Comme le disaient certains parlementaires danois avant-guerre, de manière générale, il est difficile de faire des prédictions – en particulier concernant le futur. Si l’on s’était aventuré en 1919 à faire des prédictions sur la manière de faire la guerre en 1949, peut-être n’aurait t-on pas imaginé, entre autre, la grande vulnérabilité des destroyers et la place désormais irremplaçable des porte-avions (identifié par un exercice militaire prophétique réalisé en 1932 par les américains sur leur base de Pearl Harbor) ; l’irruption des fusées et des missiles modernes entre 1926 et 1942 ; le développement de l’ordinateur Colossus en 1944 pour initialement casser le chiffrement des communications allemandes ; et enfin l’irruption du feu nucléaire en 1945, évoqué dès 1924 par Winston Churchill dans un discours où il envisageait son usage dans une éventuelle grande guerre future.
…Mais qui avait inspiré Churchill, et avait été le premier à inventer cette expression terrible, celle de la « bombe atomique » ? Non pas un militaire ou un scientifique, mais un auteur de fiction : H.G. Wells, dans un roman de 1913. Et les auteurs d’anticipation peuvent se révéler au moins aussi utiles que les analystes de sécurités sur les questions de cyberdéfense – c’est en tout cas ce qu’écrivait Martin Libicki, un chercheur important de la RAND Corp., en évoquant en 1995 l’univers du « hacker warfare ». L’auteur de ces lignes s’est d’ailleurs risqué à l’exercice, publiant il y a 12 ans un roman commencé en 1996, et imaginant 20 ans plus tard un cyber-conflit entre la Chine et les Etats-Unis. Le temps a passé, et l’heure est maintenant venu de faire un plus grand saut en avant : direction 2049 !
Par Guy-philippe Goldstein
Le monde industrialisé en 2049
Plantons le décor. Notre humanité a peut-être atteint, ou tangente de près désormais, le point de « singularité » imaginé par Ray Kurzweil : une expansion en accélération constante de solutions nouvelles, distribuées à un nombre toujours plus large d’être humains. A l’origine de cette accélération, la maitrise toujours plus forte par l’homme de la plus grande force de la Nature, plus puissante que l’énergie et la matière : l’information. Depuis Colossus, et peut-être même avant, cette maîtrise suit une fonction de puissance qui s’enfuit toujours plus verticalement vers l’infini. Cela se traduit par une croissance mature des puissances de calcul quantique, irriguant la matière d’information à des latences bien plus faibles et des débits bien plus importants en magnitudes que l’antédiluvien protocole 5G autour duquel tant d’acteurs s’émerveillaient au début des années 2020, il y a presque 30 ans. Le coût unitaire des robots industriels avait déjà percé le plancher des $5000/unité il y a moins de 20 ans, à l’instar des ordinateurs au tournant des années 1970/80. Les robots sont désormais partout, sous toutes les formes et les tailles – volant, nageant, marchant ou rampant – et dépassant de plusieurs facteurs le nombre d’être humains sur terre. L’économie elle-même s’est totalement adaptée à l’organisation en réseaux, composées de petites unités de décideurs humains. Ceux-ci disposent d’innombrables agents artificiels à leurs dispositions. Leurs décisions sont optimisées via des simulations ou « digital twins » – qu’il s’agisse de systèmes industriels ou bien organisationnels, lorsque l’on y ajoute procédures & comportements humains, désormais bien anticipés. Entreprises, marchés, villes ou nations : tout est modélisable et simulé. L’incertitude existe toujours. Elle est juste repoussée un peu plus loin dans le temps. Grâce à la révolution de la simulation, les impacts économiques ou écologiques, les externalités positives ou négatives, sont, eux, beaucoup mieux évalués et donc pris en compte. Les temps moyenâgeux d’il y a plus de vingt ans, quand régnait encore la pensée de court-terme ou la superstition des idéologies, semblent lointain. Les problèmes demeurent : le système-monde reste potentiellement chaotique, en raison des chocs technologiques en vague se succédant toujours plus rapidement, ainsi que du réchauffement climatique et de la dilapidation irréfléchie de nombreuses matières premières – ce leg terrible de la génération du baby-boom désormais appelée « le temps des hommes-sauterelles ». Mais les stratégies de résilience ont fini par triompher après les chocs terribles des années 2010 – 2020. L’état de droit et la stabilité internationale ont fini par reprendre le dessus… en tout cas, dans ce monde-là. D’autres alternatives sont possibles, et certains chemins seront même tragiques pour notre espèce. Notre machine à descendre le temps se limitera, pour ce voyage-ci, qu’à un seul univers – par choix, ni le plus irénique, ni le plus dramatique. Une certitude, néanmoins : quels que soient les scénarii, la décennie 2020 sera le moment d’une mise à l’épreuve sans précédent pour notre humanité.
