Les risques économiques et militaires liés aux usages des télécommunications et de l’internet sont devenus une préoccupation centrale pour les responsables d’entreprises, les dirigeants politiques et leurs administrations. Il n’est pas abusif d’affirmer que la cybersurveillance et les tentatives d’intrusion malveillantes font désormais partie de la vie quotidienne. Certaines affaires ont particulièrement fait figure d’électrochoc.

Quelques exemples emblématiques… parmi tant d’autres :

2010 :

Pendant plusieurs mois, une attaque informatique permet à ses auteurs de piller les réseaux des laboratoires de recherche de Turbomeca – leader mondial de la turbine d’hélicoptère – et filiale du groupe français Safran (aéronautique, défense, sécurité). Des données concernant les systèmes d’hélices et transferts de charge ont été dérobées, les intrus s’intéressant aussi aux documents financiers de Safran, liés au coût des programmes en cours et à la facturation des matériels rendus.

2011 :

Le ministère français des finances constate que des pirates ont infiltré son système informatique et ont aménagé des « portes dérobées » leur permettant d’y revenir. Cent cinquante ordinateurs ont été infiltrés : en envoyant des courriels précis, les pirates ont convaincu les fonctionnaires de télécharger une pièce jointe présentée comme un document de travail, mais contenant un logiciel espion, dès lors installé sur les postes de travail…

2014 :

Orange est à son tour victime d’une intrusion informatique aboutissant au vol de données de plus de 1,3 million de personnes. Les pirates ont capté les noms, prénoms et courriels des clients concernés. Les numéros de téléphones fixes et mobiles, la date de naissance de certains ont aussi été subtilisés.

Le but des hackers est ensuite de procéder à des attaques de « phishing », c’est-à-dire à récupérer codes d’accès, mots de passe, coordonnées bancaires, par l’intermédiaire de courriels censés provenir par exemple d’un opérateur, d’une banque, du Trésor public…

Au 10 juillet de la même année, le gouvernement allemand annonçait l’expulsion du chef des services secrets américains pour l’Allemagne, à la suite d’une nouvelle affaire d’espionnage. Le climat avait commencé à se détériorer entre les deux pays avec les informations rendues publiques en 2013 par l’ancien analyste de la National Security Agence (NSA) américaine, Edward Snowden : celles-ci montraient que l’agence américaine avait implanté de nombreux centres d’écoute en Allemagne et dans d’autres pays européens, captant ainsi des millions de données. L’hebdomadaire Der Spiegel révélait alors que la NSA avait mis sur écoute depuis des années le téléphone portable d’Angela Merkel…

2015 :

TV5 Monde est visé par une cyberattaque sans précédent dans l’histoire de la télévision. Tous les supports du groupe (site web, chaînes TV, réseaux sociaux) sont affectés. Un écran noir s’affiche sur les 11 chaînes TV, les programmes de reprendront que 8 heures plus tard. Les pirates se revendiquent de l’Etat islamique, mais la piste de hackers russes sera aussi évoquée, sans certitude…

Rappelons qu’entre le 10 et le 15 janvier 2015, 19 000 cyberattaques environ ont été recensées en France, émanant très majoritairement de réseaux djihadistes.

Google, Boeing, Visa, Symantec… les exemples d’entreprises touchées ces dernières années se multiplient. Sony a subi des attaques répétées et perdu les données de 100 millions d’utilisateurs. Plus impressionnant encore : RSA, une entreprise spécialisée en… cybersécurité, a perdu des données concernant notamment son système de protection des identifications en ligne. Les entreprises de défense américaine Lockheed Martin, L-3 Communications et Northrop Grumman, qui utilisaient RSA pour leur protection informatique, ont été à leur tour attaquées grâce aux données obtenues lors de la première offensive.

