Dimensions stratégiques du cyberespace Paris Dauphine Cercle de géopolitique 24 février 2016
Le cyber est partout, donc dans le conflit Cyberespace : ensemble des machines, des outils, des codages mais aussi des informations reliées ensemble par des réseaux. Ils sont partout : nous ne pouvons plus vivre sans électricité ni voiture, de même nous ne pouvons plus vivre sans cyber Forte dimension sociale, d'interaction entre individus et collectivités De ce fait, il entre logiquement dans les rivalités et les conflictualités qui sont le propre de l'homme en société
Plan 1) Quelques cas riches d'enseignement 2) Le Rubik's cube cyberstratégique
Géorgie 2008 La prise de conscience européenne (et occidentale) date de 2007, avec l'affaire d'Estonie Pourtant, rien ne prouve que le Kremlin soit à l'origine de l'affaire Ce n'est pas le cas en 2008, lors de la guerre avec la Géorgie
Géorgie 2008 Outre la guerre classique, on note des cyberattaques menée par des hackers patriotes contre les systèmes cybernétiques des autorités géorgiennes (défacement de site, DDOS, spaming généralisé, …). Il s’agirait ainsi de la principale offensive combinée entre moyens classiques et moyens cyber dans un conflit militaire ouvert
Géorgie 2008 Mais en 2014, on apprenait que l’explosion qui s’était produite en 2008 sur l’oléoduc TBC aurait été due à une cyberagression (selon BAe). Le système de surveillance et de recopie des sondes aurait été piraté, via le système des caméras de surveillance (qui aurait permis une longue observation) : il aurait été débranché, puis on aurait déconnecté les sondes, agi sur un des connecteurs de façon à augmenter la pression interne dans le tube qui aurait finalement provoqué l'explosion Toutefois un audit du BTC prouvera en 2015 que les caméras ont été installées « après » 2008 ! Bref, cette révélation est une manipulation
Conclusion Géorgie S'il n'y a pas de cyberguerre, il est sûr que le cyber est dans la guerre Rôle d'acteurs « privés » qui agissent concomitamment aux forces militaires Rôle de la coordination opérations cyber/ opérations militaires Action sur les arrières « géoéconomiques » Rôle de la subversion. A qui profite la révélation?
Sony Picture 2014
Novembre 2014, on apprenait qu'une gigantesque masse de données de l'entreprise Sony Picture Entertainment (SPE) avait été dérobées et qu'une bonne partie avait été mise en ligne.
Sony Picture 2014 Très vite, certains affirment que l'a Corée du Nord est à l'origine de l'affaire : en effet, SPE avait produit un film caricaturant le grand leader coréen, the Interview. Il s'agirait de représailles. Or, loin d'être commis par des pirates étatiques, le vol des données de SPE serait le fait de hackers privés, probablement nord-américains voire russes, et mettant probablement en jeu un complice, ex agent de Sony qui aurait été renvoyé au début d'année. La thèse du complice interne prend corps, tout simplement parce qu'on ne pique pas des téra-octets de données en un weekend sans être parfaitement au courant de l'architecture interne de la cible. Sorte de vengeance
Sony Picture Mais ce « simple » piratage prend rapidement une tournure géopolitique : B. Obama, sur la foi d’un rapport du FBI, accuse Pyongyang. A défaut de hacking d’État, cela devient une affaire d’État. Si on n'est pas sûr de la preuve, l'accusation publique est le signe d'un calcul. Par exemple, rendre service aux alliés régionaux (Corée du sud, Japon) et mettre la pression sur la Chine qui contrôle l'accès à l'Internet coréen.
Conclusions Sony Picture Diversification des cibles, augmentation du volume des piratages mais aussi de leur niveau technique. Triple tendance très durable Une entreprise a une nationalité, qu'elle le veuille ou pas. Elle peut donc devenir un enjeu géopolitique. Lien entre cyberconflit et guerre économique Inattribution : on sait rarement avec certitude qui est l'auteur d'une cyberattaque. D'où importance de l'attribution. Cette attribution peut être tenue secrète ou rendue publique : objectif de subversion.