Les comportements cyber en 2049
La proximité entre multitudes robotiques et êtres humains, vivant côte-à-côte, a amplifié de manière considérable le risque cyber-physique – la capacité à créer un choc physique démarrant par un incident dans le cyberespace. Les premiers accidents mortels ont immédiatement agité les différents parlements nationaux, rappelant les réactions du Congrès américain en 2015 après les prises de contrôle à distance de voitures Jeep Cherokee. Résultat : la cyber-hygiène est devenue omniprésente. La sécurité civile de chaque pays diffuse des alertes fréquentes pour la mise à jour des systèmes. Des exercices nationaux sont effectués tous les trois à quatre mois. Chaque citoyen en âge de programmer devient réserviste et entreprend chaque année un service national digital de 36 heures. Démarrer une interaction avec une machine nécessite ces gestes de cybersécurité du quotidien aussi fondamentaux que mettre sa ceinture de sécurité ou se laver les mains après les toilettes – un geste pourtant encore évité par 4/5ième de la population humaine il y a une génération. C’est dire si l’effort a été considérable. Mais il était inévitable, dans un monde où l’usage des robots a pu sembler aussi mortellement dangereux que la pratique de prendre l’avion.
Cela réduit mais ne supprime pas la menace. Comme l’imaginait déjà l’un des directeurs de la sécurité informatique de Siemens en 2011, « air-gap », la sécurité par déconnection totale des objets du cyberespace, est impossible. Il y a trop de capteurs désormais. Il y a aussi trop de drones ou de nano-drones. Armés de micro-imprimantes 3D portables, travaillant en essaim hiérarchisé, ces machines autonomes peuvent se faufiler partout et ouvrir toutes les portes. Ils peuvent dès lors tout capter, et même se brancher sur des entrées informatiques. Ce qu’envisageait des chercheurs de l’University Ben Gurion en 2018 est depuis longtemps une réalité. Pire : les moteurs artificiels de personnalité peuvent récréer des faux profiles vidéo pouvant parfaitement passer le test de Turing, et capable de poursuivre l’échange de manière autonome avec vous sur l’ensemble de vos réseaux sociaux sans que l’on puisse savoir si l’interlocuteur est humain ou artificiel. Bref : la confiance implicite, celle que l’on accordait simplement en écoutant la voix d’une personne au téléphone, ou en regardant une personne en vidéo, n’existe plus. Tous ces « signaux » peuvent être parfaitement imités. Aujourd’hui, en 2049, la confiance ne peut-être qu’explicite : L’authentification ne se fait qu’avec l’approbation indépendante de tiers de confiance automatisés, qui renvoient leur accord via votre média préféré (portable, montre, lentilles ou prothèses neuronales connectées) au moment du contact. Cette salutation, ce « cyber handshake » comme on le dit dans l’Union Indienne, l’un des pays phares de l’industrie de l’authentification, est devenue un acte de chaque instant, réappris à chaque tour de service national cyber.
