À l’époque où nous avons reçu les premiers rapports sur les Chinois s’introduisant dans les réseaux informatiques américains à des fins d’espionnage, nous les avons décrits en des termes très forts. Nous avons qualifié ces actions de cyberattaques. Nous avons même utilisé le terme de cyberguerre, et déclaré qu’une cyberattaque était un acte de guerre.
Quand Edward Snowden a révélé que la NSA faisait de même aux réseaux informatiques du monde entier, nous avons utilisé un langage beaucoup plus modéré pour les décrire, avec des mots comme espionnage ou renseignement. Nous avons souligné qu’il s’agissait d’une activité en temps de paix, et que tout le monde le faisait.
La réalité est quelque part entre les deux, et le problème est que nos intuitions sont fondées sur l’histoire.
L’espionnage électronique aujourd’hui diffère de ce qu’il était du temps de la guerre froide. L’écoute n’est plus passive. Ce n’est pas l’équivalent électronique d’une assise près de quelqu’un pour surprendre une conversation. Ce n’est pas surveiller passivement un circuit de communication. L’espionnage moderne est plus susceptible de s’appuyer sur la pénétration active du réseau informatique de l’adversaire, qu’il soit chinois, brésilien ou belge, et l’installation de logiciels malveillants conçus pour prendre le contrôle de ce réseau.
En d’autres termes, c’est du piratage. Le cyber espionnage est une forme de cyberattaque. C’est une action offensive qui viole la souveraineté d’un pays, et que nous exerçons en tenant trop peu compte de son coût diplomatique et géopolitique.
L’armée américaine, friande d’abréviations, en utilise deux pour définir son action dans le cyberespace. CNE est l’abréviation de « Computer Network Exploitation » (exploitation de réseau informatique). C’est l’espionnage. CNA est l’abréviation de « Computer Network Attack » (attaque d’un réseau informatique). Cela inclut les actions visant à détruire ou neutraliser les réseaux ennemis. C’est notamment du sabotage.
Le CNE et le CNA ne sont pas l’apanage des États-Unis : tout le monde le fait. Nous savons que d’autres pays développent leur potentiel offensif de cyberguerre. Nous avons découvert des réseaux de surveillance sophistiqués dans d’autres pays avec des noms comme GhostNet, Red October, The Mask. Nous ne savons pas qui était derrière, il est extrêmement difficile de remonter la piste jusqu’à leur source, mais soupçonnons la Chine, la Russie et l’Espagne, respectivement. Nous avons récemment découvert un outil de piratage appelé RCS utilisé par 21 gouvernements : Azerbaïdjan, Colombie, Égypte, Éthiopie, Hongrie, Italie, Kazakhstan, Corée, Malaisie, Mexique, Maroc, Nigéria, Oman, Panama, Pologne, Arabie saoudite, Soudan, Thaïlande, Turquie, Émirats Arabes Unis et Ouzbékistan.
Lorsque la société chinoise Huawei a essayé de vendre de l’équipement de réseau aux États-Unis, le gouvernement a estimé que l’équipement constituait une « menace pour la sécurité nationale, » craignant à juste titre que ces commutateurs aient des portes dérobées pour permettre au gouvernement chinois d’espionner et d’attaquer les réseaux américains. Nous savons maintenant que la NSA fait exactement la même chose aux appareils de fabrication américaine vendus en Chine, ainsi qu’à ces mêmes commutateurs Huawei.
Le problème est que, du point de vue de la cible de l’attaque, il n’y a pas de différence entre CNE et CNA, sauf en ce qui concerne le résultat final. Les systèmes de surveillance actuels entrent par effraction dans les ordinateurs pour installer des logiciels malveillants, comme le font les cybercriminels quand ils veulent voler votre argent. Et à l’instar de Stuxnet : l’arme cyber américano-israélienne qui a désactivé l’usine nucléaire de Natanz en Iran en 2010.
C’est ce que le directeur juridique de Microsoft, Brad Smith, entend quand il dit: « En effet, l’espionnage gouvernemental constitue maintenant potentiellement une menace persistante avancée, au côté des cyberattaques et des logiciels malveillants les plus sophistiqués.