Menaces sur les entreprises :

Dans le cas des entreprises, la séquence souvent observée des cyberattaques commence par l’examen de l’organigramme interne et des habitudes des salariés. Les menaces ne proviennent pas seulement d’organisations criminelles, elles émanent fréquemment d’autres Etats, de sociétés commerciales, entités concurrentes qui dissimulent leurs traces. Les attaques massives restent minoritaires et tendent plutôt à se raréfier, alors que les agressions précises et ciblées se sont multipliées. La prévention s’est compliquée avec la diffusion des ordinateurs portables et Smartphones : de nombreux salariés souhaitent pouvoir accéder à leur réseau professionnel par l’intermédiaire de ces appareils, souvent mal sécurisés. La fréquentation des réseaux sociaux amplifie ce type de difficultés : ils permettent de mieux connaître les personnes – notamment de savoir quand elles partent en voyage – puis de leur expédier des courriels très personnalisés, de façon à diversifier les possibilités de dissémination des virus. La seule parade vraiment efficace, mais impossible à mettre en œuvre, serait de limiter l’accès à l’internet à quelques sites autorisés et d’interdire l’usage des téléphones portables.

Le centre français d’analyse stratégique distingue 4 types d’attaques parmi les plus fréquentes :

  1. Le déni de service : saturation d’un réseau ou d’un service par l’envoi massif de requêtes.
  2. Le piégeage de logiciels : utilisation de programmes malveillants pour infecter un système d’information.
  3. Les techniques d’ « ingénierie sociale » : acquisition d’informations par usurpation d’identité.
  4. Les logiciels malveillants : acquisition des données avec demande de rançon pour les récupérer.

Puissance américaine :

Dans les années 1990, le gouvernement des Etats-Unis a créé un organisme baptisé « Advocacy Center ». Chaque année, il sélectionne une centaine de contrats internationaux en cours de négociation, et collabore avec les entreprises américaines concernées pour les aider à remporter ces contrats par tous les moyens – y compris l’intelligence économique. Le centre est en relation étroite avec les agences de renseignement, la stratégie américaine est unique : grâce à leurs moyens techniques et financiers, ils sont les seuls à pouvoir pratiquer le « chalutage » : ils ramassent en vrac d’énormes masses de données, ils stockent tout, puis ils font le tri et retrouvent ce qui les intéresse.

Les spécialistes qui se battent jour après jour pour empêcher le piratage des entreprises françaises dressent un tableau spectaculaire de la puissance américaine. Nicolas Ruff, expert en cybersécurité dans le groupe aéronautique EADS, explique que la capacité de surveillance de le Toile par les Etats-Unis fait partie intégrante de l’infrastructure du réseau Internet. Sur la douzaine d’opérateur de télécommunication dits « de premier rang », qui constituent la colonne vertébrale du réseau physique de câbles et de relais, huit sont américains – dont les géants AT & T, Verizon, Sprint, Level3.

Même chose pour les organismes et les sociétés gérant le système mondial des adresses Internet, comme l’association ICANN, et son sous-traitant privé, VeriSign. Les Etats-Unis surveillent donc le réseau de façon très officielle : pour que tout fonctionne correctement, il faut assurer le monitoring du trafic, c’est un impératif technique. Les opérateurs américains n’ont pas besoin de se cacher pour surveiller, puisque cela fait partie de leur mission.

En outre, Verizon, Level3 et d’autres Américains comme Colt possèdent aussi des filiales en Europe, qui gèrent une partie du trafic local. Il est difficile de connaître l’itinéraire exact d’un paquet de données, car la plupart des compagnies sont liées par des accords de peering (« échange de trafic ») très opaques.

Les Etats-Unis contrôlent aussi en partie les communications Internet sécurisées des autres pays, notamment les transactions financières chiffrées. A chaque connexion sur un site Web sécurisé, le système vérifie que ses certificats de sécurité sont toujours valides – et là encore, la majorité des certificats sont délivrés et gérés par des sociétés ou des organismes américains. Le feu vert autorisant une transaction franco-française est donc souvent donné par un serveur américain.

