Par Vincent Joubert, chargé de recherche auprès de la Fondation pour la Recherche stratégique, fondation reconnue d’utilité publique dont le rôle est de conseiller et proposer des analyses sur les questions de défense et de géopolitique.
Vincent Joubert termine actuellement une thèse en géopolitique sur les enjeux de la politisation de cyberdéfense en Europe, sous la direction de Mme Frédérick Douzet à l’Institut français de Géopolitique, et secrétaire scientifique de la Commission TIC de l’Académie des Technologies.
Cyberterrorisme : une stratégie globale
L’État islamique, en tant que groupe armé hiérarchisé et organisé, a très vite identifié le rôle majeur des technologies de l’information et de la communication dans la mise en œuvre de sa stratégie. Les actions dans le cyberespace, qu’elles soient défensives ou offensives, font aujourd’hui partie intégrante des opérations militaires étatiques. Depuis quelques années cependant, la question se pose de savoir dans quelle mesure les groupes non-étatiques peuvent utiliser des capacités cyber pour mener à bien leurs opérations, qu’il s’agisse de criminalité organisée transnationale, de terrorisme, ou de soutien à une action étatique. L’enjeu est de savoir si ces groupes peuvent avoir accès à des capacités offensives susceptibles de constituer une menace réelle et probable pour les États, en lançant par exemple des cyberattaques contre des opérateurs d’importance vitale (OIV) tels qu’identifiés à l’article R1332-2 du Code de la Défense : les infrastructures contrôlant la gestion des réseaux et systèmes de transports en commun, des systèmes industriels connectés assurant la distribution en énergie, etc.
Dans le cas d’un groupe terroriste tel que l’ÉI, il existe plusieurs moyens d’agir dans le cyberespace, qui renvoie à ce que l’on appelle « cyberterrorisme » : utilisation de cyberattaques à des fins criminelles (financement du groupe par le vol d’argent en ligne), l’utilisation du cyberespace à des fins d’organisation et de planification des activités du groupe (dans le sens d’un C2 militaire), l’utilisation du cyberespace comme outil de propagande (pour de la revendication, de la « justification » idéologique, mais également du recrutement passif et actif) et enfin, cas extrême, l’utilisation de cyberattaques à des fins destructrices (que l’on pourrait maladroitement qualifier de « cyber-attentat »). L’ensemble de ces actions servent la stratégie globale du groupe terroriste, qui peut ainsi étendre son réseau à l’échelle internationale en raison de l’accès quasiment universel à ces technologies.
Propagande et planification : vers un cryptage des données
En ce qui concerne l’ÉI, les activités dans le cyberespace dont nous pouvons avoir connaissance en sources ouvertes sont bien évidemment les activités de propagande d’une part, et celles d’organisation et planification d’autre part. Les exemples de propagande (vidéos et sites internet) sont nombreux et constituent un outil essentiel pour l’ÉI, notamment pour l’endoctrinement et le recrutement de nouveaux djihadistes. En matières d’organisation et de planification, outre les technologies classiques de communication (logiciels et applications de messagerie, notamment), les technologies de cryptologie permettant de chiffrer les échanges ont récemment été pointées du doigt par certains responsables politiques. En la matière, il ne faut pas être dupe et ne pas sous-estimer les organisations telles que l’ÉI : l’utilisation de technologies et de capacités permettant de camoufler leurs échanges sera privilégiée dès que possible. Concernant les activités de type cybercriminalité, destinées à voler des fonds pour financer l’organisation, si de telles actions ont eu lieu, seules les personnes ayant besoin d’en avoir connaissance (institutions bancaires ciblées, autorités étatiques de cybersécurité) peuvent confirmer ou infirmer que l’ÉI y a recours. Cette hypothèse reste toutefois possible. Enfin, aucun « cyber-attentat » n’est à déplorer pour l’instant, et ce scénario, qui constitue une crainte majeure des autorités publiques, reste encore peu probable.
Pour les autorités publiques, l’enjeu est d’empêcher l’ÉI de bénéficier des avantages stratégiques que procure le cyberespace. Pour cela, il faut renforcer la sécurité des OIV, empêcher l’accès aux sources financières dans/par le cyberspace, et disposer de capacités permettant d’intercepter les communications. La mise en œuvre de telles capacités requiert une action concertée de l’ensemble des institutions de sécurité et de défense engagées dans la lutte contre le terrorisme et dans la cybersécurité, et doit s’inscrire dans un cadre juridique approprié.