Notre monde sous tension
Dans certains coins du monde, ces pratiques sont critiquées : à quoi sert un service national cyber tous les quatre mois quand la mise à jour des systèmes devient impérative dans les heures, les minutes – certains disent les secondes – après l’identification d’une faille ? Quatre mois constituent une éternité dans un monde où tout s’est accéléré par l’automatisation, y compris les capacités d’exploitation des vulnérabilités. La possibilité d’avoir dans ses systèmes des failles ayant plus de 6 mois – ce qui constituait encore 99% des cas trente ans plus tôt – serait proprement ahurissant en 2049. Les impacts en cyberdéfense sont tout aussi graves : la ligne de front dans le cyberespace peut évoluer de millisecondes en millisecondes. En même temps, se retrouver trop en avance dans certaines questions de défense, c’est parfois subir un coût d’opportunité par rapport à d’autres efforts plus pertinents. Comme jadis pour les startups, attaquant leur marché ou trop tôt ou trop tard, le bon tempo dans la cyberdéfense est devenu l’une des grandes questions de sécurité.
Ultime problème : il y a désormais trop de capteurs et trop d’information pour pouvoir protéger son identité ou même ses données sensibles. En réaction, dans le courant des années 2020, une révolution tactique a eu lieu. Plutôt que de cacher ou de restreindre les données, chaque utilisateur et chaque entreprise allait produire de fausses données – ce qu’avait déjà anticipé certaines startups et même des équipes de campagne électorale dans les années 2010. Le monde a repris ce que disait Churchill un siècle plus tôt : pour se protéger, la vérité a parfois besoin d’une ceinture de mensonges. Cette explosion de la simulation, produisant de faux documents, de faux directeurs et même de fausses entités dans les mondes virtuels, permet de rétablir l’avantage à la défense. Désormais, plus un attaquant s’enfonce dans les réseaux ciblés et extrait des documents, plus il risque en réalité de perdre son temps sur de faux réseaux tout en révélant qui il est et quel est son mode d’action. L’avantage jusque-là donné à l’attaque a disparu. Il s’agit là d’une révolution de l’art de la défense comparable à celle de l’émergence des fortifications de type Vauban qui ouvrirent une ère de relative stabilité en Europe de l’Ouest entre le milieu du XVIIe et du XVIIIe siècle.
2029-2049 : notre révolution de la simulation
Cette révolution est permise grâce aux extraordinaires développement de la simulation, bénéficiant à plein de l’informatique quantique. Celle-ci est née d’un papier de recherche en 1982 de Richard Feynman qui postulait sa création pour simuler des systèmes physiques. Elle aide désormais à simuler comportements de l’individu, des organisations, des villes et des nations pensées comme systèmes de ville. Elle permet d’identifier les faiblesses techniques, humaines et organisationnelles des systèmes de défense du niveau micro à macro. Elle est donc l’outil de recherche militaire par excellence. Elle permet aussi de simuler de manière ultra précise des modèles types d’entreprises, que Gartner appelle depuis le début des années 2040 les « entreprises synthétiques ». Celles-ci sont autant d’étalon-mètre pour tester et comparer de manière enfin scientifique procédures ou fournisseurs de cybersécurité via tout un ensemble de chocs et crises. Il s’agit de l’outil fondamental des grandes plateformes de cybersécurité – ces nouveaux géants qui ont fini par racheter les compagnies d’assurance qui n’avaient ni l’accès aux données ni les bonnes approches méthodologiques pour évaluer le risque cyber, devenu pourtant le plus important de notre monde industriel cyber-robotisé. En créant les « entreprises synthétiques » ; en développant un langage standard et automatisé des impacts cyber, descendant des tentatives du DHS américain trente ans plus tôt ; et en distribuant les premiers des alertes de mise à jour universel à la milliseconde près, les grandes plateformes de cybersécurité ont fini par s’imposer et dominer le marché de la cybersécurité – une situation compétitive impensable dans une industrie totalement éclatée trente ans plus tôt. Les « entreprises synthétiques » de ces plateformes permettent même d’identifier par comparaison de signaux la totalité des actifs connectés aux réseaux d’entreprises – une tâche impossible trente ans plus tôt. Mais il y a mieux encore. Ces « CyberMega », comme on le dit en Inde, désormais la 2e puissance mondiale, possèdent un atout maitre : la capacité à coopérer avec n’importe quel acteur, aider à identifier une faille, évaluer l’impact économique via le catalogue d’ « entreprises synthétiques », et en déduire un prix de vente pour la procédure de remédiation face à la faille – tout en redistribuant une partie de la valeur crée avec l’acteur qui avait été le premier la victime de la faille. Cette innovation économique renverse toute la réflexion sur l’appétence au risque cyber. Désormais, les entreprises y voient une source de gains autant qu’un problème de coût – reprenant pour leur compte l’approche d’un pays tel qu’Israel dans les années 2010, qui avait eu pour stratégie de transformer une exposition naturellement plus forte en opportunité pour créer une industrie d’exportation de services de cybersécurité.
