En octobre 2012, le secrétaire à la Défense des États-Unis, Leon Panetta, avertissait de la possibilité d’un « cyber Pearl Harbor ». Cette catégorisation de la menace catastrophique, définie à la fois par son caractère de surprise stratégique et par ses effets en termes d’effondrement, a contribué à façonner les représentations et donc les dispositifs en matière de cybersécurité et de cyberdéfense. Tardant à se réaliser, l’avertissement est entré depuis dans le registre des formules-chocs dont le rappel est bien commode lors d’une introduction sur le sujet. Pourtant, en dépit de l’exagération rhétorique, certaines évolutions du paysage cyberstratégique semblent redonner crédit au discours sur les vulnérabilités systémiques de l’espace numérique et des sociétés qui en dépendent.
C’est notamment le cas en ce qui concerne les opérations ciblant les opérateurs d’infrastructures critiques (transports, énergie, banques, etc.). Les rapports faisant état d’intrusions sur leurs réseaux informatiques, voire sur les réseaux pilotant les systèmes de contrôle industriel, ainsi que les accusations reliant d’éventuelles perturbations à ces opérations semblent désormais habituels, alors qu’ils ne représentaient que de rares occurrences dans l’univers des cas étudiés par la communauté de cybersécurité et de cyberdéfense avant 2015. Si les coupures de courant en Ukraine à la suite de l’insertion du malware BlackEnergy focalisaient alors l’attention, au moins neuf cas ont été recensés en 2020 selon la liste des Significant Cyber Incidents du Center for strategic and international studies (CSIS), incluant aussi bien les attaques contre le système de distribution des eaux en Israël que la perturbation des activités portuaires de Bandar Abbas en Iran ou encore une coupure massive de courant à Mumbai en octobre.
Depuis le début de l’année 2021, deux incidents se rapportant aux infrastructures ont marqué l’actualité aux États-Unis : en février, une intrusion dans le système de traitement des eaux d’une municipalité de Floride a permis à des hackers d’augmenter temporairement le taux de soude caustique ; en mai, un groupe de cybercriminels a obligé l’entreprise Colonial Pipelines a interrompre les flux pétroliers desservant le sud et l’est des États-Unis afin d’éviter la prise de contrôle éventuelle de ses systèmes industriels.
Les effets de ces opérations sont pourtant trop hétérogènes pour que l’on puisse en tirer une quelconque conclusion sur l’évolution de la menace. Il en va tout autrement si on les observe du point de vue des acteurs, des pratiques ou des cibles. En premier lieu, la distinction déjà bien difficile entre groupes criminels et acteurs étatiques semble de plus en plus fragile analytiquement au regard des éléments empiriques. Déterminer s’il s’agit de cybercriminels opérant pour des intérêts étatiques (et même dans ce cas, Jason Healey a montré l’étendue des modes de relations possibles entre ces acteurs (1)) ou bien d’acteurs gouvernementaux profitant par opportunisme d’actions criminelles est d’autant plus ardu que par ailleurs les pratiques se mêlent.
Nulle part cette évolution n’est plus visible que dans le cas des ransomwares (ou « rançongiciels »). Ces malwares, chiffrant les données de la victime pour ne les restituer que contre paiement, sont désormais le fait d’un secteur de plus en plus professionnalisé où l’opération, ses infrastructures et ses hackers sont fournis comme un service. Mais l’écosystème dans lequel ce type d’attaque se développe, se perfectionne et s’adapte aux systèmes défensifs ne se limite plus à celui de la cybercriminalité. D’une part, certaines cyberopérations ont recouru à des ransomwares afin de tromper sur l’identité et les intentions de l’agresseur. Bien plus, certains de ces codes malicieux ont caché sous la manifestation de rançongiciels des outils destinés en fait à détruire les données de manière irréversible. D’autre part, les opérations de ransomwares bénéficient de la prolifération des outils développés par les agences gouvernementales pour pénétrer un réseau, en extraire des données ou en perturber le fonctionnement. C’est le cas par exemple pour EternalBlue, un outil de piratage développé par la National Security Agency et dérobé entre 2015 et 2016 puis utilisé dans le cadre de l’opération « WannaCry » en 2017, action attribuée par les États-Unis à la Corée du Nord.
À cette hybridation des intérêts, des mobiles et des outils s’ajoute une mutation des cibles de ces opérations. En dépit des attaques qui défraient la chronique – et qui démontrent surtout que le risque d’intrusion doit être géré plus qu’il ne peut être écarté ou éliminé – les principales victimes des cyberopérations, particulièrement pour les rançongiciels, ne sont pas les organisations critiques (systèmes bancaires, infrastructures essentielles, agences gouvernementales), mais des « cibles molles » dont la surface d’attaque est inversement proportionnelle à leurs capacités défensives ou de gestion des crises. Plus fragiles, donc plus vulnérables aux actions de coercition, ces victimes sont aussi le moyen opportuniste pour les acteurs criminels comme pour les acteurs étatiques d’atteindre leurs objectifs. Pour les premiers, il s’agit avant tout de faire levier sur un intérêt ou une valeur cruciale pour la cible (sa réputation, son compte en banque, sa capacité à faire fonctionner un service public, etc.). Pour les seconds, il s’agit plutôt d’instrumentaliser la position de talon d’Achille que ces cibles pourraient constituer.
Ainsi, l’évolution cruciale de la menace cyber contemporaine concerne non seulement l’extension de la surface d’attaque, mais aussi son caractère fractal. Cette caractéristique permet de mieux comprendre deux inflexions en cours : d’une part, le retour en grâce des stratégies et dispositifs de résilience – illustré par la promotion de la notion d’architecture « Zero-Trust » au sein des agences fédérales américaines –, mais aussi, d’autre part, la faisabilité croissante des manœuvres de coercition cyber, longtemps entravées par la difficulté à communiquer efficacement les signaux qui leur sont nécessaires. Tout cela illustre le caractère particulièrement mouvant de la dialectique des stratégies dans le cyberespace.
(1) Jason Healey, « The Spectrum of National Responsibility for Cyberattacks », The Brown Journal of World Affairs, vol. 18, no 1, automne-hiver 2011, p. 57-70.
Légende de la photo : Leon Panetta en 2013. L’image du « cyber Pearl Harbor » met en évidence la surprise stratégique, mais les usages du cyber dans une opération de niveau stratégique sont bien plus larges. (© DoD)
