs dirigeants aussi", renchérit Gérôme Billois, expert du cabinet français Solucom. Lui aussi membre du Clusif, il doute qu'un seul gouvernement européen ait pu ignorer l'existence de Prism.

La Commission européenne confirme... implicitement

Contacté par Le Point.fr, Antonio Gravili, porte-parole de la Commission européenne sur les questions de sécurité, a refusé de commenter cette affirmation. Il a cependant précisé que "les règles de sécurité n'ont pas changé depuis que le scandale Prism a éclaté". Une façon de reconnaître que les informations dévoilées par la presse étaient déjà connues au plus haut niveau à Bruxelles. "Nous utilisons tous les moyens techniques qu'une organisation comme la nôtre doit utiliser", explique encore Antonio Gravili. "Nous utilisons aussi tous les types de chiffrement disponibles, selon le degré de sensibilité des informations que nous voulons protéger", conclut-il.

"Aucun pays membre de l'OTAN ne pouvait ignorer l'existence d'un système comme Prism, dont la technologie est connue depuis des années", juge pour sa part Sean Sullivan, expert en cyberguerre chez le Finlandais F-Secure. Pour lui, rien ne va changer : "Les révélations vont officialiser la situation, mais le travail de renseignement de la NSA va évidemment continuer", estime-t-il. "Il faut accepter que sur Internet, les communications sont comme des cartes postales plutôt que comme des lettres : tout le monde peut lire ce qui est écrit", conclut-il.

Les Européens n'ont plus confiance dans les États-Unis

Jarno Limnéll, docteur en science politique et directeur de la cybersécurité chez Stonesoft, estime pour sa part que "certains États membres de l'UE étaient au courant de l'existence d'un tel programme" et que "la surprise est venue de l'ampleur de l'espionnage et du fait qu'il soit aussi clairement dirigé contre les gouvernements alliés". "Cela aura des conséquences sur les relations diplomatiques, sur la coopération : les Européens n'auront plus confiance dans les États-Unis", regrette-t-il.

D'autres experts interrogés sous le couvert de l'anonymat, car les États sont aussi leurs clients, vont aussi dans ce sens. "Tous les grands pays européens" étaient informés par leurs experts de l'existence de Prism, estime le directeur de la cybersécurité d'un grand groupe américain du secteur. La France et l'Allemagne, qui disposent de services secrets "autonomes et à la pointe", "en connaissaient même des détails", affirme un autre responsable de la sécurité informatique, chez un géant français cette fois. Des pays plus petits mais particulièrement en avance sur la cybersécurité, comme l'Estonie, "ne pouvaient pas ignorer l'existence de Prism et son mécanisme de fonctionnement", ajoute un autre expert.

La Grande-Bretagne "participe activement"

Quant à la Grande-Bretagne, elle est d'autant plus au courant que ses services "participent activement" à l'espionnage global mis en oeuvre par la NSA, selon un expert coréen. "Quand on visite un grand opérateur britannique à Paris, on remarque des installations bizarres, connectées aux points d'échanges internet français. On se doute bien que cela fait partie de Prism", dénonce Hervé Schauer. De quoi raviver les craintes de "cheval de Troie" américain en Europe, que l'on croyait enterrées avec le XXe siècle...

"La liberté des agences de renseignements américaines évolue en fonction du climat géopolitique", décrypte Hervé Schauer. "Les abus de la guerre froide avaient mené à serrer la bride des services américains, mais la lutte contre al-Qaida après le 11 septembre 2001 a fait tomber nombre de restrictions psychologiques et légales", regrette-t-il.

24/06/2013 Propos recueillis par Guerric Poncet / Le Web en lignes - Le Point.fr

Le scandale de la surveillance sur Internet n'en est qu'à ses débuts, selon Jarno Limnéll, docteur en science militaire et expert en cybersécurité.

Les publications sur le programme Prism par la presse anglo-saxonne ont mis au jour les méthodes d'espionnage des internautes du monde entier par les États-Unis. Jarno Limnéll, docteur en science militaire et expert mondialement reconnu, décrypte les événements et l'évolution du monde vers l'ère de la cyberguerre. Rencontré la semaine dernière par Le Point.fr à l'ambassade de Finlande, à Paris, il est aujourd'hui directeur de la cybersécurité pour l'éditeur finlandais de logiciels Stonesoft.

Le Point.fr : Avez-vous été surpris par les révélations sur le programme Prism de l'agence nationale de sécurité américaine (NSA) ?

Jarno Limnéll : Les informations dévoilées par la presse ne m'ont pas surpris, mais Prism n'est que la partie émergée de l'iceberg. Beaucoup d'autres révélations vont avoir lieu dans les mois à venir, il se passe beaucoup plus de choses que ce que l'on a découvert. Y compris ici en France, je vous le garantis.

Est-ce une bonne chose que ces informations aient été rendues publiques ?

C'est une excellente chose que l'opinion publique ait découvert Prism et sache qu'elle est surveillée, car il faut aujourd'hui placer le curseur entre la sécurité et la liberté. Il faut un débat public pour cela, et les démocraties ont le devoir d'être plus transparentes pour expliquer les raisons d'une telle surveillance.

Comment voyez-vous l'évolution des problématiques d'espionnage et de cyberguerre aujourd'hui ?