TV5 Monde 2015
T5 Monde 2015 Avril 2015 : T5 monde est attaqué et empêchée de diffuser pendant quelques heures Ses comptes Twitter et Facebook sont également piratés. L'agression est revendiquée par un « cybercalifat », qui se revendique de l'EI.
TV5 Monde Intervient après les attentats de janvier contre Charlie. Grosse émotion (liberté d'expression, jihadisme, État Islamique…) Agression assez évoluée (espionnage pendant assez longtemps afin d'entrer dans le logiciel de contrôle des diffusions), marque une attaque combinée et une certaine organisation. Dimension subversive évidente !
T5 Monde Certains évoquent pourtant des traces russes : cela aurait été commis par le Kremlin ? Non, phénomène probable de sous-traitance car « à qui profite le crime ? ». Mais signe une internationalisation et une privatisation des activités. Niveau assez haut (plus qu'un simple défacement ou piratage de compte ou DDOS) contre des cibles assez faibles (comme beaucoup d'entreprises).
Conclusion TV5 Monde Combinaison : espionnage, puis sabotage, en vue de la subversion à effet maximal Sous-traitance : les petits groupes peuvent devenir des acteurs stratégiques dans le cyberespace. Couplage à un conflit réel, mais confirme la maîtrise de l'EI en matière de communication et de réseau. On connaissait sa propagande, mais il est capable d'agir sur d'autres couches. Origine d'une franchise algérienne semble-t-il : cela confirme là encore les procédés jihadistes.
Centrale ukrainienne 2015
En décembre 2015, une centrale ukrainienne de l'ouest du pays (Ivano Frankivsk) tombe en panne. Il semble que des hackers soient entré dans le système de contrôle industriel (SCADA) de la centrale. De même, une attaque DDOS contre les centres d'appel aurait été déclenchée simultanément pour gêner la remise en route.
Centrale ukrainienne 2015 Le collectif « Sandworm », d'origine russe, serait à l'origine de l'attaque. Le directeur de iSIGHT pour l’analyse d’espionnage, John Hultquist, a dit à Reuters qu’il n’était pas évident que le groupe Sandworm travaille directement pour le compte du gouvernement russe. « C’est un acteur russe opérant conformément aux intérêts de l’Etat, » a dit Hultquist. « Est-il ou non freelance, nous ne le savons pas. » Le gouvernement ukrainien a quant à lui accusé le Kremlin
Centrale ukrainienne 2015 Inquiétude car « pour la première fois » (mais c'est oublier Stuxnet) on s'attaque à des systèmes industriels l'énergie Opération relativement sophistiquée et combinée (durée de préparation : six mois). Pas de revendication par l'agresseur, mais attribution par la victime
Conclusion Centrale ukrainienne Combinaison : espionnage, puis sabotage. Se couple à un conflit réel Agression dans la couche logique avec des effets concrets dans le monde quotidien Systèmes industriels : on touche aux «opérateurs d'importance vitale » (OIV) La couche sémantique est plus utilisée par la victime (le gvt ukrainien accuse) que l'agresseur Guerre de course : un groupe « autonome » mais agissant en ligne avec des objectifs d’État
Nitro Zeus 2016
o Février 2016 : on apprend que l'opération Olympic Games est plus vaste qu'attendue o Olympic Games : Affaire Stuxnet, ver envoyé contre centrale de recherche nucléaire iranienne de Natanz. ( ) o Conçu par US et ISR. Endommage les centrifugeuses pour retarder le programme nuc iranien.
Nitro Zeus 2016 Initié en En deux phases : Un ralentissement aléatoire et discret des centrifugeuses pour instiller le doute chez les ingénieurs (manœuvre psychologique) et donc ralentir de leur fait Une disruption visible pour rendre publique la sophistication de l'agression (révélée en 2010) : les US sont au niveau et prêts à lancer des actions offensives dans le cyberespace
Nitro Zeus 2016 Mais en 2016, on apprend qu'en fait, ce sont les Israéliens qui ont lancé la deuxième phase. Du coup, le ver s'est répandu et a été répliqué (rétro ingénierie) A/d 2010 les Américains ont préparé un programme beaucoup plus ambitieux qui visait à bloquer la défense aérienne, les systèmes de communication et une partie du réseau électrique de l’Iran. Implique des milliers de militaires et agents et coûte des dizaines de millions de $ Stoppée avec la signature de l'accord nucléaire l'an dernier. Plus grande opération offensive de l'histoire.
