Les spécialistes ne s’embarrassent plus de conditionnels pour évoquer la possibilité de cyberattaques aux conséquences "systémiques" : blocages de banques, d'hôpitaux, d'aéroports, de villes entières... Ces scénarios ne relèvent pas de la science-fiction. A vrai dire, ils se sont même déjà produits.
L’ambiance n’était pas à la rigolade au dernier Forum international de la cybersécurité (FIC) de Lille les 22 et 23 janvier. Au programme de cette 11e édition, les 10 000 visiteurs pouvaient assister à des ateliers et conférences aux titres éloquents : “Comment se préparer à un cyber désastre ?”, “Comment empêcher un ‘cyber Pearl Harbor’ ?”. Car le constat est implacable : nos sociétés ultra connectées vont l'être toujours plus à mesure que l'Internet des objets continue de se déployer (véhicules autonomes, e-santé, 5G...), multipliant les possibilités d'intrusion. En face, les attaquants sont toujours plus performants ; les Etats notamment, dont certains développent de redoutables capacités offensives. Militarisation du cyberespace et ultra-connexion : un cocktail détonnant dont les conséquences pourraient être désastreuses. De récentes attaques l'ont d'ailleurs déjà démontré, même si le grand public n'en a pas forcément entendu parler.
La cyber guerre "chaude" a déjà commencé
Henri Verdier est l'un des plus hauts responsables de la cybersécurité française : ex directeur de la DINSIC (Direction interministérielle du numérique et du système d'information et de communication de l'Etat) et ambassadeur pour le numérique depuis octobre 2018 (chargé de suivre les négociations multilatérales impliquant Internet). À la dernière édition du FIC de Lille, sa franchise n'a étonné que les non-initiés : "Ici dans la salle, tout le monde le sait (...). On aura un jour l'arrêt total d'un hôpital, de dix hôpitaux, le gel total d'une ville, la perte de milliards de dollars... Ça va arriver. Bien sûr, on va essayer de calmer tout ça, de durcir les sécurités mais cette possibilité existe".
Quand j'ai pris mes fonctions l'an dernier, on me disait que les cyberattaques étaient la nouvelle Guerre froide. Mais en fait, elle n'est pas froide du tout. C'est une guerre chaude ! Chaque jour, les attaques se comptent par dizaines, par centaines, par milliers... Avec des armes cyber qui se révèlent effrayantes car elles sont furtives, pas chères, instantanées, actionnables à distance, difficilement attribuables (...). Et les risques sont systémiques : nous construisons nos sociétés sur une fragilité étonnamment grande, qu'il s'agisse des hôpitaux, des réseaux de transport, des banques, de l'information. En France, nous pensons qu'un "cyber Pearl Harbor" - une attaque délibérée - ou un "cyber Tchernobyl" - un accident incontrôlé - sont très plausibles mais aussi probablement inéluctables. Et ce qui est embêtant avec le numérique, c'est que nous sommes dans des systèmes très intriqués, systémiques. Je ne suis pas sûr que les apprentis sorciers qui fabriquent ces armes voient les conséquences en rebond et tous les "effets retour" qui peuvent être produits par un premier incident ou une première attaque. Je ne veux pas plomber l'ambiance mais la situation est sérieuse.
Henri Verdier, ambassadeur français pour le numérique, le 23 janvier 2019 au FIC de Lille (voir vidéo ci-dessous, à partir de 57'26'')
Henri Verdier est aussi catégorique parce qu'il sait que de telles attaques ont déjà eu lieu, plus ou moins ciblées. "Stuxnet" en 2010, un ver informatique attribué à Israël et aux États-Unis a réussi à retarder le programme nucléaire iranien en sabotant des centrifugeuses d'uranium. Même origine, semble-t-il, deux ans plus tard, avec "Flame" pour également viser l'Iran. "Petya", en 2016, un logiciel de rançon, chiffrait lui les données des ordinateurs infectés dans le monde entier, touchant jusqu'aux postes de contrôle de radioactivité de la centrale nucléaire Tchernobyl. L'année suivante, "NotPetya", autre "rançongiciel", a d'abord visé des entreprises ukrainiennes dans le contexte de la guerre avec la Russie avant de toucher des multinationales (Saint-Gobain, Maersk et beaucoup d'autres qui ont perdu des centaines de millions d'euros). Ce virus a fait l'objet d'un long article du magazine américain Wired : "L'histoire interdite de NotPetya, la cyberattaque la plus destructrice de l'histoire" (en anglais). Le logiciel malveillant "WannaCry", également en 2017, a touché 300 000 ordinateurs dans 150 pays d'après Europol et a frappé durement les hôpitaux britanniques où les systèmes informatiques qui n'étaient plus mis à jour (une version obsolète de Windows, XP, était encore utilisée) : plus de 70 000 objets connectés ont été infectés, scanners, IRM, réfrigérateurs pour poches de sang, les urgences ont même dû refuser certains patients.