Quand les Chinois pénètrent des réseaux informatiques américains, ce qu’ils font avec une régularité alarmante, nous ne savons pas vraiment ce qu’ils font. Modifient-ils nos matériels et nos logiciels juste pour nous espionner, ou posent-ils des « bombes logiques » qui pourraient être déclenchées pour causer des dommages réels à une date ultérieure ? Impossible à dire. Comme l’affirme le document de politique européenne de cybersécurité de 2011 (page 7): « .. .techniquement, le CNA nécessite le CNE pour être efficace. » En d’autres termes, ce qui pourrait être des préparatifs de guerre cybernétique pourrait bien être du cyber espionnage initialement, ou tout simplement être déguisé comme tel.
Nous ne connaissons pas les intentions de la Chine, et ils ne connaissent pas les nôtres non plus.
Une grande partie du débat actuel aux États-Unis porte sur ce que la NSA devrait être autorisée à faire, et si limiter les pouvoirs de la NSA renforce les autres gouvernements. C’est un faux débat. Nous n’avons pas à choisir entre un monde où la NSA espionne, et un autre où la Chine espionne. Notre choix est entre un monde où notre infrastructure de l’information est vulnérable à tous les attaquants, et un monde où elle est ou sécurisée pour tous les utilisateurs.
Tant que le cyber espionnage est synonyme de cyberattaque, nous serions beaucoup plus en sécurité si nous concentrions les efforts de la NSA sur la sécurisation de l’Internet contre ces attaques. Certes, nous n‘aurions plus le même niveau d’accès aux flux d’informations du monde entier. Mais nous protégerions les flux d’informations du monde entier–y compris les nôtres—de l’espionnage, et d’attaques encore plus nuisibles.
Nous protégerions nos flux d’informations des gouvernements, des tiers et des criminels. Nous rendrions le monde plus sûr.
Les opérations militaires offensives dans le cyberespace, CNE ou CNA, devraient être du ressort de l’armée. Aux États-Unis, c’est le CyberCommand. Ces opérations devraient être reconnues comme des offensives militaires et devraient être approuvées au plus haut niveau du pouvoir exécutif et être soumis aux mêmes normes de droit international qui régissent les actes de guerre dans le monde réel.
Si nous allons attaquer l’infrastructure électronique d’un pays, nous devons la traiter comme toute autre attaque contre un pays étranger. Ce n’est donc plus juste de l’espionnage, c’est une cyberattaque.
Références
Cyberattaques chinoises:
http://www.nytimes.com/2010/01/13/world/asia/…
http://www.nytimes.com/2013/05/07/world/asia/…
http://www.nytimes.com/2013/05/08/opinion/…
http://www.nytimes.com/2011/06/01/us/politics/…
http://edition.cnn.com/2013/02/19/business/…
Discours d’Obama sur la surveillance de la NSA:
http://www.nytimes.com/2014/01/18/us/politics/…
NSA/GCHQ attaquant d’autres réseaux:
http://www.cnn.com/2013/06/12/politics/nsa-leak/
http://www.theguardian.com/world/2013/sep/09/…
http://www.spiegel.de/international/world/…
GhostNet:
http://www.nytimes.com/2009/03/29/technology/29spy.html
Red October:
http://news.cnet.com/8301-1001_3-57563851-92/…
The Mask:
http://blog.kaspersky.com/…
NDE: voir aussi Kaspersky Lab dévoile le logiciel de cyber espionnage gouvernemental Careto
Outil de piratage RCS:
https://citizenlab.org/2014/02/…
Huawei en tant que menace pour la sécurité nationale:
http://www.nytimes.com/2012/10/09/us/…
Implants NSA:
http://leaksource.files.wordpress.com/2013/12/…
http://leaksource.files.wordpress.com/2013/12/…
https://www.schneier.com/blog/archives/2014/01/…
http://leaksource.files.wordpress.com/2013/12/…
http://leaksource.files.wordpress.com/2013/12/…
Stuxnet:
http://spectrum.ieee.org/telecom/security/…
Citation de Brad Smith:
https://blogs.technet.com/b/microsoft_blog/archive/…
Document de politique UE:
http://www.europarl.europa.eu/RegData/etudes/etudes/…
Comment nous devrions réorganiser la NSA:
http://www.cnn.com/2014/02/20/opinion/…
Texte © 2014 Bruce Schneier, CTO, Co3 Systems, Inc.
Article paru en anglais dans le bulletin d’information Crypto-Gram
Traduction française et mise en forme © 2014 Le Diligent
Portrait de Bruce Schneier © Ann De Wulf
(Sauf mention contraire, tout texte en italique et entre parenthèses est une note de l’éditeur.)