On connaissait l'ère de la Guerre froide, celle de la Détente, puis celle du terrorisme de 2001 à 2013. Nous entrons aujourd'hui dans l'ère de la cyberguerre. Beaucoup de changements se sont déjà produits : le terrorisme est désormais numéro deux sur la liste des menaces dressée par la Maison-Blanche : le numéro un est le cyber. Je distingue deux mondes : celui des atomes et celui des octets. Presque toute l'information est aujourd'hui dans le monde des octets, et il ne se passe pas un jour sans que l'on parle d'une cyberattaque. C'est un champ de bataille.

Il faut donc recruter des armées cybernétiques ?

Pour la cyberguerre, vous ne devez plus essayer d'avoir un maximum de muscles. Dans le passé, un chef militaire aurait choisi 100 soldats moyens plutôt qu'un seul très entraîné. Mais aujourd'hui il vaut mieux avoir un individu talentueux, qui pourra tromper ou faire face à un flot de hackers moins expérimentés.

Est-il vrai que l'attaquant gagne presque toujours ?

C'est comme James Bond : s'il veut vous tuer, il y arrivera un jour. Il faut l'accepter. L'attaquant gagne presque toujours, car il suffit qu'il traverse une seule fois les défenses pour gagner. On peut faire un parallèle avec la Première Guerre mondiale. L'arrivée des premiers chars sur les champs de bataille a perturbé les équilibres, mais on a rapidement développé des armes antichars et depuis, c'est une course sans fin entre les deux types d'armes, chars et antichars. Avec un déséquilibre important : le blindage est obligé de "gagner" à chaque fois, alors que l'antichar sera victorieux s'il perce le blindage ne serait-ce qu'une fois sur dix.

Quelles sont les conséquences pour les États ?

La cybersécurité n'est pas seulement un problème technique, c'est avant tout un défi stratégique. Les États-Unis ont perdu 300 milliards de dollars en 2012 seulement à cause du cyberespionnage, qui a donné lieu au transfert technologique le plus important de toute l'histoire. Et il était évidemment involontaire. L'attaque cyber, c'est très facile et peu cher. Vous pouvez atteindre votre objectif sans envoyer le moindre soldat. Cela oblige à oublier les concepts de guerre et de paix. L'utilisation du cyber se situe dans une zone grise. En plus, les pays ne savent pas ce dont disposent les autres. On ne peut plus se contenter de compter les tanks lors des défilés..., et à ma connaissance, il n'y a pas encore de parade de nerds !

Quand le changement vers l'ère de la cyberguerre a-t-il commencé ?

Le monde a perdu son innocence avec l'affaire Stuxnet (un virus créé par les États-Unis et Israël pour retarder le programme nucléaire iranien, NDLR). Les États investissent énormément, car ils veulent désormais des capacités offensives en plus de la défense. Trois États sont aujourd'hui capables d'attaquer : les États-Unis, la Russie et la Chine. Les États-Unis ont établi une liste de cibles qu'ils frapperont préventivement si des pays les attaquent. Ils ont donc accepté la stratégie du "hit first" (frappe préventive). En Europe, nous n'avons jamais eu ce type de discussions, il n'y a pas de doctrine d'utilisation de l'arme informatique.

Frapper préventivement, certes, mais qui ? On n'est jamais sûr de l'origine de l'attaque...

Le plus gros budget de l'agence de recherche militaire américaine, la DARPA, est alloué à l'équipe qui développe des technologies permettant de remonter à la source d'une attaque. Parce que l'attribution d'une attaque est un problème décisif dans le monde cyber : on n'est jamais sûr de qui nous attaque, c'est vrai. Mais il faut riposter, voire frapper préventivement. Et si on se trompe, on se fait un nouvel ennemi... La Maison-Blanche exige des informations fiables, provenant à la fois des experts cyber et des services de renseignements plus "classiques".

En France, un rapport gouvernemental a suggéré de ne plus acheter d'équipements chinois pour les infrastructures sensibles. Qu'en pensez-vous ?

Il y a beaucoup de spéculations sur la proximité de certaines entreprises avec leurs gouvernements. Les acheteurs sont de plus en plus intéressés par l'origine du vendeur de leurs matériels, cela devient de plus en plus important.

Les entreprises sont-elles conscientes des risques ?

Il faut détruire l'illusion de sécurité qui règne parfois dans le privé. Il y a deux sortes d'entreprise. Celles qui ont été hackées, et celles qui ont été hackées, mais ne le savent pas ou refusent de le reconnaître. En France, 80 % des infrastructures vitales sont détenues par le secteur privé, il est donc crucial que des partenariats public-privé soient mis en place. Mais qui va payer les factures ?

À l'échelle européenne, quel pays est à la pointe ?

Il n'y a pas de pays leader en Europe à ce jour. Nous sommes un peu en retrait par rapport aux trois leaders mondiaux. Il devrait y avoir plus de coopération en Europe, pour compenser le manque de travail collectif au sein de l'Otan, et je pense que la France a une belle opportunité à saisir : elle pourrait devenir la locomotive européenne de la cybersécurité. En comparant les quinze stratégies de cybersécurité mises en place en Europe, on pourrait se contenter de changer le nom sur la couverture des rapports... La vraie différence se fait dans les mesures qui sont effectivement mises en place. Les Pays-Bas par exemple sont moins enclins à suivre leurs propres recommandations que la France.