Impossible de citer toutes les attaques ponctuelles aussi. Bercy et l'Elysée ont été de longue date visés et cette semaine encore les grands groupes Altran puis Airbus. Ils ont dû révéler ces attaques car le nouveau règlement européen sur la protection des données, le RGPD, impose aux entreprises victimes de graves intrusions ou de cyber-attaques d'alerter, dans les 72 heures après la découverte d'une fuite de données personnelles, les personnes affectées et les autorités de leur pays, comme la CNIL en France.
Tentatives de manipulations d'élections
Autres exemples : la tentative de manipulation de l'élection présidentielle américaine en 2016 attribuée à la Russie via des campagnes de propagande ciblées sur les réseaux sociaux et via le vol de données de responsables démocrates et leur divulgation (dont les messages de la boîte mail privée d'Hillary Clinton).
En France, à deux heures de la clôture de la campagne pour l'élection présidentielle 2017, au soir du 5 mail 2017, les "MacronLeaks" ont révélé des milliers de données internes du mouvement "En Marche". Des courriels ou des documents de comptabilité, parfois faux, volés et diffusés massivement sur les réseaux sociaux.
Plus récemment au Brésil, l'élection présidentielle de 2018 a aussi été marquée par l'afflux des infox via Internet - mais sans qu'une puissance étrangère soit accusée d'ingérence. À l'avenir, les démocraties s'attendent à d'autres tentatives de déstabilisation : le 29 janvier, le directeur national du renseignement américain Dan Coats a fait part de menaces pesant sur la prochaine élection présidentielle de 2020. De nouvelles techniques comme le "deep fake" ("faux profond") soulèvent aussi de nouvelles inquiétudes : dans ces vidéos, il devient très difficile de discerner le vrai du faux (voir tweet de l'AFP ci-dessous).
Militarisation du cyberespace et risque de prolifération
Derrière cette évolution inquiétante se cache un phénomène bien connu à d'autres moments de l'Histoire : une course aux armements et un risque de prolifération. "Aujourd'hui, plus de quarante Etats-nations disposent de capacités offensives en matière cyber", expliquait John Frank, l'un des vice-présidents de Microsoft, également présent au FIC de Lille. "Un seul pistolet a suffi à déclencher la Première Guerre mondiale et aujourd'hui, le risque de voir une cyber action échapper à tout contrôle est aussi réel. En 1914, nos capacités industrielles de destruction ont surpassé nos capacités politiques à contenir cette violence". John Frank préconise comme solution une meilleure collaboration entre les Etats et les entreprises, qui sont en première ligne lors des cyberattaques. En 2018, de grands groupes comme Siemens (dont les centrifugeuses avaient été ciblées lors de l'attaque Stuxnet) ont lancé des initiatives pour améliorer la confiance dans Internet : Charter of trust, une "Charte pour la confiance". D'autres sociétés ont aussi lancé le cyber security tech accord, un texte signé par près de 70 multinationales.
Sur le plan intergouvernemental, la France se veut en pointe : en novembre 2018, Emmanuel Macron a lancé "l'Appel de Paris" (voir vidéo ci-dessous), rejoint aujourd'hui par 60 pays et 500 signataires en tout. Le texte défend l'existence d'un Internet ouvert mais aussi protégé des menaces, il appelle à la responsabilité de tous les acteurs utilisant le Web. En France et en Europe, l'adoption de législations contraignantes sur la protection des données permettent aussi de faire avancer la cause d'un Internet stable (le RGPD, appliqué depuis 2018, notamment).