Entre CyberMégas et Capacités « Galactica »
Les grandes puissances continentales au cœur des relations internationales – Inde, Chine, Etats-Unis et dans une moindre mesure, Union Européenne – contrôlent directement ou indirectement un ou plusieurs « CyberMegas », dont le rôle dual civil-militaire est évident – bien plus que ne l’étaient les « GAFAs » au temps de leur splendeur, dans les années 2010-2020, avant leur déclin relatif. Les « CyberMégas » sont utilisés jusque dans les exercices du service national cyber. Ceux-ci pulsent la vie de l’entreprise, quel que soit sa taille ou sa structure. Les entreprises, gérant des infrastructures ‘stratégiques’ ou non, sont à la cyberdéfense ce que la plaine, ou le pont stratégique, étaient à l’affrontement militaire à l’âge préindustriel : à la fois le champ de bataille et un enjeu de contrôle. Et comme n’importe quelle unité militaire, l’entreprise effectue des exercices d’entrainement à tous ses niveaux hiérarchiques – un comportement acquis dès la fin des années 2020, et dont les résultats sont désormais intégrés dans les notes d’évaluation financière.
A côté de ses innovations technologiques et économiques, puisant au meilleur de l’informatique quantique et de l’intelligence artificielle au service de la simulation, il y a le développement des capacités « alternatives », moins efficientes mais peu sensibles aux chocs cyber. Elles contiennent des technologies initialement plus vieilles ou différentes. Au début des années 2020, on commençait à parler de capacités « Galactica », du nom du vaisseau « Battlestar Galactica » qui dans la série TV des années 1970, et son remake en 2001, avait résisté à la prise de contrôle par les robots Cylon car le Battlestar Galactica, lui, n’était pas ‘connecté’. Les capacités « Galactica » avaient connu leur vrai essor quand des sénateurs américains en 2019 avaient demandé à ce que les opérateurs de la production et de la distribution électrique installent de plus vieux systèmes électromécaniques opérés manuellement qui doublent les systèmes de contrôle digitaux. C’est comme cela qu’en Ukraine, en 2015, l’électricité avait pu être rétabli rapidement après une attaque russe qui avait interrompu la distribution d’électricité dans une partie de l’ouest du pays. Trente ans plus tard, l’irruption des essaims robotiques a minimisé l’intérêt de la protection par manœuvres manuelles. Néanmoins, l’idée de « capacités alternatives », le terme désormais retenu en 2049, a donné naissance à une industrie très créative de systèmes originaux, utilisant soient des vieilles technologies informatiques, soient créant des technologies de commande et contrôle utilisant un bric-à-brac de standards ou des méthodes uniques et permettant la remise en route rapide des machines. Deux vieux outils restent cependant utilisés en période de crise, qui renvoient au concept des capacités « Galactica » : le papier et le stylo. Leur production ne s’est jamais arrêtée, étant désormais considérés comme « systèmes stratégiques pour crise cyber ». Leur usage est testé de manière minutieuse lors des exercices cyber nationaux ou en entreprise.
Même en 2049, la plume demeure sinon plus forte que l’épée, du moins aussi nécessaire que l’épée – même si l’épée est une arme quantique de déchiffrement, et la plume un simple stylo à encre.