Pensée comme un affrontement permanent, la conflictualité dans le cyberespace recompose les formes de rivalités et le jeu des acteurs à de multiples échelles comme le montre Stéphane Taillat.
Nouveau terrain de conflits potentiels, le cyberespace est devenu un territoire structuré par les rivalités et collaborations tout en voyant les acteurs privés et publics s’y multiplier. En 2018, l’ « Appel de Paris » lancé par Emmanuel Macron invite à mettre en place les structures adéquates pour un « cyberespace ouvert, sûr et stable ». Participant à la recomposition des logiques de réseaux et de territoires, les enjeux du cyberespace demeurent mal compris.
L’historien Stéphane Taillat revient sur cette question dans le cadre du thème 6 du programme de HGGSP de Terminale : « L’enjeu de la connaissance ». Il y analyse les formes de conflits et rivalités particulières au cyberespace.
Nonfiction.fr : Quelles sont les caractéristiques d’un conflit dans le cyberespace ?
Stéphane Taillat : Du fait de son expansion croissante, le cyberespace est devenu un théâtre et un enjeu de conflits, c’est-à-dire d’antagonismes politiques au sujet de sa maîtrise ou du contrôle des flux qui y circulent. Il n’y a pour le moment pas eu de conflit armé ni au sujet, ni à travers le cyberespace. Pour autant, il a été progressivement construit comme un espace opérationnel de confrontation. Les actions qui y sont menées cherchent à tirer parti de la numérisation croissante des activités économiques, sociales et politiques en s’appuyant sur l’omniprésence des vulnérabilités qui permettent de pénétrer les réseaux et les systèmes afin d’atteindre leur disponibilité et leur intégrité et de mettre à mal la confidentialité des données. Ces actions ont deux caractéristiques. D’une part, ce sont des opérations, c’est-à-dire qu’elles découlent d’une stratégie, qu’elles se planifient et qu’elles se conduisent en tenant compte de la réaction de l’adversaire et des circonstances qui peuvent entraver l’action. Ainsi, ces opérations peuvent nécessiter des ressources importantes sur les plans organisationnels, techniques ou financiers. Ce qui change est le fait que certaines au contraire nécessitent des ressources à la disposition d’un plus grand nombre d’acteurs, étatiques ou non. La seconde caractéristique de ces actions concerne l’ambiguïté qui les entoure : ambiguïté sur l’identité et les intentions de l’attaquant, imprévisibilité des effets qui vont découler de l’action, incertitude quant à la réaction de la victime, etc. C’est la raison pour laquelle nombre de ces opérations entrent dans la catégorie des actions clandestines, c’est-à-dire destinées à masquer l’origine de l’attaque, comme l’espionnage, les opérations d’influence, les actions de sabotage. Par conséquent, si on a souvent dit que l’attaquant avait un avantage dans le cyberespace, il est nécessaire de le relativiser car on peut commettre des erreurs, produire des effets indésirables et sous-estimer la détermination de la victime à identifier l’agresseur et à y répondre. La doctrine américaine du Cyber Command et du département de la Défense qualifie ainsi la conflictualité dans le cyberespace comme un affrontement permanent nécessitant persévérance et détermination.
Le cyberespace crée des rivalités entre une multitude d’acteurs. Pourriez-vous présenter quelques acteurs caractéristiques du cyberespace et la façon dont ils pratiquent ce territoire ?
Le cyberespace est apparemment paradoxal. Il est très ouvert, ce qui explique le nombre important d’acteurs qui y ont des enjeux et cela à de multiples échelles. Il peut s’agir des États pour qui l’important est d’exercer tout ou partie de leur souveraineté sur cet espace (selon la manière dont ils conçoivent la souveraineté d’ailleurs). Mais il peut aussi s’agir des entreprises, allant des géants du Net (les GAFAM) jusqu’aux petites entreprises qui s’appuient sur les réseaux numériques. Enfin, il peut aussi s’agir d’individus ou de groupes d’individus qui cherchent à maximiser la portée que leur donnent les réseaux sociaux ou Internet, ou inversement qui ont besoin de se protéger des criminels. Cet espace a donc donné davantage d’autonomie aux acteurs non-étatiques. Mais le cyberespace n’est pas pour autant un espace lisse où chacun disposerait des mêmes ressources. Il est bien un espace de pouvoir où certains acteurs contrôlent les nœuds et les ressources clés des réseaux et des systèmes. On assiste donc à une démultiplication des pratiques qui visent à s’approprier le cyberespace, et donc à la persistance ou à l’émergence de situations conflictuelles. Si l’on prend par exemple l’échelle des individus, on trouve la lutte contre la fraude, la « bataille » des données personnelles, la « guerre du chiffrement » entre agences gouvernementales de sécurité et défenseur de la vie privée, les rivalités entre gouvernements et médias sociaux au sujet de la régulation des contenus, etc.
Dans quelle mesure les rivalités interétatiques se répercutent-elles dans le cyberespace ?
