Panetta, attaques de banque, inattribution : sur le cyberfront
Par Olivier Kempf le dimanche 21 octobre 2012, 20:49 - Cyber - Lien permanent
La semaine a été marquée par les déclarations de Leon Panetta, Secrétaire d'Etat US à la défense. Pour faire simple, la patrie est en cyberdanger, et il faut faire quelque chose. Aux cyberarmes, cybercitoyens ! Bien. Le message a été abondamment relayé par les habituelles port-voix, et so what ? Quelques clefs pour comprendre cette irruption déclaratoire.
1/ Régulièrement, depuis cinq ans, les États-Unis nous ont habitué à ces déclarations sur la cyberguerre qui serait en train de se jouer. La vraie question est donc : pourquoi ce déploiement médiatique cette semaine ?
2/ Constatons d'abord que les banques américaines ont été la cible d'attaques assez ciblées, autour du virus Itsokonoproblembro, en provenance du Moyen-orient (et déjà signalé par egeablog). Fichtre ! à la différence de Stuxnet, où les Américains avaient triomphé grâce à leur capacité de retarder pendant deux ans le programme nucléaire iranien, voici donc que des Moyen-orientaux seraient en mesure de porter, eux aussi, des coups à la grande puissance. Refichtre, cela ne faisait pas partie du scénario.
3/ D'où les déclarations envers le développement de postures offensives, incluant d'ailleurs la notion de "règles d'engagement" préalables, chose qui demeure très discutable (en général, et plus encore ans le cas du cyberespace, nous y reviendrons).
4/ Remarquons toutefois que ces déclarations interviennent dans un contexte budgétaire très contraint, avec notamment la possibilité que les politiques ne réussissent pas à se mettre d'accord pour prolonger un niveau de recettes et de dépenses, et que le budget américain tombe sous le coup de la "séquestration" : réduction générale de 10 % de toutes les dépenses publiques, y compris celle du Pentagone. Re-re-Fichtre. Voici qui nécessite un peu d'efforts pour inciter les responsables politiques à être responsables, justement, et à dépenser judicieusement en matière de cyber. C'est-à-dire au moins autant, grande cause nationale.
5/ Cela s'accompagne de déclarations appuyées sur la capacité qu'auraient les Américains de lever l'inattribution des attaques : or, celle-ci constitue le principe stratégique fondamentale du cyber, et explique justement, par l'opacité provoquée, toutes les actions offensives. Les spécialistes doutent que des moyens simplement techniques puissent déterminer les origines des attaques. Il est possible qu'en les doublant avec des moyens classiques de renseignement, on arrive à construire des imputations raisonnables : mais en aucun cas ne voit-on un procédé technique qui permettrait de lever le voile.
6/ Comment dès lors interpréter cette déclaration de succès ? Tout simplement comme une rhétorique de dissuasion. En effet, la notion de cyberdissuasion pâtit d'un inconvénient majeur : il n'y a pas d'arme universelle, qui marche à tout coup et de façon visible, à la différence de l'arme nucléaire. Dès lors, dire qu'on a levé l'obstacle de l'inattribution est une façon de prétendre à l'universalité de la rétorsion.
7/ Mais aujourd’hui, la chose n'est pas prouvée, car elle n'est pas visible. Du coup, la déclaration de L. Panetta ressemble pour partie à la stratégie nucléaire, dans sa partie rhétorique. La dissuasion est d'abord un discours, un dialogue avec l'autre. En affirmant que les États-Unis disposent désormais des capacités d'attribuer, donc de riposter à tout attaque, L. Panetta mime la rhétorique nucléaire et entre, du moins l'espère-t-il, dans la même dynamique.
Est-ce convaincant ? Le simple fait de démonter ce mécanisme et d'introduire une part de bluff non pas sur l'intention d'agir (comme en stratégie nucléaire) mais sur la capacité à agir affaiblit sérieusement la crédibilité du discours. Au risque d'être contre productif.
Attaques des banques américaines, références (en français, beaucoup plus de chose en américain) :
- sur Shamoon, attaque iranienne contre l'opérateur saoudien de pétrole Aramco, qui serait le prélude aux suivants ... (août 2012)
- sur itsoknoproblembro (octobre 2012)
- sur Gozi Prinimalka (signalé par Yannick) (novembre 2012 ?)
O. Kempf
Commentaires
Question de béotien: s'ils allèguent la capacité d'attribuer, les Américains ne risquent-ils pas devoir fournir des éléments d'enquête la prochaine fois que des pays auront des raisons de ... les soupçonner d'une attaque?
Autrement dit la dissuasion en posture de défenseur ne risque-t-elle pas nuire à la posture d'attaquant que les USA affectent revendiquer ? Idem s'agissant de leur allié israélien qui lui revendique plus bruyamment telle capacité offensive: il sera demandé aux USA d'enquêter puis de prouver qu'ils n'ont pas dissimulé dans l'enquête une intervention israélienne?
égea : mais qui demandera ? et à qui accéderont-ils à la demande ? De ce point de vue, il y a une vraie dissymétrie. Qui d'ailleurs n'est pas condamnable : elle s'appelle souveraineté.
Complément à la question: j'entends bien, ce dispositif de réaction serait, non pas théorique, mais réplique du faible au fort, consistant à affaiblir le fort en exhibant sa force et en le plaçant en contradiction avec ses principes. Puisque les USA prétendent construire un monde basé sur le droit positif international, la souveraineté ne saurait être à géométrie variable (ils ne s'en privent point, j'entends bien aussi). Par conséquent n'importe quel pays pourra formellement (par exemple à la tribune de l'ONU) ou judiciairement (devant une cour, quelconque) ou politiquement (devant n'importe quelle caméra) formuler telle requête. Que le souverain n'y défère point, c'est évident, mais c'est là le piège: le sachant capable techniquement puisqu'il l'a revendiqué, il sera considéré coupable, sans jugement. Soit du fait, soit de complicité. Arguer de sa souveraineté ne sera qu'erreur politique supplémentaire.
Il n'est pas certain qu'excipant de sa "souveraineté" le gouvernement américain ne puisse compter sur une opposition interne forte à cet exercice. Car la souveraineté sur ce domaine aussi sensible que sont l'informatique et l'internet ne peut s'opposer si facilement à la volonté de son propre peuple de savoir qui est l'ennemi, ni à la volonté des représentants de son peuple.
Quelque part avec cette posture le gouvernement américain devient le coupable systématique, aux yeux de tous?
Encore une fois, question d'une part, de béotien complet d'autre part.