Conclusion Nitro Zeus Les grandes attaques sont le fait des grandes puissances : effet de gamme La révélation intervient une fois l'accord signé. Maîtrise de la comm, menace rétrospective Phénomène d’alliances entre puissances : pas toujours contrôlables (on ne sait pas si NZ est seulement américain) Le réseau élec iranien était visé, alors que les Américains ne cessent de dire depuis des mois qu'il s'agit de leur fragilité...
Plan 1) Quelques cas riches d'enseignement 2) Le Rubik's cube cyberstratégique
Le Rubik's cube cyberstratégique
Quelques principes Inattribution : on ne sait jamais à coup sûr qui est l'auteur d'une cyberagression. Ce flou général permet de nombreux stratagèmes Dissymétrie générale : les gros combattent les gros. Se méfier du hacker génial qui perce la CIA. Effet de gamme Mais multiplication des acteurs : l'individu est devenu un acteur stratégique.
Un rubik's cube à plein de facettes Domaine Acteur Couche Type d'agression (sophistication) Alliance Cadre espace temps Succès
Le domaine stratégique Militaire Géopolitique Géoéconomique NB : profonde intrication du cyber et de la mondialisation économique. Rend pertinente la notion de guerre économique. PRISM a d'abord des objectifs économiques
Acteurs Étatique (individuel ou collectif : OI) Collectif (entreprises, mafias, groupes terroristes ou criminels, groupes de pirates) Individuel (lanceur d'alerte ou l'individu lambda. Phénomène de coalescence) Défensif ou offensif
Les trois couches du cyberespace Couche matérielle Couche Logique (ou logicielle) Couche sémantique (ou informationnelle) La donnée n'est pas neutre. Accumulée, elle produit de l'information (Big Data). Individuellement, elle recèle une information
Types d'agression Espionnage Sabotage Subversion Souvent, combinaison (révèle la sophistication). Se méfier du discours « Cyber Pearl Harbor ». Plus c'est sophistiqué, plus on fabrique l'arme en fonction de la cible
Types d'alliances Alliances étatiques (bilatérales, multilatérales) Alliances hybrides (entre États et entreprises, États et individus, entreprises et individus) Pas d’alliance (souveraineté intégrale ou alliance générale : ne convainc pas)
Cadre espace-temps Espace : celui de la cible, celui de l'agresseur. Localisé, régional, mondial Temps : long (Stuxnet = 6 ans), moyen (Centrale ukrainienne : 6 mois) ou court (Géorgie : quelques jours) Distinguer temps de préparation et temps d'exécution. Espionnage souvent long, Sabotage souvent court.
Succès ou échec ? Dans un conflit conventionnel, l'observateur peut dire s'il y a succès, en fonction des gains de terrain ou de la destruction de l'ennemi Dans le cyberconflit, beaucoup plus difficile à apprécier. On n'observe que ce qui est rendu public. Mais cette publicité est un échec si on cherche à espionner, une réussite si on cherche à subvertir. Tout dépend donc de l'intention. Celle-ci se reconstruit souvent grâce aux mobiles envisagés. Méthode du faisceau d'indices, bien loin de la certitude technique qu'on attendrait d'un espace technique comme le cyber.
Pour conclure Le cyberespace est un nouveau champ de la conflictualité. Il s'insère avec les autres domaines (géopolitiques, militaires ou économiques) mais conserve des règles qui lui sont propres. Nous vivons une révolution anthropologique (encore à ses débuts) qui a et aura des aspects conflictuels Complexité : donc difficile à comprendre sauf à utiliser quelques grilles d'analyse Mais résilience : le choc stratégique n'a pas la même ampleur que le nucléaire
Et demain ? Big Data et machine learning. Internet des objets : ils vont se parler de plus en plus. Convergence cyber/être humain : le seuil de létalité peut être franchi.
Pour aller plus loin Généralités 2 ème édition Géopolitique Sémantique
Me suivre Blog : La Vigie, lettre bi-hebdomadaire d'analyse stratégique :