"La diplomatie française en matière numérique vise à prévenir les crises le plus possible", expliquait Henri Verdier à Lille, "en dialoguant avec les grandes puissances, en établissant des coopérations renforcées avec les pays amis pour partager nos pratiques et nos technologies. Le but est aussi de savoir gérer les crises internationales qui ne manqueront pas d'arriver, avoir des canaux de désescalade, des stratégies de partage rapide d'information pour ne pas se tromper de diagnostic. L'idée est enfin de rendre le cyberespace moins fragile, plus résilient, mieux organisé. C'est le but de l'Appel de Paris : calmer le jeu, limiter la propagation de la violence et faire émerger des standards de bonne pratique".
Le défi de l'ère connectée : instaurer un code de bonne conduite et défendre la démocratie
Et cette réflexion s'appuie sur un constat d'urgence car nos sociétés sont de plus en plus connectées : "Au cours des deux dernières années, nous avons généré 80% des données créées depuis les débuts de l'humanité", expliquait Emmanuel Macron lors de son discours lors du forum sur la gouvernance de l'Internet, à Paris, le 12 novembre 2018. Dans ce discours, le Président français a également plaidé pour la défense d'un Internet à "l'européenne", à la fois libre et régulé, face aux deux modèles qui s'imposent actuellement : "à la chinoise", reposant sur un Etat central fort sans libertés, et "à la californienne", libre mais non régulé. La question de la souveraineté dans le monde numérique est capitale pour assurer la sécurité de la France.
En la matière, il y a encore de grands progrès à faire : aujourd'hui, la plupart des entreprises mondiales stockent leurs données chez les cinq GAFAM (Google, Amazon, Facebook, Apple, Microsoft). Des entreprises uniquement américaines : "En cas de cyberattaque massive, un assaillant malin ferait mieux de s'en prendre à ces grands opérateurs plutôt qu'à chaque entreprise individuellement", observe Alain Bouillé, président du CESIN (Club des Experts de la Sécurité de l'Information et du Numérique). "Aujourd'hui, nous mettons tous nos œufs dans le même panier. Et lorsqu'un système de messagerie tombe en panne, comme cela a été le cas pendant deux jours chez Microsoft Office 365 fin janvier 2019, certaines entreprises sont paralysées. Il faut diversifier ses offres de cloud !"
En 2017, la Marine nationale aurait pu se retrouver à court de carburant à cause d'une cyberattaque
Sur le plan stratégique et militaire enfin, la France n'hésite plus à montrer les muscles : "La guerre cyber a commencé et la France doit être prête à combattre", a déclaré la ministre des Armées Florence Parly, le 18 janvier, lors d'un discours consacré à la cyberdéfense. "Aujourd'hui, la France choisit de se doter pleinement de l'arme cyber pour ses opérations militaires. Nous renforçons nos effectifs et d'ici 2025, nous compterons 1 000 cybercombattants supplémentaires", a-t-elle assuré. La France avait déjà amorcé ce virage lorsque le précédent ministre, Jean-Yves le Drian, était en poste : désormais, une attaque par des moyens conventionnels peut trouver une réponse cyber (et inversement) dans le but de causer des dégâts chez l'adversaire.
"Si des attaques ont pu porter atteinte à des infrastructures physiques, en Ukraine ou en Iran, elles n'ont pas encore réussi à provoquer des dommages massifs et durables à des économies et à des sociétés. Mais ce n'est sans doute qu'une question de temps", a ajouté la ministre. 'Nous n'avons probablement encore rien vu". Florence Parly a aussi fait part de tentatives que l'armée avait jusque là tenu secrètes : en 2017, la Marine nationale aurait pu se retrouver à court de carburant à cause d'une cyberattaque. Fin 2017, les boîtes mail de 19 cadres du ministère des Armées ont également été victimes d'intrusions.
Guillaume Poupard, le directeur de l'ANSSI (Agence nationale de la sécurité des systèmes d'information), affirme que la crainte actuelle est une militarisation du cyberespace :
Guillaume Poupard a également mentionné l'existence de nouveaux types de menaces lors du FIC de Lille : "95% de notre activité consiste à contrer des attaques qui sont à des fins de renseignement, il s'agit de vol d'informations ; techniques, commerciales, personnelles. Mais depuis début 2018, nous avons constaté des tentatives d'intrusion sur des réseaux liés au secteur énergétique, dans lesquelles il n'y a pas de données personnelles ou stratégiques à voler. Clairement, on observe des attaquants de haut niveau technique - des Etats - qui rentrent dans ces réseaux et préparent le terrain pour bloquer des systèmes entiers dans le cas de futurs conflits".