Confrontés à l’essor du cyberespace, les États semblent vouloir y affermir leur contrôle. Classiquement, il s’agit de se prémunir des attaques – même minimes – que leurs adversaires et leurs rivaux pourraient tenter d’exercer sur leurs intérêts. Il faut noter à ce sujet qu’il n’existe pas réellement de consensus entre les gouvernements au sujet de ce que représente une atteinte à leur souveraineté dans le cyberespace. Néanmoins, on observe depuis le début de la décennie 2010 une tendance croissante à considérer le cyberespace non plus seulement comme un espace opérationnel, le « cinquième domaine de la guerre » (après la terre, la mer, l’air et l’espace), mais aussi comme un espace de rivalités géopolitiques. S’y répercutent donc les rivalités croissantes entre les puissances à l’échelle régionale comme à l’échelle internationale. Par conséquent, le cyberespace a été progressivement érigé comme un espace à sécuriser au plus haut niveau des intérêts d’un État : la sécurité nationale. Sur le plan offensif, de plus en plus de gouvernements considèrent nécessaire de maximiser l’opportunité que leur donne l’essor du cyberespace pour tenter de modifier les rapports de forces avec leurs partenaires, rivaux ou adversaires. Sur le plan défensif toutefois, les différences dans les représentations du cyberespace conduisent à ne pas insister sur le même type de menaces. Pour certains, comme la Chine et la Russie, on parle d’espace informationnel où il convient de se prémunir contre les risques qu’un réseau ouvert ferait courir au « consensus social », c’est-à-dire au contrôle que les régimes politiques exercent (ou tentent d’exercer) sur leur société. Pour d’autres, comme les États européens ou les Etats-Unis, on parle d’un espace caractérisé par son rôle crucial dans les infrastructures critiques ou d’importance vitale (énergie, transports, banques et, plus récemment, systèmes électoraux). Les acteurs militaires et sécuritaires de ces Etats ont eu tendance à transposer sur le cyberespace une grille de lecture hérité de la guerre froide, dans laquelle il importe de dissuader les attaques majeures contre les intérêts vitaux par une menace de représailles sur les intérêts vitaux du potentiel agresseur. Or, ce type d’agression n’a jamais eu lieu, au contraire de toutes les opérations d’espionnage ou d’influence qui sont restées sous le seuil du recours à la force et qui par conséquent ont rendu difficile une réponse claire et légitime de la part de la victime. Ce décalage est une des explications de la difficulté à concevoir des normes de comportement responsable qui pourraient être adoptées par la plupart des gouvernements. Le risque est donc l’émergence d’une conflictualité numérique où les uns et les autres mèneraient des actions qui, de leur point de vue, apparaîtraient comme justifiées mais qui en réalité augmenteraient les tensions et les risques d’escalade.
Les cyberattaques ont fortement augmenté ou sont en tout cas davantage évoquées. Auriez-vous un exemple symbolique de cette menace ?
Les cyberattaques de tout type et à toute échelle ont effectivement connu une augmentation dans la dernière décennie. Cela s’explique par l’augmentation des opportunités découlant de l’accroissement de la surface d’attaque. Les chiffres varient mais ils masquent tous une distinction fondamentale entre l’immense majorité des cyberattaques indiscriminées et le tout petit nombre d’opérations très sophistiquées menées par des gouvernements. Les premières peuvent avoir un effet cumulatif non négligeable (le coût de la cybercriminalité par exemple) mais, du point de vue des États, elles demeurent plutôt une nuisance. Les secondes sont plus inquiétantes pour les gouvernements mais leurs effets directs semblent témoigner d’une attitude générale à la retenue. Dit autrement, les discours catastrophistes du début de la décennie 2010 sur les risques d’attaques majeures et dévastatrices se sont avérés inexacts, tout en permettant effectivement d’élever le niveau des enjeux de sécurité relatifs au cyberespace. Pourtant, on observe également une tendance de certains acteurs gouvernementaux, ou liés à des gouvernements (sans que l’on puisse dire exactement quelle est la nature de ce lien), à mener des actions de plus en plus risquées. Il est trop tôt pour dire si la vague de rançongiciels (attaque consistant à chiffrer les données de la cible et à lui restituer en échange d’une rançon) que l’on observe depuis deux ou trois ans – notamment aux Etats-Unis – reflète l’augmentation en compétences de groupes cybercriminels ou une campagne plus complexe menée par un acteur étatique pour contribuer à perturber la cyberdéfense américaine. En revanche, les opérations Wannacry (mai 2017) et NotPetya (juin 2017) sont peut-être le signe avant-coureur d’attaques plus dévastatrices et potentiellement menaçante pour l’équilibre international. Ces deux campagnes ont consisté en des vagues de rançongiciels qui en réalité ont détruit les données de centaines de milliers d’ordinateurs partout dans le monde. On sait que Wannacry a paralysé