Alliance Géostratégique

Secrétaire adjoint américain à la défense et « lobbyiste-en-chef » de la firme Raytheon, William Lynn III a le ton juste lorsqu’il plaide pour une cybersécurité conjointe entre pays membres de l’OTAN. Mais lorsqu’il suggère de forger un « bouclier cybernétique » à l’image du bouclier anti-missile ou de concevoir un « filet de sécurité » autour des réseaux de l’Alliance, il fonce tout droit dans l’ineptie… ou dans le marketing.

Cette approche chaudement inspirée de la guerre froide et de la dissuasion nucléaire n’a strictement aucun sens dans l’univers « pluri-connecté » et multi-dimensionnel des réseaux. En fait, elle est le pur produit d’une huile stratégique certainement calée en matière de défense mais embourbée dans sa zone de confort intellectuel lorsqu’il s’agit de cyberdéfense.

Quelle forme prendrait ce bouclier cybernétique ou ce filet de cybersécurité ? Consisterait-t-il à isoler les réseaux informatiques – toutefois interconnectés – des pays membres de l’OTAN ? S’agit-il d’un pare-feu particulièrement original ou d’une version atlantique de la « cybemuraille de Chine » censée protéger les réseaux OTAN des maléfices du Net ? Les réseaux civils hautement stratégiques (eau, électricité, gaz, carburants, télécommunications, urgences, transports, finance, médias, industries) sont-il également concernés ?

Le blog ami CIDRIS-Cyberwarfare fait valoir à juste titre ceci : « bien que moyennement capable de protéger nos propres réseaux, il faudrait encore s’interconnecter le plus possible. Comme cela, on est certain de faire encore plus de dégâts. Rappelons que la chaine n’est jamais plus solide que son maillon le plus faible ! »

Qu’en sera-t-il des failles critiques inhérentes aux machines et aux applications interconnectant les réseaux OTAN et les alimentant en données ? Un méchant effet domino (accidentel ou volontaire) et tout s’écroule. Le No 2 du Pentagone a certainement connaissance du cyber-espionnage faisant fureur au sein même de l’OTAN grâce à la nécéssaire introduction / exploitation de vulnérabilités dans les architectures informatiques alliées : troyens, backdoors, botnets, rootkits, etc. L’usage massif des réseaux numériques a prodigué une extraordinaire santé au renseignement entre alliés. Par ailleurs, les membres de l’Alliance pourront-ils tranquillement cyber-espionner d’autres nations sans se faire « e…der par ce truc », pour peu qu’il soit une quelconque faisabilité / utilité ?

Le bouclier cybernétique et le filet de cybersécurité relèvent du fantasme trop souvent répandu d’une défense automatisée en ligne. Or, une cyberdéfense automatique offre la possibilité à un intrus / un attaquant de tester indéfiniment ses modes opératoires et de trouver tôt ou tard une sournoiserie aussi furtive qu’efficace. D’une certaine façon, le hacking s’apparente plus à du judo ou à de l’aïkido qu’à du karaté ou à de la boxe thaï : utiliser la force ou détourner l’intelligence de l’adversaire pour le mettre au tapis. La preuve par les fameuses failles Zero Day dont l’existence n’est connue qu’après exploitation par des esprits malveillants.

Alléchés, tous les hackers en uniforme et tous les geek curieux se feront les dents sur cette « cybermuraille atlantique » jusqu’à l’inéluctable découverte d’une ou de plusieurs vulnérabilités. Pare-feux, antivirus, détecteurs de malwares n’ont point fait preuve de leur efficacité contre de savantes intrusions et attaques en ligne. Idem pour la cybermuraille de Chine. En effet, sur le champ de bataille numérique, l’Empire du Milieu est autant un agresseur qu’une victime… parmi tant d’autres.

Compte tenu des lois de la physique et de l’électronique, le seul réseau invulnérable est celui dans lequel aucune donnée ne circule. Les réseaux OTAN devront nécessairement échanger avec « ceux extérieurs » et donc abaisser peu ou prou leur bouclier tel l’Enterprise ouvrant ses défenses électromagnétiques afin de communiquer avec un vaisseau klingon ou romulien. Refuseront-ils les connexions même sécurisées avec les réseaux civils et avec les camarades russe, chinois, indien, pakistanais, brésilien, égyptien, sud-africain, israélien et saoudien ? Et si un petit malin dissimulait un code venimeux dans une connexion cryptée ?

Le blog allié Mon Blog Défense faisait récemment part de la ruée vers l’or cybersécuritaire. Mr Lynn aurait-il aperçu outre-Atlantique une aubaine pour quelque produit made by Raytheon ? Personnellement, je conseille vivement au No 2 du Pentagone d’acquérir  cet ouvrage et d’offrir plusieurs exemplaires à ses homologues européens

Charles Bwele, Électrosphère