Face à la prolifération des cybermenaces et à la vulnérabilité de l’infrastructure critique sur laquelle s’appuie la sécurité nationale, Pékin entend améliorer les cybercapacités du pays qui n’a pas encore acquis le statut de cyberpuissance.
Lors du printemps 2018, le gouvernement chinois a présenté sa réforme de la protection du cyberespace avec la création d’une « Commission centrale pour la cybersécurité et l’informatisation », dirigée par le président chinois Xi Jinping (1). Cette réforme indique que la Chine entre dans une nouvelle phase de développement en matière de cybersécurité qui s’inscrit dans la continuité de la précédente, qui était de renforcer la sécurité des infrastructures numériques du pays, tout en accélérant le développement de l’innovation locale et en renforçant l’intégration militaro-civile en vue d’édifier une véritable cyberpuissance.
Ce positionnement prend acte d’une part de la prolifération d’intrusions et de cyberattaques visant les infrastructures et les systèmes informatiques du pays, d’autre part de la crise économique et politique qui a vu le géant chinois de télécommunications ZTE être interdit par le département du Commerce des États-Unis d’acheter des composants américains durant sept années, en raison de violations présumées de l’embargo de Washington contre l’Iran et la Corée du Nord (2). Paradoxalement, le numéro trois mondial en termes de nombre de brevets déposés achète chez les fournisseurs américains la quasi-totalité des puces électroniques haut de gamme dont il a besoin, un élément crucial dans les infrastructures critiques. Cette crise suscite de fortes inquiétudes chez les dirigeants chinois, qui considèrent cette dépendance envers les technologies de pointe américaines comme un risque pour la cybersécurité ainsi que pour la sécurité nationale.
La Chine est-elle une cyberpuissance ?
Le pouvoir cybernétique se mesure selon les ressources qui caractérisent le domaine du cyberespace. Cela inclut d’une part, les capacités physiques et technologiques, telles que l’Internet et ses instruments, les ordinateurs en réseau, les technologies cellulaires, les communications spatiales, et d’autre part, les compétences humaines (3). De ce point de vue, la Chine, tout en cherchant systématiquement à renforcer ses cybercapacités, est encore loin d’être une cyberpuissance.
Au cours des deux dernières décennies, la Chine a démontré sa capacité à intégrer la dimension cybernétique dans son développement. Des investissements importants ont été injectés pour améliorer les infrastructures du secteur des technologies de l’information et de la communication (TIC). Pendant son 12e plan quinquennal (2011-2015), le secteur a bénéficié de 317 milliards de dollars d’investissements publics, soit une augmentation de 33 % par rapport à l’exercice quinquennal précédent.
La stratégie d’investissement chinoise dans le secteur des TIC s’est révélée payante. Sur certains aspects, la Chine possède les atouts d’un grand pays de l’Internet. C’est le premier pays au monde en nombre d’internautes, avec 751 millions de personnes connectées, soit 10 % de la population d’internautes mondiale. Elle possède également le plus grand nombre de téléphones mobiles connectés à Internet, avec 1247 milliards d’abonnés (CNNIC, 2017). En termes de réseaux sociaux, 889 millions d’internautes sont actifs sur la plateforme WeChat [voir l’entretien avec A. Z. Melo p. 17]. Ce colossal bassin de « citoyens du Net » constitue un véritable moteur de croissance pour faire de la Chine le plus grand marché de l’Internet du monde : l’économie numérique est responsable du tiers de l’ensemble du PIB national en 2016, soit 3350 milliards de dollars (4). Selon les projections, elle devrait contribuer à plus de la moitié du PIB national en 2030. Cette dynamique modifie les rapports de force géoéconomiques et permet à la Chine de jouer un rôle plus important dans les institutions de gouvernance d’Internet internationales.
Un domaine dans lequel la Chine excelle est la communication par satellite. En 2017, un satellite quantique chinois a réussi à envoyer des données indéchiffrables et inviolables vers la terre, une première dans le monde. La Chine occupe la première place des pays lanceurs de satellites, avec 20 lancements commerciaux en 2016, soit 31 % du marché mondial. Parallèlement, la Chine a réalisé des progrès significatifs dans les communications interplanétaires, en construisant un réseau global de suivi et de surveillance de l’espace lointain, lequel joue un rôle crucial non seulement pour la communication permanente et rapide entre la Terre et les sondes interplanétaires, mais aussi pour le contrôle des vaisseaux, la télémétrie, la localisation et l’observation.
En dépit de ces réalisations, la Chine demeure confrontée à un certain nombre de défis. Selon l’« Indice de développement des TIC » élaboré par l’UIT pour mesurer les performances des pays par rapport à l’infrastructure, à l’usage et aux compétences dans les TIC, la Chine se classe à la 80e position mondiale en 2017, capitalisant une note de 5,6, loin dernière les États-Unis (8,18), ou encore les pays voisins de l’Est asiatique (Japon 8,43, Corée du Sud 8,85) (5). Quant à l’indice de cybersécurité (6), la Chine se classe à la 32e position mondiale, dépassée largement par les États-Unis (2e) et la France (8e).