temporairement le système de santé britannique et mis à l’arrêt la production de Renault par exemple. NotPetya – dont le coût cumulé est estimé par les Etats-Unis à plus de 10 milliards de dollars – a détruit une part importante des ordinateurs en Ukraine, paralysé le transporteur international Maersk et mis à l’arrêt de très nombreuses chaînes de production. Ces deux opérations ont été imputées par les Etats-Unis et certains de leurs partenaires respectivement à la Corée du Nord et à la Russie. Cela reste disputé mais le plus important est ailleurs : ces attaques ont utilisé une vulnérabilité logicielle du système d’exploitation Windows développée par la National Security Agency (NSA) américaine et dérobée puis mise aux enchères par un groupe baptisé Shadow Brokers. En octobre 2016, un groupe de jeune hackers désireux de tricher sur des jeux en ligne a déployé une attaque de déni de service distribuée massive reposant sur un réseau de botnets comprenant aussi bien des ordinateurs que des objets connectés. Cette attaque a paralysé en partie l’accès à Internet sur la côte Est des Etats-Unis pendant 24 heures. Une attaque de déni de service distribuée consiste à surcharger un système de requêtes de communication et donc à le faire planter. Ce type d’opération nécessite surtout de mettre en place un réseau de « zombies », c’est-à-dire d’appareils connectés qui serviront à l’insu de leur utilisateur ou propriétaire pour envoyer ces requêtes de communication. Il s’agit donc de tactiques auxquelles peuvent avoir recours des acteurs très divers. Elles font courir un risque systémique majeur sur l’ensemble des réseaux et donc sur les activités qui en dépendent.
Au-delà des rivalités interétatiques, les États doivent faire face à des menaces communes. Sous quelles formes coopèrent-ils ?
Les États coopèrent essentiellement à travers deux logiques. La première est celle des alliances et organisations de sécurité traditionnelles (OTAN, Union Européenne, Organisation de Coopération de Shanghai, etc.). Dans ce cadre, les gouvernements travaillent à mieux coordonner les outils qui leur permettent de prévenir toute intrusion, de répondre à des incidents ou de s’entendre sur la manière de contrôler les contenus ou leur diffusion. Plus rarement s’engagent-ils à mettre à disposition leurs outils offensifs dans la coopération avec leurs partenaires. La seconde logique est l’établissement de normes de comportement responsable. Depuis le début du siècle, le processus des experts gouvernementaux de l’ONU (UN GGE) est au cœur de ce mécanisme. Il s’adresse cependant exclusivement à des États. Par ailleurs, après un consensus atteint en 2013 et 2015 – notamment sur le fait que le droit international s’applique bien dans le cyberespace – les négociations ont achoppé en 2017 en raison de désaccords sur la manière dont il doit être appliqué (surtout par rapport au droit de légitime défense qu’ont les États au titre de l’article 51 de la Charte de l’ONU). Depuis l’été et l’automne 2019, deux processus concurrents ont vu le jour sous l’égide de l’ONU : la poursuite du GGE sous pilotage des Etats-Unis et la création d’un « groupe de travail à composition non-limitée » (Open-Ended Working Group ou OEWG) sous pilotage russe principalement. Même si nombre de gouvernements participent aux deux processus, leurs philosophies et leurs objectifs sont très différents, notamment par rapport à l’élaboration ou non de traités et de conventions plus contraignants pour les gouvernements. Il faut noter aussi que, même posée l’hypothèse d’un accord qui réuniraient ces gouvernements, la question resterait s’agissant des autres acteurs dans le cyberespace. Certains d’entre eux (Microsoft, Siemens, Hewlett) ont ainsi proposé des initiatives en vue de réguler la conflictualité dans le cyberespace, de limiter le rôle qu’y serait susceptible de jouer le secteur privé, ou encore de mettre en place une capacité de réponse sur incident afin d’aider les victimes de cyberattaques. On le voit, ce processus de régulation du cyberespace est très fragmenté et dépend largement des rivalités entre les principales puissances. Dans un contexte où celles-ci conçoivent les relations internationales contemporaines comme un espace de plus en plus hétérogène sur le plan politique et normatif, il est difficile de dire s’il aboutira.
L’interviewé :
Agrégé et docteur en Histoire militaire et études de défense, Stéphane Taillat est Maître de conférences à l’Institut Français de Géopolitique (Paris 8) détaché aux Écoles de St-Cyr Coëtquidan. Il y co-dirige le mastère spécialisé « opérations et gestion des crises en cyberdéfense ». Chercheur au pôle « mutations des conflits » du Centre de Recherche des Ecoles de Coëtquidan (CREC) ainsi qu’au sein de l’équipe « Géopolitique de la Datasphère » (GEODE), il a publié plusieurs articles sur la conflictualité cyber dans des revues académiques (Stratégique, Contemporary Security Policy, Hérodote) et co-dirigé La cyberdéfense : politique de l’espace numérique (Armand Colin, 2018) avec Amaël Cattaruzza et Didier Danet.