Militarisation du cyberespace :

Les cyberattaques ont mis en évidence les efforts entrepris par un grand nombre d’entreprises et d’Etats afin de dérober les secrets et la propriété intellectuelle des ennemis et concurrents mais aussi, bien souvent, ceux des partenaires et alliés. En matière d’espionnage scientifique et économique, il n’existe pas d’amis ni d’alliés… Tandis que les autorités civiles incitent fortement les principaux acteurs économiques à adopter des mesures de protection draconiennes, des stratégies militaires sont élaborées en vue de la protection des intérêts vitaux des nations. Inquiets de la fragilité de leurs réseaux électriques, certains responsables militaires américains n’hésitent pas à envisager le pire, tel le général James Cartwright, ancien chef d’état major adjoint des armées, évoquant le risque de voir une cyberattaque s’en prendre au réseau de tout un pays.

La militarisation du cyberespace ne fait désormais plus question : toutes les grandes puissances ont élaboré et mis à jour une stratégie nationale de cyberdéfense comportant aussi une dimension offensive. Selon une enquête du Center for Strategic and International Studies (C.S.I.S.) de Washington, pas moins de 35 pays développent une doctrine militaire visant à affronter une cyberguerre. Même si la maîtrise de ses effets est loin d’être assurée – impossible de garantir qu’un virus envoyé sur une cible militaire ne migre pas vers un hôpital – l’arme informatique a pris sa place parmi les autres armes d’appui, au même titre que l’artillerie, par exemple. Les concepts habituels de la guerre – dissuasion, défense, attaque – ne peuvent toutefois être mécaniquement transposés au cyberspace. La difficulté de savoir à qui attribuer les attaques constitue une limite importante : on sait, par exemple, repérer des signatures (de groupes de hackers, ou de services étrangers) mais la certitude qu’un tiers ne se soit pas interposé n’est jamais acquise.

France : des services de renseignement très actifs

Si les révélations sur le programme d’espionnage américain Prism ont suscité de fortes indignations en Europe, les protestations françaises ont été plutôt rares et discrètes : les autorités françaises étaient déjà au courant, et couvrent, voire encouragent, des pratiques largement similaires. La Direction générale de la sécurité extérieure collecte systématiquement les signaux électromagnétiques émis par les ordinateurs ou téléphones en France, ainsi que les flux entre les Français et l’étranger : la totalité des communications sont espionnées. L’ensemble des mails, SMS, relevés d’appels téléphoniques, accès à Facebook et Twitter, sont ensuite stockés pendant plusieurs années. Les six autres services de renseignement peuvent y puiser quotidiennement les informations qui les intéressent, dans une totale discrétion, en marge de la légalité et hors de tout contrôle sérieux. Les responsables politiques de tous bords ne l’ignorent pas, mais le maintien du secret constitue la règle. L’existence de ce dispositif transparaît toutefois dans les travaux et rapports des députés et sénateurs de la délégation parlementaire au renseignement (rapport du 30 avril 2013).

Les services de renseignement s’intéressent au moins autant au contenant des messages (savoir qui parle à qui) qu’à leur contenu (ce que disent les personnes). La DGSE collecte les relevés téléphoniques de millions d’abonnés – l’identifiant des appelants et des appels, le lieu, la date, la durée, le poids du message. Même chose pour les mails (avec possibilité de lire l’objet du courrier), les SMS, les fax… Et toute l’activité Internet, qui passe par Google, Facebook, Microsoft, Apple, Yahoo!… Ces métadonnées permettent de dessiner d’immenses graphes de liaisons entre personnes à partir de leur activité numérique, depuis des années. A charge ensuite pour les services de renseignement, lorsqu’un groupe intéressant a été identifié, d’utiliser des techniques plus intrusives, comme les écoutes ou les filatures.

Si les interceptions de sécurité font l’objet d’un encadrement légal en France, tel n’est pas le cas du stockage des données : un flou juridique dont s’accommodent la plupart des responsables.

Bibliographie :

« Diplomatie » n° spécial OCTOBRE – NOVEMBRE 2014.

LesEchos.fr – LeFigaro.fr – Le Monde 18 et 19 décembre 2011.