Une mesure importante permettant d’analyser la puissance cybernétique d’un pays est le nombre d’adresses IP (IPv4 précisément). Une adresse IP est un numéro d’identification attribué à chaque ordinateur pour qu’il puisse s’identifier, se localiser, envoyer et recevoir des données sur Internet. On comprend que ce sont des ressources extrêmement importantes. Mais ces ressources ne sont pas illimitées et leur nombre maximal est de 4 milliards, nombre déjà épuisé en 2011. Selon les registres, les États-Unis accaparent à eux seuls 43,55 % de ces ressources critiques, soit 1,6 milliard d’adresses, suivis par la Chine (336,93 millions) et le Japon (202,99 millions). Cette asymétrie est encore plus nette lorsqu’on regarde le nombre d’adresses disponibles par habitant : un Américain peut avoir à sa disposition en moyenne 5,8 adresses, alors que la Chine doit se contenter d’une seule adresse pour quatre Chinois. Cette pauvreté en adresses IPv4 rend difficile l’identification des personnes connectées et pose des risques en termes de sécurité et de réglementation.
La vulnérabilité des réseaux chinois
Sur le plan de la protection contre les intrusions et les cyberattaques, le pays est encore très vulnérable pour trois raisons essentielles : son cadre institutionnel, ses infrastructures et son investissement en recherche et développement.
Le gouvernement chinois a commencé tardivement à mettre en place un système stratégique de cybersécurité. Pendant longtemps, les efforts publics se sont surtout concentrés sur les aspects économiques et la stabilité domestique. Après quelques lois précurseuses (7), il faudra attendre 2016 pour que la première stratégie nationale de sécurité du cyberespace et la première loi de cybersécurité voient le jour. À titre de comparaison, en 2003, l’administration Bush avait déjà promulgué une loi de « Stratégie nationale pour la sécurité du cyberespace ».
La sécurité du réseau Internet dépend des infrastructures physiques et informatiques. Les puces électroniques en sont l’un des composants clés. L’affaire ZTE dévoile une nouvelle fois le retard que la Chine a accumulé en matière d’innovation technologique : plus de 90 % des puces électroniques haut de gamme intégrées dans les équipements chinois sont des importations ! (8) Parallèlement, plus de 90 % des systèmes centraux des industries clés nationales (banques, énergies) fonctionnent avec les systèmes d’exploitation de Microsoft. Du côté de l’Internet mobile, le marché chinois se partage entre les deux principaux systèmes d’exploitation américains : Android de Google (87,2 %) et iOS d’Apple (12,4 %) (9). Pour Pékin, ce manque d’autonomie dans les technologies clés pose un risque majeur pour la sécurité nationale, dans la mesure où Internet et ses ressources sont perçues comme étant stratégiques pour la souveraineté du pays. « Sans sécurité Internet, il n’y a pas de sécurité nationale », a déclaré le président chinois (10).
En termes d’investissements, la part consacrée à la sécurité représente seulement 1 % des dépenses d’informatisation du pays, chiffre nettement inférieur à ceux des pays développés (entre 5 % et 10 %). De plus, la majorité des dépenses est consacrée à l’achat d’équipements, la recherche et développement n’en recevant qu’une faible partie (11).
Si la Chine est régulièrement soupçonnée d’être derrière la création d’attaques informatiques, attaques dont il a toujours été difficile de déterminer l’origine, les études montrent que le pays est en revanche une cible privilégiée pour les pirates. À titre d’exemple, le Centre d’intervention d’urgence du réseau informatique chinois (CNCERT, 2018) (12) montre qu’en 2017, environ 11 millions d’ordinateurs ont été contrôlés par un nombre total de 32 000 serveurs situés hors de Chine. Ces machines, appelées « zombies », peuvent se mettre en sommeil et attendre des ordres d’attaques venant de l’extérieur. « Beaucoup de pays se font passer pour des Chinois », affirme Bernard Barbier, ancien directeur général de la sécurité extérieure française (DGSE) (13).
L’agence nationale responsable des affaires d’Internet (China Internet Network Information Center – CNNIC) a avancé des chiffres alarmants : au total, 95,9 % des utilisateurs d’Internet mobile (soit 594 millions de personnes) ont été confrontés à des incidents liés à la sécurité des informations en 2015 (14), provoquant des pertes économiques de plusieurs dizaines de milliards de dollars.
Vers une plus grande intégration militaro-civile
Pour Pékin, la seule façon de développer ses cybercapacités se fera par une autonomie nationale en innovation, et cette autonomie ne sera pas possible sans une stratégie nationale « d’intégration en profondeur des capacités militaires et civiles ».