Cybermenaces & darkweb
La cybercriminalité sert. Au-delà de l’intérêt que représente pour un groupe terroriste le recours à des cyberattaques pour financer l’organisation, le recours à des « cyber-mercenaires » par des groupes terroristes est aussi important.
Il existe un réseau mondial appelé le « dark web » qui constitue une plateforme d’acquisition de biens et de services illégaux : armes, drogues, etc. De nombreuses études ont démontré que les offres de produits et de services de cyberattaques se sont multipliées de manière exponentielle au cours des cinq dernières années. Ces attaques sont soit destinées à de la cybercriminalité, à du cyberespionnage, ou à des fins destructrices. Énormément de groupes proposent ainsi leurs services ou des solutions « plug-n-play » permettant de mener des cyberattaques contre des infrastructures avec comme objectif d’empêcher leur fonctionnement voire de les détruire. Ces services s’acquièrent de manière anonyme moyennant un prix adapté à la cible et la sophistication de l’outil.
Si une grande majorité des logiciels de cyberattaque vendus sur le dark web sont destinées à la recherche de gain financier (fraude à la carte bancaire, accès au compte en banque en ligne, etc.), l’amélioration croissante des techniques d’attaques proposées poussent aujourd’hui les observateurs à réévaluer le risque posé par le recours à des cyber-mercenaires par des groupes terroristes.
La France n’est pas en retard
La France a parfaitement pris conscience des enjeux de cybersécurité et de cyberdéfense. Le Livre blanc 2008 évoquait déjà la menace posée par les cyberattaques, et a mené à la création de l’Agence nationale de la Sécurité des Systèmes d’information (ANSSI) en 2009. Dans le même temps, le ministère de la Défense a intégré la cyberdéfense à ses activités sur le plan opérationnel et en matière de formation, de R&D et de coopération avec l’industrie ; le Pacte Défense Cyber présenté par Jean-Yves Le Drian en février 2013 expose les actions allant dans ce sens.
Les actions de cybersécurité des autorités publiques dans le cadre de la lutte contre le terrorisme comprennent cependant autant d’actions de cybersécurité/cyberdéfense que de renseignement. À ce titre, les actions de la DCRI et de la DGSE viennent compléter en tant que de besoin les actions de l’ANSSI et du ministère de la Défense. La Loi de Programmation militaire adoptée en novembre 2014 a défini un cadre juridique des opérations de renseignement qui, bien qu’il ait soulevé plusieurs controverses, s’avère essentiel pour permettre aux autorités de disposer des moyens nécessaires à la lutte contre le terrorisme
Par rapport à ses partenaires et alliés (États-Unis, Royaume-Uni, Allemagne), la France n’est pas en retard. Elle est une puissance dans le cyberespace reconnue sur la scène internationale, notamment pour ses capacités de gestion de crise ; les attaques contre les systèmes d’information de TV5 Monde ont à ce titre constitué une illustration du savoir-faire des institutions françaises en matière de cybersécurité.
La contre-narration : en enjeu vital
D’un point de vue technico-opérationnel, la France s’affaire à maintenir ses capacités à l’état de l’art. C’est un aspect positif et nécessaire au maintien d’un niveau de cybersécurité répondant aux risques actuels. Les autorités publiques n’ont cependant que peu de moyens à disposition pour lutter contre les discours de propagande largement diffusés par Daesh et les quelques initiatives lancées n’ont pas encore fait preuve de leur succès. La contre-narration des messages de Daesh sur les réseaux sociaux constitue un des enjeux prioritaires dont la mise en œuvre s’annonce difficile.
Enjeux stratégiques et libertés individuelles
La cybersécurité et la cyberdéfense sont des enjeux stratégiques majeurs pour les États, mais également pour les citoyens. Les sociétés sont aujourd’hui entièrement dépendantes des technologies de l’information et de la communication et sont donc vulnérables aux attaques qui pourraient être lancées contre les infrastructures permettant leur bon fonctionnement. Un travail de sensibilisation et de formation est nécessaire pour l’ensemble de la population ; ce n’est que par une connaissance des enjeux que les autorités publiques et la société civile trouveront le bon équilibre entre les mesures nécessaires à la sécurité et le respect des libertés individuelles.