Cette stratégie d’intégration s’inspire en particulier de celle des États-Unis. En effet, les autorités chinoises sont d’avis que les capacités cybernétiques du pays sont à la traîne de celles des États-Unis. Le système de cyberdéfense américain est souvent cité comme étant un système puissant, réalisé grâce à un partenariat fort entre les secteurs de la défense et les industries civiles. Les entreprises privées spécialisées en informatique et cybersécurité fournissent le support technologique sur lequel reposent les stratégies de l’armée américaine. Pour sa part, l’armée soutient, investit et acquiert parfois des entreprises privées.
Cet appel à l’intégration des capacités militaires avec les industries civiles n’est pas nouveau, mais l’ampleur qu’il prend modifierait en profondeur le système de protection de cybersécurité chinois. En effet, l’industrie de cyberdéfense publique souffre d’importantes faiblesses, dont la plus problématique est le manque d’innovation et d’efficacité lié à leur isolement, à leur faible niveau de compétitivité, et à un handicap pour attirer les investisseurs civils (15). De son côté, le secteur privé chinois, après avoir connu une progression spectaculaire pendant plus de deux décennies, est aujourd’hui un acteur indispensable qui contribue à 70 % des innovations techniques et à 65 % des brevets nationaux. Il dispose par conséquent des ressources pouvant corriger les lacunes présentées par les sociétés publiques. Par exemple, en 2017, dans le TOP100 des experts en sécurité sélectionnés par Microsoft à l’échelle mondiale, on trouve 21 personnes travaillant pour des entreprises privées en Chine. Le Groupe 360 regroupe 10 de ces experts, parmi lesquels Yuli CHEN, classé troisième de cette sélection mondiale.
La nouvelle stratégie propose ainsi trois modèles : servir les forces armées et privilégier leurs demandes ; coconstruire et partager afin de promouvoir l’innovation ; intégrer la R&D pour développer des champions nationaux.
En conclusion, l’accélération de l’innovation locale est au cœur de la réforme de la politique de cybersécurité chinoise. Le gouvernement souhaite étendre les canaux de coopération et de partage des ressources militaires et civiles. Le secteur de la défense pourra ainsi utiliser l’infrastructure de base des réseaux civils pour corriger ses lacunes en la matière. Cette intégration devra être soutenue par la création de fonds d’investissement public-privé afin de favoriser le transfert de technologies militaires vers le civil.
Notes
(1) La commission remplace l’Équipe de direction centrale pour la sécurité des réseaux et l’informatisation, créée en 2014.
(2) En 2018, ZTE représente environ 10 % du marché mondial des équipements de télécoms et environ 30 % de la part du marché chinois. Au moment de la rédaction de cet article, Pékin et Washington poursuivent des négociations qui détermineront le destin de l’entreprise.
(3) J. Nye, Cyber Power, Harvard Kennedy School, 2010 (http://belfercenter.ksg.harvard.edu/files/cyber-power.pdf).
(4) « L’économie numérique de la Chine a représenté 30 % du PIB » (http://www.xinhuanet.com/fortune/2017-04/20/c_1120846463.htm).
(5) UIT, « Measuring the Information Society Report 2017 ».
(6) UIT, « Global Cybersecurity Index (GCI) », 2017.
(7) Notons le Livre blanc sur la situation de l’Internet en Chine (2010), la Loi sur la sécurité nationale (2015), et la Loi antiterroriste (2015).
(8) « La dépendance aux technologies clés est le plus grand danger caché » (http://opinion.people.com.cn/n1/2018/0420/c1003-29939189.html).
(9) « Kantar, indice de consommation : Android occupe plus de 87 % de marché, Huawei se classe premier » (http://tech.qq.com/a/20170512/030567.htm).
(10) Xinhua, « Xi Jinping transforme un grand pays d’Internet en cyberpuissance » (http://www.xinhuanet.com/politics/2014-02/27/c_119538788.htm)
(11) Xinhua, « Moins de 1 % des investissements nationaux dans la sécurité de l’information (http://www.xinhuanet.com/tech/2017-08/16/c_1121488946.htm).
(12) National Computer Network Emergency Response Technical Team/Coordination Center of China (CNCERT), 2018.
(13) « Cyberattaques : beaucoup de pays se font passer pour des Chinois », Libération (http://www.liberation.fr/futurs/2015/09/21/beaucoup-de-pays-se-font-passer-pour-des-chinois_1387621).
(14) CNNIC, « Rapport 2015 de recherche sur la situation de sécurité des internautes mobiles en Chine », 2016.
(15) Les entreprises de défense publiques européennes partagent des problèmes similaires.
Légende de la photo en première page : Le 3 mai 2018, le PDG de l’entreprise Cambricon Technologies dévoile la première puce chinoise d’intelligence artificielle en nuage. Quelques jours plus tôt, lors d’une visite de l’usine XMC de Wuhan – filiale de Tshinghua Unigroup, fer de lance du plan national de développement dans les circuits intégrés électroniques –, Xi Jinping appelait à accélérer le plan de localisation de la production de circuits intégrés électroniques en Chine dans le but de réduire la dépendance technologique vis-à-vis des États-Unis et d’assurer l’indépendance du pays dans la fabrication de composants essentiels à sa souveraineté. (© Xinhua/Jin Liwang)
